Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Asentaminen ja käyttöönotto => Aiheen aloitti: realbrojericho - 01.08.10 - klo:21.12
-
Mikäli lupaus halutaan lunastaa, että Ubuntu on ihmisille ja helppokäyttöinen jne. Niin sanottakoon, että monet vanhemmat ihmiset olettavat Linuxin kuin Linuxin pärjäävän ilman mitään twiikkausta. Ilokseni näin Kurpan ohjeistusta shelli-skripteistä ja muusta sellaisesta. Eikö olisi yksinkertaista tehdä Ubuntuun jokin valikko, joka vakiona kysyisi millaisen tietoturvan käyttäjä haluaa ja sitten tämä skripti voisi säätää IPTABLESit jne asetukset sellaiseen kuntoon, että oikeasti ohjelman käyttäjä (vaikka vanhempi ihminen) voisi ymmärtää, että nyt kun klikkaan raksin tuohon, niin defaultista tulee tällanen ja tällanen...
Tietty Linux on Linux eikä siitä mihinkään pääse, mutta tulipahan vain mieleen erään vanhemman ihmisen läppäriin ubuntua asentaessa, että eihän tuosta tietoturvahommasta mainita kovin lujasti. Mielestäni siitä voisi mainita vähän isommilla huutomerkeillä. Itse ainakin 3G -modeemilla ja tietämättömyyden auvoisellla ajalla (jonka jälkeen olen _ehkä_ jotain oppinut tai sitten en). siitä, että Ubuntusta puhutaan liian täydellisenä käyttöjärjestelmänä. Aivan kuin puhuttaisiin rautapalomuurista, jossa on käyttöjärjestelmä....
Olen vain miettinyt pitäisikö tuosta olla enemmän informaatiota, vai olisiko se sitten niin että tukihenkilöiltä loppuisi työt jos olisi liian helppo tietoturva? ;)
ps. En osannut välttämättä valkata tälle oikeaa aihealuetta... (eli saa siirtää jos sopii muualle paremmin)
-
Ubuntullehan ei ole viruksia juuri yhtään, joten et tarvi minkäänlaisia toimenpiteitä tietoturvan suhteen, ellet ylläpidä palvelinta...
-
Hmmm... Lukemani ohjeet Ubuntun Default asetuksiin koskevat Desktop -versiota. Sitä kun vielä kaikki haluavat käyttää.
Ja itse asensin ubuntuun aikoinaan jonkin hyökkäysten näyttävän ohjelman, niin ainakin 3g-modeemilla hyökkäykset olivat jatkuvia. Silloin ubuntun versio oli jotain 7-8 luokkaa. Kun en muista. Onhan siitäkin tuolla oppaissa kyllä, mutta Ei Ubuntu Destop mielestäni sinällään mikään tietoturvallisuutta defaulttina antava ohjelmisto. Jos siis nyt painotetaan sitä helppokäyttöisyyttä. Olisi vain kivempi kavereillekin sitä asentaa jos olisi tällainen vaihtoehto, valmiit luotettavat tieturva-asetukset tai sitten joku valmis ajettava skripti jossa olis vaikka kolme vaihtoehtoa.
Ubuntun multimedia ja helppokäyttöisyys antaa ymmärtää, että mitään tietoturvauhkia ei ole olemassakaan. (Puhun juuri näistä vanhemman ikäpolven ihmisistä, jotka haluavat Ubuntun siksi, että siinä ei ole mitään uhkia.)
-
Täysi uhkattomuus on täysin mahdotonta, mutta linuxia turvallisempaa et löydä. Jos asia on niin vaikea, siirry windosiin. Siiä ei tarvi miettii onko uhkia – niitä on takuuvarmasti!
-
Ja itse asensin ubuntuun aikoinaan jonkin hyökkäysten näyttävän ohjelman, niin ainakin 3g-modeemilla hyökkäykset olivat jatkuvia. Silloin ubuntun versio oli jotain 7-8 luokkaa.
Vaikka olisi mikä käyttöjärjestelmä on koko ajan tulossa hyökkäyksiä.
Hakkerit lähettävän niitä sattumanvaraisiin ip-osoitteisiin , mutta ne on tarkoitettu suurin osa windowsille.
-
Ja itse asensin ubuntuun aikoinaan jonkin hyökkäysten näyttävän ohjelman, niin ainakin 3g-modeemilla hyökkäykset olivat jatkuvia. Silloin ubuntun versio oli jotain 7-8 luokkaa.
Vaikka olisi mikä käyttöjärjestelmä on koko ajan tulossa hyökkäyksiä.
Hakkerit lähettävän niitä sattumanvaraisiin ip-osoitteisiin , mutta ne on tarkoitettu suurin osa windowsille.
Luetaanko porttiskannaukset hyökkäyksiin? Niitähän satelee jatkuvasti, ainakin jos ahkerasti vierailee esim. navanalussivustoilla.
-
Täysi uhkattomuus on täysin mahdotonta, mutta linuxia turvallisempaa et löydä. Jos asia on niin vaikea, siirry windosiin. Siiä ei tarvi miettii onko uhkia – niitä on takuuvarmasti!
Niinno, olen nähnyt (joku tovi sitten) hyökkäyskoodia erilaisilla exploit-sivuilla joka oltiin suoraan kohdistettu Ubuntun ja Fedoran uusimpia versioita kohtaan. Mikäli systeemi ei kuuntele mitään portteja (kuten Ubuntun oletus) niin silloin ollaan kyllä hyvin turvassa, lisäksi voi toki asettaa palomuurin estämään kaikki ulkoapäin tulevat yhteysyritykset.
Turvallisin systeemi, jota itselle tulee mieleen, lienee tässä http://www.openbsd.org/ ;)
-
Palomuurin säätöön voi halutessaan laittaa vaikka gufw:n. Näkyy olevan nykyään suomennettukin, mutta siis Ubuntussa ei oletuksena ole mitään ohjelmia, jotka kuuntelisivat portteja. Pahin uhka on se, että jossain ohjelmassa on aukko tai käyttäjä tekee tyhmyyksiään. Aukot kyllä paikataan, kun sellainen huomataan.
-
Sikäli kun olen oikein tutkinut kirjoittelua Ubuntusta, niin alussa esitetyt konstit, "vanhempien käyttäjien" koneessa, ovat yhdentekeviä. Tarpeettomien ohjelmien asentaminen tietoturvan nimissä on taasen yleisesti ottaen lievästi haitallista.
Näinollen ei voi sanoa, että Ubuntusta olisi turhaan tehty liian vaikea tai että sen tekemisessä olisi laiskoteltu.
Turvallisuuskysymyksissä pitää analysoida mitkä ne todelliset riskit ovat, miten niitä kutakin voi eliminoida ja mitkä ovat lopulta realistisisesti toteutettavissa "vanhemman käyttäjän" tapauksessa. Näistä voisi tietysti kirjoittaa pitkästikin. Lopulta jäljelle jäävät konkreettiset riskit lienevät: phishing, spammiin reagoiminen ja yleiset turva-asetukset (vaikkapa Facebookissa tai kaikissa salasanoissa).
Pikaratkaisut näihin:
phishing - koulutus, järjenkäyttö
spam - käytä G-mailiä
yleiset turva-asetukset - koulutus, järjenkäyttö
Ubuntun omista ongelmista jää jäljelle ainoastaan ohjelmistojen turva-aukot. Niidenkin merkitys pysyy hallinnassa jos edellisissä kohdissa ei hölmöillä. Omassa aliverkossa ajaminen, jollakin halvalla purkilla, nostanee myös turvatasoa, ainakin on helposti toteutettavissa.
-
Kröhömm.... Aluksi haluan muistuttaa, että kyse ei ollut mistään Ubuntun dissaamisesta. Kyllä Iptables tai ulkoinen palomuuri on aina mahdollista toteuttaa, mutta kun satuin näkemään täälläkin pyörivien moderaattorien ohjeita Ubuntu Desktop -version tietoturvaparanteluun.
