Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Linux Mint на сьогодні є найбільш стабільним і довершенішим дистрибутивом Linux. Були часи, коли за популярністю він обійшов навіть Ubuntu. Чимало хто роздумує над переходом з Windows на Linux, але не знає який дистрибутив обрати, адже їх безліч. Можу з впевненістю сказати – обирайте Linux Mint і не пошкодуєте! У цій статті я збираюся описати увесь процес встановлення Linux Mint зі звичайної флешки, а також розповім про особливості цієї операційної системи.
У 2001 році француз Клемент “Clem” Лефевр (Clement Lefebvre) здобув ступінь Магістра з комп’ютерних наук в Університеті Південного Парижа й почав працювати в різних банківських, телекомунікаційних, продуктових компаніях у Франції та Ірландії. Він займав різні посади: веб-розробник, ІТ-інженер, розробник програмного забезпечення, архітектор J2EE. Здебільшого його робота полягала у проєктуванні та розробці програмного забезпечення і веб-додатків.
Його першим знайомством з Linux був дистрибутив Slackware. Він настільки вразив та захопив молодого розробника, що той задумав створити власний дистрибутив. Все почалося з блогу на домені linuxmint.com, який Клемент зареєстрував для публікації власних статей про різні дистрибутиви Linux.
Люди з цікавістю відкривали для себе світ Linux, черпаючи інформацію з сайту Клема. У людей був запит на новий максимально комфортний для них дистрибутив, який би розв’язав усі проблеми та складнощі з налаштуванням і адаптацією.
Так захоплення переросло у професійну діяльність і привело до появи першої версії дистрибутиву Linux Mint під кодовою назвою “Ada”. Реліз побачив світ в серпні 2006 року і був заснований на ОС Kubuntu Dapper 6.06 LTS з Робочим столом KDE. Назва дистрибутиву була почерпнута від англійського слова “mint” – м’ята.
У травні 2006 року вийшов другий реліз Linux Mint – “Barbara”. Дистрибутив базувався на програмних пакетах Ubuntu 6.10 та графічній оболонці GNOME. Того ж року був представлений перший логотип Linux Mint, який базувався на візуальній схожості з емблемою Ubuntu, пофарбованою в градієнтний зелений колір.
У 2007 році виходить третій реліз Linux Mint – “Cassandra”. Були сформовані команда, чат, форум і сайт. Логотип повністю перемалювали — нова концепція складалася з сучасної зелено-білої емблеми у формі квадратного листка, де мала літера «m» виходить із подовженого хвоста «L».
З випуском графічного середовища GNOME3, який містив чимало недоліків, команда розробників зіткнулася з великою кількістю багів в Linux Mint “Lisa”. У висновку, вони вирішують розробити свою альтернативну графічну оболонку. Спочатку створюють MATE – аналог GNOME2, а згодом CINNAMON на базі GNOME3. У висновку, Linux Mint отримав елегантний Робочий стіл та перетворився в один з найкомфортніших дистрибутивів. “From freedome came elegance” (“Від свободи до елегантності”), – таким стало гасло Linux Mint. Усе це завдяки тому, що автори проєкту завжди суттєво ставилися до думки людей та тестування операційної системи, її сумісності між різними компонентами/пристроями, що стало головною перевагою Linux Mint перед іншими.
У 2010 році вийшла ще одна версія Linux Mint – Linux Mint Debian Edition (LMDE), засновна як видно з назви повністю на Debian. За основу була взята гілка Debian Testing. Цей реліз є альтернативним і призначеним для тих, хто за якихось причин не хоче використовувати репозиторії й код Ubuntu. LMDE призначена для досвідчених користувачів, які розуміють усі переваги та недоліки Debian. Також у LMDE немає такого поняття як версії, оновлення приходять безперервно і їх можна встановити без перезавантаження системи. Якщо порівнювати обидві версії, то можу сказати, що Linux Mint є стабільнішою.
