| Autor |
Sõnum |
laurivosandi
Moderaator
Vanus: 36
Liitunud: 08.07.2005
Postitused: 647
Asukoht: Tallinn
Distributsioon: Estobuntu, Debian
|
|
Lahedad paranoiad sunnivad midagi ette võtma. Seni pole ma mingeid turvameetmeid harrastanud, mida kasutada ja mida tähele panna?
antivirus?
tulemüür?
failisüsteemide krüpteerimine?
rootkit?
|
|
|
|
|
|
|
    |
imapi
Vana Pingviin
Vanus: 44
Liitunud: 01.12.2005
Postitused: 567
Asukoht: Rakvere
Distributsioon: Mageia Cauldron
|
|
| linuxi all vast rootkits ja firewalls kõige tähtsamad
|
|
|
|
|
|
|
|
PeTzZz
Vana Pingviin
Liitunud: 10.09.2005
Postitused: 629
Distributsioon: Fedora 19
|
|
Rootkits ja tulemüür kindlasti jah.
Viirusetõrjeprogrammiga võiks ka vahel (kasvõi harva) arvuti ikka üle skännida.
Meilikliendi tõmmatavates meilides võib vahel (harva) windowsi jaoks loodud uss sees olla näiteks. Linuxis nad küll midagi ei tee, aga meilikast võiks puhas ikka olla. Clamav-i meiliskännerit võib näiteks kasutada. Ei ole täpselt kursis, kuidas see pookub meilikliendiga, aga lihtsusab küll.
Failisüsteemi krüpteerimine, kuigi ma sellest midagi ei tea, on vast väga hea vahend, kui soovid, et partitsioonidele ka otse füüsiliselt ligi ei pääsetaks (võõrad).
|
|
|
|
|
|
|
|
antik
Pingviini aktivist
Liitunud: 25.08.2006
Postitused: 159
|
|
| PeTzZz kirjutas: | | Rootkits ja tulemüür kindlasti jah.
Viirusetõrjeprogrammiga võiks ka vahel (kasvõi harva) arvuti ikka üle skännida.
Meilikliendi tõmmatavates meilides võib vahel (harva) windowsi jaoks loodud uss sees olla näiteks. Linuxis nad küll midagi ei tee, aga meilikast võiks puhas ikka olla. Clamav-i meiliskännerit võib näiteks kasutada. Ei ole täpselt kursis, kuidas see pookub meilikliendiga, aga lihtsusab küll.
Failisüsteemi krüpteerimine, kuigi ma sellest midagi ei tea, on vast väga hea vahend, kui soovid, et partitsioonidele ka otse füüsiliselt ligi ei pääsetaks (võõrad). |
Las viirusetõrjega tegelevad meiliserverid, milleks lolli mängida ja endale igast saasta sisse installida.
|
|
|
|
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Viirusetõrjeskanner ise on turvarisk, käib kogu aeg kuskilt mingeid uuendusi laadimas. Normaalses arvutis niukest parasiit proget (selle all mõtlen utiili millega midagi kasulikku teha ei saa) üldse olla ei tohiks.
Välja arvatud muidugi gateway serverid mille taga on windowsid.
Muidugi tuleks olla tähelepanelik mis utiile ja kust endale alla laaditakse,
kuigi ajamisõigus võib olla kasutajal on seal võimalikult setuid bit aktiivne
ja ta võib teha juure õigustega ükskõik mida.
Näitena võib tuua "passwd" utiili mis muudab ainult juurele kirjutamisõigust
omavaid faile.
Keda huvitab leiab need nii :"find / -perm +4000 -print"
Failiõigused on linuxis see mis on tähtis kui ikka juure õigustega protsesse
ei käita ei tohiks turvalisus olla probleemiks.
Vastupidiselt windowsile ei muutu linuxis iga koodijupp automaatselt aetavaks programmiks ja ei ole võimalik ilma kasutaja abita endale mingit viirust asendada.
Chkrootkiti ma olen ikka vahest kasutanud kuigi midagi kunagi leidnud see pole.