Mietin osittain ääneen miten jotain tuollaista voisi asentaa Ubuntuun. Kun itsellä oli ongelmia Ubuntun tietoturvan kanssa, niin laitoin ohjeet juuri siten kun foorumilta löysin ja tukkoon meni. Annoin olla. Siitä on nyt siis jo _pidempi_ aika. En ole asentelemassa BSD-versioita firman asiakkaiden koneiseen, jotka haluavat helppokäyttöisyyttä.
Oikeastaan vastauksia lukiessa tuli mieleen, että mikäli tahtoo sen viimeisen silauksen Ubuntun tietoturvaan tehdä (joka on netissä), niin se on sitten kyllä asentajan tehtävä. Joko pro bono, tai sitten minimihinnalla. Tässä tapauksessa jäisi jäljelle tyytyväinen käyttäjä, asentaja, eikä olisi kyse riistosta, esim. 100 € tuntipalkka-asenukseta.
En käytä itse Ubuntua, mutta mieluusti asennan sitä muille. Myös "vanhemmille" käyttäjille. Mikäli sellaisen haluavat. Kurpan ohjeita soveltaen tai jotain muuta. Vähän sama kun windowssin esiasennus, mutta haetaan javat ja muut samalla ettei käyttäjän tarvitse enää. Tai sitten pitää vain sanoa: "Tuossa on ohjeet jos haluut olla niin älyttömän varma siitä tietoturvastasi!" ;D
-
Vaikka sitä ei käytännössä tarvitakaan, niin tietoturva-asiaa voisi kuitenkin sivuta joko asennuksen yhteydessä tai ensimmäisessä käyttöönotossa? Joku lyhyt ja ytimekäs esitys, jossa kerrotaan, ettei normaalissa kotikäytössä tarvita palomuuria tai virusohjelmaa, mutta jos sellaiset silti haluaa, niin sitä varten sitten "klikkaa tästä" -tyyppiset ratkaisut. Mahtaisikohan toimia?
Ehkä myös/tai linkki sivulle, jossa Linuxin tietoturvallisuus selitetään lyhyesti ja ytimekkäästi.
-
Vaikka sitä ei käytännössä tarvitakaan, niin tietoturva-asiaa voisi kuitenkin sivuta joko asennuksen yhteydessä tai ensimmäisessä käyttöönotossa? Joku lyhyt ja ytimekäs esitys, jossa kerrotaan, ettei normaalissa kotikäytössä tarvita palomuuria tai virusohjelmaa, mutta jos sellaiset silti haluaa, niin sitä varten sitten "klikkaa tästä" -tyyppiset ratkaisut. Mahtaisikohan toimia?
Ehkä myös/tai linkki sivulle, jossa Linuxin tietoturvallisuus selitetään lyhyesti ja ytimekkäästi.
http://fi.wikibooks.org/wiki/Ubuntu_tutuksi/Ohjelmat#Tietoturva
-
Eiköhän noiden edellisten kommenttien pointti ollut lähinnä se, että tietoturva ei ole mitään yhteismitallista yhtä mössöä. Tietoturvassa pitää:
a) Kohdistaa toimenpiteet tilanteen mukaan.
b) Keskittyä oleelliseen.
Näistä:
a) Jos harrastetaan Linuxia, minun puolestani ihan sama mitä kukakin tekee. Jos "vain käytetään kotona " tai "pystytellään nettiservereitä" tai "asennetaan yrityksen koneita", ollaan täysin eri tilanteessa. Itse puhuit "vanhemmista käyttäjistä" joten vastasin vain siihen tilanteeseen.
b) Tietoturvaan, niin kuin ei mihinkään muuhunkaan, ei ole olemassa rajattomia resursseja. Kaikkea ei voi toteuttaa, vaan pitää priorisoida, mikä vaatii terveen järjenkäyttöä tai myös tietoa.
Ylimääräiset "tietoturvatoimenpiteet" ovat haitallisia. Esimerkiksi yrityksissä saatetaan laittaa taitamattomasti päälle kaikenmaailman turhanpäiväisiä juttuja, jotka estävät käyttäjän toimenpiteitä aivan turhaan. Tällöin käyttäjät käyttävät kiertokonsteja, jotka saattavat olla huomattavasti vaarallisempia kuin edellä kielletty käyttö. Tämä on vain yksi esimerkki, mutta tämä on yksi turvallisuussuunnittelun perusteista - pitää ymmärtää mitä on tekemässä ja miksi.
Kotikäytössä tällaisista palomuureista ei välttämättä ole tällaista haittaa, varsinkaan jos käyttäjä "ei osaa mitään", ei edes osaa hakea vaarallisia kiertokonsteja ja porttien sulkeminen ei edes vaikuta mihinkään mitään, mutta sittenkin jos turhanpäiväiseen konfigurointiin käytetty raha (100 eur) on pois esimerkiksi 50 euron palomuuripurkin ostamisesta, niin tällä toimenpiteellä on itse asiassa huononnettu tietoturvaa. Lopuilla 50 eurolla voisi suorittaa vaikkapa kansanopistossa kurssin, jossa kerrotaan yleisiä periaatteitä phishing-, spam- ja salasana-asioista.
-
En silloin tämänkään vertaa linuxeista ymmärtänyt kuin nyt, mutta itse asensin peruskokooonpanolla ohjelman, jonka olin asentanut myös "vanhemmalle ihmiselle", joka oli ostanut eräästä firmasta kannettavan (jossa silloin olin). Laitoin peruskokoonpanon ja lisäpluginit multimediaan mitä katsoin suoraan ubuntun ohjeista.
Myöhemmin kun asensin itselleni about samanlaisen kokoonpanon ja 3G-modeemin. Silloin jonkin statistiikkaa ja hyökkäyksiä näyttävä ohjelma näytti minulle, että ainakin kovasti portteja skannataan ja varmaan yritetään muutakin. Jollei ollut sitten sitä kuuluisaa "netin taustahälinää". Jälkeenpäin opiskellessani Linuxin distribuutioita, säätöä jne. lisää niin jäin miettimään kuinka monella muulla peruskäyttäjällä on sitten asentamatta ne muutamat hyödylliset pienet säädöt jotka vaikka shellissä voisi toteuttaa (?)
En sitten tiedä miksi silloin 3G houkutteli niin ja niin paljon kiinnostuneita koneelleni. Opiskeltuani tietoturvaa erikseen, on tullut vain tällainen juttu mieleen, mutta jos te vannotte (myös gurut), että peruskäytössä ja netissä Ubuntu on turvallinen niin kai sellaisen sitten voi vanhemmallekin ihmiselle asentaa, tai ihmiselle, joka ei tiedä yhtään mistään mitään.
Ehkä itselläni oli sitten vain huono tuuri.
ps. Alapääkuvasivut ei kyllä kiinnosta tai muut epäilyttävät kun niitä asioita varten on olemassa esim. tyttöystävä. Tyttöystävä on tosin vaarallisin tietoturvan tuhoaja, koska ne pirskatti vieköön käyvät läpi kaikki maailman naamakirjat.
ps2. Toistan vielä, että omana tarkoituksenani ei ollut flamettaa tai hyökätä Ubuntua kohtaan distrona, vaan mietin miten valmiin tietoturvan saa helpoiten vaikkapa vanhemmalle ihmiselle jos nyt vain silloin tuntuu siltä, että pakkohan tuota miestä on auttaa tässä asiassa, niin tekeehän sen mieluusti pro bono.
ps3. Eivät nuo vanhat miehet mielellään osta mitään ylimääräistä jos naapuri on kerran sanonu että "Ei niissä Linuxeissa tarvi mitään ku kaikki on valmiina."
