Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Ohjelmointi, palvelimet ja muu edistyneempi käyttö => Aiheen aloitti: valtsu68 - 19.10.10 - klo:21.57
-
Terve
Räpelsin päätteellä jotain ja yllättäen Gedittiin avautui sysctl.conf.
Sitä vähän aikaa tavattuani tulin seuraavaan käsitykseen, että kommenttimerkinnän poistaminen joiltain riveiltä voi parantaa tietoturvaa.
Onko näin?
Onko kukaan käyttänyt tällaista optiota? Kokemuksia?
Haittoja / hyötyjä?
Tietoturvan parantuminen marginaalista vai merkittävää?
# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection.
# Do not send ICMP redirects (we are not a router)
# Do not accept IP source route packets (we are not a router)
-
Uppia. Otsikkokin muutettu populistisemmaksi ;D
Aika selvähän tuo on, mutta onko näillä mitään oikeaa vaikutusta?
Missähän ympäristöissä noista on haittaa, ts. miksi eivät ole oletuksena päällä, ts. miksi tuollainen liikenne oletuksena sallitaan?
-
en tiedä, otin kommentit pois kaikesta mitä tuolta löyty eikä tässä ainakaan mitään ongelmia ole tullut (vielä)
-
en tiedä, otin kommentit pois kaikesta mitä tuolta löyty eikä tässä ainakaan mitään ongelmia ole tullut (vielä)
Jospa se sitten minäkin jo tohtisin koettaa. Virtuaalista otin minäkin nuo heti pois kun löysin... ;)
-
Räpelsin päätteellä jotain ja yllättäen Gedittiin avautui sysctl.conf.
Sitä vähän aikaa tavattuani tulin seuraavaan käsitykseen, että kommenttimerkinnän poistaminen joiltain riveiltä voi parantaa tietoturvaa.
Onko näin?
Onko kukaan käyttänyt tällaista optiota? Kokemuksia?
Haittoja / hyötyjä?
Tietoturvan parantuminen marginaalista vai merkittävää?
Ominaisuuden täytyy liittyä avahi-daemonin hoitamaan mDNS-ominaisuuteen, se hoitaa IGMP-pakettien lähettämisen ja vastaanottamisen UDP-portteihin 5353 ja 52521.
mDNS on ominaisuus, jolla lähiverkkoon kytketyt laitteet pystyvät keskustelemaan keskenään vaikka laitteilla ei olisi ip-osoitteita, se mahdollistaa myös multicastin.
mDNS-ominaisuus voi olla kätevä suljetussa ad-hock-verkoissa joissa ei ole DHCP:tä, mutta kääntöpuolena on tietoturvariski virusten ja DNS-väärenöksen muodossa (palvelu haetaan mDNS:n kautta jos sitä ei muuten saada).
Useimiten viisainta onkin poistaa avahi-daemon, se hoituu roottina seuraavasti:
Listataan kuuneltavat portit
netstat -anp | grep -e tcp -e udp
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1109/cupsd
tcp6 0 0 ::1:631 :::* LISTEN 1109/cupsd
udp 0 0 0.0.0.0:68 0.0.0.0:* 887/dhclient
udp 0 0 0.0.0.0:5353 0.0.0.0:* 864/avahi-daemon: r
udp 0 0 0.0.0.0:52521 0.0.0.0:* 864/avahi-daemon: rSammutetaan avahi stop avahi-daemonTarkistetaan että avahi sammui
netstat -anp | grep -e tcp -e udp
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1109/cupsd
tcp6 0 0 ::1:631 :::* LISTEN 1109/cupsd
udp 0 0 0.0.0.0:68 0.0.0.0:* 887/dhclient Poistetaan avahi update-rc.d -f avahi-daemon remove
Jotta adsl-purkki ei myös kysele/lähettele IGMP-paketteja, kannattaa sieltä disabloida IGMP-välityspalvelu kokonaan, se omalta osaltaan pienentää riskiä lähiverkon koneiden saastumiselle.
Lisää asiasta voi lukea oheisista linkeistä
http://en.wikipedia.org/wiki/Zero_configuration_networking
http://rationallyparanoid.com/articles/ubuntu-10-lts-security.html