Jadro a linux

Sekcia: Aplikácie & Desktop 24.01.2006 | 22:02
Dash   Návštevník
Chcel som sa opytat, ze aky ma dopad jadro(2.4 alebo 2.6) na bezpecnost? treba mat vzdy najnovsie jadro koli bezpecnosti, ci to vobec nerozhoduje? A ece som chcel, ze ci staci pre bezpecnost obycajny TCP WRAPPER, kde v deny je ALL: ALL...? Resp. pri ked mam TCP WRAPPER naco potom sluzi firewall? Dakujem, za odpovede. Dash
    • Re: Jadro a linux 22.01.2006 | 12:19
      jariq   Návštevník
      Chyby v jadre byvaju rozne.. niekedy sa jedna len o chybnu podporu urciteho hardveru niekedy nova verzia prinesie len podporu pre dalsi hardver.. pri kazdej verzii je vsak vydavany tzv. changelog kde su uvedene zmeny oproti predchadzajucej verzii takze tam mozes zistit ci sa ti oplati upgradovat ci nie.. chyba v jadre moze byt zneuzitelna bud lokalne alebo vzdialene.. Vzdialene sa moze jednat o zle "formatovane" pakety so zlou velkostou, ktore nevyhovuju standradu a teda nie vzdy je jasne ako ich spracovat.. utocnik tak moze napr. zhodit tvoj system (pocitac ti trebars zmrzne).. Lokalne chyby su trosku horsie.. Lokalny pouzivatel ich moze zneuzit pre ziskanie vyssich opravneni - cielum su samozrejme opravnenia roota :) Ak so systemom pracujes sam nemusis sa lokalne zneuzitelnych chyb az tak moc obavat.. i ked zneuzit ich moze aj nejaky trojan ktory mozes ziskat napriklad instalovanim balikov z neoficialnych zdrojov.. Poviem to aj inak.. ak ti slape bez problemu distribucne jadro so vsetkym tvojim hw nemas dovod upgradovat ho.. Ak sa vyskytne nejaka zasadna chyba resp. diera bude pre tvoje distro na oficialnych zdrojoch spristupnene nove jadro.. K TCP wrappers (dalej len TCPW).. TCPW je vlastne len kniznica ktora poskytuje pre programy (ktore s nou vedia pracovat) rozsirenu kontrolu pristupu vdaka suborom hosts.allow a hosts.deny.. Takymito programami su napr. inetd, sshd, vsftpd a dalsie.. NO NIE KAZDY PROGRAM JE SKOMPILOVANY S PODPOROU TCPW.. Preto je spravne nakonfigurovany firewall nevyhnutny.. Toz podla mna TCPW ano ale iba ako dalsia bezpecnostna bariera po spravne nakonfigurovanom firewalle.. Inak s TCPW sa daju robit skvele veci - http://www.jariq.sk/item-5.html
      • Re: Re: Jadro a linux 22.01.2006 | 15:29
        Dash   Návštevník
        Dakujem velmi pekne. Prosim ece vedeli by ste vysvetlit, ze co robia tieto demony: dirmngr makedev xfs lnfs-common rmnologin Dakujem velmi pekne.
        • Re: Re: Re: Jadro a linux 22.01.2006 | 16:31
          jariq   Návštevník
          No demoni ako demoni.. Napriklad makedev je prikaz na vytvorenie specialneho suboru v /dev ktory zastupuje nejake hw zariadenie.. xfs pokial viem tak je jeden z mnohych suborovych systemov.. a ostatne hravo najdes v googli.. Ak ta zaujima ci ich potrebujes v tvojom systeme tak odpoved moze byt rozna.. Zavisi od toho co na nom bezi a ake sluzby poskytuje.. Takze ak ti odpoved nepostacuje tak skus blizsie popisat na co ten system sluzi..
          • Re: Re: Re: Re: Jadro a linux 22.01.2006 | 20:25
            Dash   Návštevník
            Robim si domaci server, pretoze ma to hrozne zaujima ako to vsetko funguje, uz par mesiacov zhanam peniaze na to aby som si kupil pc na to. Som student tak to bolo obtiaznejsie, ale zatial sa mi dari. Mam tam debiana a rozfachcil som tam apache, proftpd, sshd apod. Tak sa teraz zaujimam o bezpecnost a ako tak citam tak som zistil, ze cim menej sluzieb=demonov bude bezat tym je system bezpecnejsi. Tak sa snazim zistit ze co vsetci demoni znamenaju a snazim sa ked ich nepotrebujem eliminovat. A google som pouzival na tie demony. Ale nasiel som dost veci, ale nechapal som tomu... Preto som aj poprosil o radu. Este raz dakujem.