Ubuntu sattuu vain olemaan niin helppo ja antaa tällaisille ihmisille jollaintapaa väärän kuvan koko jutusta. Eli ehkä päälauseeni onkin tämä: "Helppokäyttöinen Linux ei ole sama kuin 1000 euron teräspalomuuri." (Pahoittelen karrikointia. Yritän vain selventää kantaani)
-
3G:ssä ja perinteisessä laajakaistassa on se ero, että 3G:ssä kone on suoraan netissä, kun taas useimmissa ADSL-modeemeissa on jonkin näköinen palomuuri mukana. 3G:n kanssa voi halutakin sen palomuurin, vaikka sittenkään siellä ei ole ohjelmia niitä portteja kuuntelemassa, joten sillä ei ole käytännössä väliä. Toki sen saa laittaa. ADSL:n kohdalla kannattaa valita sellainen laite jossa on se palomuuri. Täällä on käytössä uusi (edellinen paloi) Telewellin ADSL, jossa on natti ja jotain muutakin palomuuri hommaa (en tarkemmin ole vielä ihmetellyt).
-
3G:ssä ja perinteisessä laajakaistassa on se ero, että 3G:ssä kone on suoraan netissä, kun taas useimmissa ADSL-modeemeissa on jonkin näköinen palomuuri mukana. 3G:n kanssa voi halutakin sen palomuurin, vaikka sittenkään siellä ei ole ohjelmia niitä portteja kuuntelemassa, joten sillä ei ole käytännössä väliä. Toki sen saa laittaa. ADSL:n kohdalla kannattaa valita sellainen laite jossa on se palomuuri. Täällä on käytössä uusi (edellinen paloi) Telewellin ADSL, jossa on natti ja jotain muutakin palomuuri hommaa (en tarkemmin ole vielä ihmetellyt).
Hyvä täsmennys!
Ehdotin kerran eräälle 3G:n omistajalle vastaavaa laitetta, joka vahvistaa 3G:tä ja sisältää palomuurin jne.
Sitten tullaan taas laitteisiin kun nekin voivat olla mitä vastaan sattuu. Asuessani yliopiston tarjoamassa kämpässä oli kyllä parempi olla tietoturva valmiina ennen kun lykkäsi siihen oppilaiden yhteiseen verkkoon yhtään johtoa. Sori offtopic. Tuli mieleen, että sillä vanhempaa sukupolvea edustavalla miehellä taisi olla aika surkea ISP:n tarjoama modeemi.
Itsellä ollut erityisesti laitepuolella turhan paljon ongelmia näiden ADSL/CABLE -laitteiden kanssa ja koska itse teen sellaista juttua (kunhan tilatut osat vain jo saapuisivat), joka ei edes kuulu tälle alueelle...
Tulipahan ainakin itselle miettimisen aihetta tästä ketjusta ja kiitos kaikille osallistuneille. Mietin vain juuri sitä esimerkiksi, kun on tullut tilattua ihan sitä käyttöä varten Ubuntuja painettuna, että tiedän sitten miten toimia jos joku haluaa koneeseensa helppokäyttöisen Linuxin. Desktop-sellaisen.
-
...
ps2. Toistan vielä, että omana tarkoituksenani ei ollut flamettaa tai hyökätä Ubuntua kohtaan distrona, vaan mietin miten valmiin tietoturvan saa helpoiten vaikkapa vanhemmalle ihmiselle jos nyt vain silloin tuntuu siltä, että pakkohan tuota miestä on auttaa tässä asiassa, niin tekeehän sen mieluusti pro bono.
ps3. Eivät nuo vanhat miehet mielellään osta mitään ylimääräistä jos naapuri on kerran sanonu että "Ei niissä Linuxeissa tarvi mitään ku kaikki on valmiina."
...
ps2. En ole sellaista kuvitellutkaan. Olen vain omalta puoleltani halunnut kärjistää mitä olen ymmärtänyt että on ja mitä ei ole - toivottavasti gurut korjaavat jos tarpeen. Tällaista yksityiskohtiin menevää tietoturvakeskustelua on aivan liian vähän. Se on mielestäni hyvä tapa vetää selvää hajurakoa Windows-maailmaan.
ps3. Niinpä. Ubuntussa KAIKKI ei ole valmiina. Tai siinä on valmiina myös ohjelmistobugit samalla tavalla kuin missä muussa järjestelmässä tahansa. Esimerkiksi, kukapa tietää mitä Adobe Flash, jota Ubuntussakin käytetään, tekee ja miten vuotaa? Kyseinen puljuhan on kunnostautunut lähihistorian reikäisimpien tuotteiden tekijänä, jota Apple ei edes suostu koneisiinsa asentamaan, miksei sitten Ubuntussakin sitä tarvitsisi pelätä? Edellinen vain yhtenä esimerkkinä. Tässä mielessä turvapäivitysten kanssa pitää olla tarkkana eikä niitä saa unohtaaa - vaikka muiden asioiden huomioonottaminen (kuten aiemmin kommentoin) vähentääkin todellisia riskejä. Voi olla, että ns. palomuuri/reititin/NAT-laatikotkin pitävät jonkun madon poissa koneelta.
-
En sitten tiedä miksi silloin 3G houkutteli niin ja niin paljon kiinnostuneita koneelleni. Opiskeltuani tietoturvaa erikseen, on tullut vain tällainen juttu mieleen, mutta jos te vannotte (myös gurut), että peruskäytössä ja netissä Ubuntu on turvallinen niin kai sellaisen sitten voi vanhemmallekin ihmiselle asentaa, tai ihmiselle, joka ei tiedä yhtään mistään mitään.
Tuli tässä mieleen tuo Firefoxin (vai oliko sittenkin Operan) yksityinen selaus, vai mikä se nyt olikaan, tila. Osaisikohan joku kertoa miten se toimii? Voisi olla omiaan nettiselaamisen tietoturvan parantamiseksi.
ps. Alapääkuvasivut ei kyllä kiinnosta tai muut epäilyttävät kun niitä asioita varten on olemassa esim. tyttöystävä.
No mutta, eihän kyse ole joko-tai asiasta.
Ja löytyyhän sitä videonakin.
Esimerkiksi, kukapa tietää mitä Adobe Flash, jota Ubuntussakin käytetään, tekee ja miten vuotaa? Kyseinen puljuhan on kunnostautunut lähihistorian reikäisimpien tuotteiden tekijänä, jota Apple ei edes suostu koneisiinsa asentamaan, miksei sitten Ubuntussakin sitä tarvitsisi pelätä?
Nuo Applen ja Adoben keskinäiset kahnaukset eivät varmaankaan ole tietoturvakeskustelun kannalta kovin oleellisia.
-
...
Esimerkiksi, kukapa tietää mitä Adobe Flash, jota Ubuntussakin käytetään, tekee ja miten vuotaa? Kyseinen puljuhan on kunnostautunut lähihistorian reikäisimpien tuotteiden tekijänä, jota Apple ei edes suostu koneisiinsa asentamaan, miksei sitten Ubuntussakin sitä tarvitsisi pelätä?
Nuo Applen ja Adoben keskinäiset kahnaukset eivät varmaankaan ole tietoturvakeskustelun kannalta kovin oleellisia.
Toivottavasti eivät Linuxin kannalta, mutta tämähän olikin vain esimerkki potentiaalisesta, osittain jopa ulkoisesta tietoturva-aukosta.
Tosin Windows-maailmassa on ihan oleellinen tietoturvakeskusteluasia.
-
Toivottavasti eivät Linuxin kannalta, mutta tämähän olikin vain esimerkki potentiaalisesta, osittain jopa ulkoisesta tietoturva-aukosta.
Tosin Windows-maailmassa on ihan oleellinen tietoturvakeskusteluasia.
Tai siis, Applen ja Adoben riidoilla ei ole tietoturva-asioiden kanssa tekemistä.
