abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 0
dnes 11:00 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2016-8655 v Linuxu zneužitelné k lokální eskalaci práv. Chyba se dostala do linuxového jádra v srpnu 2011. V upstreamu byla opravena minulý týden [Hacker News].

Ladislav Hagara | Komentářů: 0
včera 22:00 | Komunita

Přibližně před měsícem bylo oznámeno, že linuxová distribuce SUSE Linux Enterprise Server (SLES) běží nově také Raspberry Pi 3 (dokumentace). Obraz verze 12 SP2 pro Raspberry Pi 3 je ke stažení zdarma. Pro registrované jsou po dobu jednoho roku zdarma také aktualizace. Dnes bylo oznámeno, že pro Raspberry Pi 3 je k dispozici také nové openSUSE Leap 42.2 (zprávička). K dispozici je hned několik obrazů.

Ladislav Hagara | Komentářů: 5
včera 06:00 | Zajímavý software

OMG! Ubuntu! představuje emulátor terminálu Hyper (GitHub) postavený na webových technologiích (HTML, CSS a JavaScript). V diskusi k článku je zmíněn podobný emulátor terminálu Black Screen. Hyper i Black Screen používají framework Electron, stejně jako editor Atom nebo vývojové prostředí Visual Studio Code.

Ladislav Hagara | Komentářů: 31
včera 06:00 | Zajímavý článek

I letos vychází řada ajťáckých adventních kalendářů. QEMU Advent Calendar 2016 přináší každý den nový obraz disku pro QEMU. Programátoři se mohou potrápit při řešení úloh z kalendáře Advent of Code 2016. Kalendáře Perl Advent Calendar 2016 a Perl 6 Advent Calendar přinášejí každý den zajímavé informace o programovacím jazyce Perl. Stranou nezůstává ani programovací jazyk Go.

Ladislav Hagara | Komentářů: 9
3.12. 16:24 | Nová verze

Byla vydána Mageia 5.1. Jedná se o první opravné vydání verze 5, jež vyšla v červnu loňského roku (zprávička). Uživatelům verze 5 nepřináší opravné vydání nic nového, samozřejmě pokud pravidelně aktualizují. Vydání obsahuje všechny aktualizace za posledního téměř půldruhého roku. Mageia 5.1 obsahuje LibreOffice 4.4.7, Linux 4.4.32, KDE4 4.14.5 nebo GNOME 3.14.3.

Ladislav Hagara | Komentářů: 17
3.12. 13:42 | Pozvánky

V Praze probíhá konference Internet a Technologie 16.2, volné pokračování jarní konference sdružení CZ.NIC. Konferenci lze sledovat online na YouTube. K dispozici je také archiv předchozích konferencí.

Ladislav Hagara | Komentářů: 0
2.12. 22:44 | Komunita

Joinup informuje, že Mnichov používá open source groupware Kolab. V srpnu byl dokončen dvouletý přechod na toto řešení. V provozu je asi 60 000 poštovních schránek. Nejenom Kolabu se věnoval Georg Greve ve své přednášce Open Source: the future for the European institutions (SlideShare) na konferenci DIGITEC 2016, jež proběhla v úterý 29. listopadu v Bruselu. Videozáznam přednášek z hlavního sálu je ke zhlédnutí na Livestreamu.

Ladislav Hagara | Komentářů: 25
2.12. 15:30 | Zajímavý projekt

Společnost Jolla oznámila v příspěvku Case study: Sailfish Watch na svém blogu, že naportovala Sailfish OS na chytré hodinky. Využila a inspirovala se otevřeným operačním systémem pro chytré hodinky AsteroidOS. Použita je knihovna libhybris. Ukázka ovládání hodinek na YouTube.

Ladislav Hagara | Komentářů: 17
2.12. 14:15 | Nová verze

Byla vydána verze 7.1.0 skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Jedná se o první stabilní verzi nejnovější větvě 7.1. Přehled novinek v dokumentaci. Podrobnosti v ChangeLogu. K dispozici je také příručka pro přechod z PHP 7.0.x na PHP 7.1.x.

