Ubuntu Suomen keskustelualueet
Muut alueet => Yleistä keskustelua => Aiheen aloitti: mArkus87 - 31.08.09 - klo:14.19
-
Tuli tällänen vastaan: http://www.youtube.com/watch?v=9HxFGQ8OpYw
Yllättävän pelottavaa kun ottaa huomioon foorumeilla olevat "et tarvitse viruksen torjuntaa / palomuuria jne..."
-
Tuli tällänen vastaan: http://www.youtube.com/watch?v=9HxFGQ8OpYw
Yllättävän pelottavaa kun ottaa huomioon foorumeilla olevat "et tarvitse viruksen torjuntaa / palomuuria jne..."
Palomuurin tarpeellisuutta kukaan tuskin on kyseenalaistanut.
Mutta tuohon virus/malware asiaan:
Teknisesti tuo on troijalainen, joka ei toimi itsenäisesti -toisin kuin windows-pohjaiset virukset. Tuosta heikommin leviävä on vain ns "norjalainen virus"...
Eli käyttäjältä edellytetään tiettyjä temppuja ennenkuin mitään tapahtuu, voinhan minäkin levittää ubuntu"viruksia" ilman varsinaista koodia vaikka tähän tapaan:
Kirjoittakaa kaikki consoliinne sudo rm -rf / ja antakaa salasananne kun sitä kysytään...
-Samu
Edit - Joo ei tällaisiä tälle foorumille, kiitos. T: peran
-
1. Ainakin kde 4.3 kyselee käyttäjältä vahvistusta, tyyliin "tämä käynnistää ohjelman xxxxxxxx, jos et luota ohjelmaan valitse peruuta", jos käyttäjä klikkailee tuntematonta .desktop tiedostoa. Uskoisin, että on korjattu muuallakin.
2. Jos käyttäjä on valmis ajelemaan koneellaan mitä tahansa, ei sitä suojele mitkään virustorjunnat tai palomuurit.
-
Mistä tuo muka repii noita tietoja, esim. luottokorttinumeron? Mikä lähettää sähköpostin? Ilmeisesti pahin asia, mitä tuolla voi tehdä, on rm -rf /home/jeejee (mikä on tietysti perunamainen)
-
Tuli tällänen vastaan: http://www.youtube.com/watch?v=9HxFGQ8OpYw
Yllättävän pelottavaa kun ottaa huomioon foorumeilla olevat "et tarvitse viruksen torjuntaa / palomuuria jne..."
Palomuurin tarpeellisuutta kukaan tuskin on kyseenalaistanut.
Mutta tuohon virus/malware asiaan:
Teknisesti tuo on troijalainen, joka ei toimi itsenäisesti -toisin kuin windows-pohjaiset virukset. Tuosta heikommin leviävä on vain ns "norjalainen virus"...
Eli käyttäjältä edellytetään tiettyjä temppuja ennenkuin mitään tapahtuu, voinhan minäkin levittää ubuntu"viruksia" ilman varsinaista koodia vaikka tähän tapaan:
Kirjoittakaa kaikki consoliinne sudo rm -rf / ja antakaa salasananne kun sitä kysytään...
-Samu
En ehdottaisi tuota komentoa edes vitsinä, joku voi sen tehdäkkin, ja sitten ei ole kivaa.
-
Mitä tuo komento edes tekee? Kertokaa pian tai kokeilen :P
Totta kai tuollaisia juttuja voi tehdä jotka käyttäjä kokeilee aukaista. Ihan sama mikä käyttis.
-
Poistaa aivan kaiken järjestelmää myöten kyselemättä.
-
En ehdottaisi tuota komentoa edes vitsinä, joku voi sen tehdäkkin, ja sitten ei ole kivaa.
Samaa mieltä
-
Poistaa aivan kaiken järjestelmää myöten kyselemättä.
