abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 20:40 | Zajímavý článek

Lukáš Růžička v článku S Hydrogenem za lepší rytmus aneb bubeníkem snadno a rychle na MojeFedora.cz představuje automatického bubeníka s názvem Hydrogen (Wikipedie): Hydrogen je velmi vydařený program, který rozhodně nesmí chybět ve výbavě žádného linuxového muzikanta. Umožňuje nejen vytváření jednoduchých bicích doprovodů, ale také sofistikované programování bicích a perkusí, jehož výsledek se naprosto vyrovná drahým

… více »
Ladislav Hagara | Komentářů: 2
včera 13:55 | Zajímavý projekt

UPSat (Twitter) je první open source nanodružice (CubeSat). Jedná se o společný projekt nadace Libre Space Foundation a University of Patras. Repozitáře projektu jsou k dispozici na GitHubu. Pod Libre Space Foundation patří také projekt SatNOGS (zprávička), projekt globální sítě open source pozemních satelitních stanic, vítězný projekt soutěže The Hackaday Prize 2014. UPSat je součástí mise QB50 (Twitter). ID UPSatu je GR02. GPS přijímač na UPSatu je od české společnosti SkyFox Labs. Součástí mise QB50 je i česká nanodružice VZLUSAT-1 s ID CZ02.

Ladislav Hagara | Komentářů: 4
21.4. 15:00 | Komunita

V diskusním listu Thunderbird planning vývojáři poštovního klienta Thunderbird řeší, zda by nebylo možné budoucí Thunderbird postavit nad webovými technologiemi, tj. nad Electronem, stejně jako například Nylas Mail. Gecko, nad kterým je Thunderbird postaven, se má hodně změnit. V plánu je odstranění vlastností, které Firefox už nepotřebuje, ale Thunderbird je na nich závislý [Hacker News, reddit].

Ladislav Hagara | Komentářů: 88
21.4. 10:22 | Bezpečnostní upozornění

Společnost Oracle vydala čtvrtletní bezpečnostní aktualizaci svých softwarových produktů (CPU, Critical Patch Update). Opraveno bylo celkově 299 bezpečnostních chyb. V Oracle Java SE je například opraveno 8 bezpečnostních chyb. Vzdáleně zneužitelných bez autentizace je 7 z nich. V Oracle MySQL je opraveno 39 bezpečnostních chyb. Vzdáleně zneužitelných bez autentizace je 11 z nich.

Ladislav Hagara | Komentářů: 7
21.4. 10:00 | Pozvánky

V úterý 25. dubna proběhne další Prague Containers Meetup. Přijďte se nechat inspirovat jak zlepšit build/delivery pipeline vašich kontejnerových aplikací.

little-drunk-jesus | Komentářů: 2
20.4. 21:33 | Komunita

Na Launchpadu se objevilo kódové jméno následující verze Ubuntu. Ubuntu 17.10 bude Artful Aardvark (mazaný hrabáč) [OMG! Ubuntu!].

Ladislav Hagara | Komentářů: 11
20.4. 20:11 | Zajímavý software

MojeFedora.cz informuje, že společnost Nylas oznámila vydání verze 2.0 poštovního klienta Nylas Mail (původně Nylas N1), která již plně podporuje Linux. Obchodní model společnosti je tzv. open core. Samotný klient je open source, ale uživatel si musí připlatit za některé pokročilé funkce. V základu se lze připojit k GMailu nebo libovolnému účtu přes IMAP. Podpora Exchange je pouze v placené verzi. Klient je napsaný nad Electronem.

Ladislav Hagara | Komentářů: 12
20.4. 15:55 | Zajímavý článek

České centrum pro investigativní žurnalistiku (ČCIŽ) publikovalo na svých stránkách článek s názvem Je česká státní správa „rukojmím Microsoftu“?. Drtivá většina české veřejné správy je závislá na výrobcích softwarového gigantu Microsoft – a nijak zvlášť jí to nevadí.

Ladislav Hagara | Komentářů: 19
20.4. 02:48 | Nová verze

Google Chrome 58 byl prohlášen za stabilní. Nejnovější stabilní verze 58.0.3029.81 tohoto webového prohlížeče přináší řadu oprav a vylepšení (YouTube). Opraveno bylo 29 bezpečnostních chyb. Mezi nimi i chyba umožňující phishing s unicode doménami.