-
ps3. Niinpä. Ubuntussa KAIKKI ei ole valmiina. Tai siinä on valmiina myös ohjelmistobugit samalla tavalla kuin missä muussa järjestelmässä tahansa. Esimerkiksi, kukapa tietää mitä Adobe Flash, jota Ubuntussakin käytetään, tekee ja miten vuotaa? Kyseinen puljuhan on kunnostautunut lähihistorian reikäisimpien tuotteiden tekijänä, jota Apple ei edes suostu koneisiinsa asentamaan, miksei sitten Ubuntussakin sitä tarvitsisi pelätä? Edellinen vain yhtenä esimerkkinä. Tässä mielessä turvapäivitysten kanssa pitää olla tarkkana eikä niitä saa unohtaaa - vaikka muiden asioiden huomioonottaminen (kuten aiemmin kommentoin) vähentääkin todellisia riskejä. Voi olla, että ns. palomuuri/reititin/NAT-laatikotkin pitävät jonkun madon poissa koneelta.
Oletin itse muutaman kommenttisi väärin, mutta huomasin että lopulta samoilla linjoilla ollaan. Usein tämä on juuri ketjuissa se juttu, että pitää puhua useampaan kertaan ja sitten henkilöt huomaavat olevansa tietyllä tasolla samaa mieltä ja minustakin tietoturvakeskustelua on ollut Linux -puolella aivan liian vähän saati jos alamme tosiaan puhua testipalvelimista, kotiverkoista, mikä portti auki ja mikä kiinni...
Tässä nyt kärjistetty esimerkki: Yleensä esim. palvelin/palomuurikone jätetään ilman ikkunointisovellusta tai flashia, mutta nykyaikana netin selaus on vaikeaa ilman, että flashia tjsp. ei ole. Se on ärsyttävää. Parempi olla siis useampi kone. Ne koneet/palomuuriboksit, jotka pysäyttelevät sekä script-kiddies-porukkaa ja ihan muuten psyko-blackhat-meininkejä ;D En tiedä kuinka aukoton konfiguroitu esim. ipcop on, mutta ainakin olen nähnyt ihmisten käyttävän wintoosaakin sen takana. Tosin niissäkin omat tietoturvaohjelmansa....
Hienoa kuitenkin että aiheesta saatiin keskustelua ja maailman pelottavin lause on kuulla vaikkapa lääkäriltä, joka käyttää sähköpostia, wlania, potilastietoja siellä jne:
"Ei minulla ole mitään salattavaa."
Toinen pelottava lause on.
"En ole päässyt vastaamaan viestiisi kun en tiedä mikä virus koneessani on."
Ensimmäistä juttua en ole kuullut lekurilta, mutta jälkimmäisen olen ja silloin olisi tehnyt mieli kysyä, että millä alustalla ja miten sinä oikein koneeltasi niitä lääkehallinnon posteja lähetät?
-
Tämä threadi vähän rönsyilee asiasta toiseen, mutta heitetäänpä omakin mielipide sekaan.
Millekään Linux -jakelulle, mukaanlukien Ubuntulle ei ole olemassa oikeastaan ainuttakaan aktiivisesti leviävää ja vaaran aiheuttavaa uhkaa. Tietoturva-asioista on toki hyvä puhua ja tiedottaa jos kiinnostusta siihen riittää.
Periaatteessa asiassa on kaksi eri puolta. Linuxin tietoturva on kaukana täydellisestä ja suunnittelussa on kyllä oikeastaan pari selvää mokaakin. Linuxille olisi luultavasti mahdollista kehittää jonkinlainen toimiva, vaikkakin ehkä lyhytikäinen haittaohjelma, joka aiheuttaisi käyttäjälle oikean uhan esimerkiksi arkaluontoisten tietojen kaappaamisen valossa. Tämä teoriassa.
Käytännön tasolla sille naapurin Matille, jolle Ubuntu eli "se turvallinen käyttöjärjestelmä" asennetaan on kuitenkin tärkeämpää opettaa havaitsemaan esim. erilaisia phishing -yrityksiä ja muistuttaa, että esimerkiksi verkkopankin tunnuksia ei anneta mille tahansa sivulle. Tällä hetkellä ja lähitulevaisuudessakin riski malware -tartuntaan linuxilla on kuitenkin niin häviävän pieni, että sen suhteen voidaan yleistää linux -jakeluiden olevan "turvallisia" peruskäyttöön ilman suurempia toimenpiteitä.
-
***Pelkkää sillisalaattia oli viestini ja turhaa ideointia, joka ei edes sopinut ketjun asialliseen linjaan***
-
Ja tämäkin viesti olisi kuulunut palvelinpuolelle. Tulee vähän siistimpää, sillä allaoleva henkilö tiivistää tietoturvan joka kerta niin hyvin, että se tuntuu samalta kuin seinänläpi tunkeva vauvannyrkki. Siistin nyt omia sotkuja & yritän jättää eri asiat eri kohtiin.
Pyydän anteeksi assosioivaa ajattelutapaani. En ole kovin matemaattisjärki-ihminen vaan ideoiva enemmänkin. Annetaan ammattilaisten puhua.
-
Mielestäni tällä palstalla on nyt useampikin henkilö ilmaissut kantansa siitä mikä Ubuntun tietoturvassa on oleellista ja mikä ei ole oleellista - silloin kun kyseessä on tavanomainen "vain käyttö". Tutki niitä.
Mutta ei kai kukaan halua väittää että Win 7:n tietoturvassa palomuurit, haittaohjelmien poistot, turvapäivitykset, viruskannerit, USB-median ohjelmakäynnistysten estot ja niiden monikerrat, Microsoftin tekeleet ja erikseen hankitut, olisivat epäoleellisia. Kaikkihan ne ovat oleellisia siinä maailmassa - hyvä jos riittävätkään. Normaalissa yritysympäristössä kaikki nämä ovat tavalla tai toisella toteutettuja ja tehty pakolliseksikin - osin yrityksen verkossa toimiessa ja toisella tavalla sitten kun kone ei ole kytketty yrityksen verkkoon. No joo, Vista / Win 7 ympäristössä tähän pitää vielä lisätä UAC-asetukset, jotka ovat osin mahdottomia toteuttaa. ... no joo, näissähän sitä riittää tekemistä ...
-
Niin, mikä olisi sellainen toimenpide mitä kannattaisi tehdä tietoturvan parantamiseksi Ubuntussa?
En ole kuullut että kenelläkään olisi ollut ongelmia perus asetuksilla olevan Ubuntun kanssa, omakohtaisia kokemuksia on sellaisissa tilanteissa jossa olen itse aiheuttanut vapaan pääsyn koneelleni mutta siihen ei taida mikään softa tai säätö auttaa jos ei ole huolellinen sen kanssa mitä tekee.
Perus järjenkäyttö on avainasemassa, älä siis mene sivuille ja asenna uutta huippuhienoa sovellusta joka tarjoaa vielä ilmaisen iphonen kaupan päälle vaan käytä pakettivarastoa ohjelmien asennukseen.
-
3G:ssä ja perinteisessä laajakaistassa on se ero, että 3G:ssä kone on suoraan netissä, kun taas useimmissa ADSL-modeemeissa on jonkin näköinen palomuuri mukana.
Koska kukaan muu ei suosittele, niin minä suosittelen Raimon asetuksia. Etenkin silloin kun ollaan suoraan netissä, vaikka oletuksena ei avoimia portteja olekaan, eikä kuunnella mitään oletuksena.
Mini howto netfilter/iptables -palomuuri (Luettu 27390 kertaa) (http://forum.ubuntu-fi.org/index.php?topic=4107.0)
Ei foliohatusta haittaa ole, jos se ei varjosta koko olemista. ;D ( ja tarkoitan tuossa sitten itseäni )
-
Tuo Raimon suosittelema testisivu ei ole enää voimassa. Missähän nykyisin voisi testata?
