Kirjoittaja Aihe: (RATKAISTU) Tarkentavia kysymyksiä palomuurista  (Luettu 8359 kertaa)

jusssi

  • Käyttäjä
  • Viestejä: 444
    • Profiili
Vs: Tarkentavia kysymyksiä palomuurista
« Vastaus #20 : 06.04.10 - klo:15.15 »
Edelliseen viestiin liittyen innostuin antamaan komennon ls -ld /usr ja sain vastaukseksi drwxr-xr-x 12 root root jne. Mitä tarkoittaa, kun rivissä luvun 11 sijaan on 12?


Ville Pöntinen

  • Käyttäjä
  • Viestejä: 2078
    • Profiili
Vs: Tarkentavia kysymyksiä palomuurista
« Vastaus #21 : 06.04.10 - klo:15.24 »
Edelliseen viestiin liittyen innostuin antamaan komennon ls -ld /usr ja sain vastaukseksi drwxr-xr-x 12 root root jne. Mitä tarkoittaa, kun rivissä luvun 11 sijaan on 12?



Sulla on siellä 12 tiedostoa/hakemistoa, jollakulla muulla 11.

jusssi

  • Käyttäjä
  • Viestejä: 444
    • Profiili
Vs: Tarkentavia kysymyksiä palomuurista
« Vastaus #22 : 06.04.10 - klo:15.48 »
Kiitos. Asia on siis kunnossa. Aikaisemmin tässä ketjussa puhuttiin Skypestä. Minulla on viime aikoina alkanut tulemaan Skypeen tarjolle kummallisia kontakteja, jotka olen blokannut jo siitäkin syystä, että ne ovat englanninkielisiä ja en juurikaan ymmärrä sitä. Toisekseen olen ollut huomaavinani, että ne muistuttavat jollakin tavalla roskaposteja eli ilmeisesti jotain yritetään kaupata. Sähköpostiin ei aikoihin ole tullut roskapostia.

Tuli mieleen, että voiko sillä olla jotain merkitystä näihin roskakontakteihin, että minulla ei ole ollut Ubuntussa  olevaa palomuuria päällä. Tosin modeemissa on palomuuri NAT ominaisuudella.

Kytkin nyt myös ohjelmallisen palomuurin päälle.

retu

  • Käyttäjä
  • Viestejä: 949
    • Profiili
Vs: Tarkentavia kysymyksiä palomuurista
« Vastaus #23 : 06.04.10 - klo:15.52 »
Tarkemmin sanoen "ls -l" komennon tulostamat sarakkeet ovat: tiedostotyyppi+oikeudet, linkit, omistaja, ryhmä, koko, päiväys ja tiedostonimi.

Koodia: [Valitse]
drwxr-xr-x  11 root root  4096 2010-02-26 17:19 /usrMuodostuu siis seuraavasti:
tiedostotyyppi: d eli hakemisto
oikeudet:rwxr-xr-x
linkit: 11 tarkoittaa että tiedoston käyttämään inodeen on 11 viittausta
omistaja: root
ryhmä: root
koko: 4096 tavua
päiväys: 2010-02-26 17:19 (viimeisin kirjoitus)
tiedostonimi: usr

Hakemistoon on yleensä vähintää kaksi linkkiä (nimi ja .), lisäksi jokaisessa alihakemistossa on linkki päähakemistoon (..). Tämän voi helposti testata itse:
Koodia: [Valitse]
$ mkdir tmp
$ ls -ld tmp
drwxr-xr-x 2 tester tester   32 2010-03-26 15:22 tmp/
$ mkdir tmp/tmp
$ ls -ld tmp
drwxr-xr-x 3 tester tester   40 2010-04-06 15:32 tmp/
Eiks vaan ;)

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11481
    • Profiili
    • Tomin kotisivut
Vs: Tarkentavia kysymyksiä palomuurista
« Vastaus #24 : 06.04.10 - klo:16.14 »
Korjaus:
Koodia: [Valitse]
sudo chmod 755 /usrHuomatkaa että -R puuttuu! Näin ei siis sotke alihakemistojen oikeuksia, vaan korjaa vain /usr hakemiston.