Jättää tosin mounttaamattomien kiintolevyjen tiedostot ja mountattujen osiointitiedot. Tuhoaa siis kaikki tiedostot ja hakemistot tiedostopuusta.
-
rm -rf / - http://www.youtube.com/watch?v=D4fzInlyYQo
Linux olettaa, että käyttäjä tietää aina, mitä hän on tekemässä. Siksi vain virheilmoitukset näytetään, onnistunutta suoritusta ei kuitata sen kummemmin. Vastuu on aina ja kaikkialla käyttäjällä, ei Linuxilla tai sen ohjelmilla.
Siksi kannattaa olla paranoidi itsensä suhteen ja tehdä vaikka tällainen alias rm-komennolle: alias rm = 'rm -i'
http://brainstorm.ubuntu.com/idea/1864/
Ystävällisin terveisin Asmo Koskinen.
-
Tuli tällänen vastaan: http://www.youtube.com/watch?v=9HxFGQ8OpYw
Yllättävän pelottavaa kun ottaa huomioon foorumeilla olevat "et tarvitse viruksen torjuntaa / palomuuria jne..."
Siis eikös vika ole siinä, että user-oikeuksin pääsi muokkaan paketinhallin tietoja jotka sitten toteutettiin root-oikeuksin. Tällöinhän järjestelmässä on selvä bugi, joka olisi keskustelun perusteella 9.04:ssä jo korjattu.
Tuo sudo rm -rf / oli kyllä pöhköin ohje jonka olen täällä nähnyt :-[
-
Tuo sudo rm -rf / oli kyllä pöhköin ohje jonka olen täällä nähnyt :-[
Siksi sitä kannattaakin täällä toistaa joka viestissä, että varmasti näkyy ;D
-
Tuo sudo rm -rf / oli kyllä pöhköin ohje jonka olen täällä nähnyt :-[
Siksi sitä kannattaakin täällä toistaa joka viestissä, että varmasti näkyy ;D
;D
-
Tuo * oli kyllä pöhköin ohje jonka olen täällä nähnyt :-[
Siksi sitä kannattaakin täällä toistaa joka viestissä, että varmasti näkyy ;D
;D
Kyllä se näkyy quotessakin.
-
Tuo * oli kyllä pöhköin ohje jonka olen täällä nähnyt :-[
Siksi sitä kannattaakin täällä toistaa joka viestissä, että varmasti näkyy ;D
;D
Kyllä se näkyy quotessakin.
Sehän se pointti olikin. Eli kannattaa mainostaa, kuten sanoin ;)
-
Palomuurin tarpeellisuutta kukaan tuskin on kyseenalaistanut.
Eikö täällä esim. viime vuonna puhuttu paljonkin siitä, että esim. ufw enable ei sinänsä ole MUST?
-
En ehdottaisi tuota komentoa edes vitsinä, joku voi sen tehdäkkin, ja sitten ei ole kivaa.
Meinasin sanoa että ei kukaan voi olla niin tyhmä että tuota kometoa lähtisi tuossa asiayhteydessä esitettynä kokeilemaan, sitten muistin että jokunen Nordean asiakaskin antoi salasanansa "Ma ole nordia asiakaspalvelu ja tarvita sun salasana ja tunnus. laheta se osoite: screw.you@nigeria.com " -tyyppiseen kalasteluun, joten saman asiasisällön voinee esittää muodossa:
"lähetä tämä viesti kaikille kavereillesi ja tuhoa koneesi tiedostot"
Pointti ei siitä muutu: Linuxille ei ole tietääkseni kirjoitettu yhtään toimivaa _virusta_, siis sellaista joka toimii itsenäisesti. Troijalaisen voi tehdä mille järjestelmälle tahansa, vähintäänkin tuolla yo. esitetyllä tavalla.
-Samu
-
ufw ei ole must koska se on "käyttöliittymä" iptablesin helpompaan hallintaan.