-
Koska kukaan muu ei suosittele, niin minä suosittelen Raimon asetuksia. Etenkin silloin kun ollaan suoraan netissä, vaikka oletuksena ei avoimia portteja olekaan, eikä kuunnella mitään oletuksena.
Mini howto netfilter/iptables -palomuuri (Luettu 27390 kertaa) (http://forum.ubuntu-fi.org/index.php?topic=4107.0)
Ei foliohatusta haittaa ole, jos se ei varjosta koko olemista. ;D ( ja tarkoitan tuossa sitten itseäni )
Kiitos foliohatusta. Kun pitää valmistella 2 vko:n tietoturvaesitys ja esittää se, niin tulee itsellekin tarve foliohattuun. :D Yksinkertaisesti kiitos. Opettajani saa kenet tahansa pitämään foliohattua. <3 :D
-
Tuo Raimon suosittelema testisivu ei ole enää voimassa. Missähän nykyisin voisi testata?
Google haku, port skanner. (http://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=port+Skanner) GRC Shieds Uppia olen itse käyttänyt joskus.
Kun pitää valmistella 2 vko:n tietoturvaesitys ja esittää se, niin tulee itsellekin tarve foliohattuun. :D Yksinkertaisesti kiitos. Opettajani saa kenet tahansa pitämään foliohattua. <3 :D
Lisää materiaalia tietoturvaesitykseen. (http://forum.ubuntu-fi.org/index.php?topic=33736.0)
-
Tuo Raimon suosittelema testisivu ei ole enää voimassa. Missähän nykyisin voisi testata?
Google haku, port skanner. (http://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=port+Skanner) GRC Shieds Uppia olen itse käyttänyt joskus.
Kun pitää valmistella 2 vko:n tietoturvaesitys ja esittää se, niin tulee itsellekin tarve foliohattuun. :D Yksinkertaisesti kiitos. Opettajani saa kenet tahansa pitämään foliohattua. <3 :D
Lisää materiaalia tietoturvaesitykseen. (http://forum.ubuntu-fi.org/index.php?topic=33736.0)
Heh, No ainakin jos haluan Ubuntua käyttää tai löytyy toinen propellihattuinen, niin tiedän jotain mitä voin ainakin nopeasti tehdä. BTW. Tuo mitä tuossa threadissa on saa naurattamaan sikäli, että noita koputuksia nyt ainakin tulee jne. Onhan tästä aiheesta selkeästi ennenkin puhuttu, mutta nyt tietoturva Ubuntussa on enemmänkin tabu ja siihen sanottakoon:
"Who wants to wake up the sleeping dog?"
-
Jotenkin on nyt ihan pakko itsekkin avautua tässä viestiketjussa :)
[mielipide]
Nykyaikaisen käyttöjärjestelmän tietoturvan heikoin lenkki on kyseistä järjestelmää käyttävän henkilön osaaminen.
Kaikista oleellisinta on siis henkilöstön/koneen käyttäjien asianmukainen kouluttaminen aiheeseen.
[/mielipide]
-
Jotenkin on nyt ihan pakko itsekkin avautua tässä viestiketjussa :)
[mielipide]
Nykyaikaisen käyttöjärjestelmän tietoturvan heikoin lenkki on kyseistä järjestelmää käyttävän henkilön osaaminen.
Kaikista oleellisinta on siis henkilöstön/koneen käyttäjien asianmukainen kouluttaminen aiheeseen.
[/mielipide]
Keskellä korpea se yli 50-vuotiaan sairaseläkkeellä olevan miehen koulutus on vähän niin ja näin. Jos se haluaa Ubuntun kaikesta huolimatta niin se saa sen. Joissain tapauksissa voi tietysti kiristää nyörejä, ettei ko. käyttäjä sotke sitä.
-
Tuo Raimon suosittelema testisivu ei ole enää voimassa. Missähän nykyisin voisi testata?
Siellä ohjeessa on alempana lisää.
Testerit:
http://probe.hackerwatch.org/probe/probe.asp
http://www.grc.com/default.htm valitse ShieldsUp! -> Proceed -> All Service Ports
http://www.dslreports.com/scan (vaatii Javan)
https://whacker4.hackerwhacker.com/quickscan.php
-
...
Onhan tästä aiheesta selkeästi ennenkin puhuttu, mutta nyt tietoturva Ubuntussa on enemmänkin tabu ja siihen sanottakoon:
"Who wants to wake up the sleeping dog?"
Ei minusta - ei ovelle koputtelijaa ole syytä suoraan ampua tai edes syyllistää (paitsi ehkä jossakin muussa maassa).
Laita muutaman kymmennen euron hintainen purkki, joka ei vaadi mitään ylläpitoa eikä mainittavaa asennustyötä, niin loppuvat kaikki koputtelutkin. Tästäkin on ollut jo puhetta.
Olen samaa mieltä Ilokaasun kanssa Ubuntun osalta, josta tässä säikeessä toki on kyse.
Mielestäni tietoturvan kokonaisuus on useille IT-ihmisille jonkinlainen Tabu. Hörhöillään vain kaikenmaailman viritysten parissa eikä katsota kokonaisuutta, ei analysoida todennäköisyyksiä eikä luodata mitä uhkia voi toteutua.
Tässä säikeessä on kyllä aika moni yrittänyt opastaa järkeviin asetuksiin ;D :P
Toisaalta opinnäytetyöt ja todellisuus eivät aina kohtaa.
-
...
Onhan tästä aiheesta selkeästi ennenkin puhuttu, mutta nyt tietoturva Ubuntussa on enemmänkin tabu ja siihen sanottakoon:
"Who wants to wake up the sleeping dog?"
Ei minusta - ei ovelle koputtelijaa ole syytä suoraan ampua tai edes syyllistää (paitsi ehkä jossakin muussa maassa).
Laita muutaman kymmennen euron hintainen purkki, joka ei vaadi mitään ylläpitoa eikä mainittavaa asennustyötä, niin loppuvat kaikki koputtelutkin. Tästäkin on ollut jo puhetta.
Olen samaa mieltä Ilokaasun kanssa Ubuntun osalta, josta tässä säikeessä toki on kyse.
Mielestäni tietoturvan kokonaisuus on useille IT-ihmisille jonkinlainen Tabu. Hörhöillään vain kaikenmaailman viritysten parissa eikä katsota kokonaisuutta, ei analysoida todennäköisyyksiä eikä luodata mitä uhkia voi toteutua.
Tässä säikeessä on kyllä aika moni yrittänyt opastaa järkeviin asetuksiin ;D :P
Toisaalta opinnäytetyöt ja todellisuus eivät aina kohtaa.
Kuopion Yliopiston opettajakin toteaa jotakuinkin niin, että jokaikisen verkossa olevan koneen tulee olla itsenäisesti tietoturvallinen vaikka niillä olisikin jo tietoturvallinen isäntä (esim. ipcop)
Pitää vissiin laskea tietoturvaan perehtyt opettajani tänne, joka on ollut opettamassa yrityksille tietoturvaa. Silloin kun häntä ei ole kuunneltu niin usein todellisuus on kohdannut ja kukaan ei tehnyt firmassa mitään tietoturvan parantamiseksi.
Liiallinen tietoturva oppilaitoksissa aiheuttaa mielestäni useammin tietoturvauhkia juuri niiden ohittamisyritysten takia, mutta kuinka moni vielä kunnon palkallisessa työssä jaksaa yrittää päästä ssh-tililleen ja sitä kautta vaikka irkkiin heruttamaan teinityttöjä?
Kaasunaamarit kasvoille ja foliohattu päähän! :D
-
Kuopion Yliopiston opettajakin toteaa jotakuinkin niin, että jokaikisen verkossa olevan koneen tulee olla itsenäisesti tietoturvallinen vaikka niillä olisikin jo tietoturvallinen isäntä (esim. ipcop)
Tuohan tarkoittaa sitä, että XP koneita tai ehkä Windows koneita yleensäkään ei saisi pitää yrityksissä, koska niissä tyypillisesti EI OLE palomuuri päällä silloin kun ne ovat firman verkossa.
