Tietoturvaa Ubuntuun?

[realbrojericho]

Mikäli lupaus halutaan lunastaa, että Ubuntu on ihmisille ja helppokäyttöinen jne. Niin sanottakoon, että monet vanhemmat ihmiset olettavat Linuxin kuin Linuxin pärjäävän ilman mitään twiikkausta. Ilokseni näin Kurpan ohjeistusta shelli-skripteistä ja muusta sellaisesta. Eikö olisi yksinkertaista tehdä Ubuntuun jokin valikko, joka vakiona kysyisi millaisen tietoturvan käyttäjä haluaa ja sitten tämä skripti voisi säätää IPTABLESit jne asetukset sellaiseen kuntoon, että oikeasti ohjelman käyttäjä (vaikka vanhempi ihminen) voisi ymmärtää, että nyt kun klikkaan raksin tuohon, niin defaultista tulee tällanen ja tällanen...

Tietty Linux on Linux eikä siitä mihinkään pääse, mutta tulipahan vain mieleen erään vanhemman ihmisen läppäriin ubuntua asentaessa, että eihän tuosta tietoturvahommasta mainita kovin lujasti. Mielestäni siitä voisi mainita vähän isommilla huutomerkeillä. Itse ainakin 3G -modeemilla ja tietämättömyyden auvoisellla ajalla (jonka jälkeen olen _ehkä_ jotain oppinut tai sitten en). siitä, että Ubuntusta puhutaan liian täydellisenä käyttöjärjestelmänä. Aivan kuin puhuttaisiin rautapalomuurista, jossa on käyttöjärjestelmä....

Olen vain miettinyt pitäisikö tuosta olla enemmän informaatiota, vai olisiko se sitten niin että tukihenkilöiltä loppuisi työt jos olisi liian helppo tietoturva?

ps. En osannut välttämättä valkata tälle oikeaa aihealuetta... (eli saa siirtää jos sopii muualle paremmin)

[aku506]

Ubuntullehan ei ole viruksia juuri yhtään, joten et tarvi minkäänlaisia toimenpiteitä tietoturvan suhteen, ellet ylläpidä palvelinta...

[realbrojericho]

Hmmm... Lukemani ohjeet Ubuntun Default asetuksiin koskevat Desktop -versiota. Sitä kun vielä kaikki haluavat käyttää.

Ja itse asensin ubuntuun aikoinaan jonkin hyökkäysten näyttävän ohjelman, niin ainakin 3g-modeemilla hyökkäykset olivat jatkuvia. Silloin ubuntun versio oli jotain 7-8 luokkaa. Kun en muista. Onhan siitäkin tuolla oppaissa kyllä, mutta Ei Ubuntu Destop mielestäni sinällään mikään tietoturvallisuutta defaulttina antava ohjelmisto. Jos siis nyt painotetaan sitä helppokäyttöisyyttä. Olisi vain kivempi kavereillekin sitä asentaa jos olisi tällainen vaihtoehto, valmiit luotettavat tieturva-asetukset tai sitten joku valmis ajettava skripti jossa olis vaikka kolme vaihtoehtoa.

Ubuntun multimedia ja helppokäyttöisyys antaa ymmärtää, että mitään tietoturvauhkia ei ole olemassakaan. (Puhun juuri näistä vanhemman ikäpolven ihmisistä, jotka haluavat Ubuntun siksi, että siinä ei ole mitään uhkia.)

[aku506]

Täysi uhkattomuus on täysin mahdotonta, mutta linuxia turvallisempaa et löydä. Jos asia on niin vaikea, siirry windosiin. Siiä ei  tarvi miettii onko uhkia – niitä on takuuvarmasti!

[noname]

Ja itse asensin ubuntuun aikoinaan jonkin hyökkäysten näyttävän ohjelman, niin ainakin 3g-modeemilla hyökkäykset olivat jatkuvia. Silloin ubuntun versio oli jotain 7-8 luokkaa.