Ladislav Hagara | Komentářů: 5
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 774 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Bezpečnost na Linuxu

TomasABC32 avatar 6.12.2015 16:58 TomasABC32 | skóre: 21
Bezpečnost na Linuxu
Přečteno: 1084×
Zdravím, chci se vás zeptat jak je to s bezpečností na Linuxu. Mám Ubuntu, vyvíjí to sice společnost, ale... ok. Má smysl si dávat na linux antivir ? nebo Firewall ? Ptám se proto, že když nainstalujete windows, firewall tam většinou už máte. Antivir si doplníte. U linuxu je to jiné, viry zde prakticky nejsou, ale právě proto se ptám, jak vy osobně řešíte bezpečnost, zvlášť v dnešní profízlované době.
Linux jsem si zvolil zcela dobrovolně jako svůj hlavní OS. Mějte trpělivost prosím :)

Řešení dotazu:


Odpovědi

6.12.2015 17:08 Petr | skóre: 29
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
http://wiki.ubuntu.cz/antivirus
6.12.2015 17:39 alkoholik | skóre: 35 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
Firewall urcite ano.
Na obcasne prohledani systemu rkhunter nebo chkrootkit. Myslim, ze ubuntu ma oba v baliccich.
Jendа avatar 6.12.2015 19:33 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
Firewall urcite ano.
To je hezké poradit mu firewall (který už vlastně má, protože netfilter v kernelu tak nějak je), ale není jasné, co tam má dát za pravidla. Takže bude mít firewall bez pravidel, k ničemu.
Na obcasne prohledani systemu rkhunter nebo chkrootkit
IMHO moc nemají smysl, když se neumí správně používat.
7.12.2015 00:30 Andrej | skóre: 43 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
Firewall urcite ano.

A to jako proč? Nápověda: Žádný racionální důvod pro to neexistuje.

Ekvivalentem firewallu je nemít Ubuntu, ale používat normální distro, které chápe rozdíl mezi instalací služby, povolením démona a okamžitým spuštěním démona. Ubuntu tento rozdíl nechápe. Proto může mít klidně otevřené porty, na kterých by BFU sám od sebe žádného démona mít nechtěl a o jejichž (ne)smyslu často ani neví.

Z toho důvodu se pak šíří nesmyslná fáma, že v Ubuntu je třeba mít firewall. Omyl! Firewall v Ubuntu je zcela zbytečný a neúčinný, protože instalace balíčku s démonem přidá pravidla firewallu, která jeho porty povolí. Dejme tomu, že uživatel nainstaluje démona, který je zrovna tou dobou kriticky zranitelný. (Ne snad proto, že by ho chtěl používat, ale třeba se chtěl jenom podívat na jeho konfiguráky, zprovoznit si ho na localhostu či cokoliv podobného. Kromě toho, nainstalovat kriticky zranitelného démona je v Ubuntu velmi snadné, protože ta distribuce je předem a ze zásady zastaralá.) Jenže ouha, Ubuntu toho kriticky zranitelného démona nejenom povolí (!) a rovnou spustí (!!!), ale ještě mu povolí příslušný port na firewallu (!!!!!!!!!!).

Takže odpověď je jednoduchá: V normálním distru není potřeba ani antivir, ani firewall. V Ubuntu taky nic z toho není potřeba, protože nic z toho nepomůže.

Pokud tazatele zajímá bezpečnost, měl by utíkat od Ubuntu mílovými kroky. Například Fedora se svým SELinuxem může být zajímavá pro někoho, kdo bere bezpečnost opravdu vážně.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
Jendа avatar 7.12.2015 04:49 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
Dřív šlo zakázat spuštění služby při instalaci pomocí /usr/sbin/policy-rc.d vracejícího nenulový exit code. Po přechodu na systemd nevím.
ale ještě mu povolí příslušný port na firewallu
Fakt? To je v postinst skriptech nebo kde?
Například Fedora
Proč je Ubuntu z podstaty zastaralejší než Fedora? Cykly to má taky tak jednou za půl roku.
se svým SELinuxem
Když už hardened systém, tak ať to alespoň má nějaký smysl. Tedy grsec/pax.
7.12.2015 10:44 alkoholik | skóre: 35 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu

A to jako proč? Nápověda: Žádný racionální důvod pro to neexistuje.

