Руководство по усилению безопасности
В этом руководстве приведены практические шаги для повышения безопасности вашей системы MiniOS. Поскольку MiniOS — это live-система, основные вопросы безопасности связаны с защитой пользовательских данных на постоянном хранилище и контролем доступа к запущенной системе. Стандартные настройки обеспечивают удобство для портативного использования, но могут быть не оптимальны для всех сценариев. Следующие рекомендации помогут вам настроить систему для повышения уровня безопасности.
Безопасность учетных записей пользователя и root
По умолчанию MiniOS выполняет автоматический вход без пароля. Это удобно для портативного использования, но в некоторых случаях может представлять угрозу безопасности.
Стандартные учетные данные:
- Пользователь:
live/evil - Root:
root/toor
⚠️ Эти данные общедоступны и должны быть немедленно изменены при любом сетевом или производственном использовании.
Создание зашифрованного пароля
Перед настройкой паролей рекомендуется создать хеш пароля:
# The command will prompt you to enter a password and output the hash
mkpasswd -m yescrypt
# Example output: $y$j9T$...(long hash)...$Spig/F.uPУстановка паролей
Вы можете задать пароли двумя способами: настоятельно рекомендуется использовать зашифрованные пароли.
Важно: Установка паролей и параметров учетных записей через параметры загрузки и конфигурационные файлы применяется только при первом запуске системы. После этого изменить пароли можно только стандартными методами Linux (passwd, sudo passwd).
Через параметры загрузки
Добавьте параметры в командную строку ядра в загрузочном меню (GRUB для UEFI или SYSLINUX для BIOS):
Для зашифрованных паролей (рекомендуется):
user-password-crypted='$y$j9T$...(hash).../'
root-password-crypted='$y$j9T$...(hash).../'Для обычных паролей (не рекомендуется):
user-password='your_password'
root-password='root_password'Важно: Обычные пароли видны в командной строке ядра и могут быть прочитаны другими пользователями системы.
Через конфигурационный файл
Отредактируйте файл minios/config.conf в корне USB-накопителя:
Для зашифрованных паролей:
LIVE_USER_PASSWORD_CRYPTED="$y$j9T$...(hash).../"
LIVE_ROOT_PASSWORD_CRYPTED="$y$j9T$...(hash).../"Для обычных паролей:
LIVE_USER_PASSWORD="your_password"
LIVE_ROOT_PASSWORD="root_password"Смена паролей после загрузки
После первого запуска системы пароли можно изменить стандартными командами Linux:
# Change current user password
passwd
# Change root user password (requires sudo)
sudo passwd root
# Change specific user password (requires sudo)
sudo passwd usernameОтключение автоматического входа
После установки паролей отключите автологин, чтобы требовалась аутентификация:
Через параметры загрузки
noautologinЧерез конфигурационный файл
LIVE_CONFIG_CMDLINE="components noautologin"Частичное отключение автологина:
nox11autologin— отключает только графический автологин (диспетчер входа потребует аутентификацию)nottyautologin— отключает только консольный автологин (по умолчанию уже отключен)
Управление правами пользователя
По умолчанию пользователь live обладает полными правами администратора без запроса пароля как в консоли (sudo), так и в графических приложениях (через polkit). Это удобно для live-системы, но для повышения безопасности может потребоваться изменить эти настройки.
Включение запроса пароля для sudo
Чтобы при использовании sudo требовался ввод пароля, выполните после загрузки системы:
# Change rule to require password
echo "live ALL=(ALL:ALL) ALL" | sudo tee /etc/sudoers.d/liveПосле этого команды sudo будут требовать пароль пользователя.
Включение запроса пароля для графических приложений
Чтобы графические административные программы запрашивали пароль, удалите правило polkit:
sudo rm /usr/share/polkit-1/rules.d/sudo_on_live.rulesПосле этого установщики ПО, системные настройки и другие административные GUI-приложения будут требовать ввод пароля.
Полное отключение административных прав (noroot)
Для максимальной безопасности можно полностью отключить sudo и доступ root:
Через параметры загрузки:
norootЧерез конфигурационный файл:
LIVE_CONFIG_NOROOT=trueРезультат: Команда sudo работать не будет, вход под root будет запрещён, административные действия станут недоступны.
Сетевая безопасность
Стандартные настройки SSH
Почему SSH включён по умолчанию: MiniOS предназначен как система для восстановления и диагностики неисправного оборудования. SSH включён с минимальными ограничениями, чтобы обеспечить удалённый доступ при отсутствии локального экрана, его повреждении или работе с headless-системами.
Текущие настройки SSH:
- Сервис SSH включён и запускается автоматически
- Вход под root через SSH разрешён
- Аутентификация по паролю включена
Последствия для безопасности: Такая конфигурация создаёт риски при работе в ненадёжных сетях, но необходима для сценариев восстановления.
Отключение SSH
Если удалённый доступ не требуется, полностью отключите SSH:
Через параметры загрузки:
disable-services=ssh,avahi-daemonЧерез конфигурационный файл:
DISABLE_SERVICES=ssh,avahi-daemonНастройка безопасного доступа по SSH
Если SSH необходим, обеспечьте его безопасность следующими способами:
1. Установка надёжных паролей
Используйте описанные выше методы установки паролей.
2. Аутентификация по SSH-ключу
Поместите файлы authorized_keys в корень USB-накопителя:
authorized_keys.root— для пользователя rootauthorized_keys.live— для пользователя liveauthorized_keys.username— для других пользователей
Компонент системы автоматически скопирует их в домашние каталоги при загрузке.
3. Усиление безопасности SSH
После загрузки системы отредактируйте конфигурацию SSH:
sudo nano /etc/ssh/sshd_config.d/minios.confИзмените параметры на более безопасные:
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yesПерезапустите службу SSH:
sudo systemctl restart sshВажно: Всегда проверяйте доступ по ключу SSH до отключения аутентификации по паролю.
Безопасность загрузки
UEFI Secure Boot
MiniOS полностью совместим с Secure Boot, так как использует стандартное ядро Debian с подписанными загрузчиками. Secure Boot обеспечивает защиту от вредоносного ПО до загрузки системы (bootkit) и рекомендуется для повышения безопасности.
Пароль BIOS/UEFI
Для физической защиты установите пароль в BIOS/UEFI вашего компьютера, чтобы предотвратить загрузку с других устройств или изменение настроек загрузки неавторизованными пользователями.