Linux on turvallinen?

[Tha-Fox]

ufw ei ole must koska se on "käyttöliittymä" iptablesin helpompaan hallintaan.
Eli kunhan iptables on niin kaikki on hyvin

Summa summarium, palomuuri täytyy olla mutta ei mitään jolla hallita sitä helpohkosti jos riittää skilliä käyttää suoraan iptablesia. Muistaakseni esim. firestarter myös käytti suoraan iptablesia, kuten suurin osa linuxille tehdyistä "palomuureista".

Miksi se palomuuri on niin pakollinen? Oletetaan että koneella on käytössä vain ja ainoastaan ssh- ja www-palvelimet eikä mitään muita verkkoon näkyviä palveluita niin mitä lisäarvoa palomuuri tuo? Entä siinä tilanteessa jos koneella ei ole mitään palvelimia?

Palomuurista on kyllä hyötyä konffausvirheiden ja vahingossa käynnistettyjen palvelimien varalta mutta ei se ole millään tavalla välttämätön.

En ole itsekään käsittänyt palomuurin hyötyä koneella, jolla pyöritän ssh:ta ja apachea. Niinpä en käytä sitä. Konffit on pidetty minimissään virheiden varalta. Ja jos palveluista paljastuu aukkoja, niin äkkiähän nuo etänä tai paikallisesti sulkee. Siihen ei kuitenkaan hirveästi palomuuri auta.

[gdm]

Tein tuossa pikaisen porttiskannauksen läppärillä


Ensimmäisellä ajolla oli yksi portti auki (lähiverkossa) mutta suljetaan kyseinen palvelu.

Koodia: [Valitse]

tta@dv5:~$ nmap localhost

Starting Nmap 5.00 ( http://nmap.org ) at 2009-09-02 22:44 EEST
Warning: Hostname localhost resolves to 2 IPs. Using 127.0.0.1.
Interesting ports on localhost (127.0.0.1):
Not shown: 999 closed ports
PORT    STATE SERVICE
631/tcp open  ipp

Nmap done: 1 IP address (1 host up) scanned in 0.23 seconds
tta@dv5:~$ sudo service cups stop
[sudo] password for tta:
 * Stopping Common Unix Printing System: cupsd                           [ OK ]
tta@dv5:~$ nmap localhost

Starting Nmap 5.00 ( http://nmap.org ) at 2009-09-02 22:44 EEST
Warning: Hostname localhost resolves to 2 IPs. Using 127.0.0.1.
All 1000 scanned ports on localhost (127.0.0.1) are closed

Nmap done: 1 IP address (1 host up) scanned in 0.12 seconds
Itselläni on lukuisia koneita, missään ei ole aktiivista palomuuria käytössä.
Mitkään logit ei paljasta tunkeutumisyrityksiä.

[henri_aleksi]

Nopeasti kopioitua wikipediasta (http://fi.wikipedia.org/wiki/Palomuuri):

Useimmiten palomuuria tarvitaan avoimesta Internet-yhteydestä tulevilta hyökkäyksiltä suojautumista varten. Palomuurilaitteilla on sääntöjä, joilla sisään tulevista yhteyksistä suodatetaan pois kaikki muu, paitsi tarvittava minimi. Nykyisin on myös yleistä, että vastuuntuntoisesti suodatetaan myös ulkomaailmaan lähtevää liikennettä, jotteivät oman verkon asiakkaat voi häiriköidä muiden verkkoihin (esimerkiksi väärennetyillä lähdeosoitteilla). Useiden yritysten sisällä suositaan työntekijöiden koneilta ulospäin lähtevän liikenteen kontrollointia palomuurin avulla muun muassa tietosuojan turvaamiseksi.

[kuutio]

Ei se palomuuri mitenkään välttämätön ole, vaikka aloittelevalle käyttäjälle ehkä suositeltava niiden "vahingossa asennettujen" palvelimien takia.

Mikäli taas ulkomaailman liikennettä kuuntelevia palvelimia on tarkoituksella asennettu, niiden oikea konffaus on palomuuria tärkeämpää. Siihen palomuuriinhan on pakko puhkoa aukkoja, jos näitä palveluja haluaa käyttää (mikä lienee asentamisen tarkoitus).

