tarvitseeko ubuntu 8.04 palomuurisoftia???

[pttk]

Eipä silti kannata hötkyllä turhaan, todellisuudessa palomuuri on päällä vaikka sitä käyttöliittymää ( firestarter ) ei käynnistettäisikään. Se pitää muutenkin käynnistää ( ja käynnistyy ) jo kauan ennen kuin käyttäjä pystyy edes kirjautumaan koneelle.

[Sunar]

Eipä silti kannata hötkyllä turhaan, todellisuudessa palomuuri on päällä vaikka sitä käyttöliittymää ( firestarter ) ei käynnistettäisikään. Se pitää muutenkin käynnistää ( ja käynnistyy ) jo kauan ennen kuin käyttäjä pystyy edes kirjautumaan koneelle.

Jos et ota käyttöön Firestarteria, ufw:tä tai muuta palomuuria, etkä muokkaa itse iptablesia käsin, palomuuri on "päällä", mutta ei estä yhtään mitään liikennettä sisään eikä ulos.

Aika varmoja tunnutaan olevan ettei linux tarvitsisi mitään tietoturvasta huolehtimista - ja sellaiset ylimielisen itsevarmat luulot ovat aina osoittautuneet vaarallisiksi ; )

Linuxin turvallinen käyttö = ajantasaiset päivitykset, terve järki ja varovaisuus
Windowssin turvallinen käyttö = ajantasaiset päivitykset, terve järki, varovaisuus, virusskanneri ja palomuurisofta
edit: eipäs unohdeta säännöllistä spywareskannailua

[wally]

Aika varmoja tunnutaan olevan ettei linux tarvitsisi mitään tietoturvasta huolehtimista - ja sellaiset ylimielisen itsevarmat luulot ovat aina osoittautuneet vaarallisiksi ; )

http://www.linuxsecurity.com/

rhino, turha koittaa lietsoa tappelua täällä.

Ainakaan tässä topicissa ei ole kukaan väittänyt, ettei linux tarvitsisi mitään tietoturvasta huolehtimista. Se on kokonaan eri asia, kuin palomuuri ja virustorjunta + spyware-skanneri.

Huomioit varmaan linkittämäsi wikisivun tekstin kokonaisuudessaan:

SecurityFocus's Scott Granneman said:
“    ...some Linux machines definitely need anti-virus software. Samba or NFS servers, for instance, may store documents in undocumented, vulnerable Microsoft formats, such as Word and Excel, that contain and propagate viruses. Linux mail servers should run AV software in order to neutralize viruses before they show up in the mailboxes of Outlook and Outlook Express users."[1]

Siinähän tuo tässäkin topikissa mainittu asia jälleen kerran.

Tietoturvasta pitää aina huolehtia, tärkeimpänä ajantasaiset päivitykset. Koko järjestelmän päivittäminen on linuxissa/Ubuntussa paljon helpompaa, kuin kaikissa muissa käyttöjärjestelmissä, mutta se pitää silti säännöllisesti tehdä.

Virustorjunta on erikoistapauksissa tarpeellista, katso yllä. Normaalissa käytössä ei.

Palomuuri ei ole peruskäytössä tarpeellinen, mutta voi olla järkevää asentaa, jos on asentanut joitakin palvelimia koneelleen, esim. ssh, lamp tms. Oletusasennuksessa Ubuntussa ei siis ole yhtään palvelua auki, eikä siis mitään, jota pitäisi muurata kiinni.

Mikään palomuuri, virustorjunta tai spyware-urkkija ei auta, jos päivitykset eivät ole ajan tasalla, ja esimerkiksi Apache-palvelin joutuu hyökkäyksen kohteeksi. Pidä siis järjestelmä ajan tasalla ja pidä asennettuna vain sellaisia palveluita/palvelimia, joita tarvitset. Jos esimerkiksi harrastuksen vuoksi olet asennellut apache-mysql-php -kolminaisuuden, mutta et tarvitse näitä, poista nämä.

[pjotr]

Palomuuri ei ole peruskäytössä tarpeellinen, mutta voi olla järkevää asentaa, jos on asentanut joitakin palvelimia koneelleen, esim. ssh, lamp tms.