Vaikka olisi mikä käyttöjärjestelmä on koko ajan tulossa hyökkäyksiä.
Hakkerit lähettävän niitä sattumanvaraisiin ip-osoitteisiin , mutta ne on tarkoitettu suurin osa windowsille.

[Kunnollinen tullimies]

Ja itse asensin ubuntuun aikoinaan jonkin hyökkäysten näyttävän ohjelman, niin ainakin 3g-modeemilla hyökkäykset olivat jatkuvia. Silloin ubuntun versio oli jotain 7-8 luokkaa.

Vaikka olisi mikä käyttöjärjestelmä on koko ajan tulossa hyökkäyksiä.
Hakkerit lähettävän niitä sattumanvaraisiin ip-osoitteisiin , mutta ne on tarkoitettu suurin osa windowsille.

Luetaanko porttiskannaukset hyökkäyksiin? Niitähän satelee jatkuvasti, ainakin jos ahkerasti vierailee esim. navanalussivustoilla.

[Lasse.]

Täysi uhkattomuus on täysin mahdotonta, mutta linuxia turvallisempaa et löydä. Jos asia on niin vaikea, siirry windosiin. Siiä ei  tarvi miettii onko uhkia – niitä on takuuvarmasti!

Niinno, olen nähnyt (joku tovi sitten) hyökkäyskoodia erilaisilla exploit-sivuilla joka oltiin suoraan kohdistettu Ubuntun ja Fedoran uusimpia versioita kohtaan. Mikäli systeemi ei kuuntele mitään portteja (kuten Ubuntun oletus) niin silloin ollaan kyllä hyvin turvassa, lisäksi voi toki asettaa palomuurin estämään kaikki ulkoapäin tulevat yhteysyritykset.

Turvallisin systeemi, jota itselle tulee mieleen, lienee tässä http://www.openbsd.org/

[Tomin]

Palomuurin säätöön voi halutessaan laittaa vaikka gufw:n. Näkyy olevan nykyään suomennettukin, mutta siis Ubuntussa ei oletuksena ole mitään ohjelmia, jotka kuuntelisivat portteja. Pahin uhka on se, että jossain ohjelmassa on aukko tai käyttäjä tekee tyhmyyksiään. Aukot kyllä paikataan, kun sellainen huomataan.

[Ganymedes]

Sikäli kun olen oikein tutkinut kirjoittelua Ubuntusta, niin alussa esitetyt konstit, "vanhempien käyttäjien" koneessa, ovat yhdentekeviä. Tarpeettomien ohjelmien asentaminen tietoturvan nimissä on taasen yleisesti ottaen lievästi haitallista.

Näinollen ei voi sanoa, että Ubuntusta olisi turhaan tehty liian vaikea tai että  sen tekemisessä olisi laiskoteltu.

Turvallisuuskysymyksissä pitää analysoida mitkä ne todelliset riskit ovat, miten niitä kutakin voi eliminoida ja mitkä ovat lopulta realistisisesti toteutettavissa "vanhemman käyttäjän" tapauksessa. Näistä voisi tietysti kirjoittaa pitkästikin. Lopulta jäljelle jäävät konkreettiset riskit lienevät: phishing, spammiin reagoiminen ja yleiset turva-asetukset (vaikkapa Facebookissa tai kaikissa salasanoissa).

Pikaratkaisut näihin:

phishing - koulutus, järjenkäyttö
spam - käytä G-mailiä
yleiset turva-asetukset - koulutus, järjenkäyttö

Ubuntun omista ongelmista jää jäljelle ainoastaan ohjelmistojen turva-aukot. Niidenkin merkitys pysyy hallinnassa jos edellisissä kohdissa ei hölmöillä. Omassa aliverkossa ajaminen, jollakin halvalla purkilla, nostanee myös turvatasoa, ainakin on helposti toteutettavissa.

[realbrojericho]

Kröhömm.... Aluksi haluan muistuttaa, että kyse ei ollut mistään Ubuntun dissaamisesta. Kyllä Iptables tai ulkoinen palomuuri on aina mahdollista toteuttaa, mutta kun satuin näkemään täälläkin pyörivien moderaattorien ohjeita Ubuntu Desktop -version tietoturvaparanteluun.

