abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 22:33 | IT novinky

Společnosti Adobe, Apple, Facebook, Google, Microsoft a Mozilla společně oznámily konec Flashe. Podpora Flashe oficiálně skončí na konci roku 2020.

Ladislav Hagara | Komentářů: 9
včera 05:55 | Komunita

Před 10 lety, v červenci 2007, se začal prodávat svobodný chytrý telefon Neo 1973 (vnitřní označení GTA01). Za jeho vývojem stáli vývojáři projektu Openmoko (Wikipedie). O rok později bylo možné koupit jejich druhý telefon Neo FreeRunner (GTA02). V roce 2011 byl představena platforma GTA04. Tuto platformu využívá také projekt Neo900, jehož cílem je vývoj nástupce telefonu Nokia N900. Nahlédnutí do historie Openmoko a další informace v článku na Vanille.de [Hacker News].

Ladislav Hagara | Komentářů: 22
včera 04:44 | Komunita

Tým Debianu zabývající se reprodukovatelnými sestaveními (Reproducible Builds), tj. kdokoli může nezávisle ověřit, že daný binární .deb balíček vznikl překladem daných zdrojových kódů, oznámil, že 94 % balíčků Debianu lze přeložit a sestavit reprodukovatelně. V únory 2015 to bylo 83 % [reddit].

Ladislav Hagara | Komentářů: 4
24.7. 11:22 | Komunita

Mozilla.cz informuje, že na blogu Mozilly věnovaném bezpečnosti byly zveřejněny výsledky bezpečnostního auditu služby Firefox Accounts, v českých překladech účet Firefoxu, sloužící hlavně k přihlašování k synchronizaci Firefox Sync. Nalezeno bylo celkem 15 bezpečnostních chyb, z toho jedna byla označena jako kritická a tři jako vážné.

Ladislav Hagara | Komentářů: 0
24.7. 11:00 | Nová verze

Byla vydána první stabilní verze 1.0 svobodného komunikačního softwaru Ring (Wikipedie). Ring, původně SFLphone, je součástí projektu GNU [reddit].

Ladislav Hagara | Komentářů: 3
24.7. 06:00 | Zajímavý projekt

Warner Skoch na svých stránkách zveřejnil návod (YouTube) na zhotovení kapesní herní konzole MintyPi. Konzole MintyPi je postavena na Raspberry Pi Zero W a RetroPie. Jako obal slouží plechová krabička od mentolek.

Ladislav Hagara | Komentářů: 0
23.7. 02:00 | Nová verze

Byl vydán Debian 9.1, tj. první opravná verze Debianu 9 s kódovým názvem Stretch a Debian 8.9, tj. devátá opravná verze Debianu 8 s kódovým názvem Jessie. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 9 a Debianu 8 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

Ladislav Hagara | Komentářů: 37
22.7. 15:50 | Zajímavý článek

Nadace The Document Foundation (TDF) zastřešující vývoj svobodného kancelářského balíku LibreOffice zveřejnila čtyřiačtyřicetistránkovou výroční zprávu za rok 2016. K dispozici je ve formátu pdf ve vysokém (21,68 MB) a nízkém (7,1 MB) rozlišení. Zpráva byla vytvořena ve Scribusu.

Ladislav Hagara | Komentářů: 0
22.7. 14:40 | Zajímavý software

Mozilla.cz informuje, že Firefox Focus pro Android, velmi jednoduchý prohlížeč zaměřený na anonymní prohlížení, dosáhl milionu stažení. Firefox Focus blokuje sledující prvky a reklamy a při ukončení automaticky smaže všechna uložená data stránek, historii prohlížení a cookies.

Ladislav Hagara | Komentářů: 41
22.7. 14:20 | Komunita

Vyplněním dotazníku na Formuláře Google lze ovlivnit výběr výchozích aplikací v Ubuntu 18.04 LTS. Podrobnosti v příspěvku Dustina Kirklanda na Ubuntu Insights [reddit].