Ei sitä tarvii asentaa, se on kernelissä mukana: Iptables-työkalulla säädetään Linuxin ytimessä olevaa Netfilter-pakettisuodatinta. Firestarter-ohjelmalla luodaan sääntöjä iptables-ohjelmalle.

[MikkoJP]

Palomuuri ei ole peruskäytössä tarpeellinen, mutta voi olla järkevää asentaa, jos on asentanut joitakin palvelimia koneelleen, esim. ssh, lamp tms. Oletusasennuksessa Ubuntussa ei siis ole yhtään palvelua auki, eikä siis mitään, jota pitäisi muurata kiinni.

Mutta itse on helppo vahingossa konffata vaikka printteripalvelin jakamaan itseään verkkoon. Palomuurilla voi suojauta järjestelmän ylläpitäjän tekemiltä virheiltä.  Itse olen myös huomaamattani asentanut webbipalvelimen koneeseen ottaessani printterin käyttöön...

Jos webbiselaimessa esim. localhost:631 tuo jotain näkyviin, olet asentanut webbipalvelimen :-)

[Sunar]

Jos webbiselaimessa esim. localhost:631 tuo jotain näkyviin, olet asentanut webbipalvelimen :-)

Cups siellä vastaa ihan Ubuntun oletusasetuksilla. Silloin se ei kuitenkaan kuuntele ulkopuolista liikennettä. Eli localhost:631 näyttää sivun, mutta [koneen ip]:631 valittaa, että palvelin hylkää yhteydenoton.

[MikkoJP]

Cups siellä vastaa ihan Ubuntun oletusasetuksilla. Silloin se ei kuitenkaan kuuntele ulkopuolista liikennettä. Eli localhost:631 näyttää sivun, mutta [koneen ip]:631 valittaa, että palvelin hylkää yhteydenoton.

Jep. Mutta Administration-osasta on helppo ajattelematta laittaa päälle "Allow remote administration".

Entäpäs: ovatko kaikki 25000 Ubuntu-pakettia varmasti sitä, mitä ne väittävät? Asentavatko ihmiset ohjelmia sorsista lukematta niitä läpi? Asentavatko ihmiset deb-paketteja pakettienhallinnan ulkopuolelta?

Entäpä Java- ja Flash-palikat? Tekevätkö kaikki kivat Java-pelit vain sen, mitä näyttävät tekevän? Onko Java ja Flash sallittu varmasti vain luotetuilla webbisivuilla? Muistavatko ihmiset myös Linuxissa olla avaamatta vierailta ihmisiltä tulleita liitetiedostoja, jotka voivat käyttää vaikkapa pdf-kirjastojen haavoittuvuuksia ja ajaa arbitraarista koodia käyttäjän oikeuksilla? Alkavat vaikka lähettää mainossähköpostia maailmalle?

Minun mielestäni on vaarallista luottaa siihen, että Ubuntu ja kaikki sen ohjelmat ovat virheettömiä ja tekevät vain sen mitä lupaavat. Joku muu voi olla luottavaisempi. Minusta pari ylimääräistä suojakerrosta on vain hyväksi. Päällä on openSUSEn palomuuri ja rautapalomuuri on vielä koneen ja pahan maailman välissä.

Riski on varmasti minimaalinen, jos noudattaa muuten kaikkia hyviä ohjeita: ei asenna tuntemattomia ohjelmia, ei asenna ohjelmia vieraista lähteistä, muistaa rajata oikeuksia, lukee ohjelmien dokumentaatiot, ei napsauta OK ajattelematta, mitä tekee jne.

[Ville Pöntinen]

Myös minun koneeni on reitittävän modemin takana (=palomuuri). Aiemmin näin ei ollut. Vuosia Ubuntuni oli "suorassa" nettiyhteydessä ilman palomuurin säätämistä. Koneessani on ssh avoinna ulkomaailmaan. Toki lokiin tuli ennen rautamuuria paljonkin varoituksia, mutta eipä muuta. Muutkin kuuntelevat ohjelmat (palvelinohjelmat) ovat linuxissa / "vapailla markkinoilla" hyvin turvallisia, niiden aukot paikataan hyvin nopeasti ja niitä kohtaan suunnataan hyökkäyksiä tai haittaohjelmia harvoin.