Ladislav Hagara | Komentářů: 0
19.4. 22:44 | Nová verze

Po šesti týdnech od vydání verze 52.0 byla vydána verze 53.0 webového prohlížeče Mozilla Firefox. Z novinek lze upozornit například na nové kompaktní vzhledy – tmavý z Firefoxu Developer Edition a jeho světlá varianta. Na Linuxu byla ukončena podpora procesorů starších než Pentium 4 a AMD Opteron. Podrobné informace v poznámkách k vydání a na stránce věnované vývojářům. Řešeny jsou také bezpečnostní chyby.

Ladislav Hagara | Komentářů: 11
Chystáte se pořídit CPU AMD Ryzen?
 (4%)
 (35%)
 (0%)
 (7%)
 (45%)
 (9%)
Celkem 277 hlasů
 Komentářů: 31, poslední 20.4. 21:26
    Rozcestník

    Dotaz: Bezpečnost na Linuxu

    TomasABC32 avatar 6.12.2015 16:58 TomasABC32 | skóre: 23
    Bezpečnost na Linuxu
    Přečteno: 1091×
    Zdravím, chci se vás zeptat jak je to s bezpečností na Linuxu. Mám Ubuntu, vyvíjí to sice společnost, ale... ok. Má smysl si dávat na linux antivir ? nebo Firewall ? Ptám se proto, že když nainstalujete windows, firewall tam většinou už máte. Antivir si doplníte. U linuxu je to jiné, viry zde prakticky nejsou, ale právě proto se ptám, jak vy osobně řešíte bezpečnost, zvlášť v dnešní profízlované době.
    Linux jsem si zvolil zcela dobrovolně jako svůj hlavní OS. Mějte trpělivost prosím :)

    Řešení dotazu:


    Odpovědi

    6.12.2015 17:08 Petr | skóre: 29
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    http://wiki.ubuntu.cz/antivirus
    6.12.2015 17:39 alkoholik | skóre: 35 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Firewall urcite ano.
    Na obcasne prohledani systemu rkhunter nebo chkrootkit. Myslim, ze ubuntu ma oba v baliccich.
    Jendа avatar 6.12.2015 19:33 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Firewall urcite ano.
    To je hezké poradit mu firewall (který už vlastně má, protože netfilter v kernelu tak nějak je), ale není jasné, co tam má dát za pravidla. Takže bude mít firewall bez pravidel, k ničemu.
    Na obcasne prohledani systemu rkhunter nebo chkrootkit
    IMHO moc nemají smysl, když se neumí správně používat.
    "Vzbuď se ve 4.20 a jdi ke kolejím (k jakýmkoliv, které najdeš)" "OK, jsem na Strahově, what next?"
    7.12.2015 00:30 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Firewall urcite ano.

    A to jako proč? Nápověda: Žádný racionální důvod pro to neexistuje.

    Ekvivalentem firewallu je nemít Ubuntu, ale používat normální distro, které chápe rozdíl mezi instalací služby, povolením démona a okamžitým spuštěním démona. Ubuntu tento rozdíl nechápe. Proto může mít klidně otevřené porty, na kterých by BFU sám od sebe žádného démona mít nechtěl a o jejichž (ne)smyslu často ani neví.

    Z toho důvodu se pak šíří nesmyslná fáma, že v Ubuntu je třeba mít firewall. Omyl! Firewall v Ubuntu je zcela zbytečný a neúčinný, protože instalace balíčku s démonem přidá pravidla firewallu, která jeho porty povolí. Dejme tomu, že uživatel nainstaluje démona, který je zrovna tou dobou kriticky zranitelný. (Ne snad proto, že by ho chtěl používat, ale třeba se chtěl jenom podívat na jeho konfiguráky, zprovoznit si ho na localhostu či cokoliv podobného. Kromě toho, nainstalovat kriticky zranitelného démona je v Ubuntu velmi snadné, protože ta distribuce je předem a ze zásady zastaralá.) Jenže ouha, Ubuntu toho kriticky zranitelného démona nejenom povolí (!) a rovnou spustí (!!!), ale ještě mu povolí příslušný port na firewallu (!!!!!!!!!!).

    Takže odpověď je jednoduchá: V normálním distru není potřeba ani antivir, ani firewall. V Ubuntu taky nic z toho není potřeba, protože nic z toho nepomůže.