Ladislav Hagara | Komentářů: 13
Těžíte nějakou kryptoměnu?
 (4%)
 (2%)
 (18%)
 (76%)
Celkem 94 hlasů
 Komentářů: 5, poslední dnes 08:26
    Rozcestník

    Dotaz: Bezpečnost na Linuxu

    TomasABC32 avatar 6.12.2015 16:58 TomasABC32 | skóre: 24 | blog: LinuxGangster
    Bezpečnost na Linuxu
    Přečteno: 1093×
    Zdravím, chci se vás zeptat jak je to s bezpečností na Linuxu. Mám Ubuntu, vyvíjí to sice společnost, ale... ok. Má smysl si dávat na linux antivir ? nebo Firewall ? Ptám se proto, že když nainstalujete windows, firewall tam většinou už máte. Antivir si doplníte. U linuxu je to jiné, viry zde prakticky nejsou, ale právě proto se ptám, jak vy osobně řešíte bezpečnost, zvlášť v dnešní profízlované době.
    Linux forever ! Asi jinej gang.

    Řešení dotazu:


    Odpovědi

    6.12.2015 17:08 Petr | skóre: 29
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    http://wiki.ubuntu.cz/antivirus
    6.12.2015 17:39 alkoholik | skóre: 35 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Firewall urcite ano.
    Na obcasne prohledani systemu rkhunter nebo chkrootkit. Myslim, ze ubuntu ma oba v baliccich.
    Jendа avatar 6.12.2015 19:33 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Firewall urcite ano.
    To je hezké poradit mu firewall (který už vlastně má, protože netfilter v kernelu tak nějak je), ale není jasné, co tam má dát za pravidla. Takže bude mít firewall bez pravidel, k ničemu.
    Na obcasne prohledani systemu rkhunter nebo chkrootkit
    IMHO moc nemají smysl, když se neumí správně používat.
    7.12.2015 00:30 Andrej | skóre: 44 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Firewall urcite ano.

    A to jako proč? Nápověda: Žádný racionální důvod pro to neexistuje.

    Ekvivalentem firewallu je nemít Ubuntu, ale používat normální distro, které chápe rozdíl mezi instalací služby, povolením démona a okamžitým spuštěním démona. Ubuntu tento rozdíl nechápe. Proto může mít klidně otevřené porty, na kterých by BFU sám od sebe žádného démona mít nechtěl a o jejichž (ne)smyslu často ani neví.

    Z toho důvodu se pak šíří nesmyslná fáma, že v Ubuntu je třeba mít firewall. Omyl! Firewall v Ubuntu je zcela zbytečný a neúčinný, protože instalace balíčku s démonem přidá pravidla firewallu, která jeho porty povolí. Dejme tomu, že uživatel nainstaluje démona, který je zrovna tou dobou kriticky zranitelný. (Ne snad proto, že by ho chtěl používat, ale třeba se chtěl jenom podívat na jeho konfiguráky, zprovoznit si ho na localhostu či cokoliv podobného. Kromě toho, nainstalovat kriticky zranitelného démona je v Ubuntu velmi snadné, protože ta distribuce je předem a ze zásady zastaralá.) Jenže ouha, Ubuntu toho kriticky zranitelného démona nejenom povolí (!) a rovnou spustí (!!!), ale ještě mu povolí příslušný port na firewallu (!!!!!!!!!!).

    Takže odpověď je jednoduchá: V normálním distru není potřeba ani antivir, ani firewall. V Ubuntu taky nic z toho není potřeba, protože nic z toho nepomůže.

    Pokud tazatele zajímá bezpečnost, měl by utíkat od Ubuntu mílovými kroky. Například Fedora se svým SELinuxem může být zajímavá pro někoho, kdo bere bezpečnost opravdu vážně.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    Jendа avatar 7.12.2015 04:49 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Dřív šlo zakázat spuštění služby při instalaci pomocí /usr/sbin/policy-rc.d vracejícího nenulový exit code. Po přechodu na systemd nevím.
    ale ještě mu povolí příslušný port na firewallu
    Fakt? To je v postinst skriptech nebo kde?
    Například Fedora
    Proč je Ubuntu z podstaty zastaralejší než Fedora? Cykly to má taky tak jednou za půl roku.
    se svým SELinuxem
    Když už hardened systém, tak ať to alespoň má nějaký smysl. Tedy grsec/pax.
    7.12.2015 10:44 alkoholik | skóre: 35 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu

    A to jako proč? Nápověda: Žádný racionální důvod pro to neexistuje.

