• Linux System Hardening
  • Lynis
  • rkhunter
  • ClamAV
  • BleachBit
  • debsums
  • Auditd
• Ekstra tips

Linux System Hardening

• Krypter disken!
  • Dette skal gøres under Linux installation
  • Bruger du ikke disk-kryptering, har du ingen sikkerhed
• Deaktiver root login

  $ sudo passwd -l root

• Slå fra services du ikke anvender, ie. Bluetooth og cups (printer)

  $ sudo systemctl disable --now bluetooth
  $ sudo systemctl disable --now cups

• (Tjek hvilke services der kører)

  $ sudo ss -tuln

• Opdater dit system ofte

  $ sudo apt update && sudo apt upgrade

• Automatiske sikkerhedopdateringer

  $ sudo apt install unattended-upgrades
  $ sudo systemctl enable unattended-upgrades

• Installer firewall og luk for alt indgående traffik

  $ sudo apt install ufw
  $ sudo ufw default deny incoming
  $ sudo ufw default allow outgoing
  $ sudo ufw enable

• (hvis du anvender SSH, åben da også for den service port)

  $ sudo ufw allow 22

• (visse tilfælde, som ved SSH, kan det give mening at installere fail2ban. Beskytter primært mod: SSH brute force, Webserver logins og Mail-tjenester)

  $ sudo apt install fail2ban
  $ sudo systemctl enable fail2ban

• (hvis du ønsker en visuel konfiguration af din firewall/ Firewall GUI)

  $ sudo apt install gufw

• Slå fra auto-mount af USB-nøgler
  • Typisk via indstillinger i din fil-explorer (stifiner, ie Thunar eller Nautilus): Removable Drives and Media → Slå fra i stil med Mount removable media when inserted

Brug KUN officielle Debian repositories (via apt), ikke tilfældige .deb-filer!

Lynis

Automatisk security-audit og forslag til forbedringer;

$ sudo apt install lynis
$ sudo lynis audit system

• Gennemgang af konfigurationer, rettigheder, netværk, brugere, logs, kernel osv
• Du får en score + konkrete forslag til forbedringer

rkhunter

Rootkit Hunter tjekker for:

• Ændrede systemfiler
• Mistænkelige permissions
• Uautoriserede binære filer
• Skjulte processer/filer

Ikke realtime, men god som lejlighedsvis integritetscheck;

$ sudo apt install rkhunter
$ sudo rkhunter --update
$ sudo rkhunter --check

ClamAV

Antivirus scanning med ClamAV.

• Brug det til at scanne filer fra andre (USB, e-mail, downloads)
• Kører on-demand – ikke realtime

Installer og opdater virusdatabasen;

$ sudo apt install clamav clamav-daemon
$ sudo freshclam

Scan en fil;

$ clamscan <filnavn>

Scan en hel mappe;

$ clamscan -r --infected /sti

Kør som root, hvis du vil scanne hele systemet;

$ sudo clamscan -r --infected /

BleachBit

Rydder op i caches, logs, browserdata, tempfiler m.m;

$ sudo apt install bleachbit

Kan også køres som root;

$ bleachbit
$ sudo bleachbit

debsums

• Tjekker om dine systempakker er blevet modificeret
• Brug den lejlighedsvis til at finde potentielt kompromitterede filer

$ sudo apt install debsums
$ sudo debsums -s

Auditd

• Logger alle relevante systemændringer og adgang til filer

$ sudo apt install auditd
$ sudo systemctl enable --now auditd

Log filen kan findes her /var/log/audit/audit.log;

$ sudo less /var/log/audit/audit.log

Ekstra tips

• Slå fra boot fra eksterne medier i BIOS
• Slå fra "wake on LAN" i BIOS
• Sæt BIOS adgangskode
• Brug alias i din .bashrc eller .zshrc til at gøre vigtige kommandoer nemmere
• Gå aldrig fra en åben computer (lås den med ctrl+L)
• Brug forskellige browsere til forskellige formål, f.eks Brave til det daglige og Tor til det følsomme