Juu. Ajattelin, että niissä muissakin on vikaa. Tosin nyt tuo on vähän myöhässä, kun Jakke77 komenti jo tuon. Sitten vaan hyviä ehdotuksia miten korjata. Itselläni usr:in alla näin:
Koodia: [Valitse]
~$ ls -l /usr/
yhteensä 324
drwxr-xr-x   2 root root  69632 2010-04-05 21:55 bin
drwxr-xr-x   2 root root   4096 2010-03-12 14:21 games
drwxr-xr-x  94 root root  12288 2010-03-24 09:37 include
drwxr-xr-x 293 root root 135168 2010-04-05 18:27 lib
drwxr-xr-x  43 root root  61440 2010-03-28 11:27 lib32
lrwxrwxrwx   1 root root      3 2009-06-11 20:28 lib64 -> lib
drwxr-xr-x  10 root root   4096 2009-04-20 16:59 local
drwxr-xr-x   2 root root  12288 2010-04-05 18:26 sbin
drwxr-xr-x 447 root root  16384 2010-04-05 18:27 share
drwxrwsr-x  15 root src    4096 2010-03-26 16:13 src
~$
eli edelleenkin kaikki paitsi src ja lib64 (linkki lib:iin) ovat 755 (=rwxr-xr-x).
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

retu

  • Käyttäjä
  • Viestejä: 949
    • Profiili
Vs: Tarkentavia kysymyksiä palomuurista
« Vastaus #25 : 06.04.10 - klo:17.07 »
Mulla näyttää testikoneen /usr hakemiston sisältö samanlaiselta kuin Tomppelilla.

Em. "chmod -R" komento on melko vaarallinen systeemihakemistoille ajettuna, sehän muuttaa hakemiston kaikkien tiedostojen ja alihakemistojen oikeudet. Jos maski on 0755, kaikki tiedostot merkitään ohjelmiksi. En tiedä onko se silti kovin vaarallista, sillä suoritus ei todennäköisesti kuitenkaan onnistu, jos tiedosto ei ole ohjelma. Ja eihän kyseiset tiedostot ole polussakaan. Eri asia sitten jos tiedostoon on tarkoitus olla suoritusoikeus vain rootilla.

Jossakin alihakemiston tiedostoissa voi myös olla tarkoituksella rajatut oikeudet, kuten /etc/shadow, ja em. komento antaa laajemmat oikeudet -> tietoturvariski. Toisaalta joissakin tiedostoissa voi olla tarkoituksella kaikki oikeudet kaikille, jolloin em. komento supistaa oikeuksia -> ei toimi ajatellusti.

Mutta turhaa spekulointia. Sekaisin mikä sekaisin.

Miten korjataan? Jos on identtinen kone, asetukset voisi ehkä kopioda sieltä jollain scriptillä. Melko kaukaa haettua. Koska ohjelmat asentuvat /usr alle, on todennäköistä että hakemistot ovat erilaiset.

Tietysti hakemistojen sisältöä voisi vertailla/korjailla käsipelissä, jolloin erot voisi ottaa huomioon. Minulla on tuolla testikoneen /usr hakemistossa 161295 tiedostoa. Jos sattuu olemaan loppuvuonna jotain muutakin tekemistä, niin ehkä sitten kuitenkin uudelleenasennus...

ajaaskel

  • Palvelimen ylläpitäjä
  • Käyttäjä
  • Viestejä: 3401
    • Profiili
Vs: Tarkentavia kysymyksiä palomuurista
« Vastaus #26 : 06.04.10 - klo:18.47 »
ls -komentoon voi antaa myös perään vivut "-a" ja "-h" jolloin näkyy myös kyseisen hakemiston tiedot (.) ja sen yläpuolelta (..) sekä kokotiedot kiloina jota joskus on kivempi katsella kuin tarkkaa määrää pitkänä numerona eli