En kehoita ketään purkamaan palomuurinsa asetuksia, mutta Ubuntun tietoturva todellakin on kunnossa. Virallisista ohjelmalähteistä asennetut ja säännöllisesti ylläpidetyt ohjelmistot ovat hyvin turvallisia. Mikonkin sinänsä totuudenmukaiset esimerkit ovat lähinnä kuvitteellisia. (Kun ei lisätä ohjelmalähteitä mista tahansa ja ylläpidetään konetta oikein.)

On totta että linuxista saa turvattoman. Silti pitää sanoa, ja ihan ääneen, että palomuurin säätäminen tai erilaisten turvaohjelmien on aivan turhaa tavalliselle käyttäjälle, joka päivittää koneensa ja on muutenkin varovainen.

[jusssi]

Minulla ei ole pätevyyttä ottaa kantaa esitettyihin käsityksiin, mutta haluaisin selvittää, minkälainen vehjes se reittittävä modeemi oikein on. Olen saanut nettiliittymän mukana ilmaiseksi kaksi modeemia, joista ensimmäinen eli TW-EA201 on palvellut hyvin n. viisi vuotta. Kun vaihdoin palveluntarjoajaa kolmisen vuotta sitten, sain taas liittymälahjana modeemin eli Siemens Speed Streamer 5100 DSL modeemin. Lienevätkö kummatkaan reitittäviä? Siemens on yhä paketissa.
Jos eivät ole, niinkuin  epäilen, olisiko joku esim Zygelin malli tällainen. Lisääkö sellaisen hankinta tietoturvaa oleellisesti ja onko sen säätäminen (asentaminen) niin vaikeaa, ettei tällainen aloittelija siihen pysyty.
Todettakoon, että käytän Ubuntun rinnalla samalla kiintolevyllä W:n XP: tä ja siinä F-securen turvaohjelmistoa palomuureineen. Tähän asti ei mainittavia ongelmia tietoturvan suhteen ole ilmennyt.

[Kullervo]

Minulla ei ole pätevyyttä ottaa kantaa esitettyihin käsityksiin, mutta haluaisin selvittää, minkälainen vehjes se reittittävä modeemi oikein on. Olen saanut nettiliittymän mukana ilmaiseksi kaksi modeemia, joista ensimmäinen eli TW-EA201 on palvellut hyvin n. viisi vuotta. Kun vaihdoin palveluntarjoajaa kolmisen vuotta sitten, sain taas liittymälahjana modeemin eli Siemens Speed Streamer 5100 DSL modeemin. Lienevätkö kummatkaan reitittäviä? Siemens on yhä paketissa.
Jos eivät ole, niinkuin  epäilen, olisiko joku esim Zygelin malli tällainen. Lisääkö sellaisen hankinta tietoturvaa oleellisesti ja onko sen säätäminen (asentaminen) niin vaikeaa, ettei tällainen aloittelija siihen pysyty.
Todettakoon, että käytän Ubuntun rinnalla samalla kiintolevyllä W:n XP: tä ja siinä F-securen turvaohjelmistoa palomuureineen. Tähän asti ei mainittavia ongelmia tietoturvan suhteen ole ilmennyt.

http://www.telewell.fi/tw_ea201/pdf_tiedostot/tw_ea201_versio1_ohjekirja.pdf

Ohjekirjassa sanotaan ihan alussa "laite toimii sillatussa tilassa".

Tuota Siemensiä en tunne, mutta siinäkin ohjekirja lienee olemassa.

[Ville Pöntinen]

...mutta haluaisin selvittää, minkälainen vehjes se reittittävä modeemi oikein on.

Reitittävä modeemi saa operaattorilta automaattisesti IP-osoitteen. Kotona oleville koneille modeemi sen sijaan antaa aivan eri osoitteita (samalla tavalla kuin operaattorin kone antoi modeemille osoitteen). Modeemin saama osoite on "oikea", "internetissä toimiva" osoite. Koneille jaetut osoitteet ovat voimassa vain sisäverkossa ts. samaan modeemiin kytkettyjen koneiden kesken.