            • Re: Re: Re: Re: Re: Jadro a linux 22.01.2006 | 21:07
              puco   Návštevník
              Nie je demon ako demon. Vam ide asi o to, aby ste spustenych len tych sietovych demonov, ktorych vyuzivate. Pozrite si prikaz netstat. Ten vam vypise, ake sluzby na akom porte pocuvaju. Tiez odporucam nainstalovat nmap. Ak toto zvladnete a vonku vam pobezi len to co chcete, tak sa pustite do vyladovania jednotlivych demonov, napr. sshd nech prima spojenia len z urcitej IP (zabranite tym napr. hadaniu hesiel), FTP si sprevadzkovat cez SSL a pod.
              • Re: Re: Re: Re: Re: Re: Jadro a linux 23.01.2006 | 07:50
                Avatar fixinko Slackware,Gentoo,Solaris  Administrátor
                imho povolenie sshcka len z urcitej ipcky nie je 2x vhodne... zaklad by mal byt dobre user heslo, zakazany remote root login, a nastavenie su - na roota len z daneho konta... ja ochranu pred hadanim hesiel na ssh pouzivam iptables v spojeni s modulom ipt_recent a ipt_limit
                So let it be written, so let it be done....
                • Re: Re: Re: Re: Re: Re: Re: Jadro a linux 23.01.2006 | 14:35
                  puco   Návštevník
                  Ja s tymi bodmi co ste napisal (heslo apod.) suhlasim, ale nechapem preco nie je vhodne povolit ssh len z urcitej IP? Takisto ako povolite spojenie pre DB len z urcitej adresy (zvycajne len localhost), tak preco nie pre ssh. Inak exotickejsi sposob ako zabranit hadaniu hesiel je napr. aj prot knocking.
              • Re: Re: Re: Re: Re: Re: Jadro a linux 23.01.2006 | 12:01
                Avatar fixinko Slackware,Gentoo,Solaris  Administrátor
                imho povolenie sshcka len z urcitej ipcky nie je 2x vhodne... zaklad by mal byt dobre user heslo, zakazany remote root login, a nastavenie su - na roota len z daneho konta... ja ochranu pred hadanim hesiel na ssh pouzivam iptables v spojeni s modulom ipt_recent a ipt_limit
                So let it be written, so let it be done....
                • Re: Re: Re: Re: Re: Re: Re: Jadro a linux 23.01.2006 | 12:30
                  Dash   Návštevník
                  jj, diki moc, to mi helpne. pls, tak na co su ti demoni?
                  • Re: Re: Re: Re: Re: Re: Re: Re: Jadro a linux 23.01.2006 | 12:34
                    Avatar fixinko Slackware,Gentoo,Solaris  Administrátor
                    ak sa nepletiem tak demoni su normalne programy ktore sa daemonizovali [t.j. bezia na pozadi]...
                    So let it be written, so let it be done....
                    • Re: Re: Re: Re: Re: Re: Re: Re: Re: Jadro a linux 23.01.2006 | 13:31
                      Avatar fixinko Slackware,Gentoo,Solaris  Administrátor
                      akurat teraz pozeram jednu mudru knizku a tu definuju demon [daemon] takto: "Demon [daemon] je proces, ktory bezi v nekonecnom cykle a na zaklade urcite udalosti robi dane akcie"
                      So let it be written, so let it be done....
                      • Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Jadro a li 23.01.2006 | 16:47
                        Dash   Návštevník
                        nj to jo :) ale nerozumeli sme sa, ja som sa pytal na tieto demony, co robia, chapem vyznamu demon... dirmngr makedev xfs lnfs-common rmnologin Aj tak dik!
                        • Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Jadro 23.01.2006 | 17:55
                          puco   Návštevník
                          Odkial ste prisli k tym demonom. Bezia vam na systeme alebo kde ste nane prisli? Lebo ako uz bolo spomenute makedev sluzi na vytvorenie zariadenia, xfs je filesystem, lnfs-common by malo sluzit na pripajanie lotus notes fs, rmlogin by mal byt skript av /etc/init.d/. Ak chcete zistit co vam bezi na systeme, tak potom prikaz ps alebo top a co kde pocuva, uz spominany netstat.
                          • Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Ja 23.01.2006 | 18:12
                            puco   Návštevník
                            A este ten dirmngr je demon na pracu s certifikatmi.
                          • Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Ja 23.01.2006 | 19:18
                            Dash   Návštevník
                            hej bezia mi na systeme, defaultne na debiane. tak dik moc, teraz viem aspon nieco o nich.