    Pokud tazatele zajímá bezpečnost, měl by utíkat od Ubuntu mílovými kroky. Například Fedora se svým SELinuxem může být zajímavá pro někoho, kdo bere bezpečnost opravdu vážně.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    Jendа avatar 7.12.2015 04:49 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Dřív šlo zakázat spuštění služby při instalaci pomocí /usr/sbin/policy-rc.d vracejícího nenulový exit code. Po přechodu na systemd nevím.
    ale ještě mu povolí příslušný port na firewallu
    Fakt? To je v postinst skriptech nebo kde?
    Například Fedora
    Proč je Ubuntu z podstaty zastaralejší než Fedora? Cykly to má taky tak jednou za půl roku.
    se svým SELinuxem
    Když už hardened systém, tak ať to alespoň má nějaký smysl. Tedy grsec/pax.
    "Vzbuď se ve 4.20 a jdi ke kolejím (k jakýmkoliv, které najdeš)" "OK, jsem na Strahově, what next?"
    7.12.2015 10:44 alkoholik | skóre: 35 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu

    A to jako proč? Nápověda: Žádný racionální důvod pro to neexistuje.

    Treba k omezeni klientu na Sambe, CUPSu a podobne? Obecne chci, aby mi tyhle sluzby na LANce fungovaly, ale do sveta uz ne.
    Portknock na SSH take beru jako soucast firewallu.
    Řešení 1× (Petr Tomášek)
    6.12.2015 18:36 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Obojí nemusí být nutné. Velmi a principielně to záleží na tom, jak svůj systém znáte a jaké máte pro přístup k němu chování.
    • Antivirus. Jak již bylo zmíněno v předchozím odkazu, standardní způsob v linuxu je instalace prověřeného obsahu (s dostupným zdrojovým kódem) z prověřeného zdroje (repozitáře). tím se tam virus nezanese, další ještě možnost je zanést virus v makrojazyku nějakého datového souboru (MS office balíky, flash a možná pár daších) proto na takové soubory jsem opatrny a podezřelé pouštím ve virtualizovaném prostředí. Antivirus má smysl pokud se provozuje datové úložiště pro Win.
    • Firewall. mnohem obvyklejší i když nemusí být také nutný. Útok z vně je možný jen když na příslušném portu mi poslouchá a reaguje nějaký program. Pokud vím přesně, jaké serverové služby mi v systému jedou je firewall potřeba jen v případě pokud chci mít službu dostupnou jen z nějaké omezené množiny IP adres. Pokud ne tak bud má službu puštěnou a tím pádem přístupnou, (a musel bych ji mít přístupnou i s firewallem) nebo je vypnutá a pak systém nereaguje tak jako tak. Pouze v případě, že bych chtěl, aby nějaká služba byla přístupná pouze třeba z lokálních adres ve fyzické sítí a ne z jiných potřebuji firewall
    Jendа avatar 6.12.2015 19:31 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    antivir
    Ne, neexistuje a nepomůže (to ani na Windows).
    nebo Firewall
    Někdy ano, ale pro někoho, kdo se takhle ptá, ne. Lepší bude, když se podíváš pomocí netstat -utlpna co ti poslouchá ven a vypneš to.
    "Vzbuď se ve 4.20 a jdi ke kolejím (k jakýmkoliv, které najdeš)" "OK, jsem na Strahově, what next?"
    TomasABC32 avatar 6.12.2015 20:30 TomasABC32 | skóre: 23
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    jak to vypnu ?
    Linux jsem si zvolil zcela dobrovolně jako svůj hlavní OS. Mějte trpělivost prosím :)
    Jendа avatar 6.12.2015 21:23 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    systemctl stop služba
    systemctl disable služba
    systemctl mask služba
    Přičemž služba je často služba.service i služba.socket.
    "Vzbuď se ve 4.20 a jdi ke kolejím (k jakýmkoliv, které najdeš)" "OK, jsem na Strahově, what next?"
    7.12.2015 07:56 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    netstat -utlpna

    Jaký smysl má kombinovat "-l" a "-a"?

    netstat -utlpna

    Až budu psát backdoor, nechám ho komunikovat přes SCTP. :-) Ale vážně… "-ut" není zkratka pro "-A inet" nebo "--inet" (nebo dokonce "všechno kromě PF_UNIX").

    netstat -utlpna

    Hint: ss (doporučuji vyzkoušet oboje na systému, kde je socketů tak 100000, pak je rozdíl propastný).