Kun kotikone aloittaa liikenteen vaikka osoitteeseen 91.189.94.5, välittää modeemi yhteydenottopyynnön eteenpäin, mutta muuttaa samalla paketin lähettäjän osoitteeksi oman osoitteensa. Forum.ubuntu-fi.org (eli 91.189.94.5) lähettää vastauksen modeemin ip-osoitteeseen. Modeemi vastaanottaa viestin, tarkistaa, että ko. liikenne on aloitettu sisäverkon koneelta ja sitten välittää sen surffaavalle koneelle (sisäverkon ko. ip-osoitteeseen esim. 192.168.0.64).

Jos taas joku ilkiö koputtelee julkista osoitettasi (siis modeemin) osoite, tai kokeilee kepillä jäätä esim. ssh-yhteyden avaamiseksi jollain typerällä admin-admin tunnus-salasana-yhdistelmällä, ei modeemisi edes välitä liikennettä millekään sisäverkon koneelle, koska aloite yhteyden luomiseksi ei ole tullut verkon sisäpuolelta.

Tämän vihamielisen liikennöinnin eston lisäksi rautamuuri voi (ja yleensä asetus on oletuksena päällä) kätkeä koneen ts. jättää vastaamatta mihinkään ulkopuolelta tuleviin yhteyspyyntöihin (tämä on sitten se stealth noilla palomuuritestisivustoilla).

Samalla periaatteella toimivat ohjelmalliset palomuurit. Ne voivat em. toiminnan lisäksi tarkkailla/estää myös lähtevää liikennettä.

[juyli]

http://www.telewell.fi/tw_ea201/pdf_tiedostot/tw_ea201_versio1_ohjekirja.pdf
Ohjekirjassa sanotaan ihan alussa "laite toimii sillatussa tilassa".

Tuota Siemensiä en tunne, mutta siinäkin ohjekirja lienee olemassa.

Siemens SpeedSteam taas on monipuolisempi, ja voi toimia sekä siltaavana tai reitittävänä (NAT). PDF-löytyy mm.
http://www.alltel.net/downloads/links/SpeedStream211.pdf
Sen konfigurointi tosin voi ollakin sitten hieman ongelmallisempaa. Tuohan on ADSL-laite, jota tietyt
palveluntarjoajat lykkivät liittymän ostajille joskus muinoin... Ihan hyvä laite toki.

[jusssi]

Kiitos vastaajille. Suurimmalta osin yli hilseen meni, mutta "vika" on täällä vastaanottopäässä! Olin kuitenkin ymmärtäväni, että vanha TW voi minulle olla ihan riittävä, kuten tähänkin asti, varsinkin Ubuntua käytettäessä. XP:ssä taas F-secure hoitaa hommat. Siemenssin käyttöohjeen sain ladattua, mutta kun en ymmärrä englantia, ei siitä ollut apua ja taitaa se reitittäminen muutenkin olla minun taidoillani liian vaikea pala purtavaksi.

[makro]

Kevennystä tai vakavuutta aiheeseen  kuinka vaan haluaa sen nähdä!

[ylläpito on poistanut liitteen]

[janne]

Aika varmoja tunnutaan olevan ettei linux tarvitsisi mitään tietoturvasta huolehtimista - ja sellaiset ylimielisen itsevarmat luulot ovat aina osoittautuneet vaarallisiksi ; )

http://www.linuxsecurity.com/

rhino, turha koittaa lietsoa tappelua täällä.

minulle ei ihan selvinnyt onko rhino tosiaan trollaamassa vai ainoastaan tietämätön ja vainoharhainen. no, kumpi tahansa olikin kyseessä, niin kerron tässä oman mielipiteeni, jonka en kuvittele olevan kovinkaan kaukana totuudesta.

oletuksena ubuntussa ei ole tarvetta palomuurisäännöille (palomuuri joka koneessa toki onkin), koska ubuntussa ei ole oletuksena yhtään palvelua joka kuuntelisi ulkoapäin tulevia yhteydenottoja. minusta ei ole kuitenkaan huono idea laittaa palomuuria päälle torjumaan oletuksena ulkoa tulevat yhteydenotot, sillä tietämätön asentaja voi epähuomiossa asentaa paketin joka kuunteleekin ulkomaailmaa. overhead on kuitenkin äärimmäisen pieni ja halutessaan asentaa palveluita on palomuurin portin avaaminen triviaali toimenpide.