У 2016 році Linux Mint пережив кіберінцидент — було зламано корпоративний блог, який працював на базі WordPress. Скориставшись вразливостями чи то сервера, чи то CMS, інтернет-зловмисники з Болгарії та Росії зуміли завантажити php-експлойт й зламати систему. Вони підмінили посилання на завантаження оригінального ISO-образу Linux Mint 17.3 на модифікований, який містив троян. У висновку, ті користувачі, які завантажили його і не перевірили контрольну суму – були скомпрометовані.
Зловмисники отримали можливість віддаленого керування системами користувачів та проведення несанкціонованих DDoS-атак через шпигунський IRC-бот під назвою TSUNAMI. У подальшому вони також отримали доступ до корпоративного форуму Linux Mint через отримання доступу до оболонки www-data і бази даних MySQL (через wp-config.php). В результаті цієї атаки стався витік даних близько 71 000 користувачів форуму.
У 2021 році випадковим натисканням клавіші ē
на екранній клавіатурі діти знайшли вразливість CVE-2020-25712, яка дозволяла обійти блокування екрана й отримати доступ до Робочого столу. Розробники випустили патч і виправили недолік.
Сьогодні, Linux Mint є однією з найзлагодженіших та найстабільніших Unix-подібних операційних систем, якою щодня користуються мільйони людей. Вона посідає 2 місце в рейтингу дистрибутивів Linux. Над системою працюють розробники з Нідерландів і Великобританії (Linux Mint Team), а також спільнота користувачів по всьому світу.
Значення Mint для розвитку Linux надзвичайно важливе. Linux Mint знаменує собою епоху, коли бар’єр між звичайним юзером і Linux впав. Можна сказати, що саме з Linux Mint розпочалося завоювання десктопів. Ця система доступна усім і для кожного – від домогосподарки до бізнесмена. Повністю безкоштовна, прозора та відкрита. Як сказав один з відданих шанувальників Linux Mint:
“М’ята була (і залишається) для мене чимось на зразок святині, і, напевно, для багатьох теж. Тут я відчуваю тепло, безпеку, силу і живість.”.
Переваги:
1) Завантажуємо з офіційного сайту ISO-образ. Доступні різні редакції дистрибутиву на вибір, кожна з них передбачає свою оболонку графічного інтерфейсу:
Варто також не забути перевірити контрольну суму MD5 ISO-образу, щоб убезпечити себе від підробки або перехоплення даних.
2) Завантажуємо додаток Balena Etcher і “прошиваємо” нею USB-накопичувач.
3) Завантажуємося з флешки (попередньо в BIOS виставивши USB в топі списку завантажувальних пристроїв).
4) На екрані відобразиться меню завантажувача Linux Mint. Тиснемо Enter і запуститься графічне середовище для обслуговування Linux. Обираємо на Робочому столі ярлик Install Linux Mint. Запуститься процес інсталяції.
5) Встановлення повністю автоматичне. Ви також можете здійснити перерозподіл дисків (виділити окремі розділи диску для кореневої / і домашньої папки /home, що полегшить процес майбутнього оновлення/відновлення) та увімкнути шифрування (Mint підтримує повнодискове шифрування LUKS). Надалі просто дотримуйтесь вказівок системи. Процес займе не більше 20 хвилин.
6) Після завершення система попросить витягнути флешку і перезавантажитись.
7) Після першого запуску система попросить оновитися і запропонує довстановити драйвери пристроїв.
Завантажувальну флешку бажано зберігати — вона знадобиться для будь-яких сервісних операцій і обслуговування Linux Mint. Наприклад, ви можете завантажитися з неї й перерозбити жорсткий диск з допомогою утиліти GParted.
Після встановлення Linux Mint повністю готовий до роботи. Але з часом, коли ви захочете налаштувати його під себе, наприклад підлаштувати інтерфейс, оптимізувати для виконання конкретних задач, підняти швидкодію, потрібно буде виконати деякі додаткові операції.
Ось невеличкий чек-ліст по оптимізації і кастомізації Linux Mint:
0) Оновити всі пакети sudo apt update && sudo apt upgrade.