Mietin osittain ääneen miten jotain tuollaista voisi asentaa Ubuntuun. Kun itsellä oli ongelmia Ubuntun tietoturvan kanssa, niin laitoin ohjeet juuri siten kun foorumilta löysin ja tukkoon meni. Annoin olla. Siitä on nyt siis jo _pidempi_ aika. En ole asentelemassa BSD-versioita firman asiakkaiden koneiseen, jotka haluavat helppokäyttöisyyttä.

Oikeastaan vastauksia lukiessa tuli mieleen, että mikäli tahtoo sen viimeisen silauksen Ubuntun tietoturvaan tehdä (joka on netissä), niin se on sitten kyllä asentajan tehtävä. Joko pro bono, tai sitten minimihinnalla. Tässä tapauksessa jäisi jäljelle tyytyväinen käyttäjä, asentaja, eikä olisi kyse riistosta, esim. 100 € tuntipalkka-asenukseta.

En käytä itse Ubuntua, mutta mieluusti asennan sitä muille. Myös "vanhemmille" käyttäjille. Mikäli sellaisen haluavat. Kurpan ohjeita soveltaen tai jotain muuta. Vähän sama kun windowssin esiasennus, mutta haetaan javat ja muut samalla ettei käyttäjän tarvitse enää. Tai sitten pitää vain sanoa: "Tuossa on ohjeet jos haluut olla niin älyttömän varma siitä tietoturvastasi!"

[Eesaurus]

Vaikka sitä ei käytännössä tarvitakaan, niin tietoturva-asiaa voisi kuitenkin sivuta joko asennuksen yhteydessä tai ensimmäisessä käyttöönotossa? Joku lyhyt ja ytimekäs esitys, jossa kerrotaan, ettei normaalissa kotikäytössä tarvita palomuuria tai virusohjelmaa, mutta jos sellaiset silti haluaa, niin sitä varten sitten "klikkaa tästä" -tyyppiset ratkaisut. Mahtaisikohan toimia?

Ehkä myös/tai linkki sivulle, jossa Linuxin tietoturvallisuus selitetään lyhyesti ja ytimekkäästi.   

[Storck]

Vaikka sitä ei käytännössä tarvitakaan, niin tietoturva-asiaa voisi kuitenkin sivuta joko asennuksen yhteydessä tai ensimmäisessä käyttöönotossa? Joku lyhyt ja ytimekäs esitys, jossa kerrotaan, ettei normaalissa kotikäytössä tarvita palomuuria tai virusohjelmaa, mutta jos sellaiset silti haluaa, niin sitä varten sitten "klikkaa tästä" -tyyppiset ratkaisut. Mahtaisikohan toimia?

Ehkä myös/tai linkki sivulle, jossa Linuxin tietoturvallisuus selitetään lyhyesti ja ytimekkäästi.   

http://fi.wikibooks.org/wiki/Ubuntu_tutuksi/Ohjelmat#Tietoturva

[Ganymedes]

Eiköhän noiden edellisten kommenttien pointti ollut lähinnä se, että tietoturva ei ole mitään yhteismitallista yhtä mössöä. Tietoturvassa pitää:

a) Kohdistaa toimenpiteet tilanteen mukaan.

b) Keskittyä oleelliseen.


Näistä:

a) Jos harrastetaan Linuxia, minun puolestani ihan sama mitä kukakin tekee. Jos "vain käytetään kotona " tai "pystytellään nettiservereitä" tai "asennetaan yrityksen koneita", ollaan täysin eri tilanteessa. Itse puhuit "vanhemmista käyttäjistä" joten vastasin vain siihen tilanteeseen.

b) Tietoturvaan, niin kuin ei mihinkään muuhunkaan, ei ole olemassa rajattomia resursseja. Kaikkea ei voi toteuttaa, vaan pitää priorisoida, mikä vaatii terveen järjenkäyttöä tai myös tietoa.