Tuo kommentti on sikäli vajavainen, että koneet eivät ole mitenkään kiinteitä, vaan läppäreitä käytetään paljon ja ne ovat kiinni siellä ja täällä. Tällöin turva-asetukset eivät voi myöskään olla kiinteitä vaan ne ovat usein dynaamisia riippuen käyttötavasta.
...
mutta kuinka moni vielä kunnon palkallisessa työssä jaksaa yrittää päästä ssh-tililleen ja sitä kautta vaikka irkkiin heruttamaan teinityttöjä?
...
Tottakai yrittää ... en tosin tiedä mitä kukakin yrittää, urkintahan on laitonta ... mutta triviaaliratkaisu on tuoda oma läppärinsä firman verkkoon. Tai käyttää firman koneella mokkulaa. Tai käyttää WLANissa vaikkapa kännykkää ja tuoda sitä kautta imuroidut tiedostot omalle koneelleen.
Jotkut näistä varmasti onnistuvat joissakin firmoissa - joissakin firmoissa mainituista tempuista voi saada potkut. Varmaan löytyy "parempiakin" tapoja ... en ole niihin hirveästi perehtynyt ;D
-
Kuopion Yliopiston opettajakin toteaa jotakuinkin niin, että jokaikisen verkossa olevan koneen tulee olla itsenäisesti tietoturvallinen vaikka niillä olisikin jo tietoturvallinen isäntä (esim. ipcop)
Tuohan tarkoittaa sitä, että XP koneita tai ehkä Windows koneita yleensäkään ei saisi pitää yrityksissä, koska niissä tyypillisesti EI OLE palomuuri päällä silloin kun ne ovat firman verkossa.
Tuo kommentti on sikäli vajavainen, että koneet eivät ole mitenkään kiinteitä, vaan läppäreitä käytetään paljon ja ne ovat kiinni siellä ja täällä. Tällöin turva-asetukset eivät voi myöskään olla kiinteitä vaan ne ovat usein dynaamisia riippuen käyttötavasta.
Ainakin opettajat kouluissa käyttävät paljolti intranettiä tärkeimpiin asioihin, joiden ylläpidon hoitaa sitten joku jossain muualla. Silti niissäkin koneissa on edes se f-secure.
Tottakai yrittää ... en tosin tiedä mitä kukakin yrittää, urkintahan on laitonta ... mutta triviaaliratkaisu on tuoda oma läppärinsä firman verkkoon. Tai käyttää firman koneella mokkulaa. Tai käyttää WLANissa vaikkapa kännykkää ja tuoda sitä kautta imuroidut tiedostot omalle koneelleen.
Jotkut näistä varmasti onnistuvat joissakin firmoissa - joissakin firmoissa mainituista tempuista voi saada potkut. Varmaan löytyy "parempiakin" tapoja ... en ole niihin hirveästi perehtynyt ;D
Rennoissa työpaikoissa ei tule riitaa tuollaisista asioista jos kaikki katsoo tyttökuvia samaan aikaan ja pomo on se joka läähättää eniten. ;D
Tietysti joku voi asentaa työkoneeseensa C64 -emulaattorin ja huudattaa demoja muille. En kyllä käsitä
miksi tietoturvan tai kirjallisesti tai suullisesti sopimuksen haluaa tieten tahtoen rikkoa mikäli ei ole saanut siihen erillistä lupaa. Normaalin surffailun Ubuntun keskustelupalstalla kyllä ymmärrän kesken työpäivänkin.
Mä kerron sun pomolles kuule! ;D
-
...
Rennoissa työpaikoissa ei tule riitaa tuollaisista asioista jos kaikki katsoo tyttökuvia samaan aikaan ja pomo on se joka läähättää eniten. ;D
Tietysti joku voi asentaa työkoneeseensa C64 -emulaattorin ja huudattaa demoja muille. En kyllä käsitä
miksi tietoturvan tai kirjallisesti tai suullisesti sopimuksen haluaa tieten tahtoen rikkoa mikäli ei ole saanut siihen erillistä lupaa. Normaalin surffailun Ubuntun keskustelupalstalla kyllä ymmärrän kesken työpäivänkin.
Mä kerron sun pomolles kuule! ;D
No, esimerkiksi miltä kuulostaisi se, että haluaa tarkistaa MTV3:n F1-sivuilta jotakin ja tulee viesti "Adult Content". Totta kai Content Manageri on väärin konfiguroitu, mutta selitä sitä sitten jonnekin tuhansien kilometrien päähän ja perustele miksi Kovalaisen ajamiset ovat tärkeitä asioita. Tai käydä jonkun seuran sivuilla jonne ei firman koneella pääse kun on liian uusi tai vanha tai väärä Jawa firman koneessa.
Tällöin helposti käyttää sitä omaa läppäriä firman verkossa tai jotakin. Ihan sama mitä.
Tällaista voi sattua. Omassa läppärissä sitten taas voi olla mitä hyvänsä matoja tai viruksia - riippuen käyttäjästä.
Lähinnä tällaisia episodeja tarkoitin - näistä voi tietysti jokaisesta erikseen keskustella ja jokaisen voi erikseen osoittaa ERITTÄIN epätodennäköiseksi. Tuolla edellä juuri vihjaisin viattomasti näihin todennäköisyyksien analysointiin, mitä pitäisi tehdä ihan oikeasti eikä vain mutu-menetelmillä. Nimittäin jos mainitunlainen ERITTÄIN epätodennäköinen tapahtuma toistuu kuitenkin ERITTÄIN usein, niin mainittu tapahtuma muuttuukin yht'äkkiä hyvin todennäköiseksi.
-
No, esimerkiksi miltä kuulostaisi se, että haluaa tarkistaa MTV3:n F1-sivuilta jotakin ja tulee viesti "Adult Content". Totta kai Content Manageri on väärin konfiguroitu, mutta selitä sitä sitten jonnekin tuhansien kilometrien päähän ja perustele miksi Kovalaisen ajamiset ovat tärkeitä asioita. Tai käydä jonkun seuran sivuilla jonne ei firman koneella pääse kun on liian uusi tai vanha tai väärä Jawa firman koneessa.
Tällöin helposti käyttää sitä omaa läppäriä firman verkossa tai jotakin. Ihan sama mitä.
Tällaista voi sattua. Omassa läppärissä sitten taas voi olla mitä hyvänsä matoja tai viruksia - riippuen käyttäjästä.
Lähinnä tällaisia episodeja tarkoitin - näistä voi tietysti jokaisesta erikseen keskustella ja jokaisen voi erikseen osoittaa ERITTÄIN epätodennäköiseksi. Tuolla edellä juuri vihjaisin viattomasti näihin todennäköisyyksien analysointiin, mitä pitäisi tehdä ihan oikeasti eikä vain mutu-menetelmillä. Nimittäin jos mainitunlainen ERITTÄIN epätodennäköinen tapahtuma toistuu kuitenkin ERITTÄIN usein, niin mainittu tapahtuma muuttuukin yht'äkkiä hyvin todennäköiseksi.
Silloin tiukennetaan tietoturvaa tai se työntekijä voi ihan hyvin tarkistaa sen tuloksen kämmenmikrollaan, jossa on kolme geeeeeee. Nih. Ja nuo erityistapaukset juuri pakottavat tiukentamaan tietoturvaa, jos nyt sattuisi joku haluamaan muutakin kuin F1-tulokset. On kuitenkin hyvin epätodennäköistä, että työntekijä joutuisi pakon edessä vaarantamaan koko yrityksen verkon. Jos hän tekee kuitenkin sen, niin firman politiikkaa varmasti siihen sitten sovelletaan. Tämä on siis hyvin epätodennäköinen kuvaelma firmasta jossa on hyvin todennäköinen työntekijä. Jotenkin ne firmat vaan pyörii ja harjoittelijat koodaavat php:n valmiiksi piripäissään, että 2 yön tekemisen jälkeen pomo ei löisi näppäimistöllä naamaan. Tämäkin on HYVIN epätodennäköistä.