Treba k omezeni klientu na Sambe, CUPSu a podobne? Obecne chci, aby mi tyhle sluzby na LANce fungovaly, ale do sveta uz ne.
Portknock na SSH take beru jako soucast firewallu.
Řešení 1× (Petr Tomášek)
6.12.2015 18:36 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
Obojí nemusí být nutné. Velmi a principielně to záleží na tom, jak svůj systém znáte a jaké máte pro přístup k němu chování.
  • Antivirus. Jak již bylo zmíněno v předchozím odkazu, standardní způsob v linuxu je instalace prověřeného obsahu (s dostupným zdrojovým kódem) z prověřeného zdroje (repozitáře). tím se tam virus nezanese, další ještě možnost je zanést virus v makrojazyku nějakého datového souboru (MS office balíky, flash a možná pár daších) proto na takové soubory jsem opatrny a podezřelé pouštím ve virtualizovaném prostředí. Antivirus má smysl pokud se provozuje datové úložiště pro Win.
  • Firewall. mnohem obvyklejší i když nemusí být také nutný. Útok z vně je možný jen když na příslušném portu mi poslouchá a reaguje nějaký program. Pokud vím přesně, jaké serverové služby mi v systému jedou je firewall potřeba jen v případě pokud chci mít službu dostupnou jen z nějaké omezené množiny IP adres. Pokud ne tak bud má službu puštěnou a tím pádem přístupnou, (a musel bych ji mít přístupnou i s firewallem) nebo je vypnutá a pak systém nereaguje tak jako tak. Pouze v případě, že bych chtěl, aby nějaká služba byla přístupná pouze třeba z lokálních adres ve fyzické sítí a ne z jiných potřebuji firewall
Jendа avatar 6.12.2015 19:31 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
antivir
Ne, neexistuje a nepomůže (to ani na Windows).
nebo Firewall
Někdy ano, ale pro někoho, kdo se takhle ptá, ne. Lepší bude, když se podíváš pomocí netstat -utlpna co ti poslouchá ven a vypneš to.
TomasABC32 avatar 6.12.2015 20:30 TomasABC32 | skóre: 21
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
jak to vypnu ?
Linux jsem si zvolil zcela dobrovolně jako svůj hlavní OS. Mějte trpělivost prosím :)
Jendа avatar 6.12.2015 21:23 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
systemctl stop služba
systemctl disable služba
systemctl mask služba
Přičemž služba je často služba.service i služba.socket.
7.12.2015 07:56 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
netstat -utlpna

Jaký smysl má kombinovat "-l" a "-a"?

netstat -utlpna

Až budu psát backdoor, nechám ho komunikovat přes SCTP. :-) Ale vážně… "-ut" není zkratka pro "-A inet" nebo "--inet" (nebo dokonce "všechno kromě PF_UNIX").

netstat -utlpna

Hint: ss (doporučuji vyzkoušet oboje na systému, kde je socketů tak 100000, pak je rozdíl propastný).

Jendа avatar 6.12.2015 19:35 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
ale právě proto se ptám, jak vy osobně řešíte bezpečnost, zvlášť v dnešní profízlované době
Blbě (takovým common sense). Pokud ti o to fakt jde, tak QubesOS.
Max avatar 6.12.2015 21:45 Max | skóre: 64 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
Zrovna vyšel pěkný blog, jak sandboxovat prohlížeč, viz : Chrome sandboxován v dockeru
Zdar Max
Měl jsem sen ... :(
Fluttershy, yay! avatar 6.12.2015 20:57 Fluttershy, yay! | skóre: 81 | blog:
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
Ta otázka nedává smysl bez specifikace, co chci vlastně chránit a před kým nebo před čím.