Eli kunhan iptables on niin kaikki on hyvin ;)
Summa summarium, palomuuri täytyy olla mutta ei mitään jolla hallita sitä helpohkosti jos riittää skilliä
käyttää suoraan iptablesia. Muistaakseni esim. firestarter myös käytti suoraan iptablesia, kuten suurin osa linuxille tehdyistä "palomuureista".
-
ufw ei ole must koska se on "käyttöliittymä" iptablesin helpompaan hallintaan.
Eli kunhan iptables on niin kaikki on hyvin ;)
Summa summarium, palomuuri täytyy olla mutta ei mitään jolla hallita sitä helpohkosti jos riittää skilliä käyttää suoraan iptablesia. Muistaakseni esim. firestarter myös käytti suoraan iptablesia, kuten suurin osa linuxille tehdyistä "palomuureista".
Miksi se palomuuri on niin pakollinen? Oletetaan että koneella on käytössä vain ja ainoastaan ssh- ja www-palvelimet eikä mitään muita verkkoon näkyviä palveluita niin mitä lisäarvoa palomuuri tuo? Entä siinä tilanteessa jos koneella ei ole mitään palvelimia?
Palomuurista on kyllä hyötyä konffausvirheiden ja vahingossa käynnistettyjen palvelimien varalta mutta ei se ole millään tavalla välttämätön.
-
ufw ei ole must koska se on "käyttöliittymä" iptablesin helpompaan hallintaan.
Eli kunhan iptables on niin kaikki on hyvin ;)
Summa summarium, palomuuri täytyy olla mutta ei mitään jolla hallita sitä helpohkosti jos riittää skilliä
käyttää suoraan iptablesia. Muistaakseni esim. firestarter myös käytti suoraan iptablesia, kuten suurin osa linuxille tehdyistä "palomuureista".
Kerros minulle kun en ymmärrä, miksi koneessani TÄYTYY olla palomuuri? Käytän konetta tavalliseen surffailuun ja postien lukemiseen, pankkisivulla laskujen makseluun ym ym pikkujuttuja. MIKSI MINULLA TÄYTYY OLLA PALOMUURI?
-
ufw ei ole must koska se on "käyttöliittymä" iptablesin helpompaan hallintaan.
Eli kunhan iptables on niin kaikki on hyvin ;)
Summa summarium, palomuuri täytyy olla mutta ei mitään jolla hallita sitä helpohkosti jos riittää skilliä käyttää suoraan iptablesia. Muistaakseni esim. firestarter myös käytti suoraan iptablesia, kuten suurin osa linuxille tehdyistä "palomuureista".
Miksi se palomuuri on niin pakollinen? Oletetaan että koneella on käytössä vain ja ainoastaan ssh- ja www-palvelimet eikä mitään muita verkkoon näkyviä palveluita niin mitä lisäarvoa palomuuri tuo? Entä siinä tilanteessa jos koneella ei ole mitään palvelimia?
Palomuurista on kyllä hyötyä konffausvirheiden ja vahingossa käynnistettyjen palvelimien varalta mutta ei se ole millään tavalla välttämätön.
En ole itsekään käsittänyt palomuurin hyötyä koneella, jolla pyöritän ssh:ta ja apachea. Niinpä en käytä sitä. Konffit on pidetty minimissään virheiden varalta. Ja jos palveluista paljastuu aukkoja, niin äkkiähän nuo etänä tai paikallisesti sulkee. Siihen ei kuitenkaan hirveästi palomuuri auta.
-
Tein tuossa pikaisen porttiskannauksen läppärillä
Ensimmäisellä ajolla oli yksi portti auki (lähiverkossa) mutta suljetaan kyseinen palvelu.
tta@dv5:~$ nmap localhost
Starting Nmap 5.00 ( http://nmap.org ) at 2009-09-02 22:44 EEST
Warning: Hostname localhost resolves to 2 IPs. Using 127.0.0.1.