Ylimääräiset "tietoturvatoimenpiteet" ovat haitallisia. Esimerkiksi yrityksissä saatetaan laittaa taitamattomasti päälle kaikenmaailman turhanpäiväisiä juttuja, jotka estävät käyttäjän toimenpiteitä aivan turhaan. Tällöin käyttäjät käyttävät kiertokonsteja, jotka saattavat olla huomattavasti vaarallisempia kuin edellä kielletty käyttö. Tämä on vain yksi esimerkki, mutta tämä on yksi turvallisuussuunnittelun perusteista - pitää ymmärtää mitä on tekemässä ja miksi.

Kotikäytössä tällaisista palomuureista ei välttämättä ole tällaista haittaa, varsinkaan jos käyttäjä "ei osaa mitään", ei edes osaa hakea vaarallisia kiertokonsteja ja porttien sulkeminen ei edes vaikuta mihinkään mitään, mutta sittenkin jos turhanpäiväiseen konfigurointiin käytetty raha (100 eur) on pois esimerkiksi 50 euron palomuuripurkin ostamisesta, niin tällä toimenpiteellä on itse asiassa huononnettu tietoturvaa. Lopuilla 50 eurolla voisi suorittaa vaikkapa kansanopistossa kurssin, jossa kerrotaan yleisiä periaatteitä phishing-, spam- ja salasana-asioista.

[realbrojericho]

En silloin tämänkään vertaa linuxeista ymmärtänyt kuin nyt, mutta itse asensin peruskokooonpanolla ohjelman, jonka olin asentanut myös "vanhemmalle ihmiselle", joka oli ostanut eräästä firmasta kannettavan (jossa silloin olin). Laitoin peruskokoonpanon ja lisäpluginit multimediaan mitä katsoin suoraan ubuntun ohjeista.

Myöhemmin kun asensin itselleni about samanlaisen kokoonpanon ja 3G-modeemin. Silloin jonkin statistiikkaa ja hyökkäyksiä näyttävä ohjelma näytti minulle, että ainakin kovasti portteja skannataan ja varmaan yritetään muutakin. Jollei ollut sitten sitä kuuluisaa "netin taustahälinää". Jälkeenpäin opiskellessani Linuxin distribuutioita, säätöä jne. lisää niin jäin miettimään kuinka monella muulla peruskäyttäjällä on sitten asentamatta ne muutamat hyödylliset pienet säädöt jotka vaikka shellissä voisi toteuttaa (?)

En sitten tiedä miksi silloin 3G houkutteli niin ja niin paljon kiinnostuneita koneelleni. Opiskeltuani tietoturvaa erikseen, on tullut vain tällainen juttu mieleen, mutta jos te vannotte (myös gurut), että peruskäytössä ja netissä Ubuntu on turvallinen niin kai sellaisen sitten voi vanhemmallekin ihmiselle asentaa, tai ihmiselle, joka ei tiedä yhtään mistään mitään.

Ehkä itselläni oli sitten vain huono tuuri.

ps. Alapääkuvasivut ei kyllä kiinnosta tai muut epäilyttävät kun niitä asioita varten on olemassa esim. tyttöystävä. Tyttöystävä on tosin vaarallisin tietoturvan tuhoaja, koska ne pirskatti vieköön käyvät läpi kaikki maailman naamakirjat.

ps2. Toistan vielä, että omana tarkoituksenani ei ollut flamettaa tai hyökätä Ubuntua kohtaan distrona, vaan mietin miten valmiin tietoturvan saa helpoiten vaikkapa vanhemmalle ihmiselle jos nyt vain silloin tuntuu siltä, että pakkohan tuota miestä on auttaa tässä asiassa, niin tekeehän sen mieluusti pro bono.

ps3. Eivät nuo vanhat miehet mielellään osta mitään ylimääräistä jos naapuri on kerran sanonu että "Ei niissä Linuxeissa tarvi mitään ku kaikki on valmiina."