Допомагає позбутись дрібних багів й інших проблем, пов’язаних з додатками.
1) Перевірити і налаштувати файл підкачки Linux (Swapfile).
Його відсутність може викликати сповільнення на слабких системах. Він потрібен для якісного функціонування в момент високих навантажень. Детальніше читайте про це у нашій статті.
2) Вимкнути автоматичну перевірку оновлень Update Manager.
Дуже часте фонове сканування може сповільнювати систему. Для цього треба відкрити менеджер, перейти в Edit -> Preferences і зняти галочку “Refresh of list updates automatically”. Таким чином менеджер оновлень більше не буде проводити перевірку в фоновому режимі і пропонувати їх в системному треї. Також варто вилучити його з автозавантаження системи. Перейти в Startup Applications, знайти додаток і перевести радіокнопку в режим виключено.
3) Вимкнути Bluetooth.
Зайвий працюючий мережевий інтерфейс споживає ресурси, а тому якщо ним ніколи не користуєтесь, то краще деактивувати – не тільки на рівні програмного, а й апаратного інтерфейсу. На роботу Wi-Fi-адаптера це ніяк не повпливає. Робочий спосіб описаний тут і тут.
4) Оптимізувати панель задач.
Задати формат часу і часовий пояс (можна додатково синхронізуватися з NTP-сервером), встановити розкладку мови і клавітури (переключити на left Ctrl+Shift). Вивести додаткові аплети на панель задач (температура процесора, рівень зарядки батареї). Вимкнути прев’ю вікон на вкладках панелі (window thumbnail preview), як це описано тут.
5) Вивести системні монітори на Робочий стіл.
Це важливо з точки зору ефективності роботи та використання Linux, підвищення стабільності і полегшення відстеження помилок. В Linux це можна реалізувати з допомогою чудової утиліти Conky. Готовий конфігураційний файл з віджетами моніторингу ми розмістили на своєму GitHub.
6) Очистити систему від старих файлів і кешу.
В Linux регулярно накоплюється кеш від встановлених додатків. Очистити його можна командами sudo apt-get clean
та sudo apt-get autoclean
.
Додатково можна провести очищення системи від застарілих файлів: sudo apt autoremove
або sudo apt-get autoremove --purge -y
.
Часто великий об’єм кешу досягаєаться через встановлення і використання додатків з Flatpak-репозиторію. Перевірити можна командою: sudo du -sh /var/tmp/*
. Вилучити кеш: sudo rm -rf /var/tmp/flatpak-cache-*
. Команда flatpak uninstall --unused
видалить усі зайві дані. flatpak list
– покаже список всіх встановлених через Flatpak додатків. Чесно кажучи, по можливості краще використовувати AppImage замість “флетпаків”, адже вони дуже швидко займають дисковий простір.
Можна також задіяти службу systemd-tmpfiles й додати необхідні завдання щодо очищення папок в наступні файли конфігурації:
/usr/lib/tmpfiles.d/.conf
/run/tmpfiles.d/.conf
/etc/tmpfiles.d/*.conf
Ще одна папка з кешем: /home/user/.cache
. Сюди зливається кеш з усіх додатків, якими користується користувач. Часто-густо, після їх вилучення старий кеш все одно залишається, тому час-від-часу необхідно сюди заходити і перевіряти.
Ще кілька директорій, де можуть зберігатися тимчасові файли Linux:
~/.config/
~/.local/share/
7) Оптимізувати збереження системних журналів.
Ще одне місце, яке швидко накопичується тимчасовими файлами – Journalctl. Його необхідно оптимізувати.