    Jendа avatar 6.12.2015 19:35 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    ale právě proto se ptám, jak vy osobně řešíte bezpečnost, zvlášť v dnešní profízlované době
    Blbě (takovým common sense). Pokud ti o to fakt jde, tak QubesOS.
    "Vzbuď se ve 4.20 a jdi ke kolejím (k jakýmkoliv, které najdeš)" "OK, jsem na Strahově, what next?"
    Max avatar 6.12.2015 21:45 Max | skóre: 65 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Zrovna vyšel pěkný blog, jak sandboxovat prohlížeč, viz : Chrome sandboxován v dockeru
    Zdar Max
    Měl jsem sen ... :(
    Fluttershy, yay! avatar 6.12.2015 20:57 Fluttershy, yay! | skóre: 81 | blog:
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Ta otázka nedává smysl bez specifikace, co chci vlastně chránit a před kým nebo před čím.

    Předpokládám, že není řeč o síti/serveru/kiosku. O tom jsou knihy.

    Obecně prostě na desktop neinstaluju software a nespouštím skripty z pochybných zdrojů; (neuváženě) nepoužívám cizí systémy; mám šifrovaná, zálohovaná data, na kterých mi záleží; nenechávám nezamknutý systém bez dozoru na veřejných místech;…

    Kdybych se chtěl bránit proti cílenému útoku, řešil bych komunikační kanály, systém mimo jakékoliv sítě aj.
    6.12.2015 22:08 pavele
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    A pak si člověk spustí Firefox a diví se, co běží po síti...

    Takže bezpečností se můžeš bavit pořád. :-)
    Fluttershy, yay! avatar 6.12.2015 22:19 Fluttershy, yay! | skóre: 81 | blog:
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Otázka zní, jaký je praktický efekt – kromě toho, že se tím člověk baví.
    TomasABC32 avatar 6.12.2015 23:28 TomasABC32 | skóre: 23
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    myslím právě že třeba zabezpečení prohlížeče, aby zanechával co nejméně stop a taky vymazával cookies je jednou z priorit.
    Linux jsem si zvolil zcela dobrovolně jako svůj hlavní OS. Mějte trpělivost prosím :)
    7.12.2015 08:49 1john2 | skóre: 35 | blog: jo12hn | zlín, brno
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    ale o tom v puvodnim dotazu nebyla ani zminka a na tohle je fw/antivir k nicemu.

    Antivir/FW "slouzi" k tomu aby nikdo neukradl data z pc, zabranit uteku dat uz poslanych po siti je uplne jiny problem.

    V tomhle pripade doporucuju:

    - projit web vyse a podivat se na TOR.

    - zjistit co a jak muze prozradit DNS.

    - zjistit si co je user agent a jak ho zmenit

    a jiste pribude spousta dalsich veci...
    7.12.2015 08:51 1john2 | skóre: 35 | blog: jo12hn | zlín, brno
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    a trochu si rypnu, s timhle nepomuze fw/antivir ani na MS Win. A pokud antivir neco z toho dela, uz by se to melo nazyvat uplne...
    7.12.2015 09:50 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    No tady ne zcela souhlasím. Když jsem před lety používal Win, tak mě tam vždy běžel firewall. Ne ani tak proto, že bych bránil útoku dovnitř, ale proto abych bránil komunikaci programů o nich nemám přesnou dokumentaci směrem ven. A bylo opravdu velmi zajímavé, kam všude se mnoho programů chtělo připojovat. V linuxu v podstatě stačí mít programy které znám a vím jak komunikují a v prohlížeči mít vypnutý javascript, aby si na mém počítači nikdo nespouštěl kód, kterému nedůvěřuji.
    Jendа avatar 7.12.2015 12:55 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    V linuxu v podstatě stačí mít programy které znám a vím jak komunikují
    To prostě není pravda. Asi před rokem jsem napsal uživatelský firewall pro Linux (actually, pár pravidel do iptables a blábol v Bashi) a odhalil jsem asi deset běžně používaných aplikací z repozitářů, které komunikují. Ať už kontroly updatů nebo třeba síťové broadcasty při změně rozlišení obrazovky. Pak jsem se na to vybodl a náhodou jsem to zapnul znova před týdnem.

    ..