Interesting ports on localhost (127.0.0.1):
Not shown: 999 closed ports
PORT STATE SERVICE
631/tcp open ipp
Nmap done: 1 IP address (1 host up) scanned in 0.23 seconds
tta@dv5:~$ sudo service cups stop
[sudo] password for tta:
* Stopping Common Unix Printing System: cupsd [ OK ]
tta@dv5:~$ nmap localhost
Starting Nmap 5.00 ( http://nmap.org ) at 2009-09-02 22:44 EEST
Warning: Hostname localhost resolves to 2 IPs. Using 127.0.0.1.
All 1000 scanned ports on localhost (127.0.0.1) are closed
Nmap done: 1 IP address (1 host up) scanned in 0.12 seconds
Itselläni on lukuisia koneita, missään ei ole aktiivista palomuuria käytössä.
Mitkään logit ei paljasta tunkeutumisyrityksiä.
-
Nopeasti kopioitua wikipediasta (http://fi.wikipedia.org/wiki/Palomuuri):
Useimmiten palomuuria tarvitaan avoimesta Internet-yhteydestä tulevilta hyökkäyksiltä suojautumista varten. Palomuurilaitteilla on sääntöjä, joilla sisään tulevista yhteyksistä suodatetaan pois kaikki muu, paitsi tarvittava minimi. Nykyisin on myös yleistä, että vastuuntuntoisesti suodatetaan myös ulkomaailmaan lähtevää liikennettä, jotteivät oman verkon asiakkaat voi häiriköidä muiden verkkoihin (esimerkiksi väärennetyillä lähdeosoitteilla). Useiden yritysten sisällä suositaan työntekijöiden koneilta ulospäin lähtevän liikenteen kontrollointia palomuurin avulla muun muassa tietosuojan turvaamiseksi.
-
Ei se palomuuri mitenkään välttämätön ole, vaikka aloittelevalle käyttäjälle ehkä suositeltava niiden "vahingossa asennettujen" palvelimien takia.
Mikäli taas ulkomaailman liikennettä kuuntelevia palvelimia on tarkoituksella asennettu, niiden oikea konffaus on palomuuria tärkeämpää. Siihen palomuuriinhan on pakko puhkoa aukkoja, jos näitä palveluja haluaa käyttää (mikä lienee asentamisen tarkoitus).
-
Nopeasti kopioitua wikipediasta (http://fi.wikipedia.org/wiki/Palomuuri): [...]
Ei vastannut varsinaiseen kysymykseen.
-
Estää yksinkertaisesti ulkomaailmasta tulevia yhteyksiä. Ilman palomuuria voivat ketkä tahansa yrittää päästä järjestelmään sisään, mutta jos on palomuuri ja vain tarpeelliset portit auki, on se aika epätodennäköistä että kukaan pääsisi enään edes yrittämään.
-
Estää yksinkertaisesti ulkomaailmasta tulevia yhteyksiä. Ilman palomuuria voivat ketkä tahansa yrittää päästä järjestelmään sisään, mutta jos on palomuuri ja vain tarpeelliset portit auki, on se aika epätodennäköistä että kukaan pääsisi enään edes yrittämään.
Ei niistä porteista pääse sisään, jos mikään prosessi ei kuuntele porttia.
Jos taas porttia kuuntelemaan on joku palvelin asennettu, siitä on kaiketi tarkoituskin päästä sisään.
-
Olen runsaan vuoden käyttänyt pääasiassa Linuxeja (pääasiassa Ubuntua) ja olen ymmärtänyt, että erillistä palomuuriohjelmaa ei tarvita, kun modeemissa (TW-EA501) on palomuuri. XP:ssä, jota käytän vain satunnaisesti, on palomuurina Zone Alarm.
Tietotekniset taitoni ylipäätänsäkin ovat huonot. Siksi kysyn, onko aihetta huoleen?