Koodia: [Valitse]
ls -hal /usr
yhteensä 192K
drwxr-xr-x  11 root root 4,0K 2010-01-27 14:46 .
drwxr-xr-x  21 root root 4,0K 2010-02-13 22:12 ..
drwxr-xr-x   2 root root  56K 2010-04-04 16:15 bin
drwxr-xr-x   2 root root 4,0K 2009-04-20 17:03 games
drwxr-xr-x  42 root root  12K 2010-01-19 15:39 include
drwxr-xr-x 202 root root  68K 2010-04-04 16:15 lib
drwxr-xr-x  10 root root 4,0K 2009-04-20 16:59 local
drwxr-xr-x   2 root root  12K 2010-04-04 15:14 sbin
drwxr-xr-x 315 root root  12K 2010-04-04 15:14 share
drwxrwsr-x  14 root src  4,0K 2010-02-13 22:11 src
drwxr-xr-x   2 root root 4,0K 2009-04-20 17:00 X11R6

Siitä Ubuntun palomuurista, käsitykseni mukaan siellä on palomuuri aina mutta sitä ei ole asetettu rajoittamaan mitään:

Koodia: [Valitse]
sudo iptables  --list-rules-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT

Tein pikku scriptin joka palauttaa Ubuntun yllänäkyvät oletusasetukset. Olen käyttänyt tätä itse joskus kun olen kokeillut sääntöjen virittelyä ja halunnut lopuksi palata alkutilanteeseen.

http://www.homelinuxpc.com/download/iptables-auki.bash

« Viimeksi muokattu: 06.04.10 - klo:19.15 kirjoittanut ajaaskel »
Autamme ilolla ja ilmaiseksi omalla ajallamme.  Ethän vaadi, uhoa tai isottele näin saamasi palvelun johdosta.

kolho

  • Käyttäjä
  • Viestejä: 10
    • Profiili
Vs: Tarkentavia kysymyksiä palomuurista
« Vastaus #27 : 06.04.10 - klo:21.13 »
Tein seuraavasti, niin kuin retu ohjeisti. Tuo oikeus oli mulla pielessä:


Koodia: [Valitse]
ls -ld /usrListaa /usr hakemiston tiedot. Jos oikeudet ovat:
Koodia: [Valitse]
drwxrwxrwx 11 root root 4096 2010-02-26 17:19 /usroikeudet ovat pielessä. Pitäisi olla:
Koodia: [Valitse]
drwxr-xr-x 11 root root 4096 2010-02-26 17:19 /usrKorjaus:
Koodia: [Valitse]
sudo chmod 755 /usr

Onkohan asia nyt kunnossa? Kun en enää tiedä, kuka on vastannut mulle ja kuka jollekin muulle, kun tämä keskustelu on paisunut.
Olitko retu tarkoittanut tämän minulle?
Lainaus
Sekaisin mikä sekaisin.

Miten korjataan? Jos on identtinen kone, asetukset voisi ehkä kopioda sieltä jollain scriptillä. Melko kaukaa haettua. Koska ohjelmat asentuvat /usr alle, on todennäköistä että hakemistot ovat erilaiset.

Tietysti hakemistojen sisältöä voisi vertailla/korjailla käsipelissä, jolloin erot voisi ottaa huomioon. Minulla on tuolla testikoneen /usr hakemistossa 161295 tiedostoa. Jos sattuu olemaan loppuvuonna jotain muutakin tekemistä, niin ehkä sitten kuitenkin uudelleenasennus...

