Tietoturvaa Ubuntuun?

[Ganymedes]

Silloin tiukennetaan tietoturvaa tai se työntekijä voi ihan hyvin tarkistaa sen tuloksen kämmenmikrollaan, jossa on kolme geeeeeee. Nih. Ja nuo erityistapaukset juuri pakottavat tiukentamaan tietoturvaa, jos nyt sattuisi joku haluamaan muutakin kuin F1-tulokset. On kuitenkin hyvin epätodennäköistä, että työntekijä joutuisi pakon edessä vaarantamaan koko yrityksen verkon. Jos hän tekee kuitenkin sen, niin firman politiikkaa varmasti siihen sitten sovelletaan. Tämä on siis hyvin epätodennäköinen kuvaelma firmasta jossa on hyvin todennäköinen työntekijä. Jotenkin ne firmat vaan pyörii ja harjoittelijat koodaavat php:n valmiiksi piripäissään, että 2 yön tekemisen jälkeen pomo ei löisi näppäimistöllä naamaan. Tämäkin on HYVIN epätodennäköistä.

Ei kai kukaan tuollaiseeen, rennoissa firmoissa, puutukaan, niin kauan kuin ei mitään tapahdu.

Sitten kun tapahtuu, niin sitten ruvetaan jeesustelemaan että miten nyt kukaan on voinut noin käyttäytyä vaikka se on ollut firman tapa internetin keksimisestä lähtien.

Yhtä hyvin olisi voitu jo etukäteen ennakoida tilanne ja vaikkapa pistää pystyyn joku ISP:n halpisverkko, vierailijaverkko, joka ihan oikeasti toimii ja jossa voi sitten omassa maailmassaan puuhastella vieraskoneilla. Tästä tulisi kustannuksia firmalle ehkä 40 eur/kk + joku halpa purkki (riippuen tietysti firman koosta ja verkon laajuudesta).

[valtsu68]

[mielipide]
Nykyaikaisen käyttöjärjestelmän tietoturvan heikoin lenkki on kyseistä järjestelmää käyttävän henkilön osaaminen.[/mielipide]

Samaa mieltä, lisäksi, että nykyaikana tarpeellisen tietoturvan tason määrää käyttäjän tietoisuus uhista ja mahdollisuuksista, suhteutettuna epäilykseen uhkien toteutumiseen omalla kohdalla. (Tuliko ymmärrettävästi?)

Laita muutaman kymmennen euron hintainen purkki, joka ei vaadi mitään ylläpitoa eikä mainittavaa asennustyötä, niin loppuvat kaikki koputtelutkin. Tästäkin on ollut jo puhetta.

Tällainen maininta on mennyt valitettavasti minulta ohi. Mistä löytyy kyseinen maininta?

Edit: lisätty pilkku 

[Frank Zappa]

Täytyy nyt tähänkin juttuun puuttua, kun Jerikolla on nyt joku käsitys sekaisin?

Siis Linuxin myös Ubuntun tietoturva perustuu: ytimessä olevan palomuurin portit on kiinni. siis desktop-koneissa. mikä tarkoittaa että kone ei ole serveri.

Noh näin mulle kerrottiin, kun kyselin, mutta firefox aukasee portin 80 ulospäin.
Vasta pitkien tekstien jälkeen mulle selvis, että se on auki vain ulos eli sisäänpäin siitä ei pääse.
Paitsi jos EN ITSE AVAA kyseistä porttia sisäänpäin. Ja niinhän en tee, koska vain selaan internettiä.
Ja MOLEMPIIN SUUNTIIN kiinni olevia portteja on kymmeniä tuhansia...

Itse pidän jatkuvasti päällä Firestarteria, joka vain lukee liikennettä porttien suilla.
Vakavia koputuksia tulee muutama kappale joka päivä portteihin 20, 22, 23 ja 80. Mutta ne jääkin koputuksiksi.
Muihin portteihin koputukset jää vaarattomiksi koputuksiksi.