[mgronber]

Nopeasti kopioitua wikipediasta (http://fi.wikipedia.org/wiki/Palomuuri): [...]

Ei vastannut varsinaiseen kysymykseen.

[eGetin]

Estää yksinkertaisesti ulkomaailmasta tulevia yhteyksiä. Ilman palomuuria voivat ketkä tahansa yrittää päästä järjestelmään sisään, mutta jos on palomuuri ja vain tarpeelliset portit auki, on se aika epätodennäköistä että kukaan pääsisi enään edes yrittämään.

[kuutio]

Estää yksinkertaisesti ulkomaailmasta tulevia yhteyksiä. Ilman palomuuria voivat ketkä tahansa yrittää päästä järjestelmään sisään, mutta jos on palomuuri ja vain tarpeelliset portit auki, on se aika epätodennäköistä että kukaan pääsisi enään edes yrittämään.

Ei niistä porteista pääse sisään, jos mikään prosessi ei kuuntele porttia.

Jos taas porttia kuuntelemaan on joku palvelin asennettu, siitä on kaiketi tarkoituskin päästä sisään.

[jusssi]

Olen runsaan vuoden käyttänyt pääasiassa Linuxeja (pääasiassa Ubuntua) ja olen ymmärtänyt, että erillistä palomuuriohjelmaa ei tarvita, kun modeemissa  (TW-EA501) on palomuuri. XP:ssä, jota käytän vain satunnaisesti, on palomuurina Zone Alarm.

Tietotekniset taitoni ylipäätänsäkin ovat huonot. Siksi kysyn, onko aihetta huoleen?

[qwertyy]

Tuo taitaa olla vähän puolitotuus tuo modeemin palomuuri. NAT on varmaankin päällä kaikissa malleissa tehdasasetuksilla, mutta palomuuri ei kyllä mielestäni ole. Mutta tuskin mitään erikoista huolenaihetta ole. Itse olen käyttänyt XP:tä sen omalla palomuurillakin, mutta olen kyllä hyvin perillä asentamistani ohjelmista. Vistassa ei itsellä ole nytkään palomuuri lainkaan päällä, eikä mitään ongelmaa ole ollut (tai siis siinäkin järjestelmän oma päällä kuitenkin)

[Samu Wikstedt]

Olen runsaan vuoden käyttänyt pääasiassa Linuxeja (pääasiassa Ubuntua) ja olen ymmärtänyt, että erillistä palomuuriohjelmaa ei tarvita, kun modeemissa  (TW-EA501) on palomuuri. XP:ssä, jota käytän vain satunnaisesti, on palomuurina Zone Alarm.

Tietotekniset taitoni ylipäätänsäkin ovat huonot. Siksi kysyn, onko aihetta huoleen?

Mikäli koneen ja internet-töpselin välissä on laite, jossa on palomuuri aktivoituna, ei koneella tarvitse olla omaa palomuuria.

Oman liittymän / palomuuritilanteen pystyy tarkistamaan mm. käyttämällä eri palomuuri -scannaussivuja jotka testaavat onko koneen IP-osoiteessa portteja auki. Esim. hakusanoilla "firewall scanner" löytää jotain, täytyy tietyusti pitää mielessä että varsinkin kaupallisten toimijoiden scanneritulokset voivat antaa suostuksia ko. tahon tuotteiden ostamiseen.

Joku muu saa suositella täsmälinkkiä -itsellä on kulunut liikaa aikaa noiden käytöstä, joten ei osaa sanoa mikä toimii, ja nyt olen palomuuriproxyn takana joten nuo eivät toimi kunnolla

-Samu

[mgronber]

Mikäli koneen ja internet-töpselin välissä on laite, jossa on palomuuri aktivoituna, ei koneella tarvitse olla omaa palomuuria.

Minulla ei ole laitetta jossa on palomuuri aktivoituna. ShieldsUP!-palvelu näyttää punaisella tekstin "FAILED" ja porteissa 22 ja 80 lukee "OPEN!" punaisella pohjalla. Pitääkö minun asentaa palomuuri? Millaiset asetukset palomuuriin pitäisi laittaa? Kuinka paljon tietoturvani paranee palomuurin myötä?