virukset puolestaan...
linuxissa ei ole toistaiseksi implementoitu kunnollista virustukea. järjestelmään ei oikeastaan päädy binäärejä kuin paketinhallinnan kautta, makrovirustuki on lapsenkengissä (vaikka openofficelle on joku proof-of-concept on olemassa, mutta vapaana tuollaisia ei ole vielä nähty) eikä mikään sähköpostiohjelma taida suorittaa liitetiedostoja automaattisesti.

madot ovat toki toinen asia, mutta niihin puree tuo palomuuri siinä missä tietoturvapäivityksetkin. tosin julkisia palveluita konffatessa on aina hyvä tietää mitä on tekemässä. jos ei tiedä, niin siinä ei juuri antivirussoftatkaan auta. ne ovat vain laastaria kun vahinko on jo tapahtunut.

mitä virusten välittämiseen bisnekontakteille tulee, niin minulla ei ole tapana lähetellä windows (eikä sen puoleen linux) -binäärejä kontakteille. en myöskään lhettele netistä lattamiani MS Office-dokumentteja. dokumentit eivät vaan saa itsekseen makrovirustartuntaa ja jos jostain syystä täyttelen office-dokkareita, niin ne ovat lähtöisin kontaktilta itseltään. minu tuottamiini dokumentteihin viruksia ei luonnollisestikaan tule. muita virustyyppejä en edes osaa kuvitella välitettävän spostin välityksellä.

mitä linuxsecurityyn tulee, niin distrot huolehtivat omasta tietoturvastaan ja käyttäjän pitää vain asentaa tietoturvapäivitykset. yleensä tosin noistakaan ei ole mitään vaaraa, sillä ne ovat enimmäkseen local exploitteja eikä hyökkääjät pysty käyttämään niitä hyväkseen, muuten kuin loggaamalla sinun koneellesi. jos taas hyökkääjä pääsee loggaamaan sinun koneellesi, niin sinulla on muitakin ongelmia.

Ainakaan tässä topicissa ei ole kukaan väittänyt, ettei linux tarvitsisi mitään tietoturvasta huolehtimista. Se on kokonaan eri asia, kuin palomuuri ja virustorjunta + spyware-skanneri.

jepjep.

Tietoturvasta pitää aina huolehtia, tärkeimpänä ajantasaiset päivitykset. Koko järjestelmän päivittäminen on linuxissa/Ubuntussa paljon helpompaa, kuin kaikissa muissa käyttöjärjestelmissä, mutta se pitää silti säännöllisesti tehdä.

jepjep

Virustorjunta on erikoistapauksissa tarpeellista, katso yllä. Normaalissa käytössä ei.

jepjep.

mainittakoon muuten vielä, että yhdessäkään firmassa jossa olen nähnyt linux-koneita työpöydällä/työkoneina (siis ei servereinä) ei ole ollut mitään antivirussoftaa linux-koneissaan. niin huolestuttava linuxin virustilanne on tällä hetkellä yritysten mielestä. paitsi tietty virusscannersoftia valmistavien yritysten mielestä...

Palomuuri ei ole peruskäytössä tarpeellinen, mutta voi olla järkevää asentaa, jos on asentanut joitakin palvelimia koneelleen, esim. ssh, lamp tms. Oletusasennuksessa Ubuntussa ei siis ole yhtään palvelua auki, eikä siis mitään, jota pitäisi muurata kiinni.

kuten sanottu, minä laittaisin palomuurin blokkaamaan vaikka mitään ei olisikaan. itselläni sellainen kotikoneella onkin, vaikka olen sisäverkossa natin takana ja käytännössä se on ihan turha.

[Sunar]

Cups siellä vastaa ihan Ubuntun oletusasetuksilla. Silloin se ei kuitenkaan kuuntele ulkopuolista liikennettä. Eli localhost:631 näyttää sivun, mutta [koneen ip]:631 valittaa, että palvelin hylkää yhteydenoton.