Olitko ajaaskel tarkoittanut tämän minulle:
Lainaus
Tein pikku scriptin joka palauttaa Ubuntun yllänäkyvät oletusasetukset. Olen käyttänyt tätä itse joskus kun olen kokeillut sääntöjen virittelyä ja halunnut lopuksi palata alkutilanteeseen.
http://www.homelinuxpc.com/download/iptables-auki.bash

Voiko nämä (jo edelläkin mainitut) ongelmat siis liittyä tuohon "oikeushässäkkään":
- Rytmilaatikko välillä tyhjää kokonaan kaiken musiikin pois soittimesta soitinta avattaessa. Sitten ne jossain vaiheessa saattaa ilmestyä sinne itsellään, mutta soitto ei silti vältttämättä onnistu. Välillä pelaa ok.
- Välillä kone meinaa mennä jumiin, esim. rytmilaatikon kanssa tai sitten kun yritän avata linkin http://s129.photobucket.com/albums/p214 ... jamo09.flv. Tuo linkki toimii kyllä Windows-koneella, kalastusvideo lähtee hyvin pyörimään. Mutta tää Ubuntu-kone vetää näytön harmaaksi ja ei meinaa ottaa käskyjä vastaan. Pitää sulkea ohjelma väkisin...
- Skype 2,1 (Beta) for Linux: Pitää kirjautua aina joskus koneen käynnistyksen jälkeen uudestaan Skypeen, vaikka olen laittanut rastin siihen, että Sign me in when skype starts. Välillä toimii, välillä ei, siis se, että aukeaako skype pelkällä hiiren näpäytyksellä vai pitääkö kirjautua...
- Kirjanmerkit vilisee välillä. Niitä on sen verran paljon, että ne ei mahdu näytölle kerralla, ja sitten kun selaa alaspäin, niin välillä se ei onnistu, vaan ne vilistää heti takas ylös pysähtymättä. Selaimen uudelleen käynnistäminen yleensä auttaa, mutta ärsyttää.

Alkaa tuntua hieman hankalalta tämä homma, kun niin monet asiat menee yli hilseen. Ehkä tästä kuitenkin selvitään?
 

Tha-Fox

  • Käyttäjä
  • Viestejä: 3315
  • Arch Linux && CentOS
    • Profiili
    • http://kettu.dy.fi
Vs: Tarkentavia kysymyksiä palomuurista
« Vastaus #28 : 06.04.10 - klo:22.51 »

- Välillä kone meinaa mennä jumiin, esim. rytmilaatikon kanssa tai sitten kun yritän avata linkin http://s129.photobucket.com/albums/p214 ... jamo09.flv. Tuo linkki toimii kyllä Windows-koneella, kalastusvideo lähtee hyvin pyörimään. Mutta tää Ubuntu-kone vetää näytön harmaaksi ja ei meinaa ottaa käskyjä vastaan. Pitää sulkea ohjelma väkisin...


Veikkaan, että Flash se vain siellä kyykyttää konettasi ;) Voi olla, että lähteekin pyörimään, jos jaksaa odotella, tai sitten ei. Mikähän näytönohjain ja mitkä ajurit?

retu

  • Käyttäjä
  • Viestejä: 949
    • Profiili
Vs: Tarkentavia kysymyksiä palomuurista
« Vastaus #29 : 06.04.10 - klo:23.07 »
Tarkoitin viestin tietysti sille ketä se koskee . ;D

Taisin jaaritella tuossa 16:07 viestissä vähän liikaa. :-[

Pointti oli että jos joku erehtyy ajamaan komennon "chmod -R 0755 /usr", syntynyttä sotkua ei niin vain selvitetäkään. Oli siis jatkoa Tomppelin viestille.

Jakke77

  • Käyttäjä
  • Viestejä: 3946
  • Oulu (Oinaansuo)
    • Profiili
Vs: Tarkentavia kysymyksiä palomuurista
« Vastaus #30 : 07.04.10 - klo:09.18 »
http://farm3.static.flickr.com/2758/4498791883_6ea28bcb93_o.png

tämmöseen ratkasuun päädyin. avataan pääte ja sillä nautilus

Koodia: [Valitse]
sudo nautilus
mennään usr hakemiston ominaisuuksiin ja laitetaan oikeudet samaan tapaan kuin kuvassa.
klikataan toteuta oikeudet alikansioiden tiedostoille ja wo'laa ei herjaa ainakaan enää mitään.