-
Tuo taitaa olla vähän puolitotuus tuo modeemin palomuuri. NAT on varmaankin päällä kaikissa malleissa tehdasasetuksilla, mutta palomuuri ei kyllä mielestäni ole. Mutta tuskin mitään erikoista huolenaihetta ole. Itse olen käyttänyt XP:tä sen omalla palomuurillakin, mutta olen kyllä hyvin perillä asentamistani ohjelmista. Vistassa ei itsellä ole nytkään palomuuri lainkaan päällä, eikä mitään ongelmaa ole ollut (tai siis siinäkin järjestelmän oma päällä kuitenkin)
-
Olen runsaan vuoden käyttänyt pääasiassa Linuxeja (pääasiassa Ubuntua) ja olen ymmärtänyt, että erillistä palomuuriohjelmaa ei tarvita, kun modeemissa (TW-EA501) on palomuuri. XP:ssä, jota käytän vain satunnaisesti, on palomuurina Zone Alarm.
Tietotekniset taitoni ylipäätänsäkin ovat huonot. Siksi kysyn, onko aihetta huoleen?
Mikäli koneen ja internet-töpselin välissä on laite, jossa on palomuuri aktivoituna, ei koneella tarvitse olla omaa palomuuria.
Oman liittymän / palomuuritilanteen pystyy tarkistamaan mm. käyttämällä eri palomuuri -scannaussivuja jotka testaavat onko koneen IP-osoiteessa portteja auki. Esim. hakusanoilla "firewall scanner" löytää jotain, täytyy tietyusti pitää mielessä että varsinkin kaupallisten toimijoiden scanneritulokset voivat antaa suostuksia ko. tahon tuotteiden ostamiseen.
Joku muu saa suositella täsmälinkkiä -itsellä on kulunut liikaa aikaa noiden käytöstä, joten ei osaa sanoa mikä toimii, ja nyt olen palomuuriproxyn takana joten nuo eivät toimi kunnolla
-Samu
-
Mikäli koneen ja internet-töpselin välissä on laite, jossa on palomuuri aktivoituna, ei koneella tarvitse olla omaa palomuuria.
Minulla ei ole laitetta jossa on palomuuri aktivoituna. ShieldsUP! (http://www.grc.com/x/ne.dll?bh0bkyd2)-palvelu näyttää punaisella tekstin "FAILED" ja porteissa 22 ja 80 lukee "OPEN!" punaisella pohjalla. Pitääkö minun asentaa palomuuri? Millaiset asetukset palomuuriin pitäisi laittaa? Kuinka paljon tietoturvani paranee palomuurin myötä?
-
Mikäli koneen ja internet-töpselin välissä on laite, jossa on palomuuri aktivoituna, ei koneella tarvitse olla omaa palomuuria.
Minulla ei ole laitetta jossa on palomuuri aktivoituna. ShieldsUP! (http://www.grc.com/x/ne.dll?bh0bkyd2)-palvelu näyttää punaisella tekstin "FAILED" ja porteissa 22 ja 80 lukee "OPEN!" punaisella pohjalla. Pitääkö minun asentaa palomuuri? Millaiset asetukset palomuuriin pitäisi laittaa? Kuinka paljon tietoturvani paranee palomuurin myötä?
Sinun ei tartte asentaa palomuuria koska linuxissa ei ole leviäviä troijjalaisia eikä tiedonkalastelu yrityksiltä suojaa mikään palomuuri paitsi oma järki. Eli palomuuria ei asenneta jollei ole serveriä ".my porn" kansiot taas salataan salauskoodilla muut voi kertoa siitä lisää kun en ole ite joutunut tekemään. :)
-
Tietotekniset taitoni ylipäätänsäkin ovat huonot. Siksi kysyn, onko aihetta huoleen?
Lyhyesti: Ei, mutta kuitenkin kannattaa kehittää tietoteknisiä taitoja.
Edit - olettaen, että et pahemmin internetissä pyöri XP:llä.
