Kirjoittaja Aihe: Linuxin myytinmurtajat  (Luettu 21437 kertaa)

DDR55

  • Käyttäjä
  • Viestejä: 101
    • Profiili
Vs: Linuxin myytinmurtajat
« Vastaus #40 : 27.03.16 - klo:19.21 »
Millä komennolla asennan palomuuri ohjelman Linuxiin?
Palomuuri on jo kernelissä. Ollut ties kuinka kauan. Säätäminen onkin sitten oma
taiteenlajinsa. Iptables on asennettu kaiketi jokaiseen jakeluun. Koska iptables on
hankala sille löytyy monia graafisia kikkareita. Väärin säädetty palomuuri voi heikentää
tietoturvaa.

noexec lisävalinnan voi pistää fstab tiedostoon. Mitenkä sen estäisi, että automaattisesti
liitettyiltä levyiltä ei saisi ohjelmia ajettua?

Miten huonosti säädetty palomuuri huonontaa tietoturvaa sitten? On se parempi kuin ei mitään. Kivimuuri on parempi kuin puuaita mutta puuaita on parempi kuin ei mitään
Pääkone: Ubuntu 16.04 (käsin käänetty reaaliaikainen rtlinux)
Varakone1: Centos 7
Varakone2: Windows 10
Luuri: Android 5.0

Postimies

  • Käyttäjä
  • Viestejä: 2644
    • Profiili
Vs: Linuxin myytinmurtajat
« Vastaus #41 : 27.03.16 - klo:19.51 »
[
Miten huonosti säädetty palomuuri huonontaa tietoturvaa sitten? On se parempi kuin ei mitään. Kivimuuri on parempi kuin puuaita mutta puuaita on parempi kuin ei mitään
Noin sanotaan oppaissa. Käytännön kokemusta ei ole. ks https://wiki.gentoo.org/wiki/Security_Handbook/Firewalls
Löytyy noista reitittimistäkin välillä tietoturva-aukkoja. Jos koneella käytetään lähinnä nettiselainta en näe tarvetta
palomuurille. Portin 80 pitää kuitenkin olla auki.

DDR55

  • Käyttäjä
  • Viestejä: 101
    • Profiili
Vs: Linuxin myytinmurtajat
« Vastaus #42 : 27.03.16 - klo:23.56 »
avasin portin komennolla sudo ufw allow 80

mitä muita portteja pitää avata vielä?
Pääkone: Ubuntu 16.04 (käsin käänetty reaaliaikainen rtlinux)
Varakone1: Centos 7
Varakone2: Windows 10
Luuri: Android 5.0

raimo

  • Käyttäjä
  • Viestejä: 4268
  • openSUSE Tumbleweed
    • Profiili
Vs: Linuxin myytinmurtajat
« Vastaus #43 : 28.03.16 - klo:00.05 »
avasin portin komennolla sudo ufw allow 80

mitä muita portteja pitää avata vielä?

Ei tarvi avata mitään portteja jos ei ole mitään palveluita jotka tarvii niitä.
80 on web-serverin oletusportti, jos sinulla ei ole esim Apache tms. serveriä, sitä ei tarvi avata.
Tietä käyden tien on vanki. Vapaa on vain umpihanki.
Aaro Hellaakoski

DDR55

  • Käyttäjä
  • Viestejä: 101
    • Profiili
Vs: Linuxin myytinmurtajat
« Vastaus #44 : 28.03.16 - klo:12.46 »
Ei mennyt sitten niinkuin Strömsössä  :D

Käytän Firefox web selainta ja se toimii vaikka laitoin portin kiinni. Pidän palomuurin varmuudeksi päällä vaikka äsken sanottiin että se jopa huonontaa turvallisuutta. Vai onko palomuuri silloin väärin säädetty jos laitoin portin 80 kiinni?
Pääkone: Ubuntu 16.04 (käsin käänetty reaaliaikainen rtlinux)
Varakone1: Centos 7
Varakone2: Windows 10
Luuri: Android 5.0

raimo

  • Käyttäjä
  • Viestejä: 4268
  • openSUSE Tumbleweed
    • Profiili
Vs: Linuxin myytinmurtajat
« Vastaus #45 : 28.03.16 - klo:12.56 »
Ei mennyt sitten niinkuin Strömsössä  :D

Käytän Firefox web selainta ja se toimii vaikka laitoin portin kiinni. Pidän palomuurin varmuudeksi päällä vaikka äsken sanottiin että se jopa huonontaa turvallisuutta. Vai onko palomuuri silloin väärin säädetty jos laitoin portin 80 kiinni?

Kaikki itseaiheutettu liikenne toimii ufw -oletussäädöllä, sisääntunkeva vieras liikenne on sensijaan estetty kokonaan. 
ufw:n vaikutuksia iptables:iin voi hämmästellä näin:
Koodia: [Valitse]
sudo iptables -L
Ei ole väärin säädetty jos portti 80 on kiinni, se tosiaan tarvii avata vain jos käytössä on serveri.
Tietä käyden tien on vanki. Vapaa on vain umpihanki.
Aaro Hellaakoski

matsukan

  • Käyttäjä
  • Viestejä: 2152
    • Profiili
Vs: Linuxin myytinmurtajat
« Vastaus #46 : 28.03.16 - klo:13.21 »

portti 80 on http liikenteen eli salaamattoman web liikenteen portti. 443 on taasen https-liikenteen eli tls salatun web liikenteen portti. Ajan myöstä tuo 80 tulee jäämään obsolteeksi eli käyttämättömäksi http/2 + speksien myötä. (Mutta tähän menee vielä aikaa).

Eli tällä hetkellä 80 ja 443 pitää olla avoinna Web serverille
Pohjois-pohjanmaa
-- motto:  backupin tarve huomataan aina liian myöhään

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11481
    • Profiili
    • Tomin kotisivut
Vs: Linuxin myytinmurtajat
« Vastaus #47 : 28.03.16 - klo:14.38 »
Eli tällä hetkellä 80 ja 443 pitää olla avoinna Web serverille

Niin siis täällä nyt sotketaan se, että pitääkö noiden porttien olla auki sisäänpäin vai ei. Jos ei ajeta palvelinohjelmia, niin mitään portteja ei tarvitse olla auki sisäänpäin. Ohjelmien pitää kyllä pystyä yhdistämään etäkoneiden portteihin 80 ja 443, jotta nettiselaus onnistuu. Lisäksi on sitten muitakin yhteyksiä, jotka käyttävät omia porttejaan, kuten sähköposti (ei koske selaimessa toimivaa sähköpostiohjelmaa) tai FTP-tiedonsiirto ja näillä on omat porttinsa.
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

Mistofelees

  • Käyttäjä
  • Viestejä: 656
    • Profiili
Vs: Linuxin myytinmurtajat
« Vastaus #48 : 30.03.16 - klo:13.03 »
Onhan näitä myyttejä ja uskomuksia.
Minulle taas ei tulisi mieleenikään käyttä mitään Redmontin tuotteita viranomaisten kanssa asiointiin,  pankkiasiointiin tms. ;)

Vuosia sitten oli jakelussa Redmond Linux, jossa oli maailman hauskin asennusjärjestelmä. Asennuksen aikana sai halutessaan pelata pasianssia. Asennus kysyi koneen nimen, käyttäjän tunnuksen ja salasanan. Kaikki muu tapahtui automaattisesti ja jopa kohtuullisen oikein. paljoa ei yleensä tarvinnut nyplätä jälkikäteen.
Kuulema eräs suuri Redmondilainen yritys loukkaantui jakelun nimestä ja jakelun nimi muuttui.