Tcpdumpiga saab elimineerida kõik normaalseid porte kasutavad teenused
ja fikseerida kõik kahtlaseid porte (mida ei tea ise kasutavat) kasutavad
teenused ja loomulikult saab selle liikluse salvestada faili edasiseks analüüsiks.
Failide krüpteerimine on ikka mõistlik siis kui transportida tähtsat teavet
füüsiliselt teise kohta. Ma ei kujuta ette kui ikka füüsilist arvuti turvalisust ei ole karanteeritud siis muutuvad mõtetuks ka kõik muud abinõud.
Kui ma kellegi kõvakettaga ära jalutan siis on ainult aja ja tehnika küsimus millal kodeering on murtud.
Andmeturvalisuse osas tuleks anda anda erinevatele andmetele erinev turvalisuse aste. Need failid mida keegi mingil juhul ei tohiks näha tuleks siis
krüpteerida ja hoida kindlas kohas. Igasugust jama krüpteerida pole mõtet kuna see on väga ressusrsinõudlik neid siis kogu aeg lahti dekrüptida.
Mul endal tulemüüris laisad reeglid, seestpoolt luban kõike, väljast keelan
kõik ja luban eraldi. Muidugi kui konfiks tulemüüri kuskil kus turvalisus võib olla probleemiks siis muidugi lubaks kasutajatel ainult teatud porte kasutada
ja avaks porte siis kui vaja.
|
|
|
|
|
|
|
|
PeTzZz
Vana Pingviin
Liitunud: 10.09.2005
Postitused: 629
Distributsioon: Fedora 19
|
|
| antik kirjutas: | | Las viirusetõrjega tegelevad meiliserverid, milleks lolli mängida ja endale igast saasta sisse installida. |
Teenusepakkujatel on reeglina viirusetõrjekontroll siis peal?
| johnsmith kirjutas: | | Viirusetõrjeskanner ise on turvarisk, käib kogu aeg kuskilt mingeid uuendusi laadimas. Normaalses arvutis niukest parasiit proget (selle all mõtlen utiili millega midagi kasulikku teha ei saa) üldse olla ei tohiks.
Välja arvatud muidugi gateway serverid mille taga on windowsid. |
Üldiselt tuleb linuxi viiruseskänneritega manuaalselt skännida ning uuendustega on sama lugu. Hetkel ei paista neid viiruseid üldse tulevat jah, kuid olen vahel väga harva kontrolli siiski jooksutanud.
|
|
|
|
|
|
|
|
AlienDontBoogie
Pingviini aktivist
Vanus: 44
Liitunud: 07.07.2006
Postitused: 219
Asukoht: Harjumaa
Distributsioon: suse 9.2
|
|
| kas linuxis on ka nagu windoesis, et viirusetõrjed meelitavad viiruseid kohale, et näidata, et raha ei läinud tuulde.
|
|
|
|
_________________
Teen logosid
Oled hädas mõne asja tegemisega Inkscapes! Ehk saan aidata.
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
| PeTzZz kirjutas: | |
Üldiselt tuleb linuxi viiruseskänneritega manuaalselt skännida ning uuendustega on sama lugu. Hetkel ei paista neid viiruseid üldse tulevat jah, kuid olen vahel väga harva kontrolli siiski jooksutanud. |
Need mida ta leiab (kui leiab) on siiski windowsi viirused.
Idee on selles, et mitte saata edasi windowsi viiruseid teistele kes kasutavad windowsit. Selleks peab olema tore ühiskondlikult aktiivne inimene mina leian, et saavad seda mida on tellinud kui kasutavad Billi OS -i.
Reaalseid linuxi viiruseid on vähe ja harvad neist on jõudnud laboratooriumist välja. Linuxile viiruse kirjutamisega ei saa hakkama skripti kiddied kasutades visual basicut ja windows XP -d. Linuxile viiruse kirjutaja peab olema eriti hea C++ programmeerija kes tunneb väga hästi linuxi libc librasid.
Isegi siis kui see programmeerija kirjutab viiruse ja viirus saabub emailiga peab
kasutaja andma sellele viirusele aetava programmi õigused ja ainult siis saab seda programmi jooksutada. Linux ei aja ühtegi koodi automaatselt nagu üks teine lahe süsteem.