    Treba k omezeni klientu na Sambe, CUPSu a podobne? Obecne chci, aby mi tyhle sluzby na LANce fungovaly, ale do sveta uz ne.
    Portknock na SSH take beru jako soucast firewallu.
    Řešení 1× (Petr Tomášek)
    6.12.2015 18:36 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Obojí nemusí být nutné. Velmi a principielně to záleží na tom, jak svůj systém znáte a jaké máte pro přístup k němu chování.
    • Antivirus. Jak již bylo zmíněno v předchozím odkazu, standardní způsob v linuxu je instalace prověřeného obsahu (s dostupným zdrojovým kódem) z prověřeného zdroje (repozitáře). tím se tam virus nezanese, další ještě možnost je zanést virus v makrojazyku nějakého datového souboru (MS office balíky, flash a možná pár daších) proto na takové soubory jsem opatrny a podezřelé pouštím ve virtualizovaném prostředí. Antivirus má smysl pokud se provozuje datové úložiště pro Win.
    • Firewall. mnohem obvyklejší i když nemusí být také nutný. Útok z vně je možný jen když na příslušném portu mi poslouchá a reaguje nějaký program. Pokud vím přesně, jaké serverové služby mi v systému jedou je firewall potřeba jen v případě pokud chci mít službu dostupnou jen z nějaké omezené množiny IP adres. Pokud ne tak bud má službu puštěnou a tím pádem přístupnou, (a musel bych ji mít přístupnou i s firewallem) nebo je vypnutá a pak systém nereaguje tak jako tak. Pouze v případě, že bych chtěl, aby nějaká služba byla přístupná pouze třeba z lokálních adres ve fyzické sítí a ne z jiných potřebuji firewall
    Jendа avatar 6.12.2015 19:31 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    antivir
    Ne, neexistuje a nepomůže (to ani na Windows).
    nebo Firewall
    Někdy ano, ale pro někoho, kdo se takhle ptá, ne. Lepší bude, když se podíváš pomocí netstat -utlpna co ti poslouchá ven a vypneš to.
    TomasABC32 avatar 6.12.2015 20:30 TomasABC32 | skóre: 24 | blog: LinuxGangster
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    jak to vypnu ?
    Linux forever ! Asi jinej gang.
    Jendа avatar 6.12.2015 21:23 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    systemctl stop služba
    systemctl disable služba
    systemctl mask služba
    Přičemž služba je často služba.service i služba.socket.
    7.12.2015 07:56 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    netstat -utlpna

    Jaký smysl má kombinovat "-l" a "-a"?

    netstat -utlpna

    Až budu psát backdoor, nechám ho komunikovat přes SCTP. :-) Ale vážně… "-ut" není zkratka pro "-A inet" nebo "--inet" (nebo dokonce "všechno kromě PF_UNIX").

    netstat -utlpna

    Hint: ss (doporučuji vyzkoušet oboje na systému, kde je socketů tak 100000, pak je rozdíl propastný).

    Jendа avatar 6.12.2015 19:35 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    ale právě proto se ptám, jak vy osobně řešíte bezpečnost, zvlášť v dnešní profízlované době
    Blbě (takovým common sense). Pokud ti o to fakt jde, tak QubesOS.
    Max avatar 6.12.2015 21:45 Max | skóre: 65 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Zrovna vyšel pěkný blog, jak sandboxovat prohlížeč, viz : Chrome sandboxován v dockeru
    Zdar Max
    Měl jsem sen ... :(
    Fluttershy, yay! avatar 6.12.2015 20:57 Fluttershy, yay! | skóre: 81 | blog:
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Ta otázka nedává smysl bez specifikace, co chci vlastně chránit a před kým nebo před čím.