                        • Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Jadro 23.01.2006 | 17:59
                          Avatar fixinko Slackware,Gentoo,Solaris  Administrátor
                          aha, no okrem makedev a xfs vidim tie nazvy prvy krat, cize treba sa obratit na google
                          So let it be written, so let it be done....
                • Re: Re: Re: Re: Re: Re: Re: Jadro a linux 23.01.2006 | 20:32
                  WlaSaTy   Návštevník
                  :imho povolenie sshcka len z urcitej ipcky nie je 2x vhodne preco by nebolo? toto je len vec nazoru. su ludia ktory si nehaju povolene sluzby iba z urcitych adries: zdielanie diskov len pre lokalnu siet vzdialeny pristup cez ssh len z lokalnej siete, prace alebo skoly graficke prostredie len z lokalnej siete postu pop3 len z lokalnej siete, smtp len z lokalnej siete a popripade aj od poskytovatela (ak ma forwarder a nestahuje si postu sam cez napr. fetchmail) a dalo by sa pokracovat. niektory ludia maju na disku citlive data a keby im mal niekto odcudzit napriklad video s priatelom/priatelkou, tak si radsej zabezpecia pocitac na maximalnu moznu mieru. a cim je system otvorenejsi, tym je vecsia pravdepodobnost naburania sa do pocitaca.
                  • Re: Re: Re: Re: Re: Re: Re: Re: Jadro a linux 23.01.2006 | 22:36
                    Avatar fixinko Slackware,Gentoo,Solaris  Administrátor
                    a ked sa pripajas z dynamickej ipcky na to? ale ako vravis je to vec nazoru... mne bezia vsetky sluzby public na vsetky ipcky...
                    So let it be written, so let it be done....
                    • Re: Re: Re: Re: Re: Re: Re: Re: Re: Jadro a linux 23.01.2006 | 22:49
                      WlaSaTy   Návštevník
                      z dynamickej IPcky? toto je nevyhoda dynamickych konfiguracii, ale v tom pripade sa da pouzit prevadzacia stanica (kamaratov router), ak je k dispozicii. ale je to skutocne vec nazoru. niekto si pravidelne kontroluje fingerprint na ssl, niekto si kludne pouziva telnet a popripade rsh. sukromie existuje aj na internete, nielen v zivote. ak si niekto sadne na lavicku pred mojim domom, tak sa nebudem predsa znepokojovat ze vyuziva verejne sluzby (napriklad web, public ftp) v demilitarizovanej zone. ale ak niekoho najdem v mojej chladnicke, tak asi viem ze som mal zamykat (firewall) a kluce nosit zo sebou (autorizacia). inak budem hladny a popripade budem vysvetlovat priatelom preco sa nas sukromny ten film premieta vo svete. ano, je to vec nazoru. kto nema co skryvat, tak to skryvat nemusi. ale predsa len nosime nohavice ;-)
                      • Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Jadro a li 24.01.2006 | 12:00
                        Avatar fixinko Slackware,Gentoo,Solaris  Administrátor
                        ak ma dana sluzba bug a vo firewalle je povolena tak ani firewall nepomoze... a optimalne je spravit z roota radoveho usera, ci uz pomocou lids, grsec, medusaDS9, selinux... :)
                        So let it be written, so let it be done....
                    • Re: Re: Re: Re: Re: Re: Re: Re: Re: Jadro a linux 24.01.2006 | 00:23
                      puco   Návštevník
                      Povolit pripajanie z len urcitych IP nie je nevhodne pretoze vy mate dynamicku IP. Je to vhodne riesenie, len vy ho nemozete vyuzit. To, ze vam vsetko bezi public je vasa vec, vzdy zalezi od okolnosti. Ked potrebujete mat pristup odvsadial, tak nemozte urcit len vybrane IP, to je zrejme. Ale ako uz spomenul autor tohto threadu, vsetko co je mozne vypnut a obmedzit, tak len posilny bezpecnost systemu.
                      • Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Jadro a li 24.01.2006 | 22:02
                        WlaSaTy   Návštevník
                        ak ma stroj s dynamickou IP adresou a nan sa chce pripajat z urcitej adresy (alebo urciteho rozsahu adries) tak si to moze nastavit. ony su dve strany pripojenia ;-) vhodnost urovne zabezpecenia zvazuje spravca systemu, jeho nadriadeny alebo konzultant. ak sa samozrejme jedna o domaci pocitac, tak tych dvoch mozeme vynehat, vtedy neexistuju ... podla mna je to vhodne a ziaduce. ale jedna sa o moj sukromny nazor. tymto sposobom clovek obmedzi pravdepodobnost zneuzitia pocitaca na nekale ucely a samozrejme aj ochrani svoje data.