Jep. Mutta Administration-osasta on helppo ajattelematta laittaa päälle "Allow remote administration".

Toki. Ajattelin vain mainita noista oletusasetuksista ennen kuin ketju täyttyy "Apua, minulla näkyy nettisivu tuossa localhost:631 osoitteessa!" -viesteistä .

[Ilokaasu]

Toki. Ajattelin vain mainita noista oletusasetuksista ennen kuin ketju täyttyy "Apua, minulla näkyy nettisivu tuossa localhost:631 osoitteessa!" -viesteistä

Hyvä että mainitsit Ties miten olisin alkanut riehua

[Ybynty]

Siemens SpeedSteam taas on monipuolisempi, ja voi toimia sekä siltaavana tai reitittävänä (NAT). PDF-löytyy mm.
http://www.alltel.net/downloads/links/SpeedStream211.pdf
Sen konfigurointi tosin voi ollakin sitten hieman ongelmallisempaa. Tuohan on ADSL-laite, jota tietyt
palveluntarjoajat lykkivät liittymän ostajille joskus muinoin... Ihan hyvä laite toki.

Mulla on ollut SpeedStream 5100 käytössä jo 4 vuotta, jolloin operaattori antoi sen kaupan päälle laajakaistasopimusta tehdessä. Aina on toiminut. Se on ollut alusta asti siltaavassa tilassa, joten reitittävästä tilasta ei ole kokemusta.

[gdm]

Siemens SpeedSteam taas on monipuolisempi, ja voi toimia sekä siltaavana tai reitittävänä (NAT). PDF-löytyy mm.
http://www.alltel.net/downloads/links/SpeedStream211.pdf
Sen konfigurointi tosin voi ollakin sitten hieman ongelmallisempaa. Tuohan on ADSL-laite, jota tietyt
palveluntarjoajat lykkivät liittymän ostajille joskus muinoin... Ihan hyvä laite toki.

Mulla on ollut SpeedStream 5100 käytössä jo 4 vuotta, jolloin operaattori antoi sen kaupan päälle laajakaistasopimusta tehdessä. Aina on toiminut. Se on ollut alusta asti siltaavassa tilassa, joten reitittävästä tilasta ei ole kokemusta.

Ei reitittävä yhteys ole mikään hirviö. Ainoa joka voi aiheuttaa harmaita hiuksia (minulla niitä riittää, kirjaimellisesti)
on porttiohjaukset, jotka on yleensä melko yksinkertaista tehdä.

Mutta ne harmaat hiukset kestää paremmin, kun tietää kuinka helpolla sitä koneen turvaa voi parantaa (NAT)

[rhino]

Hih, iloisen luottavaisia ubuntu-veikkoja, happy day -skenaario:lla tuntuu olevan
"Oletusarvoisesti ubuntussa kaikki on kiinni ... ellei sitten vahingossa jonkin asennuksessa avaudu ... mainittakoon muuten vielä, että yhdessäkään firmassa jossa olen nähnyt linux-koneita työpöydällä/työkoneina (siis ei servereinä) ei ole ollut mitään antivirussoftaa linux-koneissaan. niin huolestuttava linuxin virustilanne on tällä hetkellä yritysten mielestä. paitsi tietty virusscannersoftia valmistavien yritysten mielestä..."

Niin huoleton linux-tietoturva tälläkin hetkellä siis on, ainakin ubuntu-käyttäjien mielestä
Olen miltei sanaton. Vaikka jokin epäilys herääkin ... onkohan kaikki niin ruusuista sittenkään ...

Olen niin viljalti näillä ubuntu-foorumeilla nähnyt sokeita ajatuksia että kaikki on ubuntussa loistavasti, löytyy vaikka mitä hyvää ja toimivaa (vaikkei varmaa tietoa moisia lausuvilla olekaan eikä olla väitettyjä loistavia juttuja edes käytetty tai kokeiltu) ja sitten varmemmaksi vakuudeksi se loppukaneetti aina että mäsässä ei toimi mikään Tää on kyllä aika fanaattinen maailma, ei voi muuta sanoa. Kannattais muutaman mullahin tulla oppiin.