Teine asi crackimine aga see on tulemüüri teema, linuxil on palju programme millel on kuulsusrikas minevik nagu näiteks sendmail. Millel on aastate jooksul avastatud meeletult turvaauke. Kui mingi port on lahti võib cracker üritada jooksutada mingit programmi kinni mis kuulab porti kinni ja selle kaudu saada juure õigused. See on seotud C keelega mis ei kontrolli näiteks puskuri ülevoolamist vaid kirjutab suvalisse kohta mälus. Sellepärast ei tohiga protsesse ajada juurena.
Jään ikka oma arvamuse juurde mis puudutab viirusetõrjet.
|
|
|
|
|
|
|
|
PeTzZz
Vana Pingviin
Liitunud: 10.09.2005
Postitused: 629
Distributsioon: Fedora 19
|
|
| johnsmith, aitäh, et olukorda veits valgustasid.
|
|
|
|
|
|
|
|
indrek
Vana Pingviin
Vanus: 46
Liitunud: 08.07.2005
Postitused: 412
Asukoht: Tallinn
Distributsioon: Kubuntu
|
|
Läpakate korral peaks krüptofailisüsteemi kasutamine olema absoluutselt elementaarne kui seal midagigi olulist leidub. Ja erinevalt johnsmithist olen ma küll kohe väga kindel, et kui kasutada vähegi mõsitlikku paroolipoliitikat (st et ei kasuta sama parooli, mis linuxi useril, mitte mingil juhul ei kasuta parooli, mida kusagi veebis kasutatakse - vaadake oma firefoxis Preferences-privacy-password-view saved passwords - ja parool on piisavalt pikk ja mõttetu dictionary attacki vältimiseks), siis ei ole realistlik eeldada, et keegi murraks vähegi adekvaatsema krüptosüsteemi lahti.
Kõige mõistlikum on kasutada LUKSi - kas siis kogu /home partitsiooni krüpteerimiseks või mõne kataloogi jaoks (nt failipõhise failisüsteemina, seda hea backupida kah). Sealjuures ei ole overhead tähelepandav. Ilmselt on paljudele ka oluline, et leidub tarkvara (http://www.freeotfe.org/), mis selle failisüsteemi windowsi alla ära mountib (kui vaja nt. backupdvd-lt saada ligi kiirelt andmetele), sealjuures saab seda kasutada portable mode's, ehk käivitada tarkvara USB-pulgalt või cd-lt. Tingimus muidugi siis see, et failisüsteem oleks midagi windowsi poolt toetatavat ehk reeglina fat32.
Läpakal kasutan ise hetkel Encfs-i, mis pole nii hea (ressursinõudlus suurem, pole nii portatiivne jne), aga oli omal ajal kiirelt vaja enne reisi mõned kataloogid ära krüpteerida ja selle püstipanek võttis vist kolm minutit, hiljem pole viitsinud muutma hakata seadistust.
Ise olen endal krüpteerinud siis kataloogi ~/safe, mis ühe desktopiikooniklikiga mountitakse/unmountitakse ja kust on lingitud harjumuspärased kataloogid nagu ~/work jne.
|
|
|
|
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Ma just röhuksin sellele, et eri andmeid peab erinevalt käsitlema.
Kui on selline vinge ärisaladus siis vöib olla peab tegema sellised eeskirjad, et majast seda faili välja ei saa viia muud moodi kui turvafirma soomusautos.
Kui minna ostma kassakappi siis kvalifitseeritud spetsialist ei paku sulle kassakappi mida ei saa lahti murda vaid selle asemel teab ta rääkida kui kaua ja milliseid vahendeid peab kasutama millise kapi lahtimurdmiseks.
Just kontseptsioon on tähtis, mida salastada ja kuidas.
|
|
|
|
|
|
|
|
antik
Pingviini aktivist
Liitunud: 25.08.2006
Postitused: 159
|
|
| indrek kirjutas: | | Läpakate korral peaks krüptofailisüsteemi kasutamine olema absoluutselt elementaarne |
Kuidas seda tehakse FreeBSDs
Valmistame ette krüpteeritud ketta:
| Kood: | | # dd if=/dev/random of=/dev/ad0 bs=1m
# geli init -b /dev/ad0
Enter new passphrase:
Reenter new passphrase: |
Nüüd aktiveerime uue krüptreeritud ketta:
| Kood: | | # geli attach /dev/ad0
Enter passphrase:
GEOM_ELI: Device ad0.eli created.