Předpokládám, že není řeč o síti/serveru/kiosku. O tom jsou knihy.

Obecně prostě na desktop neinstaluju software a nespouštím skripty z pochybných zdrojů; (neuváženě) nepoužívám cizí systémy; mám šifrovaná, zálohovaná data, na kterých mi záleží; nenechávám nezamknutý systém bez dozoru na veřejných místech;…

Kdybych se chtěl bránit proti cílenému útoku, řešil bych komunikační kanály, systém mimo jakékoliv sítě aj.
6.12.2015 22:08 pavele
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
A pak si člověk spustí Firefox a diví se, co běží po síti...

Takže bezpečností se můžeš bavit pořád. :-)
Fluttershy, yay! avatar 6.12.2015 22:19 Fluttershy, yay! | skóre: 81 | blog:
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
Otázka zní, jaký je praktický efekt – kromě toho, že se tím člověk baví.
TomasABC32 avatar 6.12.2015 23:28 TomasABC32 | skóre: 21
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
myslím právě že třeba zabezpečení prohlížeče, aby zanechával co nejméně stop a taky vymazával cookies je jednou z priorit.
Linux jsem si zvolil zcela dobrovolně jako svůj hlavní OS. Mějte trpělivost prosím :)
7.12.2015 08:49 1john2 | skóre: 35 | blog: jo12hn | zlín, brno
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
ale o tom v puvodnim dotazu nebyla ani zminka a na tohle je fw/antivir k nicemu.

Antivir/FW "slouzi" k tomu aby nikdo neukradl data z pc, zabranit uteku dat uz poslanych po siti je uplne jiny problem.

V tomhle pripade doporucuju:

- projit web vyse a podivat se na TOR.

- zjistit co a jak muze prozradit DNS.

- zjistit si co je user agent a jak ho zmenit

a jiste pribude spousta dalsich veci...
7.12.2015 08:51 1john2 | skóre: 35 | blog: jo12hn | zlín, brno
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
a trochu si rypnu, s timhle nepomuze fw/antivir ani na MS Win. A pokud antivir neco z toho dela, uz by se to melo nazyvat uplne...
7.12.2015 09:50 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
No tady ne zcela souhlasím. Když jsem před lety používal Win, tak mě tam vždy běžel firewall. Ne ani tak proto, že bych bránil útoku dovnitř, ale proto abych bránil komunikaci programů o nich nemám přesnou dokumentaci směrem ven. A bylo opravdu velmi zajímavé, kam všude se mnoho programů chtělo připojovat. V linuxu v podstatě stačí mít programy které znám a vím jak komunikují a v prohlížeči mít vypnutý javascript, aby si na mém počítači nikdo nespouštěl kód, kterému nedůvěřuji.
Jendа avatar 7.12.2015 12:55 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
V linuxu v podstatě stačí mít programy které znám a vím jak komunikují
To prostě není pravda. Asi před rokem jsem napsal uživatelský firewall pro Linux (actually, pár pravidel do iptables a blábol v Bashi) a odhalil jsem asi deset běžně používaných aplikací z repozitářů, které komunikují. Ať už kontroly updatů nebo třeba síťové broadcasty při změně rozlišení obrazovky. Pak jsem se na to vybodl a náhodou jsem to zapnul znova před týdnem.

..

Sedím takhle na přednášce z lingvistiky a jsou tam nějaké anglické příklady, kterým nerozumím, tak je hledám ve slovníku. A vyskočí na mě okýnko s nějakou čínskou adresou. Mám Stardict a network dictionaries jsou vypnuté, ale říkám si, že kdo ví, co se s tou konfigurací stalo. Tak mažu ~/.stardict a spouštím stardict znova a tentokrát letí do Číny obsah clipboardu.