-
Ei se palomuuri mitenkään välttämätön ole, vaikka aloittelevalle käyttäjälle ehkä suositeltava niiden "vahingossa asennettujen" palvelimien takia.
Mikäli taas ulkomaailman liikennettä kuuntelevia palvelimia on tarkoituksella asennettu, niiden oikea konffaus on palomuuria tärkeämpää. Siihen palomuuriinhan on pakko puhkoa aukkoja, jos näitä palveluja haluaa käyttää (mikä lienee asentamisen tarkoitus).
No kyllä siitä palomuurista on hyötyä jos vaikka haluaa vähän rajata mistä päin internetin suurta maailmaa pääsee kokeilemaan tunnusten lujuuksia. Ite en esim pidä ssh-palvelinta ilman iptables-säännöstöä auki maailmaan. Tietty jos luottaa softan virheettömyyteen kuin hullu puuroon niin mikäpäs siinä.
Eikös ssh-palvelimessa itsessäänkin ole tuo toiminto, vai muistanko väärin? Ja jos ottaa vielä salasanatunnistuksen pois, niin en minä välttämättä siihen enää palomuuria tarvitse. Mutta makunsa kullakin.
-
Ei se palomuuri mitenkään välttämätön ole, vaikka aloittelevalle käyttäjälle ehkä suositeltava niiden "vahingossa asennettujen" palvelimien takia.
Mikäli taas ulkomaailman liikennettä kuuntelevia palvelimia on tarkoituksella asennettu, niiden oikea konffaus on palomuuria tärkeämpää. Siihen palomuuriinhan on pakko puhkoa aukkoja, jos näitä palveluja haluaa käyttää (mikä lienee asentamisen tarkoitus).
No kyllä siitä palomuurista on hyötyä jos vaikka haluaa vähän rajata mistä päin internetin suurta maailmaa pääsee kokeilemaan tunnusten lujuuksia. Ite en esim pidä ssh-palvelinta ilman iptables-säännöstöä auki maailmaan.
Mikäs siinä, jos etukäteen tietää mistä osoitteista yhteyden ottaa ja saa jollain lailla järkevät rajaussäännöt (omalla kohdalla asia ei ole niin). Tosin sallittuja ip osoitteita voi rajata ihan serveriä konffaamalla (eli ei vaadi palomuuria). Hyvän suojan "koputtelua" vastaan tarjoaa myös salasanakirjautumisen poistaminen käytöstä ja käyttämällä host-key autentikointia sen sijaan.
EDIT: Laitetaan nyt vielä linkkiä, eli ssh-serverin konffaus (lyhyt howto):
http://www.nixtutor.com/linux/installing-and-configuring-an-ssh-server/ (http://www.nixtutor.com/linux/installing-and-configuring-an-ssh-server/)
-
Mikäs siinä, jos etukäteen tietää mistä osoitteista yhteyden ottaa ja saa jollain lailla järkevät rajaussäännöt (omalla kohdalla asia ei ole niin). Tosin sallittuja ip osoitteita voi rajata ihan serveriä konffaamalla (eli ei vaadi palomuuria). Hyvän suojan "koputtelua" vastaan tarjoaa myös salasanakirjautumisen poistaminen käytöstä ja käyttämällä host-key autentikointia sen sijaan.
Tarkkoja osoitteita ei tarvitse tietää kun pääsy voidaan sallia segmentteinä ip-avaruutta.
Tottakai voidaan (myös siellä palvelimen puolella ilman palomuuria), mutta käytännössä (ainakin paljon liikkuvalle) säännöistä tulee väkisinkin joko turhan sallivia tai liian tiukkoja (tai molempia), joka tapauksessa parempaa suojaa saa oikealla palvelimen ja autentikoinnin konffeilla kuin osoitteita rajaamalla (ellei sitten rajaa ulos kaikkia osoitteita). Ei tarkoitukseni toki ole väittää, että palomuuri olisi kaikissa tilanteissa "hyödytön", vaan kumota väite että palomuuri olisi aina "välttämätön". Kunnolla konfattu palvelin ilman palomuuria on monin verroin turvallisempi kuin huonosti konffattu palvelin liian sallivan palomuurin takana...paranoidi ihminen voi toki suojautua molemmilla tavoilla.