Ubuntu sattuu vain olemaan niin helppo ja antaa tällaisille ihmisille jollaintapaa väärän kuvan koko jutusta. Eli ehkä päälauseeni onkin tämä: "Helppokäyttöinen Linux ei ole sama kuin 1000 euron teräspalomuuri." (Pahoittelen karrikointia. Yritän vain selventää kantaani)

[Tomin]

3G:ssä ja perinteisessä laajakaistassa on se ero, että 3G:ssä kone on suoraan netissä, kun taas useimmissa ADSL-modeemeissa on jonkin näköinen palomuuri mukana. 3G:n kanssa voi halutakin sen palomuurin, vaikka sittenkään siellä ei ole ohjelmia niitä portteja kuuntelemassa, joten sillä ei ole käytännössä väliä. Toki sen saa laittaa. ADSL:n kohdalla kannattaa valita sellainen laite jossa on se palomuuri. Täällä on käytössä uusi (edellinen paloi) Telewellin ADSL, jossa on natti ja jotain muutakin palomuuri hommaa (en tarkemmin ole vielä ihmetellyt).

[realbrojericho]

3G:ssä ja perinteisessä laajakaistassa on se ero, että 3G:ssä kone on suoraan netissä, kun taas useimmissa ADSL-modeemeissa on jonkin näköinen palomuuri mukana. 3G:n kanssa voi halutakin sen palomuurin, vaikka sittenkään siellä ei ole ohjelmia niitä portteja kuuntelemassa, joten sillä ei ole käytännössä väliä. Toki sen saa laittaa. ADSL:n kohdalla kannattaa valita sellainen laite jossa on se palomuuri. Täällä on käytössä uusi (edellinen paloi) Telewellin ADSL, jossa on natti ja jotain muutakin palomuuri hommaa (en tarkemmin ole vielä ihmetellyt).

Hyvä täsmennys!

Ehdotin kerran eräälle 3G:n omistajalle vastaavaa laitetta, joka vahvistaa 3G:tä ja sisältää palomuurin jne.
Sitten tullaan taas laitteisiin kun nekin voivat olla mitä vastaan sattuu. Asuessani yliopiston tarjoamassa kämpässä oli kyllä parempi olla tietoturva valmiina ennen kun lykkäsi siihen oppilaiden yhteiseen verkkoon yhtään johtoa. Sori offtopic. Tuli mieleen, että sillä vanhempaa sukupolvea edustavalla miehellä taisi olla aika surkea ISP:n tarjoama modeemi.

Itsellä ollut erityisesti laitepuolella turhan paljon ongelmia näiden ADSL/CABLE -laitteiden kanssa ja koska itse teen sellaista juttua (kunhan tilatut osat vain jo saapuisivat), joka ei edes kuulu tälle alueelle...

Tulipahan ainakin itselle miettimisen aihetta tästä ketjusta ja kiitos kaikille osallistuneille. Mietin vain juuri sitä esimerkiksi, kun on tullut tilattua ihan sitä käyttöä varten Ubuntuja painettuna, että tiedän sitten miten toimia jos joku haluaa koneeseensa helppokäyttöisen Linuxin. Desktop-sellaisen.

[Ganymedes]

...
ps2. Toistan vielä, että omana tarkoituksenani ei ollut flamettaa tai hyökätä Ubuntua kohtaan distrona, vaan mietin miten valmiin tietoturvan saa helpoiten vaikkapa vanhemmalle ihmiselle jos nyt vain silloin tuntuu siltä, että pakkohan tuota miestä on auttaa tässä asiassa, niin tekeehän sen mieluusti pro bono.

ps3. Eivät nuo vanhat miehet mielellään osta mitään ylimääräistä jos naapuri on kerran sanonu että "Ei niissä Linuxeissa tarvi mitään ku kaikki on valmiina."
...

ps2. En ole sellaista kuvitellutkaan. Olen vain omalta puoleltani halunnut kärjistää mitä olen ymmärtänyt että on ja mitä ei ole - toivottavasti gurut korjaavat jos tarpeen. Tällaista yksityiskohtiin menevää tietoturvakeskustelua on aivan liian vähän. Se on mielestäni hyvä tapa vetää selvää hajurakoa Windows-maailmaan.