Ptám se na IRC, jestli se mi to jako nezdá, někdo spouští keepass a kouká, jak to posílá heslo, kamarád vyplňuje bugreport, já přemýšlím, co víc než posílání hesel přes nešifrované HTTP do Číny by se muselo stát, aby se něco změnilo.

..

A tohle jsou všechno věci, které vznikly omylem, a které odhalil nějaký Jenda, který si dal dvě pravidla do netfilteru a pustil si tcpdump (ty věci tam jsou dlouho a ta ET stránka je jediná na Googlem indexovaném internetu, která to zmiňuje). Teď si představ, co se stane, když v NSA zasedne skupina inženýrů „Tak, kluci, dostali jsme $10M a 50 man-years na implementaci backdooru do Linuxu“ (čísla založena na uniklých dokumentech HackedTeamu a předpokladu NSA platící 10x víc než česká policie). Já si myslím, že když se tohle stane, tak jsme tu úplně všichni úplně v pr… a nedivil bych se, kdyby majstrštyky jako Heartbleed a debian-openssl-prng vznikly přesně takhle.
Fluttershy, yay! avatar 7.12.2015 13:49 Fluttershy, yay! | skóre: 81 | blog:
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
Teď si představ, co se stane, když v NSA zasedne skupina inženýrů „Tak, kluci, dostali jsme $10M a 50 man-years na implementaci backdooru do Linuxu“ (čísla založena na uniklých dokumentech HackedTeamu a předpokladu NSA platící 10x víc než česká policie). Já si myslím, že když se tohle stane, tak jsme tu úplně všichni úplně v pr… a nedivil bych se, kdyby majstrštyky jako Heartbleed a debian-openssl-prng vznikly přesně takhle.

Co se stane? Pokud nejsi organizace, soupeřící velmoc nebo +/- disident, tak se téměř jistě na lokálním měřítku nestane vůbec nic.

To je (1) opět otázka, před kým/čím se vlastně chci bránit, a (2) otázka politická.

Heron avatar 7.12.2015 14:01 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
Sedím takhle na přednášce z lingvistiky a jsou tam nějaké anglické příklady, kterým nerozumím, tak je hledám ve slovníku. A vyskočí na mě okýnko s nějakou čínskou adresou. Mám Stardict a network dictionaries jsou vypnuté, ale říkám si, že kdo ví, co se s tou konfigurací stalo. Tak mažu ~/.stardict a spouštím stardict znova a tentokrát letí do Číny obsah clipboardu.
Ptám se na IRC, jestli se mi to jako nezdá, někdo spouští keepass a kouká, jak to posílá heslo, kamarád vyplňuje bugreport, já přemýšlím, co víc než posílání hesel přes nešifrované HTTP do Číny by se muselo stát, aby se něco změnilo.

To, že program ignoruje nastavení (nepoužívat internetové slovníky) je samozřejmě chyba, ale jinak se to chová jak má ne? Jeden program je nastavený pro vyplnění schránky a druhý program je nastavený na sledování schránky. Je tedy v pořádku, že se to takto chová, protože to tak uživatel chce.

Teď si představ, co se stane, když v NSA zasedne skupina inženýrů „Tak, kluci, dostali jsme $10M a 50 man-years na implementaci backdooru do Linuxu“ (čísla založena na uniklých dokumentech HackedTeamu a předpokladu NSA platící 10x víc než česká policie).

Čím jsem starší, tím jsem nějak méně paranoidní. Případ Snowden (pro mě velmi, velmi smutná ukázka stavu IT) ukázal, že vůbec není potřeba 50 man years a $10^34. Prostě stačí jen louskat šifry, o kterých se roky veřejně ví, že jsou prolomené a že se opravdu nemají používat. Já mám OCD z MD5, kdyby mi někdo na škole v roce 2005 řekl, že ještě za 10 let se to bude doporučovat používat v učebnicích programování, tak se mu vysměju do ksichtu. Dnes vím, že to v těch knihách bude ještě za 30 let. To, že letos padla nějaká RC4 .... nezájem. Za 15 let z toho bude aféra Snowden II a všichni budou v šoku z toho, jak to dokáže NSA II louskat.