Toisekseen pääsyn hallinta itse softasta ei välttämättä estä mahdollisten remote explottien käyttöä. SSH:ssakin on näitä nähty joskus aikoinaan eikä mikään takaa etteikö vastaavaa voisi tulla. Sanokaa vaan paranoidiksi, ei haittaa. Minusta se on vaan tervettä.
Paranoidin kannattaa tosin ajatella myös sitä, että se exploit saattaa löytyä myös sieltä palomuurista (käytännössä sekä iptables että ssh on kyllä sen verran testattua softaa, etten usko paikkaamattoman aukon oleva merkittävä uhka. Varsinkaan sellaisen aukon, joka menisi läpi kaikista oikein konfiguroidun sshn suojauksista, sellainenhan ei nojaa yksin osoitteiden rajaukseen).
-
Melko poikkeuksellista on jos käyttäjät liikkuvat paljon. Suurin osa porukasta lähinnä kökkii omilla koneillaan(kokemusta 9 vuotta) eivätkä kierrä maailmaa. Työmaan palvelimet sitten erikseen, tässähän puhutaan vain kotikäytöstä.
Ainakin itse otan liikkuessani kannettavalla yhteyttä kotipalvelimeenkin sieltä mistä verkko nyt sattuu löytymäänkin (eli verkko-osoitteiden rajaus sulkisi minut ainakin toisinaan ulos), kotikoneella kykkijät tuskin tarvitsevat ssh:ta ensinkään.
Toisekseen minähän en tässä keskustelussa ole väittänyt että palomuuri on aina _välttämätön_
Enkä minä sinulle alunperin vastannutkaan, jos luet ketjua taaksepäin niin sieltä ne väitteet löytyy...kommenttini ei ollut tarkoitettu sinulle henkilökohtaisesti, pahoittelen etten ilmaissut sitä tarpeeksi selvästi.
vaan aina hyödyllinen.
Riippuu tilanteesta. Palomuuri ei ole hyödyllinen, jos esim.
1. se estää palvelun tarkoituksenmukaisen käytön
2. se ei rajoita palvelun käyttöä mitenkään (aika usein olen törmännyt säätäjiin, jotka ovat asentaneet palomuurin palvelimen suojaksi, ja sitten puhkaisseet palvelimen käyttämät portit kokonaan auki, tällainen palomuurihan ei suojaa palvelinta millään tavalla).
3. ulkomaailman portteja kuuntelevia palveluja ei ole asennettu (vähäistä hyötyä voi olla siitä, että paketit pudotetaan hylkäämisen sijaan)
Ei tämä mikään "joko-tai"-asia ole.
Samaa mieltä. Mutta kuten olen aiemmin kommentoinut, tärkeintä on laittaa palvelimen asetukset kuntoon. Lisäsuojaa saa sitten halutessaan palomuurilla, edellyttäen että osaa laittaa myös sen asetukset kuntoon, eikä tarvitse rajoittaa tarpeettomasti "oikeaa käyttöä".
Teoriassa voi, juu. Kuitenkin näitä teoreettisia exploitteja käyttävät keskittyvät siihen palveluun joka pyörii tunnetussa portissa. Tämä "paranoidi" (oikeasti en ole kovinkaan paljon) ymmärtää myös todennäköisyyksien päälle.
Todennäköisyyksiä voi pienentää huomattavasti myös asettamalla palvelimet kuuntelemaan jotain muuta kuin "standardi"-porttia. Aina tämä ei ole tarkoituksenmukaista (esim. julkinen www-palvelin), mutta ainakin ssh:n voi yleensä huoletta hyppyyttää johonkin muualle kuin 22:seen.