    Předpokládám, že není řeč o síti/serveru/kiosku. O tom jsou knihy.

    Obecně prostě na desktop neinstaluju software a nespouštím skripty z pochybných zdrojů; (neuváženě) nepoužívám cizí systémy; mám šifrovaná, zálohovaná data, na kterých mi záleží; nenechávám nezamknutý systém bez dozoru na veřejných místech;…

    Kdybych se chtěl bránit proti cílenému útoku, řešil bych komunikační kanály, systém mimo jakékoliv sítě aj.
    6.12.2015 22:08 pavele
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    A pak si člověk spustí Firefox a diví se, co běží po síti...

    Takže bezpečností se můžeš bavit pořád. :-)
    Fluttershy, yay! avatar 6.12.2015 22:19 Fluttershy, yay! | skóre: 81 | blog:
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Otázka zní, jaký je praktický efekt – kromě toho, že se tím člověk baví.
    TomasABC32 avatar 6.12.2015 23:28 TomasABC32 | skóre: 24 | blog: LinuxGangster
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    myslím právě že třeba zabezpečení prohlížeče, aby zanechával co nejméně stop a taky vymazával cookies je jednou z priorit.
    Linux forever ! Asi jinej gang.
    7.12.2015 08:49 1john2 | skóre: 35 | blog: jo12hn | zlín, brno
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    ale o tom v puvodnim dotazu nebyla ani zminka a na tohle je fw/antivir k nicemu.

    Antivir/FW "slouzi" k tomu aby nikdo neukradl data z pc, zabranit uteku dat uz poslanych po siti je uplne jiny problem.

    V tomhle pripade doporucuju:

    - projit web vyse a podivat se na TOR.

    - zjistit co a jak muze prozradit DNS.

    - zjistit si co je user agent a jak ho zmenit

    a jiste pribude spousta dalsich veci...
    7.12.2015 08:51 1john2 | skóre: 35 | blog: jo12hn | zlín, brno
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    a trochu si rypnu, s timhle nepomuze fw/antivir ani na MS Win. A pokud antivir neco z toho dela, uz by se to melo nazyvat uplne...
    7.12.2015 09:50 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    No tady ne zcela souhlasím. Když jsem před lety používal Win, tak mě tam vždy běžel firewall. Ne ani tak proto, že bych bránil útoku dovnitř, ale proto abych bránil komunikaci programů o nich nemám přesnou dokumentaci směrem ven. A bylo opravdu velmi zajímavé, kam všude se mnoho programů chtělo připojovat. V linuxu v podstatě stačí mít programy které znám a vím jak komunikují a v prohlížeči mít vypnutý javascript, aby si na mém počítači nikdo nespouštěl kód, kterému nedůvěřuji.
    Jendа avatar 7.12.2015 12:55 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    V linuxu v podstatě stačí mít programy které znám a vím jak komunikují
    To prostě není pravda. Asi před rokem jsem napsal uživatelský firewall pro Linux (actually, pár pravidel do iptables a blábol v Bashi) a odhalil jsem asi deset běžně používaných aplikací z repozitářů, které komunikují. Ať už kontroly updatů nebo třeba síťové broadcasty při změně rozlišení obrazovky. Pak jsem se na to vybodl a náhodou jsem to zapnul znova před týdnem.

    ..

    Sedím takhle na přednášce z lingvistiky a jsou tam nějaké anglické příklady, kterým nerozumím, tak je hledám ve slovníku. A vyskočí na mě okýnko s nějakou čínskou adresou. Mám Stardict a network dictionaries jsou vypnuté, ale říkám si, že kdo ví, co se s tou konfigurací stalo. Tak mažu ~/.stardict a spouštím stardict znova a tentokrát letí do Číny obsah clipboardu.