Перевірити скільки займає папка журналів можна наступною командою:
du -sh /var/log/journal
Перевірити скільки займає файл логів:
journalctl --disk-usage
Очистити існуючі журнали до вказаного розміру:
sudo journalctl --vacuum-size=1G
Прописати обмеження розміру збережених логів можна тут:
sudo nano /etc/systemd/journald.conf
Додавши рядки:
#сумарний обсяг журналів
SystemMaxUse=500М
#збереження вільного місця на диску SystemKeepFree=1G
#розмір одного файлу логу SystemMaxFileSize=100M
#кількість днів зберігання
SystemMaxRetentionSec=7d
Щоб застосувались зміни необхідно перезапустити службу журналів:
sudo systemctl restart systemd-journald
Тепер логи не займатуть більше, ніж потрібно.
8) Оптимізувати швидкість завантаження системи.
Проаналізуйте швидкість завантаження Linux утилітою: systemd-analyze
.
Команда systemd-analyze time
покаже детальні відомості про час завантаження системи.
Команда systemd-analyze critical-chain
покаже які сервіси є критичними в плані швидкості завантаження.
Отримати графічну мапу завантаження можна з допомогою команди: systemd-analyze plot > ~/$(date +%Y_%m_%d_%H_%M)_$HOSTNAME-$(uname -r).svg
. В домашній директорії створиться файл зображення в форматі SVG на якому буде зображено завантаження всіх служб у хронометричному порядку.
Команда systemd-analyze blame
виконає те саме, тільки дані виведуться просто у командному рядку на екран. Біля кожного компоеенту буде вказаний час його завантаження. Служби з дуже великою тривалістю рекомендується оптимізувати або відключити.
Отримати повний список системних служб можна командою:
systemctl list-unit-files --type=service | grep enabled
.
Служби, які можна зупинити і видалити з автозапуску:
cups.service
– служба керування принтером CUPS (Common Unix Printing System). Якщо немає підключених принетів, можна відключити. З’їдає системні ресурси + служба вразлива;cups-browsed.service
– служба керування віддаленим доступом до принтерів. Має щонайменше 4 загальновідомих CVE-вразливості. Як повністю відключити описано тут;bluetooth.service
– служба керування bluetooth. Якщо немає, варто відключити;brltty.service
– служба яка запускає шрифт Брайля для людей з обмеженими можливостями;teamviewerd.service
– служба додатку TeamViewer для віддаленого доступу. Можна відключити, якщо не використовується її щодня. Тому що вона суттєво сповільнює завантаження. Можна буде потім повторно включити;lvm2-monitor.service
– служба керування системою LVM (Logical Volume Manager). Якщо не використовується управління логічними томами, варто відключити;docker.service
– служба керування контейнерами. Рекомендується вимкнути, якщо не використовуєте Docker;containerd.service
– ще один компонент docker;systemd-udev-settle.service
– застаріла служба Linux, яка споживає чималий шмат ресурсів на етапі завантаження. Контролює ініціалізацію пристроїв, наприкад LVM, RAID та інших. На сьогоднішній день сучасні пристрої та системи підтримують асинхронну модель завантаження. Однак, якщо ви використовуєте якісь особливі пристрої чи специфічні конфігурації udev, не вимикайте;apt-daily.service
– системна служба Linux для автоматичної перевірки оновлень в APT-репозиторіях. Можна відключити, якщо будете самостійно перевіряти оновлення командою apt update
та apt-get update
;apt-daily timer.service
– таймер для виконання apt-daily, аналогічно попередньому;apt-daily-upgrade.time
– ще одна служба apt-daily;plymouth-quit-wait.service
– служба, яка відповідає за відображення логотипу під час завантаження. Якщо ви не хочете бачити графічний супровід при завантаженні Linux, то можна вимкнути;plymouth-start.service
– служба запуску Plymouth;plymouth-read-write.service
– ще одна служба Plymouth. Детально як відключити тут.Перевести будь-яку службу у стан виключено можна командою:
sudo systemctl stop servicename.service sudo systemctl disable servicename.service
Деякі служби, якщо вони мають залежності, необхідно відключати додатково через mask, наприклад:
sudo systemctl mask apt-daily.service
Повернути у стан включено:
sudo systemctl start servicename.service
Перевірити статус:
sudo systemctl status servicename.service
Не зайвим буде ще оптимізувати завантаження ядра. Для цього потрібно відкрити файл конфігурації завантажувальника Grub:
sudo nano /etc/default/grub
І додати або замінити рядок:
GRUB_CMDLINE_LINUX_DEFAULT="rootfstype=ext4 raid=noautodetect selinux=0 plymouth.enable=0"
Щоб зміни вступили в силу виконати: sudo update-grub
Головним партнером з кібербезпеки Linux Mint є компанія SUCURI, яка широко відома своїми якісними та надійними рішеннями для CMS WordPress. Тому в плані безпеки тут все досить продумано.