-
Silloin tiukennetaan tietoturvaa tai se työntekijä voi ihan hyvin tarkistaa sen tuloksen kämmenmikrollaan, jossa on kolme geeeeeee. Nih. Ja nuo erityistapaukset juuri pakottavat tiukentamaan tietoturvaa, jos nyt sattuisi joku haluamaan muutakin kuin F1-tulokset. On kuitenkin hyvin epätodennäköistä, että työntekijä joutuisi pakon edessä vaarantamaan koko yrityksen verkon. Jos hän tekee kuitenkin sen, niin firman politiikkaa varmasti siihen sitten sovelletaan. Tämä on siis hyvin epätodennäköinen kuvaelma firmasta jossa on hyvin todennäköinen työntekijä. Jotenkin ne firmat vaan pyörii ja harjoittelijat koodaavat php:n valmiiksi piripäissään, että 2 yön tekemisen jälkeen pomo ei löisi näppäimistöllä naamaan. Tämäkin on HYVIN epätodennäköistä.
Ei kai kukaan tuollaiseeen, rennoissa firmoissa, puutukaan, niin kauan kuin ei mitään tapahdu.
Sitten kun tapahtuu, niin sitten ruvetaan jeesustelemaan että miten nyt kukaan on voinut noin käyttäytyä vaikka se on ollut firman tapa internetin keksimisestä lähtien.
Yhtä hyvin olisi voitu jo etukäteen ennakoida tilanne ja vaikkapa pistää pystyyn joku ISP:n halpisverkko, vierailijaverkko, joka ihan oikeasti toimii ja jossa voi sitten omassa maailmassaan puuhastella vieraskoneilla. Tästä tulisi kustannuksia firmalle ehkä 40 eur/kk + joku halpa purkki (riippuen tietysti firman koosta ja verkon laajuudesta).
-
[mielipide]
Nykyaikaisen käyttöjärjestelmän tietoturvan heikoin lenkki on kyseistä järjestelmää käyttävän henkilön osaaminen.[/mielipide]
Samaa mieltä, lisäksi, että nykyaikana tarpeellisen tietoturvan tason määrää käyttäjän tietoisuus uhista ja mahdollisuuksista, suhteutettuna epäilykseen uhkien toteutumiseen omalla kohdalla. (Tuliko ymmärrettävästi?)
Laita muutaman kymmennen euron hintainen purkki, joka ei vaadi mitään ylläpitoa eikä mainittavaa asennustyötä, niin loppuvat kaikki koputtelutkin. Tästäkin on ollut jo puhetta.
Tällainen maininta on mennyt valitettavasti minulta ohi. Mistä löytyy kyseinen maininta?
Edit: lisätty pilkku ;D
-
Täytyy nyt tähänkin juttuun puuttua, kun Jerikolla on nyt joku käsitys sekaisin?
Siis Linuxin myös Ubuntun tietoturva perustuu: ytimessä olevan palomuurin portit on kiinni. siis desktop-koneissa. mikä tarkoittaa että kone ei ole serveri.
Noh näin mulle kerrottiin, kun kyselin, mutta firefox aukasee portin 80 ulospäin.
Vasta pitkien tekstien jälkeen mulle selvis, että se on auki vain ulos eli sisäänpäin siitä ei pääse.
Paitsi jos EN ITSE AVAA kyseistä porttia sisäänpäin. Ja niinhän en tee, koska vain selaan internettiä.
Ja MOLEMPIIN SUUNTIIN kiinni olevia portteja on kymmeniä tuhansia...
Itse pidän jatkuvasti päällä Firestarteria, joka vain lukee liikennettä porttien suilla.
Vakavia koputuksia tulee muutama kappale joka päivä portteihin 20, 22, 23 ja 80. Mutta ne jääkin koputuksiksi.
Muihin portteihin koputukset jää vaarattomiksi koputuksiksi.
Ja luultavasti Synapticin kautta asennnetut ohjelmat on niin testattuja, että ne voi taviskin asentaa
vaaratta. Onkelmia käsittääkseni voi aiheuttaa silloin, kun asentaa esim. joitain median/videon ajureita
joita joku harvinaisempi videotiedosto vaatii ja sen tekijä on joku tuntematon.
Eli päättelisin tästä, että Ubuntun tietoturva on suojattu hyvällä palomuurilla, niin että siitä ei synny
kunnollista lyhyttä ytimekästä selkeyttävää tekstinpätkää edes wikiin ! Asiaa nörtit pitää niin
itsestään selvänä, että selitykset hajaantuu sinne tänne sekavaksi epäselvyydeksi.
Mikä siis ylläpitää ja aiheuttaa epävarmuutta Linuxin turvallisuuesta. Ja sehän kelpaa wintoosalle hyvin !
Eli voit jeriko lähes huoletta asentaa Ubuntuja vanhuksille, muutaman neuvon kera.
Se oliskin mielenkiintoista, että miten palomuuri pitäs hoitaa serverille. !
Sillainiinku lyhyesti ja ytimekkäästi eli selkeästi sanottuna, niin että taviskin vois pistää serverin pystyyn
askarteluhuoneen nurkkaan.
On muuten kumma ettei Linuxille ole vielä keksitty viirusta tai matoa, onko sitten Linux (Unix) niin monimutkainen systeemi, ettei laiskoilla hakkereilla riitä pinna viiruksen tekoon?
Noh varmaan joku semmosen keksii, kun Linux saavuttaa 10-20% osuuen koneista...
T:Frank Zappa 8)
-
...
Laita muutaman kymmennen euron hintainen purkki, joka ei vaadi mitään ylläpitoa eikä mainittavaa asennustyötä, niin loppuvat kaikki koputtelutkin. Tästäkin on ollut jo puhetta.
Tällainen maininta on mennyt valitettavasti minulta ohi. Mistä löytyy kyseinen maininta?
...
En tiedä puhutaanko samasta asiasta, mutta heti ensimmäisessä postissani oli allaoleva maininta. Sen jälkeen olen jankannut näköjään sitä ainakin kahdessa muussa postissa ;D
Omassa aliverkossa ajaminen, jollakin halvalla purkilla, nostanee myös turvatasoa, ainakin on helposti toteutettavissa.
-
Täytyy nyt tähänkin juttuun puuttua, kun Jerikolla on nyt joku käsitys sekaisin?
Ei mulla ole mikään käsitys sekaisin. Kerron sitten kun osaan selittää asiani niin, että juuri oma käsitykseni tulisi objektiivisesti kulminoituneeksi myös sinun verkkokalvoillesi.
Asentelen vanhuksille tästälähtien niitä iptableseja, tykkäs tai ei.
8)
btw. Tää ketju on ollu lähinnä vaan hauskaa. Naurakaa. Ubuntun tietoturva on ihan paras. Ihan ku aikoinaan Security Linux! Joo ja mä teen ihan mielelläni mummoille servereita nurkkiin. Frank Zappa pääsee sitten neuvomaan niitä.
-
Testasinpa omaa, tai en minä sitä omista, mutta meidän laajakaista purkkia kuitenkin. Shields Up sanoi, että jokusesta portista vastailee ja niin pitääkin, kun olen niin määrännyt (web-serveri yms.). Mutta se ilmoitti, että kaikista vastataan pingiin. No tutkinpa Telewellin asetuksia ja sieltä löytyi Pingin esto. Eipä enää ilmoittanut, joten olen suojassa niin kauas kuin Apache ja pari muuta palvelua kestävät.
