Zdravim

Ted jsem to popsal vyse, ale klidne to jeste doplnim.

Nechtel jsem to rikat, tusim ze me jeste nekdo narkne ze neumim uznat chybu, ale necitim se jako linuxova lama. Vim ze existuji nejake porty, na portech bezi urcite sluzby, treba web, ftp, pop3 apod. Vpodstate v kazde ze sitovych sluzeb se cas od casu opbjevi nejaka chyba, casto preteceni bufferu ktera pak dovoli utocnikovi spustit nejaky podstrceny kod, jehoz cilem je vetsinou ziskat prava roota na pocitaci kde bezi tato sluzba. Rika se tomu remote-root. Po objeveni exploitu je sice vydan velmi brzy opravny patch nebo nova verze, ale to by ho taky musel spravce aplikovat nebo upgradovat program. Cim vice takovych potencialne nebezpecnych sluzeb na pocitaci bezi, tim vetsi je sance ze se do toho pocitace nekdo naboura a bude tam krast data, menit webove stranky apod. Tudiz je potreba, aby na serveru (uvazuju s jednim eth rozhranim primo do interentu a druhym eth do vnitrni site) bezely jen ty sluzby ktere jsou skutecne potreba at uz pro vnitrni nebo pro vnejsi sit. Prikaldem budiz web, ftp, samba, time-server, pop3, smtp a nfs. Z vnitrni site utoky vetsinou nehrozi, proto muze spravce nechat vsechny sluzby volne pristupne, ale z internetu by mely byt pristupne jen sluzby ktere do interentu chce skutecne propagovat. Typicky web, ftp a sluzby souvisejici s postou. Zbytek portu by mel zakazat pomoci iptables. To je nejen jednoduche, ale i docela ucinne (pokud zrovna neni dira v iptables).

No a on to nechal vsechno otevrene, chtel jsem se mu skrze nejakou sluzbu do toho pocitace nabourat a nechat mu tam navstivenku ze to skutecne jde a neni to ani moc velky problem, jelikoz ja nejsem zadny fanaticky hax0ur a prakticky nic o crackovani linuxu nevim, coz o me ten kamarad vi. To je mozna pricina celeho problemu. Chtel jsem to udelat drive nez se mu tam naboura nejaky skutecny cracker a napacha tam skutecnou skodu. K dispozici ma ve vnitrni siti velke mnozstvi pocitacu s windows, hezka farma pro trojske kone.

To ze jsme to napsal tak ze "chci program kteremu dam IP adresu a budu mit roota" je samozrejme moje blbost. Takove programky existujou (par jsem jich nasel), ale vzdy jsou (zcela logicky) vazane na konkretni verzi konkretniho serveroveho programu a casto i na konkretni distribuci. To jsem samozrejme ocekaval.

To ze jsem v otazce kladeni dotazu z ramce linuxove bezpecnosti docela pohorel jeste doufam neznamena ze neumim v linuxu vubec nic. Navic organizacni zalezitosti kolem meetingu se zrovna moc linuxu netykaji. Na meetingu budu mit prednasku o WiFi v linuxu po hardwarove strance. Zkuste se zeptat nekoho kdo byl na Linuxchange sumperk 2003, prednasel jsem tam nejen o wifi po HW strance ale i o zakladech linuxu. Zejmena ta prednaska o wifi mela docela uspech.

P.S.: To ze se moc nevyznam v bezpecnosti prece nijak prece neznamena ze prednasky ostatnich prednasejicich budou mit mizernou uroven. Muzeme se bavit ze jsem trouba, ale prosim neznevazujte celou moji akci, skodite tim vsem.

Zdenek