В Linux Mint по замовчуванню активована система контролю доступу до додатків AppArmor. Працює вона на основі системи Mandatory Access Control (MAC). Її основне завдання – розмежувати доступи до файлів, директорій, додатків для різних користувачів/об’єктів системи. Перевірити статус AppArmor можна командою: sudo aa-status
.
Регулярні системні оновлення, включаючи Security Updates, доступні до встановлення через вбудований “Менеджер оновлень” (Update manager). Сповіщення про них відображаються у системному треї поряд з іконкою менеджера.
Linux Mint також включає інструмент резервного копіювання TimeShift, який дозволяє робити снапшоти (snapshots) – комплексні образи (знімки) операційної системи. У випадку будь-яких проблем, з них потім можна відновитися. Додаток створює бекапи на основі технології копіювання даних rsync і може запускатись за розкладом.
Якщо дисковий накопичувач HDD і він об’ємний – запасіться терпінням, процес може зайняти до декілька годин. В такому разі краще залишити комп’ютер увімкненим на ніч. Перед створення резервної копії рекомендується перейти в налаштування Settings й вказати директорію для зберігання снапшотів (бажано окремий розділ на диску), а також включити домашні директорії користувачів системи та приховані файли (по замовчуванню вони не включені).
Щодо оновлення системи до нових випусків. Воно здійснюється дещо за іншим алгоритмом, ніж в Ubuntu і Debian. В Linux Mint немає звичних “швидких пакетних оновлень”, коли нові версії програмного забезпечення на льоту завантажуються з APT-репозиторіїв і замінюють старі. В процесі може статися банальний збій або піти щось не так й користувач отримає неробочу систему. Тому в Linux Mint підійшли до цього дещо по іншому.
Кожен хто хоче оновитись повинен спершу зробити резервну копію системи. Тому процес оновлення не є швидким і вимагає від користувача уваги. Його краще не запускати просто так без нагальної потреби. Оновлення подібне до встановлення через ISO-образ. Дехто називає це головним мінусом Mint, однак насправді такий підхід з точки зору безпеки є повністю виправданим. Адже зобов’язує користувача серйозно віднестись до процесу й убезпечує його від будь-яких зайвих, непередбачуваних дій та наслідків, наприклад втрати чи пошкодження даних. Якщо вам раптом не підійде новий реліз – ви зможете без проблем зробити відкат.
Взагалі, рекомендується зачекати до пів року, допоки новий реліз так би мовити не “настоїться” і отримає відгуки, а тоді вже інсталювати. Linux Mint поставляється також як LiveOS, що дає можливість запустити його “на флешці” і протестувати. До прикладу, деякі нові випуски містять оновлене ядро Linux, яке у свою чергу може бути просто несумісними з вашим обладнанням.
В останніх версіях процес оновлення дещо автоматизували. Відповідно до офіційної документації, оновитися з Linux Mint 21.3 “Virginia” до Linux Mint 22 “Wilma” можна з допомогою утиліти mintupgrade. Основні рекомендації по оновленню представлені тут.
В Mint включений мережевий екран GUFW Firewall (Graphic Uncomplicated Firewall, UFW), який дозволяє контролювати інтернет-з’єднання. Для того, щоб активувати його достатньо запустити додаток, обрати профіль “Домівка” (Home) і перевести повзунок в положення увімкнено. При цьому режимі усі вхідні з’єднання блокуватимуться, а вихідні – дозволятимуться. Можна також виставити повне блокування усіх вхідних і вихідних з’єднань та з допомогою правил налаштувати дозволи для окремих мережевих сервісів, додатків, компонентів. Все залежить від ваших особистих задач та уподобань.