-
En tiedä puhutaanko samasta asiasta, mutta heti ensimmäisessä postissani oli allaoleva maininta. Sen jälkeen olen jankannut näköjään sitä ainakin kahdessa muussa postissa ;D
Omassa aliverkossa ajaminen, jollakin halvalla purkilla, nostanee myös turvatasoa, ainakin on helposti toteutettavissa.
Öh, juu. :-[ (En vaan ymmärrä tänään sitäkään vähää mitä tavallisesti. Pitäisi kai porata reikä otsasta niskaan...)
-
Noh.
Kokeilkaa linuxillanne www.grc.com
Näette, että kaikki portit on STEALTH pingiin kone vastaa. Monissa tarkoituksissa niin pitääkin. Sitten voi mennä konsolille kirjoittamaan : locate iptables. siinä on palomuurin tynkä. Googlettamalla Arno's iptables script löytyy erilaisia iptablesin konfigurointiskriptejä. F-securelta edellisessä elämässä (pv) palvelimissa käytettiin lisämausteena virustorjuntaa. En lähtisi hössöttämään kotikoneen Linuxin virustorjunnasta hirveästi. Normaali cookie siivous joskus riittää.
Perusasetuksena Ubuntu on auki. Ne palvelut, joita joku haluaa verkosta on säädettävissä. Jos joku haluaa järkevän virustorjunnan vielä lisäksi, niin otan selvää, mikä on paras.
Tiukoilla suluilla saa helposti myös systeemin niin jumiin, että ei sitten katsella kuin perheen valokuvia ja niitäkin paperilla.
Mulla on 51413 portti auki, kun sitä bob Marleytä tulee Torrentteina, mutta sekin on stealth.
Senkin toki saa randomina muuttumaan jos haluaa...
-
Testasinpa omaa...
Autan miten voin mulle voi kysymyksiä kirjoittaa. Liian monta vuotta olen näiden kanssa pelannut. Nyt kirjoittamaan se 10.04 käyttöönottojuttu. Kaikki palloilee samojen kysymysten äärellä ja kokonaista vastausta ei kai kukaan ole saanut.
-
...
Laita muutaman kymmennen euron hintainen purkki...
Ganymedes puhuu järjen sanoilla. Kytkin tai Adsl modeemi, missä on pelti Natti hoitaa homman.
-
Testasinpa omaa, tai en minä sitä omista, mutta meidän laajakaista purkkia kuitenkin. Shields Up sanoi, että jokusesta portista vastailee ja niin pitääkin, kun olen niin määrännyt (web-serveri yms.). Mutta se ilmoitti, että kaikista vastataan pingiin. No tutkinpa Telewellin asetuksia ja sieltä löytyi Pingin esto. Eipä enää ilmoittanut, joten olen suojassa niin kauas kuin Apache ja pari muuta palvelua kestävät.
Tarkkaile hetki Apachen logeja. Saattaa niitä pingejä tarvita. Kiinteillä IP:illä olet kuitenkin, niin ei pitäisi ilmetä vaikeuksia.
-
Laita muutaman kymmennen euron hintainen purkki...
Ganymedes puhuu järjen sanoilla. Kytkin tai Adsl modeemi, missä on pelti Natti hoitaa homman.
:) Örf... Ai joo. No, onhan mulla tuo ADSL-modeemi ja se on nattaavana. Siltikin joitain iskuja löytynyt Ubuntunkin palomuurista. Tuo "purkki" vaan hämäsi.
Monesti nuo slangisanat ovat kivoja sekä lyhyempiä kirjoittaa, mutta hakua suorittaessaan tavan käyttäjä ei niitä monestikaan osaa käyttää. Tilanne on kuin Mese-foorumilla, jossa puhutaan joistain "morkooleista" tms. moottorin osista...
-
Siis Linuxin myös Ubuntun tietoturva perustuu: ytimessä olevan palomuurin portit on kiinni. siis desktop-koneissa. mikä tarkoittaa että kone ei ole serveri.
Perustelin pari kohtaa lainauksilla (eivät valitettavasti olen minun keksimiäni), tähän en jaksanut hakea. Ubuntussa portit ovat oletuksena auki mutta mikään ohjelma ei niitä kuuntele. Palomuurin säätäminen on kuitenkin järkevää, sillä jokin käyttäjän asentama ohjelma (vaikkapa riippuvuuksien mukana) saattaa kuunnella verkkoa.
Itse pidän jatkuvasti päällä Firestarteria, joka vain lukee liikennettä porttien suilla.
Palomuuri kyllä menee päälle vaikkei tuo GUI-kilke olekkaan auki. IMO, sen lataaminen muihin kuin säätöjen muutamiseen on aivan turhaa.
Ja luultavasti Synapticin kautta asennnetut ohjelmat on niin testattuja, että ne voi taviskin asentaa vaaratta.
Pieni tarkennus. Vakiona olevat pakettilähteet ovat luotettavia (tähän mennessä), käyttäjän lisäämät ppa:t tms ovat eri asia.
On muuten kumma ettei Linuxille ole vielä keksitty viirusta tai matoa, onko sitten Linux (Unix) niin monimutkainen systeemi, ettei laiskoilla hakkereilla riitä pinna viiruksen tekoon? Noh varmaan joku semmosen keksii, kun Linux saavuttaa 10-20% osuuen koneista...
Ubuntussahan ei mikään ohjelma oletuksena blokkaa keyloggereita tai muitakaan ohjelmia lähettämästä tietoa nettiin päin,
ei ole juu, ubuntussa ei myöskään toimita jatkuvasti pääkäyttäjän oikeuksin, eikä millään softalla ole oletuksena oikeuksia asennella koneelle keyloggereita tai muitakaan ohjelmia jotka lähettäisivät arkaluontoista dataa nettiin ilman käyttäjän suostumusta.
Tästä markkinaosusuuden vaikutuksesta haittaohjelmien määrään on ollut vaikka miten paljon juttua. Sota alkakoon... :)
Käytin lainauksia _Pete_n ja jannen vanhoista kommenteista, kannattaa lukea kokonaan, ovat kuitenkin vielä ajankohtaisia.
Firestarterin käynnistäminen (http://forum.ubuntu-fi.org/index.php?topic=8965.0)
firestarterin upstream on ollut aika kuollut jo vuosia. firestarterin upstream-versio on ollut ubuntussakin sama ainakin dapperista lähtien (kauemmas en helposti näe) ja siitäkin on jo yli kolme vuotta. firestarterin automaattinen käynnistyminen bootissa rikkoontui kolme-neljä ubuntuversiota sitten ja sen jälkeen en ole kyseistä softaa kokeillut, nähtävästi se on siis rikki vieläkin. varmaan samasta syystä kyseinen softa on ubuntussa siellä ei tuettujen softien osastolla universessa.
vaihtoehtona puolestaan on ufw joka on tuore, tuettu ja koska se on ubuntun projekteja, se aika suurella varmuudella toimii hyvin ubuntussa. gufw on universen puolella, mutta aktiivisesti kehitettävä backend on mainissa. se toimii ja käynnistyy bootissa automaattisesti ilman erikoisia virityksiä.
vaihtoehtoja vertaillessa minun valintani on aika helppo. muut saavat toki tehdä kuten itse haluavat, mutta uusille tulokkaille on hyvä antaa jonkinlaista kokonaiskuvaa, myös niissä ketjuissa joissa halutaan tunkata vanhenevaa softaa.
Onkohan tilanne vielä sama? Keskustelujen mukaan aika moni käyttää (g)ufw tai iptables -ohjelmia.
-
Firestarerin osalta:
Hyvin on pelittänyt aivan oletusasetuksillakin.
Kaikki portit on testeissä "stealth modessa".
Riittää siis omiin tarpeisiini "perusturvaksi".
Myönnettäköön kuitekin, että jos lähtisin pieteetillä
tästä eteenpäin hiomaan asetuksia, niin todennäköisesti
valitsisin jonkin toisen ohjelman.