[tommis]

Mikäli koneen ja internet-töpselin välissä on laite, jossa on palomuuri aktivoituna, ei koneella tarvitse olla omaa palomuuria.

Minulla ei ole laitetta jossa on palomuuri aktivoituna. ShieldsUP!-palvelu näyttää punaisella tekstin "FAILED" ja porteissa 22 ja 80 lukee "OPEN!" punaisella pohjalla. Pitääkö minun asentaa palomuuri? Millaiset asetukset palomuuriin pitäisi laittaa? Kuinka paljon tietoturvani paranee palomuurin myötä?

Sinun ei tartte asentaa palomuuria koska linuxissa ei ole leviäviä troijjalaisia eikä tiedonkalastelu yrityksiltä suojaa mikään palomuuri paitsi oma järki. Eli palomuuria ei asenneta jollei ole serveriä ".my porn" kansiot taas salataan salauskoodilla muut voi kertoa siitä lisää kun en ole ite joutunut tekemään. 

[peran]

Tietotekniset taitoni ylipäätänsäkin ovat huonot. Siksi kysyn, onko aihetta huoleen?

Lyhyesti: Ei, mutta kuitenkin kannattaa kehittää tietoteknisiä taitoja.

Edit - olettaen, että et pahemmin internetissä pyöri XP:llä.

[Tha-Fox]

Ei se palomuuri mitenkään välttämätön ole, vaikka aloittelevalle käyttäjälle ehkä suositeltava niiden "vahingossa asennettujen" palvelimien takia.

Mikäli taas ulkomaailman liikennettä kuuntelevia palvelimia on tarkoituksella asennettu, niiden oikea konffaus on palomuuria tärkeämpää. Siihen palomuuriinhan on pakko puhkoa aukkoja, jos näitä palveluja haluaa käyttää (mikä lienee asentamisen tarkoitus).

No kyllä siitä palomuurista on hyötyä jos vaikka haluaa vähän rajata mistä päin internetin suurta maailmaa pääsee kokeilemaan tunnusten lujuuksia. Ite en esim pidä ssh-palvelinta ilman iptables-säännöstöä auki maailmaan. Tietty jos luottaa softan virheettömyyteen kuin hullu puuroon niin mikäpäs siinä.

Eikös ssh-palvelimessa itsessäänkin ole tuo toiminto, vai muistanko väärin? Ja jos ottaa vielä salasanatunnistuksen pois, niin en minä välttämättä siihen enää palomuuria tarvitse. Mutta makunsa kullakin.

[kuutio]

Ei se palomuuri mitenkään välttämätön ole, vaikka aloittelevalle käyttäjälle ehkä suositeltava niiden "vahingossa asennettujen" palvelimien takia.

Mikäli taas ulkomaailman liikennettä kuuntelevia palvelimia on tarkoituksella asennettu, niiden oikea konffaus on palomuuria tärkeämpää. Siihen palomuuriinhan on pakko puhkoa aukkoja, jos näitä palveluja haluaa käyttää (mikä lienee asentamisen tarkoitus).

No kyllä siitä palomuurista on hyötyä jos vaikka haluaa vähän rajata mistä päin internetin suurta maailmaa pääsee kokeilemaan tunnusten lujuuksia. Ite en esim pidä ssh-palvelinta ilman iptables-säännöstöä auki maailmaan.

Mikäs siinä, jos etukäteen tietää mistä osoitteista yhteyden ottaa ja saa jollain lailla järkevät rajaussäännöt (omalla kohdalla asia ei ole niin). Tosin sallittuja ip osoitteita voi rajata ihan serveriä konffaamalla (eli ei vaadi palomuuria). Hyvän suojan "koputtelua" vastaan tarjoaa myös salasanakirjautumisen poistaminen käytöstä ja käyttämällä host-key autentikointia sen sijaan.