Ja luultavasti Synapticin kautta asennnetut ohjelmat on niin testattuja, että ne voi taviskin asentaa
vaaratta. Onkelmia käsittääkseni voi aiheuttaa silloin, kun asentaa esim. joitain median/videon ajureita
joita joku harvinaisempi videotiedosto vaatii ja sen tekijä on joku tuntematon.

Eli päättelisin tästä, että Ubuntun tietoturva on suojattu hyvällä palomuurilla, niin että siitä ei synny
kunnollista lyhyttä ytimekästä selkeyttävää tekstinpätkää edes wikiin ! Asiaa nörtit pitää niin
itsestään selvänä, että selitykset hajaantuu sinne tänne sekavaksi epäselvyydeksi.
Mikä siis ylläpitää ja aiheuttaa epävarmuutta Linuxin turvallisuuesta. Ja sehän kelpaa wintoosalle hyvin !

Eli voit jeriko lähes huoletta asentaa Ubuntuja vanhuksille, muutaman neuvon kera.

Se oliskin mielenkiintoista, että miten palomuuri pitäs hoitaa serverille. !
Sillainiinku lyhyesti ja ytimekkäästi eli selkeästi sanottuna, niin että taviskin vois pistää serverin pystyyn
askarteluhuoneen nurkkaan.

On muuten kumma ettei Linuxille ole vielä keksitty viirusta tai matoa, onko sitten Linux (Unix) niin monimutkainen systeemi, ettei laiskoilla hakkereilla riitä pinna viiruksen tekoon?
Noh varmaan joku semmosen keksii, kun Linux saavuttaa 10-20% osuuen koneista...

T:Frank Zappa 

[Ganymedes]

...

Laita muutaman kymmennen euron hintainen purkki, joka ei vaadi mitään ylläpitoa eikä mainittavaa asennustyötä, niin loppuvat kaikki koputtelutkin. Tästäkin on ollut jo puhetta.

Tällainen maininta on mennyt valitettavasti minulta ohi. Mistä löytyy kyseinen maininta?
...

En tiedä puhutaanko samasta asiasta, mutta heti ensimmäisessä postissani oli allaoleva maininta. Sen jälkeen olen jankannut näköjään sitä ainakin kahdessa muussa postissa 

Omassa aliverkossa ajaminen, jollakin halvalla purkilla, nostanee myös turvatasoa, ainakin on helposti toteutettavissa.

[realbrojericho]

Täytyy nyt tähänkin juttuun puuttua, kun Jerikolla on nyt joku käsitys sekaisin?

Ei mulla ole mikään käsitys sekaisin. Kerron sitten kun osaan selittää asiani niin, että juuri oma käsitykseni tulisi objektiivisesti kulminoituneeksi myös sinun verkkokalvoillesi.

Asentelen vanhuksille tästälähtien niitä iptableseja, tykkäs tai ei.

 

btw. Tää ketju on ollu lähinnä vaan hauskaa. Naurakaa. Ubuntun tietoturva on ihan paras. Ihan ku aikoinaan Security Linux! Joo ja mä teen ihan mielelläni mummoille servereita nurkkiin. Frank Zappa pääsee sitten neuvomaan niitä.

[Tomin]

Testasinpa omaa, tai en minä sitä omista, mutta meidän laajakaista purkkia kuitenkin. Shields Up sanoi, että jokusesta portista vastailee ja niin pitääkin, kun olen niin määrännyt (web-serveri yms.). Mutta se ilmoitti, että kaikista vastataan pingiin. No tutkinpa Telewellin asetuksia ja sieltä löytyi Pingin esto. Eipä enää ilmoittanut, joten olen suojassa niin kauas kuin Apache ja pari muuta palvelua kestävät.

[valtsu68]

En tiedä puhutaanko samasta asiasta, mutta heti ensimmäisessä postissani oli allaoleva maininta. Sen jälkeen olen jankannut näköjään sitä ainakin kahdessa muussa postissa 

Omassa aliverkossa ajaminen, jollakin halvalla purkilla, nostanee myös turvatasoa, ainakin on helposti toteutettavissa.