GEOM_ELI: Cipher: AES
GEOM_ELI: Key length: 128
GEOM_ELI: Crypto: software
|
Märgistame kettad ja tekitame failisüsteemi:
| Kood: | | # bsdlabel -w /dev/ad0.eli
# bsdlabel -e /dev/ad0.eli
# newfs /dev/ad0.elia
|
Monteerime:
| Kood: | | # mount /dev/ad0.elia /fixed |
Nüüd saame installeerida sellele failisüsteemile FreeBSD operatsioonisüsteemi.
Muidugi peab jätma ühe partitsiooni lihtsalt kernelile, et süsteem saaks üles buutida, võtmed säilitatakse kas samas partitsioonis kerneliga või välisel meedial- parooli peab käsitsi sisestama. On võimalik ka buutida kernel USB flash kettalt, tehes niimoodi BSD olemasolu süsteemis vähem märgatavaks, petteks võib installeerida sinna vabale kettaruumile mingi vana windows- kui keegi selle läpaka näiteks ära varastab, siis ei saa nad kunagi aru, et seal midagi tähtsat üldse peal oli.
SWAP ketta krüpteerimine käib nii:
| Kood: | | # echo "/dev/ad0.elib none swap sw 0 0" > /etc/fstab |
Näitasin Teile praegu järgmise PC-BSD ühte võimalikku installeerimise varianti sülearvutitele- hetkel testime, kas on piisavalt lihtne tavakasutajatele- muidugi ei pea nad neid käske ise sisestama- installer teeb seda üks kord ja automaatselt, küsitakse ainult parooli. Kui testid läbitakse edukalt, siis loodan, et me näeme seda võimalust PC-BSD versioonis 1.4.
|
|
|
|
|
|
|
|
PeTzZz
Vana Pingviin
Liitunud: 10.09.2005
Postitused: 629
Distributsioon: Fedora 19
|
|
| Mida te SELinux-ist arvate?
|
|
|
|
|
|
|
|
antik
Pingviini aktivist
Liitunud: 25.08.2006
Postitused: 159
|
|
|
|
markus
Pingviini kasutaja
Vanus: 39
Liitunud: 11.08.2006
Postitused: 43
Asukoht: Tartu
Distributsioon: Gentoo
|
|
Huvitav, ma olen tykk aega m6elnud, et kyll on kahju, et BSD-l midagi SELinuxi laadset pole. Hoolimata sellest, et ma pole oma j2rjega veel ei BSD ega SELinuxi uurimseni j6udnud.
Yks kysimus puhtast uudishimust siiski: kas TrustedBSD on ka OpenBSDsse oma tee leidnud juba?
|
|
|
|
|
|
|
|
antik
Pingviini aktivist
Liitunud: 25.08.2006
Postitused: 159
|
|
| markus kirjutas: | | Huvitav, ma olen tykk aega m6elnud, et kyll on kahju, et BSD-l midagi SELinuxi laadset pole. Hoolimata sellest, et ma pole oma j2rjega veel ei BSD ega SELinuxi uurimseni j6udnud.
Yks kysimus puhtast uudishimust siiski: kas TrustedBSD on ka OpenBSDsse oma tee leidnud juba? |
Ma kahtlustan, et OpenBSD on kaugemale läinud, kui TrustedBSD project- kuid kindlasti on nad sealt midagi enda jaoks leidnud. Väga palju koodi liigub erinevate BSD projektide vahel.
|
|
|
|
|
|
|
|
kessu
Vana Pingviin
Vanus: 49
Liitunud: 16.07.2007
Postitused: 1106
Distributsioon: Ubuntu 16.04 LTS 64bit
|
|
Leidsin endal Chrookit üle ja leidsin kaks imelikku asja, mida teha?