EDIT: Laitetaan nyt vielä linkkiä, eli ssh-serverin konffaus (lyhyt howto):
http://www.nixtutor.com/linux/installing-and-configuring-an-ssh-server/

[kuutio]

Mikäs siinä, jos etukäteen tietää mistä osoitteista yhteyden ottaa ja saa jollain lailla järkevät rajaussäännöt (omalla kohdalla asia ei ole niin). Tosin sallittuja ip osoitteita voi rajata ihan serveriä konffaamalla (eli ei vaadi palomuuria). Hyvän suojan "koputtelua" vastaan tarjoaa myös salasanakirjautumisen poistaminen käytöstä ja käyttämällä host-key autentikointia sen sijaan.

Tarkkoja osoitteita ei tarvitse tietää kun pääsy voidaan sallia segmentteinä ip-avaruutta.

Tottakai voidaan (myös siellä palvelimen puolella ilman palomuuria), mutta käytännössä (ainakin paljon liikkuvalle) säännöistä tulee väkisinkin joko turhan sallivia tai liian tiukkoja (tai molempia), joka tapauksessa parempaa suojaa saa oikealla palvelimen ja autentikoinnin konffeilla kuin osoitteita rajaamalla (ellei sitten rajaa ulos kaikkia osoitteita). Ei tarkoitukseni toki ole väittää, että palomuuri olisi kaikissa tilanteissa "hyödytön", vaan kumota väite että palomuuri olisi aina "välttämätön". Kunnolla konfattu palvelin ilman palomuuria on monin verroin turvallisempi kuin huonosti konffattu palvelin liian sallivan palomuurin takana...paranoidi ihminen voi toki suojautua molemmilla tavoilla.

Toisekseen pääsyn hallinta itse softasta ei välttämättä estä mahdollisten remote explottien käyttöä. SSH:ssakin on näitä nähty joskus aikoinaan eikä mikään takaa etteikö vastaavaa voisi tulla. Sanokaa vaan paranoidiksi, ei haittaa. Minusta se on vaan tervettä.

Paranoidin kannattaa tosin ajatella myös sitä, että se exploit saattaa löytyä myös sieltä palomuurista (käytännössä sekä iptables että ssh on kyllä sen verran testattua softaa, etten usko paikkaamattoman aukon oleva merkittävä uhka. Varsinkaan sellaisen aukon, joka menisi läpi kaikista oikein konfiguroidun sshn suojauksista, sellainenhan ei nojaa yksin osoitteiden rajaukseen). 

[kuutio]

Melko poikkeuksellista on jos käyttäjät liikkuvat paljon. Suurin osa porukasta lähinnä kökkii omilla koneillaan(kokemusta 9 vuotta) eivätkä kierrä maailmaa. Työmaan palvelimet sitten erikseen, tässähän puhutaan vain kotikäytöstä.

Ainakin itse otan liikkuessani kannettavalla yhteyttä kotipalvelimeenkin sieltä mistä verkko nyt sattuu löytymäänkin (eli verkko-osoitteiden rajaus sulkisi minut ainakin toisinaan ulos), kotikoneella kykkijät tuskin tarvitsevat ssh:ta ensinkään.

Toisekseen minähän en tässä keskustelussa ole väittänyt että palomuuri on aina _välttämätön_

Enkä minä sinulle alunperin vastannutkaan, jos luet ketjua taaksepäin niin sieltä ne väitteet löytyy...kommenttini ei ollut tarkoitettu sinulle henkilökohtaisesti, pahoittelen etten ilmaissut sitä tarpeeksi selvästi.

vaan aina hyödyllinen.

Riippuu tilanteesta. Palomuuri ei ole hyödyllinen, jos esim.
1. se estää palvelun tarkoituksenmukaisen käytön
2. se ei rajoita palvelun käyttöä mitenkään (aika usein olen törmännyt säätäjiin, jotka ovat asentaneet palomuurin palvelimen suojaksi, ja sitten puhkaisseet palvelimen käyttämät portit kokonaan auki, tällainen palomuurihan ei suojaa palvelinta millään tavalla).
3. ulkomaailman portteja kuuntelevia palveluja ei ole asennettu (vähäistä hyötyä voi olla siitä, että paketit pudotetaan hylkäämisen sijaan)

Ei tämä mikään "joko-tai"-asia ole.