A upřímně, to co jsem já četl v těch materiálech od Hacking Team je to přesně o tomtéž. Tam není jediná "advanced" technologie. Oni prostě nějak dostanou do PC program (třeba tak, že jej někomu podstrčí na webu, dají do wordovského dokumentu, do flashe apod. - ok, to je dejme tomu trochu vyšší level) a ten program prostě normálně pracuje v userspace. Nic víc. Na to opravdu nepotřebuješ super-skilled odborníky ani $10M.

Jendа avatar 7.12.2015 15:46 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
ale jinak se to chová jak má ne? Jeden program je nastavený pro vyplnění schránky a druhý program je nastavený na sledování schránky. Je tedy v pořádku, že se to takto chová, protože to tak uživatel chce.
No spíš jde o to, že je to insane default.
7.12.2015 16:45 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
Ano v tomto máš pravdu. Nicméně kromě impresu a tam vzdálené ovládání nemám jsem žádný z těch programů nepoužíval.
Jendа avatar 7.12.2015 19:53 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
No a u těch aplikací co používáš nějak sleduješ, jestli komunikují (a tedy máš aplikační firewall), nebo jim prostě věříš?
8.12.2015 12:02 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
Tedy jsem dost konzervativní a když nějakou aplikaci začínám používat tak pouštím wireshark a povypínám ostatní aplikace (nebo vymaskuji v wiresharku spojení které předtím běžící aplikace používají) a řekněme první hodinku chytím co se komunikuje. Včetně toho že několikrát při tom projedu zapnutí a vypnutí programu, abych zjistil, jestli při ukončování něco neposílá. Také někde vedle pouštím v cyklu netstat -tuwp | grep program | tee soubor.log jestli tam nedá spojení, u kterého nevím, kam je. Jasně, že to 100% spolehlivé není, ale pravděpodobnost, že tam něco bude nezachyceno je o dost menší. Pravda nekontroluji takto aktualizace, takže tam může být významná změna.

To máš podobně, jako s tím javascriptem, který jsem zmiňoval a kyknos psal, že je to blbost. Samozřejmě, že javascript je na velkém procentu stránek, ale když to mám defaultně vypnuté, tak se na každé stránce mohu rozhodnout, co povolím.

Ale souhlasím s Tebou, že bezpečnostně se to vyvíjí špatným směrem a plánuji, zatím na testovacím stroji, si rozjet Qubes.
kyknos avatar 7.12.2015 14:00 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
a v prohlížeči mít vypnutý javascript, aby si na mém počítači nikdo nespouštěl kód, kterému nedůvěřuji
a není to málo? nebylo by spolehlivější odpojit počítač od internetu, nebo ještě lépe od elektrické sítě?
no nemuze clovek kazdy den sukat na tropicke plazi s absolventkou matematicko fyzikalni fakulty
7.12.2015 17:16 pavele
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
A co takhle applet "Hodiny" v Gnome? Zkusil už někdo sledovat, s kým navazuje spojení, přestože jsou vypnuté předvolby jako "Zobrazit počasí" nebo "Zobrazit teplotu"?

Jo, pardon, v novém firewallu "firewalld" je malý, celkem nepodstatný, problém s logováním, aby to uživatele zbytečně neinformovalo... Tímto zdravím uživatele Fedory a CentOS 7. :-)

Prostě bezpečnost není okamžitý stav, je to proces.