    Sedím takhle na přednášce z lingvistiky a jsou tam nějaké anglické příklady, kterým nerozumím, tak je hledám ve slovníku. A vyskočí na mě okýnko s nějakou čínskou adresou. Mám Stardict a network dictionaries jsou vypnuté, ale říkám si, že kdo ví, co se s tou konfigurací stalo. Tak mažu ~/.stardict a spouštím stardict znova a tentokrát letí do Číny obsah clipboardu.

    Ptám se na IRC, jestli se mi to jako nezdá, někdo spouští keepass a kouká, jak to posílá heslo, kamarád vyplňuje bugreport, já přemýšlím, co víc než posílání hesel přes nešifrované HTTP do Číny by se muselo stát, aby se něco změnilo.

    ..

    A tohle jsou všechno věci, které vznikly omylem, a které odhalil nějaký Jenda, který si dal dvě pravidla do netfilteru a pustil si tcpdump (ty věci tam jsou dlouho a ta ET stránka je jediná na Googlem indexovaném internetu, která to zmiňuje). Teď si představ, co se stane, když v NSA zasedne skupina inženýrů „Tak, kluci, dostali jsme $10M a 50 man-years na implementaci backdooru do Linuxu“ (čísla založena na uniklých dokumentech HackedTeamu a předpokladu NSA platící 10x víc než česká policie). Já si myslím, že když se tohle stane, tak jsme tu úplně všichni úplně v pr… a nedivil bych se, kdyby majstrštyky jako Heartbleed a debian-openssl-prng vznikly přesně takhle.
    "Vzbuď se ve 4.20 a jdi ke kolejím (k jakýmkoliv, které najdeš)" "OK, jsem na Strahově, what next?"
    Fluttershy, yay! avatar 7.12.2015 13:49 Fluttershy, yay! | skóre: 81 | blog:
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Teď si představ, co se stane, když v NSA zasedne skupina inženýrů „Tak, kluci, dostali jsme $10M a 50 man-years na implementaci backdooru do Linuxu“ (čísla založena na uniklých dokumentech HackedTeamu a předpokladu NSA platící 10x víc než česká policie). Já si myslím, že když se tohle stane, tak jsme tu úplně všichni úplně v pr… a nedivil bych se, kdyby majstrštyky jako Heartbleed a debian-openssl-prng vznikly přesně takhle.

    Co se stane? Pokud nejsi organizace, soupeřící velmoc nebo +/- disident, tak se téměř jistě na lokálním měřítku nestane vůbec nic.

    To je (1) opět otázka, před kým/čím se vlastně chci bránit, a (2) otázka politická.

    Heron avatar 7.12.2015 14:01 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Sedím takhle na přednášce z lingvistiky a jsou tam nějaké anglické příklady, kterým nerozumím, tak je hledám ve slovníku. A vyskočí na mě okýnko s nějakou čínskou adresou. Mám Stardict a network dictionaries jsou vypnuté, ale říkám si, že kdo ví, co se s tou konfigurací stalo. Tak mažu ~/.stardict a spouštím stardict znova a tentokrát letí do Číny obsah clipboardu.
    Ptám se na IRC, jestli se mi to jako nezdá, někdo spouští keepass a kouká, jak to posílá heslo, kamarád vyplňuje bugreport, já přemýšlím, co víc než posílání hesel přes nešifrované HTTP do Číny by se muselo stát, aby se něco změnilo.

    To, že program ignoruje nastavení (nepoužívat internetové slovníky) je samozřejmě chyba, ale jinak se to chová jak má ne? Jeden program je nastavený pro vyplnění schránky a druhý program je nastavený na sledování schránky. Je tedy v pořádku, že se to takto chová, protože to tak uživatel chce.

    Teď si představ, co se stane, když v NSA zasedne skupina inženýrů „Tak, kluci, dostali jsme $10M a 50 man-years na implementaci backdooru do Linuxu“ (čísla založena na uniklých dokumentech HackedTeamu a předpokladu NSA platící 10x víc než česká policie).