Samaa mieltä. Mutta kuten olen aiemmin kommentoinut, tärkeintä on laittaa palvelimen asetukset kuntoon. Lisäsuojaa saa sitten halutessaan palomuurilla, edellyttäen että osaa laittaa myös sen asetukset kuntoon, eikä tarvitse rajoittaa tarpeettomasti "oikeaa käyttöä".

Teoriassa voi, juu. Kuitenkin näitä teoreettisia exploitteja käyttävät keskittyvät siihen palveluun joka pyörii tunnetussa portissa. Tämä "paranoidi" (oikeasti en ole kovinkaan paljon) ymmärtää myös todennäköisyyksien päälle.

Todennäköisyyksiä voi pienentää huomattavasti myös asettamalla palvelimet kuuntelemaan jotain muuta kuin "standardi"-porttia. Aina tämä ei ole tarkoituksenmukaista (esim. julkinen www-palvelin), mutta ainakin ssh:n voi yleensä huoletta hyppyyttää johonkin muualle kuin 22:seen.

[kuutio]

Omassa palvelimessa riitti ihan hyvin kymmenkunta siivua sallittuja osoitteita muutamalle käyttäjälle ja itselleni.

Tällaisessa tilanteessa osoitteiden rajaus on varmasti ihan toimivakin lisäsuoja. Mielestäni rajauksen voi tehdä ihan mainiosti palvelimellakin, mutta eihän "tuplasuojauksesta" haittaakaan ole.

Sillehän ei voi mitään jos ylläpitäjä on käsi. Ei ole palomuurin vika eikä vähennä sen hyödyllisyyttä.

Eihän palomuurissa suojatyökaluna mitään vikaa olekaan, kyse on vain siitä milloin sen kytkeminen päälle koneessa on todella tarpeen (ja milloin siitä on todella hyötyä).

Aina ei ole kyse vain ylläpitäjän taidoista, joihinkin palveluihin palomuurirajaukset eivät vain ole kaikkein käytännöllisimpiä (esim. kaikille näkyväksi tarkoitettu www-palvelin. On tietysti eri asia kuinka moni kotikäyttäjä tällaista tarvitsee). Lisäksi koneellle säädetyn palomuurin hyödyllisyys on varsin rajallinen, jos kone sattuu olemaan jo rautapalomuurin takana.

Ja liian usein törmää asenteeseen, että "palomuurin takana olet turvassa, ilman palomuuria suojaton" ihan riippumatta palvelimen tai palomuurin asetuksista (tätä kommenttia ei ole kohdistettu sinulle).

Lainaus
3. ulkomaailman portteja kuuntelevia palveluja ei ole asennettu (vähäistä hyötyä voi olla siitä, että paketit pudotetaan hylkäämisen sijaan)
---
Ei vara venettä kaada.

Mahdollinen hyöty koneen piilottamisesta silloin kun koneella ei ole avoimia portteja ensinkään, on kyllä mielestäni niin pieni, ettei sen takia palomuuria tarvitse kytkeä päälle, vaikka harvemmin siitä haittaakaan on.

Jos osaa laittaa palvelut ojennukseen, ei siitä ole pitkä matka opetella vähän verkkopuolta. Jossei muuta hyödy niin oppii uusia vähemmän turhia asioita.

Uuden opettelussa ei tietenkään ole mitään väärää, lisää varmasti koneen turvallisuutta pitkällä tähtäimellä.

Sinänsä minua ei haittaisi, vaikka palomuuri olisi oletuksena ubuntussa päälläkin, tämä kun pakottaisi käyttäjät ainakin vähän pähkäilemään ennen kuin avaavat palvelimensa maailmalle. Mutta oletusasennuksen turvallisuutta se ei juuri lisäisi, mistä syystä se ei varmaan oletuksena olekaan päällä.

[elmeri]

Toinen konsti on estää peräkkäiset yritykset samasta osoitteesta ja automaattisesti pistää ne jäähylle.

Miten tämä määritellään sshd_config:iin?

[timbba]

Toinen konsti on estää peräkkäiset yritykset samasta osoitteesta ja automaattisesti pistää ne jäähylle.

Miten tämä määritellään sshd_config:iin?

Fail2ban ohjelma on ainakin kätevä:
http://linux.fi/wiki/Fail2ban