Öh, juu.  (En vaan ymmärrä tänään sitäkään vähää mitä tavallisesti. Pitäisi kai porata reikä otsasta niskaan...)

[Housuvelho]

Noh.

Kokeilkaa linuxillanne www.grc.com

Näette, että kaikki portit on STEALTH pingiin kone vastaa. Monissa tarkoituksissa niin pitääkin. Sitten voi mennä konsolille kirjoittamaan : locate iptables. siinä on palomuurin tynkä. Googlettamalla Arno's iptables script löytyy erilaisia iptablesin konfigurointiskriptejä. F-securelta edellisessä elämässä (pv) palvelimissa käytettiin lisämausteena virustorjuntaa. En lähtisi hössöttämään kotikoneen Linuxin virustorjunnasta hirveästi. Normaali cookie siivous joskus riittää.

Perusasetuksena Ubuntu on auki. Ne palvelut, joita joku haluaa verkosta on säädettävissä. Jos joku haluaa järkevän virustorjunnan vielä lisäksi, niin otan selvää, mikä on paras.

Tiukoilla suluilla saa helposti myös systeemin niin jumiin, että ei sitten katsella kuin perheen valokuvia ja niitäkin paperilla.

Mulla on 51413 portti auki, kun sitä bob Marleytä tulee Torrentteina, mutta sekin on stealth.
Senkin toki saa randomina muuttumaan jos haluaa...

[Housuvelho]

Testasinpa omaa...

Autan miten voin mulle voi kysymyksiä kirjoittaa. Liian monta vuotta olen näiden kanssa pelannut. Nyt kirjoittamaan se 10.04 käyttöönottojuttu. Kaikki palloilee samojen kysymysten äärellä ja kokonaista vastausta ei kai kukaan ole saanut.

[Housuvelho]

...

Laita muutaman kymmennen euron hintainen purkki...

Ganymedes puhuu järjen sanoilla. Kytkin tai Adsl modeemi, missä on pelti Natti hoitaa homman.

[Housuvelho]

Testasinpa omaa, tai en minä sitä omista, mutta meidän laajakaista purkkia kuitenkin. Shields Up sanoi, että jokusesta portista vastailee ja niin pitääkin, kun olen niin määrännyt (web-serveri yms.). Mutta se ilmoitti, että kaikista vastataan pingiin. No tutkinpa Telewellin asetuksia ja sieltä löytyi Pingin esto. Eipä enää ilmoittanut, joten olen suojassa niin kauas kuin Apache ja pari muuta palvelua kestävät.

Tarkkaile hetki Apachen logeja. Saattaa niitä pingejä tarvita. Kiinteillä IP:illä olet kuitenkin, niin ei pitäisi ilmetä vaikeuksia.

[valtsu68]

Laita muutaman kymmennen euron hintainen purkki...

Ganymedes puhuu järjen sanoilla. Kytkin tai Adsl modeemi, missä on pelti Natti hoitaa homman.

  Örf... Ai joo. No, onhan mulla tuo ADSL-modeemi ja se on nattaavana. Siltikin joitain iskuja löytynyt Ubuntunkin palomuurista. Tuo "purkki" vaan hämäsi.

Monesti nuo slangisanat ovat kivoja sekä lyhyempiä kirjoittaa, mutta hakua suorittaessaan tavan käyttäjä ei niitä monestikaan osaa käyttää. Tilanne on kuin Mese-foorumilla, jossa puhutaan joistain "morkooleista" tms. moottorin osista...

[audi]

Siis Linuxin myös Ubuntun tietoturva perustuu: ytimessä olevan palomuurin portit on kiinni. siis desktop-koneissa. mikä tarkoittaa että kone ei ole serveri.

