Защита ноутбука с Linux от несанкционированого доступа.

Мы часто говорим о безопасности, имея в виду управле­ние паролями или шифрование данных, однако пор­тативные устройства чреваты еще одной потенциаль­ной проблемой — и это угроза их похищения. Легко сказать, что вы должны «быть осторожны», что бы ваши портативные устройства не украли, но что можно сделать для минимизации ущер­ба, если ваш ноутбук или смартфон всё же украден?

Мы рас­смотрим некоторые способы обезопасить ваши данные, если они попали не в те руки, не добавляя при этом непрактично большое количество уровней безопасности, которые вы сами просто по­ленитесь использовать.

Пароли

Сильные пароли — всегда хорошо, а особенно в случае мо­бильных устройств. Если кто­то украл ваш ноутбук, он попыта­ется взломать ваш пароль. Такие программы, как John the Ripper, могут взломать пароли из вашей системы, при условии, что у зло­умышленника есть доступ к вашим файлам паролей и достаточно времени.

С его временем поделать ничего нельзя, но можно сделать важные файлы не читаемыми. Требования наличия прав root для доступа к ним будет мало: компьютер можно загру­зить со спасательного CD или мультизагрузочной флешки и прочитать от имени root всё что угодно, поэтому приоритетом становится шифрование вашего жесткого диска. Мы рассказывали о шифровании диска в системах Linux. Это большая работа, но вам стоит рассмотреть возможность шифро­вания всего диска при установке дистрибутива. Вы также должны установить пароль на BIOS, чтобы никто не смог изменить настрой­ки, разрешив загрузку с другого носителя.

Блокировка

Зашифрованные диск или директория home — только часть реше­ния. Это не позволит никому использовать live CD для чтения ва­шего диска; но если ноутбук украли, когда он был включен, вашиданные будут доступны для всех. Для этого есть простое решение:

Удобнее всего переносить ноутбук с закрытой крышкой — итак, нельзя ли заблокировать компьютер, если крышка закрыта?

От­вет — да: система ACPI реагирует на разные события, в том числе на открытие и закрытие крышки. ACPI часто используется для от­ключения питания, чтобы продлить заряд, но можно заодно заста­вить ее заблокировать экран.

Подробности отличаются для раз­ных рабочих столов; в KDE вы настраиваете действие «закрытие крышки» в разделе настроек Power Management, пользователи Gnome должны заглянуть в Privacy, а для Unity эти настройки на хо­дятся в Security & Privacy.

Можно так же настроить это и независи­мо от среды рабочего стола. Пользователи Systemd могут отредак­тировать /etc/systemd/logind.conf, за дав HandleLidSwitch как ‘lock’.

Альтернатива — разрешить ACPI работать с этим напрямую, уста­новив xlock через свой менеджер пакетов, и затем создать файл под названием /etc/acpi/events/lid, содержащий

event=button[ /]lid.*close

action=sudo ­u youruser /usr/bin/xlock ­display :0

Это запустит xlock для блокировки вашего дисплея при за­крытой крышке. Чтобы его разблокировать, вам понадобится па­роль. Мы использова ли sudo для запуска его от имени youruser, потому что демон ACPI запускает его от имени root, а xlock тре­бует пароль пользователя, который его запустил. После создания или редактирования этого файла надо будет перезапустить сер­вис acpid. Большинство дистрибутивов отключают использование Ctrl + Alt + F1 ради выхода в виртуальную консоль, и вам следует это учесть, поскольку xlock блокирует только X ­дисплей. Добавьте к /etc/X11/xorg.conf или файлу в /etc/X11/xorg.conf.d следующее:

Section “ServerFlags”

Option “DontVTSwitch” “true”

EndSection

Блокировка по близости

У описанного метода есть два недостатка: он предполагает, что вор закроет крышку, а обойтись без этого не такая уж пробле­ма; и притом вам надо вводить свой пароль при каждом ее от­крытии, а мы всегда советуем выбирать сильный пароль. Было бы удобно, если бы ноутбук работал, только когда им пользуетесь вы, но не для всех остальных. Мы здесь говорим не о сканерах отпечатков пальцев, а о том, что есть почти у всех: о смартфо­нах. BlueProximity проверя­ет спаренные устройства Bluetooth, и когда устройство удаляется на некое расстояние, оно блокирует компьютер; при возврате уст­ройства в за данный диапазон компьютер снова разблокируется.

Если ваш телефон всегда у вас в кармане или в руках, это работа­ет очень хорошо. Еще лучше соединить ноутбук с умными часами.