    Ptám se na IRC, jestli se mi to jako nezdá, někdo spouští keepass a kouká, jak to posílá heslo, kamarád vyplňuje bugreport, já přemýšlím, co víc než posílání hesel přes nešifrované HTTP do Číny by se muselo stát, aby se něco změnilo.

    ..

    A tohle jsou všechno věci, které vznikly omylem, a které odhalil nějaký Jenda, který si dal dvě pravidla do netfilteru a pustil si tcpdump (ty věci tam jsou dlouho a ta ET stránka je jediná na Googlem indexovaném internetu, která to zmiňuje). Teď si představ, co se stane, když v NSA zasedne skupina inženýrů „Tak, kluci, dostali jsme $10M a 50 man-years na implementaci backdooru do Linuxu“ (čísla založena na uniklých dokumentech HackedTeamu a předpokladu NSA platící 10x víc než česká policie). Já si myslím, že když se tohle stane, tak jsme tu úplně všichni úplně v pr… a nedivil bych se, kdyby majstrštyky jako Heartbleed a debian-openssl-prng vznikly přesně takhle.
    Fluttershy, yay! avatar 7.12.2015 13:49 Fluttershy, yay! | skóre: 81 | blog:
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Teď si představ, co se stane, když v NSA zasedne skupina inženýrů „Tak, kluci, dostali jsme $10M a 50 man-years na implementaci backdooru do Linuxu“ (čísla založena na uniklých dokumentech HackedTeamu a předpokladu NSA platící 10x víc než česká policie). Já si myslím, že když se tohle stane, tak jsme tu úplně všichni úplně v pr… a nedivil bych se, kdyby majstrštyky jako Heartbleed a debian-openssl-prng vznikly přesně takhle.

    Co se stane? Pokud nejsi organizace, soupeřící velmoc nebo +/- disident, tak se téměř jistě na lokálním měřítku nestane vůbec nic.

    To je (1) opět otázka, před kým/čím se vlastně chci bránit, a (2) otázka politická.

    Heron avatar 7.12.2015 14:01 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Sedím takhle na přednášce z lingvistiky a jsou tam nějaké anglické příklady, kterým nerozumím, tak je hledám ve slovníku. A vyskočí na mě okýnko s nějakou čínskou adresou. Mám Stardict a network dictionaries jsou vypnuté, ale říkám si, že kdo ví, co se s tou konfigurací stalo. Tak mažu ~/.stardict a spouštím stardict znova a tentokrát letí do Číny obsah clipboardu.
    Ptám se na IRC, jestli se mi to jako nezdá, někdo spouští keepass a kouká, jak to posílá heslo, kamarád vyplňuje bugreport, já přemýšlím, co víc než posílání hesel přes nešifrované HTTP do Číny by se muselo stát, aby se něco změnilo.

    To, že program ignoruje nastavení (nepoužívat internetové slovníky) je samozřejmě chyba, ale jinak se to chová jak má ne? Jeden program je nastavený pro vyplnění schránky a druhý program je nastavený na sledování schránky. Je tedy v pořádku, že se to takto chová, protože to tak uživatel chce.

    Teď si představ, co se stane, když v NSA zasedne skupina inženýrů „Tak, kluci, dostali jsme $10M a 50 man-years na implementaci backdooru do Linuxu“ (čísla založena na uniklých dokumentech HackedTeamu a předpokladu NSA platící 10x víc než česká policie).

    Čím jsem starší, tím jsem nějak méně paranoidní. Případ Snowden (pro mě velmi, velmi smutná ukázka stavu IT) ukázal, že vůbec není potřeba 50 man years a $10^34. Prostě stačí jen louskat šifry, o kterých se roky veřejně ví, že jsou prolomené a že se opravdu nemají používat. Já mám OCD z MD5, kdyby mi někdo na škole v roce 2005 řekl, že ještě za 10 let se to bude doporučovat používat v učebnicích programování, tak se mu vysměju do ksichtu. Dnes vím, že to v těch knihách bude ještě za 30 let. To, že letos padla nějaká RC4 .... nezájem. Za 15 let z toho bude aféra Snowden II a všichni budou v šoku z toho, jak to dokáže NSA II louskat.