| Kood: | | Checking `bindshell'... INFECTED (PORTS: 37998)
eth0: PACKET SNIFFER(/sbin/dhclient3[5467]) |
Mis need on? Kas on mõtet pabistada?
|
|
|
|
_________________
Olen umbkeelne mulk ja ei saa võõrastest keeltest piisavalt aru
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
| kessu kirjutas: | Leidsin endal Chrookit üle ja leidsin kaks imelikku asja, mida teha?
| Kood: | | Checking `bindshell'... INFECTED (PORTS: 37998)
eth0: PACKET SNIFFER(/sbin/dhclient3[5467]) |
Mis need on? Kas on mõtet pabistada? |
Tõenäoliselt valehäire pole küll ise googletanud kas teistel ka neid esineb.....
Esimene rivi kahtlustab mingit tagaust pordis 37998
See käsk näitab mis pordid on avatud ning mis proged neid kuulavad
Lase see väljund siia siis on selge pilt mis su masinas toimub.
Teine rivi kahtlustab, et dhclient binaari on keegi (või mõni teine programm) näppinud see tähendab muutnud ning nüüd dhclient tegeleb hoopis sinu järgi nuuskimisega või millegi muu kurjaga.
Muidugi dhclient ongi ju packet sniffer kuna peab püüdma kõiki pakette, et saada konfiguratsiooni andmeid serverist.
Kontrollida saad seda võrreldes näiteks oma /sbin/dhclient binaar md5 summat sellega mis on asendusmeedial kust sa süsteemi asendasid muidugi juhul kui sa pole uuendanud seda neti kaudu.
Dpkg -l on ka need need md5 summad andmebaasis olemas aga neid jälle võis troojalane muuta...........
Ära nüüd väga murelikuks muutu ilmselt valehäire. 
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
Catfish
Pingviini aktivist
Vanus: 46
Liitunud: 05.10.2007
Postitused: 298
Asukoht: Läänemaa
Distributsioon: Newnigma2 / openSuSE - 12.2
|
|
Äkki viskaksite sellele listile ka pilgu peale,
et seal midagi kahtlast ei toimuks | Tsitaat: | |
Aktiivsed internetiühendused (ainult serverid)
Proto VvJrk SaatJrk Kohalik aadress Väline aadress Olek PID/Program name
tcp 0 0 0.0.0.0:6881 0.0.0.0:* LISTEN 5167/ktorrent
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 2799/portmap
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 3178/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 2931/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 3084/master
tcp 0 0 :::40843 :::* LISTEN 4830/java
tcp 0 0 :::45100 :::* LISTEN 4830/java
tcp 0 0 :::22 :::* LISTEN 3178/sshd
tcp 0 0 ::1:631 :::* LISTEN 2931/cupsd
tcp 0 0 ::1:25 :::* LISTEN 3084/master
tcp 0 0 192.168.0.100:5214 :::* LISTEN 4830/java
udp 0 0 0.0.0.0:5353 0.0.0.0:* 2871/avahi-daemon:
udp 0 0 0.0.0.0:111 0.0.0.0:* 2799/portmap
udp 0 0 0.0.0.0:60530 0.0.0.0:* 2871/avahi-daemon:
udp 0 0 0.0.0.0:631 0.0.0.0:* 2931/cupsd
udp 0 0 :::40843 :::* 4830/java
udp 0 0 :::6347 :::* 4830/java
udp 0 0 :::4444 :::* 5167/ktorrent
udp 0 0 :::5353 :::* 4830/java
|
|
|
|
|
_________________
Ära varasta muusikat!! http://www.jamendo.com/en/albums
|
|
|
|
obundra
Vana Pingviin
Vanus: 49
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
|
|
| 111 peal jookseb portmap, vajalik siis kui üle nfsi faile jagad teiste linuxi masinatega ja 25 peal tundub olema postfix(mailiserver).Kui ei kasuta, siis tasuks teenus kinni keerata.Avahi olen ka ise teadlikult kinni keeranud, sest ei kasuta seda, seda pead ise teadma kas sulle on ta vajalik.
|
|
|
|
_________________
IT teenused
|
|
|
|
|
|
