Co prawda zdaję sobie sprawę, że odgrzewam starego kotleta, niemniej jednak mam wrażenie, że nikt profesjonalnie nie pokusił się od udzielenie odpowiedzi.
Kilka zasad bezpieczeństwa w przypadku tego wątku wygląda zm ojego punktu widzenia tak:
1. Zaorany na zero dysk (wyzerowany) - paranoid mode, lub zwyczajnie sformatowany i utworzone na nowo partycje dla wybranego systemu.
2. Wybrać można Whonix, Tails lub (polecam) Qubes OS
3. Zainstalować tylko i ten wyłącznie system.
4. Stworzyć "lewe" konta duchy na gmail, outlook, wybrana poczta mail, wybrane profile duchy na kontach społecznościowych jak FB, Instagram itp.
5. Nigdy nie logować się z tego komputera do żadnego banku i nigdy nie używać na nim poprzednich kont mail oraz społecznościowych ze swojej przeszłości sprzed instalacji w/w systemu. Czyli wyznaczamu zero date i od tej pory na tym komputerze używamy tylko i wyłącznie powyższych kont.
6. Do sieci wi-fi łączymy się tylko i wyłacznie za pomocą VPN
7. VPN kupujemy jakiegoś dostawcy VPN , może to być Nord albo jakiś inny, lub własny VPN server, jeśli się ma gdzieś takowy, lub można go założyć, oczywiście na "duchowne" dane, czyli nie te prawdziwe.
8. Instalacja iptable, nftables, firewalld, ufw, czy jakiegoś GUI dla firewall - to podstawa na dzień dobry.
9. Opcja paranoid dla obcykanych , włączony domyślnie w najnowszym debian 9.9 (sic! dopiero?) AppArmor - zalecam zainstalować
10. Ewentualnie dla dystrybucji z rodziny Red Hat (jak CentOS, Fedora itp.) SELinux (nie taki diabeł straszny jak go malują i jestem w stanie dostarczyć po polsku przystępny tutorial do jego konfiguracji) w sumi do AppArmor też. Ten ostatni łątwiejszy w sumie, ale mniej restrykcyjny w stosunku do SELinux.
11. Wersja bardziej paranoid mode, to postawienie specjalnego firewall między przyłączem Internetu w domu a maszynami za firewall. Można użyć IPFirewall lub IPcop lub coś podobnego, ewentualnie przykładowo jakiś router Mikrotik, który ma już w sobie firewall. Ustawienie regułek firewall i oczywście dopuszczanie do tego routera tylko maszyn na podstawie adresu MAC karty sieciowej (tak wiem o klonowaniu MAC adresów), można na sztywno poprzypisywać adresy IP na routerze maszynom i na ich podstawie dopuszczać do ruchu (wymagana wiedza z zakresu filtrowania ruchu - bardzo skompikowane to nie jest). Zezwalasz na ruch lub go blokujesz dla określonych portów.
12. Włączenie na routerze przykładowo sondy IDS/IDP jeśli ją posiada, plus włączenie zabezpieczenia antyDDoS.
13. Wersja dla tych, co mają w domu serwer poczty, www i na zewnątrz udostępniają - aczkolwiek to wiedzą. Sprzętowy firewall/IDS/IDP - np. jakiś HP router, albo Zyxel USG, lub jakiś Cisco - dość droga rzecz, ale przydatna.
14. Można jakiś skaner ruchu zaintalować na takim firewall , o którym mowa w punkcie 11 (jakis zwuykły desktop miałem na myśli w roli tego firewall). Może być np. snort.
15. Do wykrywania zmian plików w Linux może być np tripwire.
To tak z grubsza jeśli chodzi o podstawy bezpieczeństwa.