    Čím jsem starší, tím jsem nějak méně paranoidní. Případ Snowden (pro mě velmi, velmi smutná ukázka stavu IT) ukázal, že vůbec není potřeba 50 man years a $10^34. Prostě stačí jen louskat šifry, o kterých se roky veřejně ví, že jsou prolomené a že se opravdu nemají používat. Já mám OCD z MD5, kdyby mi někdo na škole v roce 2005 řekl, že ještě za 10 let se to bude doporučovat používat v učebnicích programování, tak se mu vysměju do ksichtu. Dnes vím, že to v těch knihách bude ještě za 30 let. To, že letos padla nějaká RC4 .... nezájem. Za 15 let z toho bude aféra Snowden II a všichni budou v šoku z toho, jak to dokáže NSA II louskat.

    A upřímně, to co jsem já četl v těch materiálech od Hacking Team je to přesně o tomtéž. Tam není jediná "advanced" technologie. Oni prostě nějak dostanou do PC program (třeba tak, že jej někomu podstrčí na webu, dají do wordovského dokumentu, do flashe apod. - ok, to je dejme tomu trochu vyšší level) a ten program prostě normálně pracuje v userspace. Nic víc. Na to opravdu nepotřebuješ super-skilled odborníky ani $10M.

    Jendа avatar 7.12.2015 15:46 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    ale jinak se to chová jak má ne? Jeden program je nastavený pro vyplnění schránky a druhý program je nastavený na sledování schránky. Je tedy v pořádku, že se to takto chová, protože to tak uživatel chce.
    No spíš jde o to, že je to insane default.
    "Vzbuď se ve 4.20 a jdi ke kolejím (k jakýmkoliv, které najdeš)" "OK, jsem na Strahově, what next?"
    7.12.2015 16:45 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Ano v tomto máš pravdu. Nicméně kromě impresu a tam vzdálené ovládání nemám jsem žádný z těch programů nepoužíval.
    Jendа avatar 7.12.2015 19:53 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    No a u těch aplikací co používáš nějak sleduješ, jestli komunikují (a tedy máš aplikační firewall), nebo jim prostě věříš?
    "Vzbuď se ve 4.20 a jdi ke kolejím (k jakýmkoliv, které najdeš)" "OK, jsem na Strahově, what next?"
    8.12.2015 12:02 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Tedy jsem dost konzervativní a když nějakou aplikaci začínám používat tak pouštím wireshark a povypínám ostatní aplikace (nebo vymaskuji v wiresharku spojení které předtím běžící aplikace používají) a řekněme první hodinku chytím co se komunikuje. Včetně toho že několikrát při tom projedu zapnutí a vypnutí programu, abych zjistil, jestli při ukončování něco neposílá. Také někde vedle pouštím v cyklu netstat -tuwp | grep program | tee soubor.log jestli tam nedá spojení, u kterého nevím, kam je. Jasně, že to 100% spolehlivé není, ale pravděpodobnost, že tam něco bude nezachyceno je o dost menší. Pravda nekontroluji takto aktualizace, takže tam může být významná změna.

    To máš podobně, jako s tím javascriptem, který jsem zmiňoval a kyknos psal, že je to blbost. Samozřejmě, že javascript je na velkém procentu stránek, ale když to mám defaultně vypnuté, tak se na každé stránce mohu rozhodnout, co povolím.

    Ale souhlasím s Tebou, že bezpečnostně se to vyvíjí špatným směrem a plánuji, zatím na testovacím stroji, si rozjet Qubes.
    kyknos avatar 7.12.2015 14:00 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    a v prohlížeči mít vypnutý javascript, aby si na mém počítači nikdo nespouštěl kód, kterému nedůvěřuji
    a není to málo? nebylo by spolehlivější odpojit počítač od internetu, nebo ještě lépe od elektrické sítě?
    no nemuze clovek kazdy den sukat na tropicke plazi s absolventkou matematicko fyzikalni fakulty
    7.12.2015 17:16 pavele
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    A co takhle applet "Hodiny" v Gnome? Zkusil už někdo sledovat, s kým navazuje spojení, přestože jsou vypnuté předvolby jako "Zobrazit počasí" nebo "Zobrazit teplotu"?

    Jo, pardon, v novém firewallu "firewalld" je malý, celkem nepodstatný, problém s logováním, aby to uživatele zbytečně neinformovalo... Tímto zdravím uživatele Fedory a CentOS 7. :-)

    Prostě bezpečnost není okamžitý stav, je to proces.