Первый шаг — спарить ваше устройство Bluetooth с вашим компьютером, используя инструменты настройки вашего рабоче­го стола. Затем запускайте BlueProximity. При вызове его из про­граммы запуска приложений с виду ничего не произойдет; надо осмотреть системный лоток, поскольку оно может запуститься в скрытом режиме.

Начните с нажатия на кнопку Scan. Щелкните по своему устройству в списке и нажмите Use selected device;

MAC­ адрес устройства скопируется в поле ниже. Теперь задайте пара­метры обнаружения во вкладке Proximity Details.

Настройки рас­стояния — это, по сути, измерения уровня сигнала: чем выше это число, тем слабее сигнал и тем больше расстояние. Длительность контролирует, как долго ваше устройство должно на ходиться да­лее этого расстояния до того, как начнет действовать BlueProxi­mity.

[ad name=»Responbl»]

Желая указать определенное расстояние, нажмите кноп­ку Reset Max/Min, переместите свое устройство на расстояние, на котором вы хотите начать блокировку, подождите несколько секунд, затем вернитесь, и вы увидите максимальное расстоя­ние, зафиксированное внизу дисплея.

В большинстве случаев на­стройки по умолчанию будут примерно те же; неплохо также за­дать расстоянию блокировки большую величину, чем расстоянию разблокировки, иначе устройство начнет судорожно блокиро­ваться и разблокироваться, когда вы будете около одинаковой настройки. А при слишком малой длительности могут возни­кать неожиданные события, по тому что уровень сигнала Blue­tooth колеблется.

Третья вкладка настраивает команды, которые запускаются при блокировке и раз блоки ровке. По умолчанию запускается gnome-­screensaver; щелкните по кнопке со стрелкой, чтобы вместо него использовать x-screensaver, или введите собственную команду. BlueProximity не будет запускать команду блокировки, пока ее окно открыто, но изменит цвет ключа на своем значке, чтобы показать, находитесь ли вы в пределах установленного расстояния.

Значе­ния красного и зеленого цветов понятны; желтый означает, что вы находитесь в пределах диапазона блокировки, но вне диапазо­на разблокировки. Команда proximity постоянно запускается через заданный промежу ток времени, когда ваше устройство в пределах заданного расстояния. По умолчанию gnome-­screensaver не очи­щает экран, даже если вы не касаетесь клавиатуры или мыши. Воз­можно, придется поэкспериментировать с этими настройками, од­нако в конечном итоге вы получите компьютер, который работает только рядом с вашим же устройством Bluetooth.

Поиск утеряного устройства

Если произойдет худшее и ваше устройство украдут, вы можете кое­что сделать, чтобы отследить его или защитить свои данные. Установив на свои компьютеры и мобильные устройства клиент Prey (http://preyproject.com) и создав бесплатную учетную запись, вы сможете добраться до своего компьютера, да же если он у ко­го­то другого.

Основной сервис бесплатный; имеются дополни­тельные уровни премиум­ сервиса для дополнительных функций и устройств, но и бесплатная опция работает с тремя устройствами и обеспечивает хороший уровень надежности. Есть и другие серви­сы, такие, как Cerberus, однако у Prey есть преимущества — откры­тый код и совместимость со всеми рабочими столами и мобильны­ми операционными системами.

Android

В основном мы рассмотрели ноутбуки, на которых используется рабочий стол Linux, однако столь же легко лишиться мо­бильного устройства на Android. Защита устройства с помощью PIN или комбинации для разблокировки намного надежнее, однако куда менее удобна.

К счастью, ре­дакция Android Lollipop (5.x) имеет функцию под названием Smart Lock, которая на ходит­ся в настройках Security и позволяет обойти блокировку при выполнении определенных условий. На данный момент она работает по местонахождению GPS или в присутствии устройства Bluetooth. Например, вы можете отключить блокировку, когда вы дома или в своей машине.

Определить местонахождение и да же дистанционно стереть данные с утерянного смартфона можно из менеджера устройств Google на https://www.google.co.uk/android/devicemanager. Вы дополнительно обезо­пасите свой телефон, включив аутентифи­кацию и настройку, требующую ввода PIN при его включении.

Также вам может быть полезно:

Защита телефона под управлением андроид.
Защита от прослушки, обнаружение жучков и многое другое..
5 распространенных ошибок которые приводят к утечке данных
Что делать когда украден телефон
Шифрование данных в Linux
Шифрование данных и настройки приватности в Linux
Как скрыть данные в телефоне Android