Pokud bys chtěl pěkný firewall, zkus se podívat na distribuci Mageia.
kyknos avatar 7.12.2015 17:22 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
mne hlavne prijde vtipny, kdyz nekdo dporouci jako bezpecnostni opatreni vypnout javascript, kdyz dnes na nem zavisi vetsina uzivatelu a vypnout ho proste nemuzou

proc to pak nevypnout cele?
no nemuze clovek kazdy den sukat na tropicke plazi s absolventkou matematicko fyzikalni fakulty
7.12.2015 18:37 j
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
Ti nejak nevi, mam js default off, nejsem zdaleka sam, a nemam pocit ze bych byl o neco zasadniho ochuzen.
kyknos avatar 7.12.2015 18:42 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
Mne nefunguje bez js pulka webu vcetne mnoha dulezitych pracovnich stranek.
no nemuze clovek kazdy den sukat na tropicke plazi s absolventkou matematicko fyzikalni fakulty
Petr Tomášek avatar 9.12.2015 20:40 Petr Tomášek | skóre: 36 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
NoScript neznáš?
kyknos avatar 9.12.2015 21:00 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
znam, ale krome velmi specifickych pripadu, kdybych lezl na nejakou zlou stranku a chtel z ni nejake na js nezavisle info, si neumim predstavit, k cemu bych ho pouzival

javascript je uz davno nedelitelnou soucasti velke casti webu
no nemuze clovek kazdy den sukat na tropicke plazi s absolventkou matematicko fyzikalni fakulty
7.12.2015 18:18 Brad | skóre: 6
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
Jeden z důvodů proč ji používám (resp. proč jsem od ní ještě neutekl), i když si musíme otevřeně přiznat, že k celkové dokonalosti má taky daleko.

Chtěl jsem ale říci jinou věc: Všichni řešíte SW, ale že žijeme v době, kdy síťovka ve spolupráci se SSD nebo harddiskem dokážou kooperovat na low-level úrovni (asi poněkud méně dokumentovaným protokolem) a fungovat samostatně bez účasti jakéhokoliv OS (klidně i na počítači bez OS, v podstatě takový malý NAS přímo v PC), nebo že CPU Skylake má integrovanou zvukovku a zároveň dokáže být částečně aktivní i ve „vypnutém” stavu (PC standy), to tu nikdo nezmínil… Jak toto řešit - HW backdoory, procesor v procesoru (v procesoru, vizte akvizice Altery a léta předtím patentů Transmety na její Crusoe, což byl prosesor s měnitelnými instrukčními sadami) a podobné srandy?

Kdo by nevěřil, stačí když si uvědomí, že (nejen) dnešní procesory jsou programovatelné (známé microcode updaty, na opravy instrukčních sad už taky došlo) nebo když si najde datasheet od čipu Wiznetu, konkrétně W5200, což je čip který má v sobě „zadrátovány” protokoly až po TCP/IP vrstvu (a W5500, což je to samé + ještě integrovaný ARM). Otázka potom bude znít „Když je možné zadrátovat na čip tyto protokoly, je možné zadrátovat i nějaké jiné?”… Myslím že odpověď je zřejmá. Řešení?
Jendа avatar 7.12.2015 20:09 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
Všichni řešíte SW
Backdoors in your processor? You don't say…
nebo že CPU Skylake
IPMI, AMT a další zvířátka jsou ještě lepší, a byla tu i dřív.
Jak toto řešit - HW backdoory, procesor v procesoru
Pokusit se vyrobit FPGA se strukturou takovou, aby pro to šlo vyblobnout softcore, u nějž nebude možné cíleně ovlivňovat funkci ani backdoorem přímo v FPGA (1). (optional: čip s dostatečně velkými featurami, aby šlo opticky rozpoznat, že je to opravdu to, co jsme chtěli, a potom sérií bitstreamů ověřit, že tam nejsou dopant-level backdoors. Bug: útočník může schovat backdoor vyvedený menšími featurami do vnitřních vrstev, které nejsou z povrchu vidět. Pseudořešení: část čipů z várky analyzovat destruktivně a doufat, že se trefíme)

Problém je v tom, že si nejsem jistý, jestli je (1) vůbec teoreticky možné (neviděl jsem o tom žádnou studii od nikoho, kdo by na rozdíl ode mě rozuměl matematice). Pokud ne, žádné jiné řešení mě nenapadá. Rád si nějaké poslechnu. Upozorňuji, že žijeme v době backdoornutých 74HC47, takže stavba počítače z diskrétních součástek vám nepomůže. Navíc takový počítač bude mít velké parazitní vyzařování, takže z něj data prostě půjdou odposlechnout, a možná ani nebude mít výkon na moderní kryptografii, což je typicky věc, kvůli které to stavíme.
7.12.2015 22:20 Brad | skóre: 6
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
Chtěl jsem spíš rozšířit povědomí a rozvířit diskusi, ovšem vidím, že už se tu někdo zajímá (což jsem ani moc nečekal). Skvělé.