    Pokud bys chtěl pěkný firewall, zkus se podívat na distribuci Mageia.
    kyknos avatar 7.12.2015 17:22 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    mne hlavne prijde vtipny, kdyz nekdo dporouci jako bezpecnostni opatreni vypnout javascript, kdyz dnes na nem zavisi vetsina uzivatelu a vypnout ho proste nemuzou

    proc to pak nevypnout cele?
    no nemuze clovek kazdy den sukat na tropicke plazi s absolventkou matematicko fyzikalni fakulty
    7.12.2015 18:37 j
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Ti nejak nevi, mam js default off, nejsem zdaleka sam, a nemam pocit ze bych byl o neco zasadniho ochuzen.
    kyknos avatar 7.12.2015 18:42 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Mne nefunguje bez js pulka webu vcetne mnoha dulezitych pracovnich stranek.
    no nemuze clovek kazdy den sukat na tropicke plazi s absolventkou matematicko fyzikalni fakulty
    Petr Tomášek avatar 9.12.2015 20:40 Petr Tomášek | skóre: 36 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    NoScript neznáš?
    kyknos avatar 9.12.2015 21:00 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    znam, ale krome velmi specifickych pripadu, kdybych lezl na nejakou zlou stranku a chtel z ni nejake na js nezavisle info, si neumim predstavit, k cemu bych ho pouzival

    javascript je uz davno nedelitelnou soucasti velke casti webu
    no nemuze clovek kazdy den sukat na tropicke plazi s absolventkou matematicko fyzikalni fakulty
    7.12.2015 18:18 Brad | skóre: 6
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Jeden z důvodů proč ji používám (resp. proč jsem od ní ještě neutekl), i když si musíme otevřeně přiznat, že k celkové dokonalosti má taky daleko.

    Chtěl jsem ale říci jinou věc: Všichni řešíte SW, ale že žijeme v době, kdy síťovka ve spolupráci se SSD nebo harddiskem dokážou kooperovat na low-level úrovni (asi poněkud méně dokumentovaným protokolem) a fungovat samostatně bez účasti jakéhokoliv OS (klidně i na počítači bez OS, v podstatě takový malý NAS přímo v PC), nebo že CPU Skylake má integrovanou zvukovku a zároveň dokáže být částečně aktivní i ve „vypnutém” stavu (PC standy), to tu nikdo nezmínil… Jak toto řešit - HW backdoory, procesor v procesoru (v procesoru, vizte akvizice Altery a léta předtím patentů Transmety na její Crusoe, což byl prosesor s měnitelnými instrukčními sadami) a podobné srandy?

    Kdo by nevěřil, stačí když si uvědomí, že (nejen) dnešní procesory jsou programovatelné (známé microcode updaty, na opravy instrukčních sad už taky došlo) nebo když si najde datasheet od čipu Wiznetu, konkrétně W5200, což je čip který má v sobě „zadrátovány” protokoly až po TCP/IP vrstvu (a W5500, což je to samé + ještě integrovaný ARM). Otázka potom bude znít „Když je možné zadrátovat na čip tyto protokoly, je možné zadrátovat i nějaké jiné?”… Myslím že odpověď je zřejmá. Řešení?
    Jendа avatar 7.12.2015 20:09 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Všichni řešíte SW
    Backdoors in your processor? You don't say…
    nebo že CPU Skylake
    IPMI, AMT a další zvířátka jsou ještě lepší, a byla tu i dřív.
    Jak toto řešit - HW backdoory, procesor v procesoru
    Pokusit se vyrobit FPGA se strukturou takovou, aby pro to šlo vyblobnout softcore, u nějž nebude možné cíleně ovlivňovat funkci ani backdoorem přímo v FPGA (1). (optional: čip s dostatečně velkými featurami, aby šlo opticky rozpoznat, že je to opravdu to, co jsme chtěli, a potom sérií bitstreamů ověřit, že tam nejsou dopant-level backdoors. Bug: útočník může schovat backdoor vyvedený menšími featurami do vnitřních vrstev, které nejsou z povrchu vidět. Pseudořešení: část čipů z várky analyzovat destruktivně a doufat, že se trefíme)