ps3. Niinpä. Ubuntussa KAIKKI ei ole valmiina. Tai siinä on valmiina myös ohjelmistobugit samalla tavalla kuin missä muussa järjestelmässä tahansa. Esimerkiksi, kukapa tietää mitä Adobe Flash, jota Ubuntussakin käytetään, tekee ja miten vuotaa? Kyseinen puljuhan on kunnostautunut lähihistorian reikäisimpien tuotteiden tekijänä, jota Apple ei edes suostu koneisiinsa asentamaan, miksei sitten Ubuntussakin sitä tarvitsisi pelätä?  Edellinen vain yhtenä esimerkkinä. Tässä mielessä turvapäivitysten kanssa pitää olla tarkkana eikä niitä saa unohtaaa - vaikka muiden asioiden huomioonottaminen (kuten aiemmin kommentoin) vähentääkin todellisia riskejä. Voi olla, että ns. palomuuri/reititin/NAT-laatikotkin pitävät jonkun madon poissa koneelta.

[Kunnollinen tullimies]

En sitten tiedä miksi silloin 3G houkutteli niin ja niin paljon kiinnostuneita koneelleni. Opiskeltuani tietoturvaa erikseen, on tullut vain tällainen juttu mieleen, mutta jos te vannotte (myös gurut), että peruskäytössä ja netissä Ubuntu on turvallinen niin kai sellaisen sitten voi vanhemmallekin ihmiselle asentaa, tai ihmiselle, joka ei tiedä yhtään mistään mitään.

Tuli tässä mieleen tuo Firefoxin (vai oliko sittenkin Operan) yksityinen selaus, vai mikä se nyt olikaan, tila. Osaisikohan joku kertoa miten se toimii? Voisi olla omiaan nettiselaamisen tietoturvan parantamiseksi.

ps. Alapääkuvasivut ei kyllä kiinnosta tai muut epäilyttävät kun niitä asioita varten on olemassa esim. tyttöystävä.

No mutta, eihän kyse ole joko-tai asiasta.
 Ja löytyyhän sitä videonakin.

Esimerkiksi, kukapa tietää mitä Adobe Flash, jota Ubuntussakin käytetään, tekee ja miten vuotaa? Kyseinen puljuhan on kunnostautunut lähihistorian reikäisimpien tuotteiden tekijänä, jota Apple ei edes suostu koneisiinsa asentamaan, miksei sitten Ubuntussakin sitä tarvitsisi pelätä? 

Nuo Applen ja Adoben keskinäiset kahnaukset eivät varmaankaan ole tietoturvakeskustelun kannalta kovin oleellisia.

[Ganymedes]

...

Esimerkiksi, kukapa tietää mitä Adobe Flash, jota Ubuntussakin käytetään, tekee ja miten vuotaa? Kyseinen puljuhan on kunnostautunut lähihistorian reikäisimpien tuotteiden tekijänä, jota Apple ei edes suostu koneisiinsa asentamaan, miksei sitten Ubuntussakin sitä tarvitsisi pelätä? 

Nuo Applen ja Adoben keskinäiset kahnaukset eivät varmaankaan ole tietoturvakeskustelun kannalta kovin oleellisia.

Toivottavasti eivät Linuxin kannalta, mutta tämähän olikin vain esimerkki potentiaalisesta, osittain jopa ulkoisesta tietoturva-aukosta.

Tosin Windows-maailmassa on ihan oleellinen tietoturvakeskusteluasia.

[Kunnollinen tullimies]

Toivottavasti eivät Linuxin kannalta, mutta tämähän olikin vain esimerkki potentiaalisesta, osittain jopa ulkoisesta tietoturva-aukosta.

Tosin Windows-maailmassa on ihan oleellinen tietoturvakeskusteluasia.

Tai siis, Applen ja Adoben riidoilla ei ole tietoturva-asioiden kanssa tekemistä.