    A upřímně, to co jsem já četl v těch materiálech od Hacking Team je to přesně o tomtéž. Tam není jediná "advanced" technologie. Oni prostě nějak dostanou do PC program (třeba tak, že jej někomu podstrčí na webu, dají do wordovského dokumentu, do flashe apod. - ok, to je dejme tomu trochu vyšší level) a ten program prostě normálně pracuje v userspace. Nic víc. Na to opravdu nepotřebuješ super-skilled odborníky ani $10M.

    Jendа avatar 7.12.2015 15:46 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    ale jinak se to chová jak má ne? Jeden program je nastavený pro vyplnění schránky a druhý program je nastavený na sledování schránky. Je tedy v pořádku, že se to takto chová, protože to tak uživatel chce.
    No spíš jde o to, že je to insane default.
    7.12.2015 16:45 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Ano v tomto máš pravdu. Nicméně kromě impresu a tam vzdálené ovládání nemám jsem žádný z těch programů nepoužíval.
    Jendа avatar 7.12.2015 19:53 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    No a u těch aplikací co používáš nějak sleduješ, jestli komunikují (a tedy máš aplikační firewall), nebo jim prostě věříš?
    8.12.2015 12:02 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Tedy jsem dost konzervativní a když nějakou aplikaci začínám používat tak pouštím wireshark a povypínám ostatní aplikace (nebo vymaskuji v wiresharku spojení které předtím běžící aplikace používají) a řekněme první hodinku chytím co se komunikuje. Včetně toho že několikrát při tom projedu zapnutí a vypnutí programu, abych zjistil, jestli při ukončování něco neposílá. Také někde vedle pouštím v cyklu netstat -tuwp | grep program | tee soubor.log jestli tam nedá spojení, u kterého nevím, kam je. Jasně, že to 100% spolehlivé není, ale pravděpodobnost, že tam něco bude nezachyceno je o dost menší. Pravda nekontroluji takto aktualizace, takže tam může být významná změna.

    To máš podobně, jako s tím javascriptem, který jsem zmiňoval a kyknos psal, že je to blbost. Samozřejmě, že javascript je na velkém procentu stránek, ale když to mám defaultně vypnuté, tak se na každé stránce mohu rozhodnout, co povolím.

    Ale souhlasím s Tebou, že bezpečnostně se to vyvíjí špatným směrem a plánuji, zatím na testovacím stroji, si rozjet Qubes.
    kyknos avatar 7.12.2015 14:00 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    a v prohlížeči mít vypnutý javascript, aby si na mém počítači nikdo nespouštěl kód, kterému nedůvěřuji
    a není to málo? nebylo by spolehlivější odpojit počítač od internetu, nebo ještě lépe od elektrické sítě?
    So the Nationalists and the Socialists have the same policy on Brexit. They should get together and form a...
    7.12.2015 17:16 pavele
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    A co takhle applet "Hodiny" v Gnome? Zkusil už někdo sledovat, s kým navazuje spojení, přestože jsou vypnuté předvolby jako "Zobrazit počasí" nebo "Zobrazit teplotu"?

    Jo, pardon, v novém firewallu "firewalld" je malý, celkem nepodstatný, problém s logováním, aby to uživatele zbytečně neinformovalo... Tímto zdravím uživatele Fedory a CentOS 7. :-)

    Prostě bezpečnost není okamžitý stav, je to proces.