    Problém je v tom, že si nejsem jistý, jestli je (1) vůbec teoreticky možné (neviděl jsem o tom žádnou studii od nikoho, kdo by na rozdíl ode mě rozuměl matematice). Pokud ne, žádné jiné řešení mě nenapadá. Rád si nějaké poslechnu. Upozorňuji, že žijeme v době backdoornutých 74HC47, takže stavba počítače z diskrétních součástek vám nepomůže. Navíc takový počítač bude mít velké parazitní vyzařování, takže z něj data prostě půjdou odposlechnout, a možná ani nebude mít výkon na moderní kryptografii, což je typicky věc, kvůli které to stavíme.
    "Vzbuď se ve 4.20 a jdi ke kolejím (k jakýmkoliv, které najdeš)" "OK, jsem na Strahově, what next?"
    7.12.2015 22:20 Brad | skóre: 6
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Chtěl jsem spíš rozšířit povědomí a rozvířit diskusi, ovšem vidím, že už se tu někdo zajímá (což jsem ani moc nečekal). Skvělé.

    Měl bych asi mírnit případné nadšení z druhé strany, též nejsem žádný matematik ani kdovíjaký jiný odborník (dokonce i s angličtinou mám potíže), jen se prostě zajímám. Mé znalosti končí u naprogramování složitějšího jednočipu, vlastní procesor jsem zatím nepostavil (i když jsem o tom jeden čas uvažoval, ale to se nepočítá), ale aspoň vím, o čem píšete.

    Je to zajímavé čtení (i s tím závěrem, „auditable open designs” by bylo super řešení, také jsem nad tím už předtím sám pro sebe přemýšlel a došel jsem ke stejnému výsledku, ovšem je to jako vždy s pár háčky - třeba kdo bude auditor či kde je brát, atp).

    Slabé místo většiny z výroby backdoornutých a kompromitlých systémů bude nejspíš ten kabel, co do něj vede (napájecí nepočítám; bavíme se o domácnostech a malých firmách, z nich asi málokdo bude stát za to, aby kolem něj běhal člověk s EMI vybavením), ovšem zároveň ten kabel prostě potřebujeme, takže víceméně řešíme, jaké možnosti obrany máme před paralelními ekosystémy (neznámého druhu a provedení), které (teoreticky, nemáme žádné důkazy) koexistují v našem systému a můžou provádět bůhvíco (a nebo taky nic, ale kdo ví…). Přidat fyzickou vrstvu a vlastní analyzér? Jak by taková věc měla vypadat (100Mbps LAN komunikuje tuším na 480MHz, o gigové nevím vůbec nic), a je to vůbec reálně proveditelný koncept? Kdo ty hromady dat bude přehrabovat, aby tam našel něco, o čem ani nevíme jestli to tam je? Fakt se v tom ztrácím, ale zároveň se mi moc nelíbí myšlenka, že bychom se měli jen tak odevzdat… Můžem něco změnit? Co můžem udělat (třeba pro Open Hardware CPU s rozumným výkonem a spotřebou, nebo aspoň nějaký malý RISC typu ARM, MIPS)?

    Fluttershy, yay! avatar 7.12.2015 22:26 Fluttershy, yay! | skóre: 81 | blog:
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    zároveň se mi moc nelíbí myšlenka, že bychom se měli jen tak odevzdat… Můžem něco změnit? Co můžem udělat

    Což je to jádro problému, které je politické.

    Vážení, představte si analogický problém se stravou. Vy víte, co jíte? Děláte si to na koleně? Analyzujete si to na koleně? Nebo prostě spoléháte na politické řešení?

    Jendа avatar 7.12.2015 22:48 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    a došel jsem ke stejnému výsledku, ovšem je to jako vždy s pár háčky - třeba kdo bude auditor či kde je brát, atp
    A když už zaplatíš výrobu toho auditovaného čipu, tak jak ověříš, že ti tam fabrika na čipy nepřibalila překvapení.
    Přidat fyzickou vrstvu a vlastní analyzér?
    Nezjistíš, jakmile přeneseš nějaká analogová nasamplovaná data (zvuk, obrázek) - do šumu v nich se dá schovat spousta věcí.
    100Mbps LAN komunikuje tuším na 480MHz, o gigové nevím vůbec nic
    Ethernet na FPGA má dneska úplně každý.
    Můžem něco změnit?
    Jednotlivec ne a společnost nemá vůli.
    "Vzbuď se ve 4.20 a jdi ke kolejím (k jakýmkoliv, které najdeš)" "OK, jsem na Strahově, what next?"
    Pavel 'TIGER' Růžička avatar 8.12.2015 20:53 Pavel 'TIGER' Růžička | skóre: 40
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    A bude hůř!

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.