Koodia: [Valitse]
ls -l /usr/
yhteensä 200
drwsr-sr-x   2 root root 65536 2010-04-06 18:37 bin
drwxr-xr-x   2 root root  4096 2010-03-21 07:08 games
drwxr-xr-x  52 root root 12288 2010-03-22 22:25 include
drwxr-xr-x 254 root root 73728 2010-04-06 18:37 lib
drwxr-xr-x   3 root root  4096 2010-02-18 09:49 lib64
drwxr-xr-x  10 root root  4096 2009-10-28 22:55 local
drwxr-xr-x   2 root root  4096 2010-04-07 09:10 nimetön kansio
drwxr-xr-x   2 root root 12288 2010-04-06 12:35 sbin
drwxr-xr-x 368 root root 12288 2010-04-05 14:59 share
drwxr-sr-x  10 root src   4096 2010-03-05 12:32 src
« Viimeksi muokattu: 07.04.10 - klo:09.20 kirjoittanut Jakke77 »
U_G_H

Aspire E5-575G V1.27 CPU: Intel i3-6100U (4) @ 2.300GHz GPU: Intel® HD Graphics 520 GPU: NVIDIA GeForce 940MX Samsung SSD 970 EVO Plus 500GB

Tha-Fox

  • Käyttäjä
  • Viestejä: 3315
  • Arch Linux && CentOS
    • Profiili
    • http://kettu.dy.fi
Vs: Tarkentavia kysymyksiä palomuurista
« Vastaus #31 : 07.04.10 - klo:09.38 »
Kannattaa vielä nautilus graafisena ohjelmana avata sudon sijaan gksudolla.

ajaaskel

  • Palvelimen ylläpitäjä
  • Käyttäjä
  • Viestejä: 3401
    • Profiili
Vs: Tarkentavia kysymyksiä palomuurista
« Vastaus #32 : 07.04.10 - klo:12.41 »
Se oli aika yleisluontoista mitä kirjoitin, tuo palomuuriosa koskee lähinnä niitä ketkä muuttavat asetuksia iptables -komennoilla mutta näytin myös mitkä ovat Ubuntun "tavalliset" eli oletusasetukset palomuurin osalta.  Jos iptables -kokeilut menevät vaikkapa siihen vaiheeseen että mikään ei enää kulje minnekään niin tuolla scriptillä pääsee taas alkutilanteeseen takaisin. Sieltä voi poimia noita yksittäisiä iptables -komentojakin halutessan, nämä scriptithän ovat samankaltainen asia kuin .bat tuolla Windowsin / DOS: in puolella.

Jos kone "kummittelee" monin tavoin eli hienommin sanottuna on epästabiili niin ongelma voi olla kummalla puolella hyvänsä, viallista elektroniikkaa koneessa eli hutera kone tai Ubuntu jotenkin sekaisin jonkun tapahtuman/asennuksen/muutoksen seurauksena. Näytönohjainongelmat voivat aiheuttaa myös hämärältä näyttäviä ongelmia. Jos kone on paljon sekaisin niin kokemattomalle (ja muillekin) helpoin voi tie olla asentaa uudestaan mutta toki kannattaa ensin yksittäisissä ongelmissa tutkia onko muuta ratkaisua eli onko jo entuudestaan tunnettu ongelma.  Ne ongelmat joita listasit eivät näytä pahoilta mutta oma vaivansahan noissakin on selvitellä.   No, taisimme eksyä kauas varsinaisesta otsikosta (?)  Ubuntun palomuuri.

Ellei halua oppimismielessä, mielenkiinnosta  tai muusta teknisestä syystä säätää Ubuntun palomuuria niin tasan kymmenen kertaa helpompi tapa kokemattomalle on ostaa jokin halpa kiinalainen palomuuripurkki ja se oli siinä.

« Viimeksi muokattu: 07.04.10 - klo:13.27 kirjoittanut ajaaskel »
Autamme ilolla ja ilmaiseksi omalla ajallamme.  Ethän vaadi, uhoa tai isottele näin saamasi palvelun johdosta.