Кому UFW замало, може спробувати популярний брандмауер під Windows/Linux – Portmaster.
В “Менеджері додатків” (Software manager) можна знайти чимало корисних інструментів, зокрема застосунок ClamTK – це антивірусний сканер на базі відомого антивірусного рушія ClamAV. Ним здійснюють перевірки пакетів на наявність шкідливого коду. Містить режим карантину, базу сигнатур, евристичний аналіз. Рекомендується до застосування.
Для аудиту безпеки можна скористатись такою відомою утилітою як Lynis, яка теж доступна в репозиторії Mint.
Для виявлення троянів/руткітів підійдуть Linux Malware Detect, chrootkit, rkhunter та інші додатки (чит. Приклад внутрішнього ІТ аудиту віртуального сервера).
Не зайвим буде встановити мережевий сканер NMAP і проаналізувати ним відкриті TCP/UDP порти в локальній системі: sudo nmap localhost
. В ідеалі усі зовнішні порти в локальній системі мають бути закриті. Якщо раптом виявили незнайомий порт, то його варто перевірити через команду: sudo lsof -i :XXXX
. Тоді ви зрозумієте, який системний сервіс чи додаток прослуховує порт:
Перевіряйте вивід системних журналів з допомогою journalctl. Деякі помилки можуть бути критичними або свідчити про суміжні проблеми.
Додатково рекомендую подбати про безпеку DNS і прописати в мережевих налаштуваннях Linux Mint (/etc/systemd/resolved.conf
) публічні DNS-сервери Cloudflare (або іншого постачальника). Перевірити чи зміни вступили в силу можна на сайті dnscheck.tools.
В цілях безпеки варто вилучити зайві дзеркала (mirrors) з репозиторіїв оновлення Linux Mint. Наприклад, російські та білоруські сервери. Зробити це можна відредагувавши файли: /usr/share/mint-mirrors/linuxmint.list
та /usr/share/python-apt/templates/Ubuntu.mirrors
. Необхідно в них знайти рядки #LOC:RU
та #LOC:BY
та вручну видалити URL-посилання зеркал, які належать до них. Не зайвим буде дослідити сайти, на яких розміщуються українські зеркала репозиторіїв #LOC:UA
(серед них повинні бути лише надійні джерела). Аналогічно провести дослідження решти країн. Зайві – вилучити. Після цього зберегти зміни. За потреби зробити резервне копіювання обох файлів.
Це важливо, тому що ваш комп’ютер при завантаженні оновлень підключається до цих джерел й отримує дані. Розробники звичайно перевіряють усі дзеркала, але буває різне. Ви можете перейти в менеджер репозиторіїв Software Sources й перевірити які дзеркала увімкнені, а також протестувати швидкість з’єднання з ними:
Ще кілька порад:
sudo su -
, passwd
);md5sum packet.iso
. У відповідь отримаєте шістнадцяткове число, яке треба звірити з числом контрольної-суми, яку розробник має надати разом з додатком. Якщо знайшли збіг, то ваш ISO легітимний.👉 Більше рекомендацій з інформаційної/операційної безпеки >>
Linux Mint – це кращі “ліки” від Windows. Спробувавши один раз, ви рано чи пізно “злізете з голки” Microsoft.
Це повністю безкоштовний, компактний, відкритий та якісний продукт. Заснований на кращих традиціях GNU, FOSS та OpenSource.
Операційна система постійно оновлюється, розвивається, обростає новими шанувальниками й можна сказати, що в майбутньому ми побачимо ще чимало цікавих та вартих уваги випусків Linux Mint.
Читайте також:
ПОДІЛИТИСЬ У СОЦМЕРЕЖАХ:
Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!