-
Omassa palvelimessa riitti ihan hyvin kymmenkunta siivua sallittuja osoitteita muutamalle käyttäjälle ja itselleni.
Tällaisessa tilanteessa osoitteiden rajaus on varmasti ihan toimivakin lisäsuoja. Mielestäni rajauksen voi tehdä ihan mainiosti palvelimellakin, mutta eihän "tuplasuojauksesta" haittaakaan ole.
Sillehän ei voi mitään jos ylläpitäjä on käsi. Ei ole palomuurin vika eikä vähennä sen hyödyllisyyttä.
Eihän palomuurissa suojatyökaluna mitään vikaa olekaan, kyse on vain siitä milloin sen kytkeminen päälle koneessa on todella tarpeen (ja milloin siitä on todella hyötyä).
Aina ei ole kyse vain ylläpitäjän taidoista, joihinkin palveluihin palomuurirajaukset eivät vain ole kaikkein käytännöllisimpiä (esim. kaikille näkyväksi tarkoitettu www-palvelin. On tietysti eri asia kuinka moni kotikäyttäjä tällaista tarvitsee). Lisäksi koneellle säädetyn palomuurin hyödyllisyys on varsin rajallinen, jos kone sattuu olemaan jo rautapalomuurin takana.
Ja liian usein törmää asenteeseen, että "palomuurin takana olet turvassa, ilman palomuuria suojaton" ihan riippumatta palvelimen tai palomuurin asetuksista (tätä kommenttia ei ole kohdistettu sinulle).
Lainaus
3. ulkomaailman portteja kuuntelevia palveluja ei ole asennettu (vähäistä hyötyä voi olla siitä, että paketit pudotetaan hylkäämisen sijaan)
---
Ei vara venettä kaada.
Mahdollinen hyöty koneen piilottamisesta silloin kun koneella ei ole avoimia portteja ensinkään, on kyllä mielestäni niin pieni, ettei sen takia palomuuria tarvitse kytkeä päälle, vaikka harvemmin siitä haittaakaan on.
Jos osaa laittaa palvelut ojennukseen, ei siitä ole pitkä matka opetella vähän verkkopuolta. Jossei muuta hyödy niin oppii uusia vähemmän turhia asioita.
Uuden opettelussa ei tietenkään ole mitään väärää, lisää varmasti koneen turvallisuutta pitkällä tähtäimellä.
Sinänsä minua ei haittaisi, vaikka palomuuri olisi oletuksena ubuntussa päälläkin, tämä kun pakottaisi käyttäjät ainakin vähän pähkäilemään ennen kuin avaavat palvelimensa maailmalle. Mutta oletusasennuksen turvallisuutta se ei juuri lisäisi, mistä syystä se ei varmaan oletuksena olekaan päällä.
-
Toinen konsti on estää peräkkäiset yritykset samasta osoitteesta ja automaattisesti pistää ne jäähylle.
Miten tämä määritellään sshd_config:iin?
-
Toinen konsti on estää peräkkäiset yritykset samasta osoitteesta ja automaattisesti pistää ne jäähylle.
Miten tämä määritellään sshd_config:iin?
Fail2ban ohjelma on ainakin kätevä:
http://linux.fi/wiki/Fail2ban
-
Toinen konsti on estää peräkkäiset yritykset samasta osoitteesta ja automaattisesti pistää ne jäähylle.
Miten tämä määritellään sshd_config:iin?
Repoista löytyy myös 'denyhosts', jolla tuon saa toteutettua ilman palomuuria (lisäilee ilkiöt hosts.deny:hin), mutta ei fail2banissa mitään vikaa ole siinäkään, jos palomuuria käyttää.
Salasanakirjautumisen estämistä ja kuunteluportin muuttamista kannattaa myös käyttää, jos se suinkin on mahdollista.