Měl bych asi mírnit případné nadšení z druhé strany, též nejsem žádný matematik ani kdovíjaký jiný odborník (dokonce i s angličtinou mám potíže), jen se prostě zajímám. Mé znalosti končí u naprogramování složitějšího jednočipu, vlastní procesor jsem zatím nepostavil (i když jsem o tom jeden čas uvažoval, ale to se nepočítá), ale aspoň vím, o čem píšete.

Je to zajímavé čtení (i s tím závěrem, „auditable open designs” by bylo super řešení, také jsem nad tím už předtím sám pro sebe přemýšlel a došel jsem ke stejnému výsledku, ovšem je to jako vždy s pár háčky - třeba kdo bude auditor či kde je brát, atp).

Slabé místo většiny z výroby backdoornutých a kompromitlých systémů bude nejspíš ten kabel, co do něj vede (napájecí nepočítám; bavíme se o domácnostech a malých firmách, z nich asi málokdo bude stát za to, aby kolem něj běhal člověk s EMI vybavením), ovšem zároveň ten kabel prostě potřebujeme, takže víceméně řešíme, jaké možnosti obrany máme před paralelními ekosystémy (neznámého druhu a provedení), které (teoreticky, nemáme žádné důkazy) koexistují v našem systému a můžou provádět bůhvíco (a nebo taky nic, ale kdo ví…). Přidat fyzickou vrstvu a vlastní analyzér? Jak by taková věc měla vypadat (100Mbps LAN komunikuje tuším na 480MHz, o gigové nevím vůbec nic), a je to vůbec reálně proveditelný koncept? Kdo ty hromady dat bude přehrabovat, aby tam našel něco, o čem ani nevíme jestli to tam je? Fakt se v tom ztrácím, ale zároveň se mi moc nelíbí myšlenka, že bychom se měli jen tak odevzdat… Můžem něco změnit? Co můžem udělat (třeba pro Open Hardware CPU s rozumným výkonem a spotřebou, nebo aspoň nějaký malý RISC typu ARM, MIPS)?

Fluttershy, yay! avatar 7.12.2015 22:26 Fluttershy, yay! | skóre: 81 | blog:
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
zároveň se mi moc nelíbí myšlenka, že bychom se měli jen tak odevzdat… Můžem něco změnit? Co můžem udělat

Což je to jádro problému, které je politické.

Vážení, představte si analogický problém se stravou. Vy víte, co jíte? Děláte si to na koleně? Analyzujete si to na koleně? Nebo prostě spoléháte na politické řešení?

Jendа avatar 7.12.2015 22:48 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
a došel jsem ke stejnému výsledku, ovšem je to jako vždy s pár háčky - třeba kdo bude auditor či kde je brát, atp
A když už zaplatíš výrobu toho auditovaného čipu, tak jak ověříš, že ti tam fabrika na čipy nepřibalila překvapení.
Přidat fyzickou vrstvu a vlastní analyzér?
Nezjistíš, jakmile přeneseš nějaká analogová nasamplovaná data (zvuk, obrázek) - do šumu v nich se dá schovat spousta věcí.
100Mbps LAN komunikuje tuším na 480MHz, o gigové nevím vůbec nic
Ethernet na FPGA má dneska úplně každý.
Můžem něco změnit?
Jednotlivec ne a společnost nemá vůli.
Pavel 'TIGER' Růžička avatar 8.12.2015 20:53 Pavel 'TIGER' Růžička | skóre: 37
Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
A bude hůř!

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.