    Pokud bys chtěl pěkný firewall, zkus se podívat na distribuci Mageia.
    kyknos avatar 7.12.2015 17:22 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    mne hlavne prijde vtipny, kdyz nekdo dporouci jako bezpecnostni opatreni vypnout javascript, kdyz dnes na nem zavisi vetsina uzivatelu a vypnout ho proste nemuzou

    proc to pak nevypnout cele?
    So the Nationalists and the Socialists have the same policy on Brexit. They should get together and form a...
    7.12.2015 18:37 j
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Ti nejak nevi, mam js default off, nejsem zdaleka sam, a nemam pocit ze bych byl o neco zasadniho ochuzen.
    kyknos avatar 7.12.2015 18:42 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Mne nefunguje bez js pulka webu vcetne mnoha dulezitych pracovnich stranek.
    So the Nationalists and the Socialists have the same policy on Brexit. They should get together and form a...
    Petr Tomášek avatar 9.12.2015 20:40 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    NoScript neznáš?
    kyknos avatar 9.12.2015 21:00 kyknos | skóre: 18 | blog: Quid novi? | Ranša Rosa
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    znam, ale krome velmi specifickych pripadu, kdybych lezl na nejakou zlou stranku a chtel z ni nejake na js nezavisle info, si neumim predstavit, k cemu bych ho pouzival

    javascript je uz davno nedelitelnou soucasti velke casti webu
    So the Nationalists and the Socialists have the same policy on Brexit. They should get together and form a...
    7.12.2015 18:18 Brad | skóre: 6
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Jeden z důvodů proč ji používám (resp. proč jsem od ní ještě neutekl), i když si musíme otevřeně přiznat, že k celkové dokonalosti má taky daleko.

    Chtěl jsem ale říci jinou věc: Všichni řešíte SW, ale že žijeme v době, kdy síťovka ve spolupráci se SSD nebo harddiskem dokážou kooperovat na low-level úrovni (asi poněkud méně dokumentovaným protokolem) a fungovat samostatně bez účasti jakéhokoliv OS (klidně i na počítači bez OS, v podstatě takový malý NAS přímo v PC), nebo že CPU Skylake má integrovanou zvukovku a zároveň dokáže být částečně aktivní i ve „vypnutém” stavu (PC standy), to tu nikdo nezmínil… Jak toto řešit - HW backdoory, procesor v procesoru (v procesoru, vizte akvizice Altery a léta předtím patentů Transmety na její Crusoe, což byl prosesor s měnitelnými instrukčními sadami) a podobné srandy?

    Kdo by nevěřil, stačí když si uvědomí, že (nejen) dnešní procesory jsou programovatelné (známé microcode updaty, na opravy instrukčních sad už taky došlo) nebo když si najde datasheet od čipu Wiznetu, konkrétně W5200, což je čip který má v sobě „zadrátovány” protokoly až po TCP/IP vrstvu (a W5500, což je to samé + ještě integrovaný ARM). Otázka potom bude znít „Když je možné zadrátovat na čip tyto protokoly, je možné zadrátovat i nějaké jiné?”… Myslím že odpověď je zřejmá. Řešení?
    Jendа avatar 7.12.2015 20:09 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Všichni řešíte SW
    Backdoors in your processor? You don't say…
    nebo že CPU Skylake
    IPMI, AMT a další zvířátka jsou ještě lepší, a byla tu i dřív.
    Jak toto řešit - HW backdoory, procesor v procesoru
    Pokusit se vyrobit FPGA se strukturou takovou, aby pro to šlo vyblobnout softcore, u nějž nebude možné cíleně ovlivňovat funkci ani backdoorem přímo v FPGA (1). (optional: čip s dostatečně velkými featurami, aby šlo opticky rozpoznat, že je to opravdu to, co jsme chtěli, a potom sérií bitstreamů ověřit, že tam nejsou dopant-level backdoors. Bug: útočník může schovat backdoor vyvedený menšími featurami do vnitřních vrstev, které nejsou z povrchu vidět. Pseudořešení: část čipů z várky analyzovat destruktivně a doufat, že se trefíme)

    Problém je v tom, že si nejsem jistý, jestli je (1) vůbec teoreticky možné (neviděl jsem o tom žádnou studii od nikoho, kdo by na rozdíl ode mě rozuměl matematice). Pokud ne, žádné jiné řešení mě nenapadá. Rád si nějaké poslechnu. Upozorňuji, že žijeme v době backdoornutých 74HC47, takže stavba počítače z diskrétních součástek vám nepomůže. Navíc takový počítač bude mít velké parazitní vyzařování, takže z něj data prostě půjdou odposlechnout, a možná ani nebude mít výkon na moderní kryptografii, což je typicky věc, kvůli které to stavíme.
    7.12.2015 22:20 Brad | skóre: 6
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    Chtěl jsem spíš rozšířit povědomí a rozvířit diskusi, ovšem vidím, že už se tu někdo zajímá (což jsem ani moc nečekal). Skvělé.

