使用 Linux 的一些安全建议

使用Linux系统的一些安全建议

  1. 在启动startx后启动vlock托管tty.
  2. 在xinitrc设置定时密码锁屏
  3. 使用root账户的终端时候使用tmux托管会话,并在tmux 设置定时密码锁
  4. 对分区提供luks加密
  5. 设置比较严格的默认权限

下面是一些示例:

编写一个 startxwithvlock 用来安全使用 startx

#!/bin/sh

startx &
vlock

在xinitrc 加入 xautolock 和 slock 用来定时锁定会话

xautolock -time 10 -lock slock &  # 在无操作十分种后锁定会话

在root的home下的.tmux.conf加入定时锁定

# use vlock
set -g lock-after-time 1200
set -g lock-command vlock

对分区提供luks加密

对分区使用:

cryptsetup luksFormat /dev/sdXx  # 对 sdXx 进行磁盘加密
cryptsetup luksOpen /dev/sdXx cryptdisk  # 打开已经加密的磁盘并把解密的节点命名为 cryptdisk    解密后的节点为 /dev/mapper/cryptdisk
mkfs.ext4 /dev/mapper/cryptdisk  # 对cryptdisk进行格式化
mount -t ext4 /dev/mapper/cryptdisk /mnt # 挂载 /dev/mapper/cryptdisk
umount /dev/mapper/cryptdisk  # 卸载
cryptsetup luksClose cryptdisk  # 关闭加密磁盘解密后的节点

设置比较严格的默认权限

在shell 启动加载的文件中加入:

umask 066  # 默认使用 0600 的权限

0600 权限也就是只有用户可以读写
组和其他人都不可以读写

这里可能有点难以理解,请看下面的例子

$ umask 066
$ touch a
$ ls -lh a
-rw------- 1 tom jack 0 Feb 27 08:45 a

待补充

用到的命令:

  • vlock 在 util-linux 中提供 # 用来锁住终端
  • tmux 在 tmux 中提供 # 终端复用器
  • xautolock 在 xautolock 中提供 # 定时锁住X会话
  • slock 在 slock 中提供 # 一个简洁的X锁屏
  • cryptsetup 在 cryptsetup 中提供 # 提供操作加密磁盘的用户空间工具
  • mkfs.ext4 在 e2fsprogs 中提供 # 提供操作ext分区的用户空间工具
  • mount 在 util-linux 中提供 # 提供挂载卸载文件系统的操作
  • umask 是 shell 内置的一个命令 # 用来设置默认权限

有一个有趣的事情,同事之前开玩笑嘛,哪位同事出去不锁屏,就会偷偷给植入个后门,或者克隆账号,或者留个计划任务自动反弹shell那种,哈哈
都是比较熟的,所以密码打的次数多了,就都知道了,所以后来我的密码都是30多位的密码 哈哈哈

1赞

这也太溜了,要是经常输入手指都要废。

我后来都在想,笔记本能不能来个二步认证,但是想来想去只能加指纹

你你你你住这吗?!(惊了):rofl:

好像有硬盘锁和Bios锁?这不知道能不能增加一层防护?:sweat_smile:

macbook不是有applewatch联动解锁吗,这个可以的,linux估计够呛

我觉得bios锁的安全性微乎其微了,当然在别人拆开你电脑情况下

BISO锁心理上增加一点作用,实际上也有一点作用。
不过要真要保障数据安全,还得使用磁盘加密,像我就懒了,每次都输入密码就不愿意 :stuck_out_tongue:

这个我就不知道了 :sweat_smile:


服务器资源由ZeptoVM赞助

Partners Wiki IRC