Perustelin pari kohtaa lainauksilla (eivät valitettavasti olen minun keksimiäni), tähän en jaksanut hakea. Ubuntussa portit ovat oletuksena auki mutta mikään ohjelma ei niitä kuuntele. Palomuurin säätäminen on kuitenkin järkevää, sillä jokin käyttäjän asentama ohjelma (vaikkapa riippuvuuksien mukana) saattaa kuunnella verkkoa.

Itse pidän jatkuvasti päällä Firestarteria, joka vain lukee liikennettä porttien suilla.

Palomuuri kyllä menee päälle vaikkei tuo GUI-kilke olekkaan auki. IMO, sen lataaminen muihin kuin säätöjen muutamiseen on aivan turhaa.

Ja luultavasti Synapticin kautta asennnetut ohjelmat on niin testattuja, että ne voi taviskin asentaa vaaratta.

Pieni tarkennus. Vakiona olevat pakettilähteet ovat luotettavia (tähän mennessä), käyttäjän lisäämät ppa:t tms ovat eri asia.

On muuten kumma ettei Linuxille ole vielä keksitty viirusta tai matoa, onko sitten Linux (Unix) niin monimutkainen systeemi, ettei laiskoilla hakkereilla riitä pinna viiruksen tekoon? Noh varmaan joku semmosen keksii, kun Linux saavuttaa 10-20% osuuen koneista...

Ubuntussahan ei mikään ohjelma oletuksena blokkaa keyloggereita tai muitakaan ohjelmia lähettämästä tietoa nettiin päin,

ei ole juu, ubuntussa ei myöskään toimita jatkuvasti pääkäyttäjän oikeuksin, eikä millään softalla ole oletuksena oikeuksia asennella koneelle keyloggereita tai muitakaan ohjelmia jotka lähettäisivät arkaluontoista dataa nettiin ilman käyttäjän suostumusta.

Tästä markkinaosusuuden vaikutuksesta haittaohjelmien määrään on ollut vaikka miten paljon juttua. Sota alkakoon...  


Käytin lainauksia _Pete_n ja jannen vanhoista kommenteista, kannattaa lukea kokonaan, ovat kuitenkin vielä ajankohtaisia.

Firestarterin käynnistäminen

firestarterin upstream on ollut aika kuollut jo vuosia. firestarterin upstream-versio on ollut ubuntussakin sama ainakin dapperista lähtien (kauemmas en helposti näe) ja siitäkin on jo yli kolme vuotta. firestarterin automaattinen käynnistyminen bootissa rikkoontui kolme-neljä ubuntuversiota sitten ja sen jälkeen en ole kyseistä softaa kokeillut, nähtävästi se on siis rikki vieläkin. varmaan samasta syystä kyseinen softa on ubuntussa siellä ei tuettujen softien osastolla universessa.

vaihtoehtona puolestaan on ufw joka on tuore, tuettu ja koska se on ubuntun projekteja, se aika suurella varmuudella toimii hyvin ubuntussa. gufw on universen puolella, mutta aktiivisesti kehitettävä backend on mainissa. se toimii ja käynnistyy bootissa automaattisesti ilman erikoisia virityksiä.

vaihtoehtoja vertaillessa minun valintani on aika helppo. muut saavat toki tehdä kuten itse haluavat, mutta uusille tulokkaille on hyvä antaa jonkinlaista kokonaiskuvaa, myös niissä ketjuissa joissa halutaan tunkata vanhenevaa softaa.

Onkohan tilanne vielä sama? Keskustelujen mukaan aika moni käyttää (g)ufw tai iptables -ohjelmia.

[Turbineair]

Firestarerin osalta:
Hyvin on pelittänyt aivan oletusasetuksillakin.
Kaikki portit on testeissä "stealth modessa".
Riittää siis omiin tarpeisiini "perusturvaksi".

Myönnettäköön kuitekin, että jos lähtisin pieteetillä
tästä eteenpäin hiomaan asetuksia, niin todennäköisesti
valitsisin jonkin toisen ohjelman.