    Měl bych asi mírnit případné nadšení z druhé strany, též nejsem žádný matematik ani kdovíjaký jiný odborník (dokonce i s angličtinou mám potíže), jen se prostě zajímám. Mé znalosti končí u naprogramování složitějšího jednočipu, vlastní procesor jsem zatím nepostavil (i když jsem o tom jeden čas uvažoval, ale to se nepočítá), ale aspoň vím, o čem píšete.

    Je to zajímavé čtení (i s tím závěrem, „auditable open designs” by bylo super řešení, také jsem nad tím už předtím sám pro sebe přemýšlel a došel jsem ke stejnému výsledku, ovšem je to jako vždy s pár háčky - třeba kdo bude auditor či kde je brát, atp).

    Slabé místo většiny z výroby backdoornutých a kompromitlých systémů bude nejspíš ten kabel, co do něj vede (napájecí nepočítám; bavíme se o domácnostech a malých firmách, z nich asi málokdo bude stát za to, aby kolem něj běhal člověk s EMI vybavením), ovšem zároveň ten kabel prostě potřebujeme, takže víceméně řešíme, jaké možnosti obrany máme před paralelními ekosystémy (neznámého druhu a provedení), které (teoreticky, nemáme žádné důkazy) koexistují v našem systému a můžou provádět bůhvíco (a nebo taky nic, ale kdo ví…). Přidat fyzickou vrstvu a vlastní analyzér? Jak by taková věc měla vypadat (100Mbps LAN komunikuje tuším na 480MHz, o gigové nevím vůbec nic), a je to vůbec reálně proveditelný koncept? Kdo ty hromady dat bude přehrabovat, aby tam našel něco, o čem ani nevíme jestli to tam je? Fakt se v tom ztrácím, ale zároveň se mi moc nelíbí myšlenka, že bychom se měli jen tak odevzdat… Můžem něco změnit? Co můžem udělat (třeba pro Open Hardware CPU s rozumným výkonem a spotřebou, nebo aspoň nějaký malý RISC typu ARM, MIPS)?

    Fluttershy, yay! avatar 7.12.2015 22:26 Fluttershy, yay! | skóre: 81 | blog:
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    zároveň se mi moc nelíbí myšlenka, že bychom se měli jen tak odevzdat… Můžem něco změnit? Co můžem udělat

    Což je to jádro problému, které je politické.

    Vážení, představte si analogický problém se stravou. Vy víte, co jíte? Děláte si to na koleně? Analyzujete si to na koleně? Nebo prostě spoléháte na politické řešení?

    Jendа avatar 7.12.2015 22:48 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    a došel jsem ke stejnému výsledku, ovšem je to jako vždy s pár háčky - třeba kdo bude auditor či kde je brát, atp
    A když už zaplatíš výrobu toho auditovaného čipu, tak jak ověříš, že ti tam fabrika na čipy nepřibalila překvapení.
    Přidat fyzickou vrstvu a vlastní analyzér?
    Nezjistíš, jakmile přeneseš nějaká analogová nasamplovaná data (zvuk, obrázek) - do šumu v nich se dá schovat spousta věcí.
    100Mbps LAN komunikuje tuším na 480MHz, o gigové nevím vůbec nic
    Ethernet na FPGA má dneska úplně každý.
    Můžem něco změnit?
    Jednotlivec ne a společnost nemá vůli.
    Pavel 'TIGER' Růžička avatar 8.12.2015 20:53 Pavel 'TIGER' Růžička | skóre: 40
    Rozbalit Rozbalit vše Re: Bezpečnost na Linuxu
    A bude hůř!

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.