Хитрости безопасности Linux, которые должен знать каждый

В этой статье вы узнаете, как использовать rkhunter для обнаружения руткитов, как настроить Fail2ban для предотвращения атак методом подбора паролей и почему важно блокировать экран, когда вы отходите от него.

Вы также узнаете, как сделать sudo безопаснее, настроив тайм-ауты так, чтобы он всегда запрашивал ваш пароль. Итак, начнём.

Мониторинг руткитов с помощью rkhunter

Руткит — это скрытный тип вредоносного ПО, предназначенный для маскировки в вашей системе.

В Linux руткиты могут быть особенно опасны, поскольку они часто заменяют основные системные команды, такие как ls, ps или netstat, чтобы скрыть вредоносные процессы от пользователя.

Они также могут устанавливать скрытые бэкдоры, предоставляя злоумышленникам постоянный доступ к системе даже после смены пароля.

Использование rkhunter

Сначала вам необходимо установить этот инструмент в вашей системе с помощью следующей команды.

apt install rkhunter

Затем просканируйте свой компьютер.

rkhunter --check

Вы увидите, как он сканирует различные категории, такие как системные команды, скрытые файлы и сетевые порты.

Например, если руткит заменил команду ls, чтобы скрыть вредоносные файлы, rkhunter предупредит вас.

Fail2ban: блокировка атак методом подбора паролей

Представьте, что кто-то стоит у вашей входной двери и перебирает тысячи ключей, пока один из них наконец не подойдет.

В Интернете боты делают то же самое: они снова и снова пробуют случайные имена пользователей и пароли на таких сервисах, как SSH.

Fail2ban отслеживает логи вашей системы, и каждый раз, когда кто-то не может войти в систему, Fail2ban ведёт учёт. Если неудачные попытки продолжаются, он предполагает, что это не вы, и на некоторое время блокирует IP-адрес.

Чтобы установить и включить инструмент, используйте следующие команды.

sudo apt install fail2ban
sudo systemctl enable - now fail2ban

По умолчанию он отслеживает такие сервисы, как SSH. Настроить его можно в файле /etc/fail2ban/jail.conf.

Например, вы можете настроить блокировку IP-адреса на 10 минут после 5 неудачных попыток входа в систему:

[sshd]
enabled = true
maxretry = 5
bantime = 600

Пример Fail2ban

Допустим, бот пытается взломать ваш SSH-логин. После слишком большого количества неудачных попыток Fail2ban вмешивается и блокирует его.

В лог-файле вы можете увидеть что-то вроде этого:

2025–09–15 14:22:41 fail2ban.actions [1234]: NOTICE [sshd] Ban 203.0.113.45
2025–09–15 14:32:41 fail2ban.actions [1234]: NOTICE [sshd] Unban 203.0.113.45

Это означает, что злоумышленник с IP-адресом 203.0.113.45 был заблокирован на 10 минут. Если он продолжит попытки, его снова заблокируют.

Блокируйте экран, когда уходите

На настольном компьютере или ноутбуке заблокировать экран так же просто, как нажать комбинацию клавиш. В большинстве настольных компьютеров Linux это сочетание клавиш Ctrl + Alt + L. Это мгновенно открывает экран входа в систему, требующий ввода пароля или отпечатка пальца для повторного входа.

Пример: предположим, вы работаете в кофейне и отходите, чтобы выпить ещё. Если экран не заблокирован, кто-то может сесть, подключить USB-накопитель и скопировать ваши личные файлы ещё до вашего возвращения.

Итак, блокировка экрана — одна из самых простых, но в то же время и самых эффективных мер безопасности. Она ничего не стоит, занимает всего секунду и не позволяет никому воспользоваться вашим компьютером, пока вас нет.

Ограничить sudo с помощью тайм-аутов

В Linux по умолчанию после ввода пароля для sudo система запоминает его примерно на 15 минут. В течение этого времени вы можете выполнять другие команды sudo, не вводя пароль заново.

Это удобно, но предположим, вы отошли выпить кофе, а коллега садится за ваш разблокированный компьютер и запускает вредоносные команды.

Чтобы избежать этого, вы можете установить тайм-аут равным нулю, что означает, что Linux всегда будет запрашивать ваш пароль перед выполнением команды sudo. Для этого откройте текстовый редактор nano, перейдите в каталог /etc/sudoers и добавьте следующую строку.

Defaults timestamp_timeout=0

Теперь Linux будет запрашивать ваш пароль каждый раз при использовании sudo. Это менее удобно, но гораздо безопаснее, если вы отойдёте от компьютера.

Итог

Повышение безопасности Linux не обязательно должно быть сложным. Всего несколько практических шагов, таких как проверка на наличие руткитов, блокировка атак методом подбора и блокировка экрана, помогут вам устранить некоторые из наиболее распространённых способов проникновения злоумышленников.