Ochrona PC z Linuksem Mintem

[omkar]

0

To prawda, że w temacie Linuksa moja wiedza nie jest najwyższa i nie prowadzę dyskusji z ekspertami. Temat bootrepaira nie był do końca jasny i okazało się, że problem był sprzętowy. Jeśli chodzi o zabezpieczenie komputera, to posiadam 35 letnie doświadczenie, co prawda głównie związane z Windowsem, ale w pewnych kwestiach w Linuksie jest podobnie.
Ty natomiast wykorzystujesz swoją rangę do poniżania tych userów, którzy pozwalają sobie na własną opinię, a nie na wszystkim się znasz i nie zawsze masz rację.
Uważam, że moje poradniki nie są złe i mogą pomóc niektórym użytkownikom.
Ranga mnie nie interesuje! Chciałem tylko mieć możliwość edycji tematów, ponieważ wszystko się zmienia i niektóre wskazówki są nieaktualne.

[dedito]

0

Jeśli czujesz się poniżony to przepraszam.
Załoga forum nie broni innym wyrażać opinii, jak sam zresztą widzisz, ale załoga forum ma takie samo prawo oceniać te opinie pod kątem merytorycznym bo taka jest nasza rola.

Temat edycji postów na "standardowej" randze się nie zmienił, ma ograniczenia czasowe.
Możliwość edycji postów po limicie czasowym istnieje, ale na chwilę obecną, za pośrednictwem załogi forum.

P.S. To chyba oczywiste, że na wszystkim się nie znam i nie zawsze mam rację. To chyba każdy tak ma
P.S.2 Nigdzie nie twierdziłem, że Twoje poradniki są złe.

[morfik]

0

Co do twierdzeń, że poradniki są złe czy też nie -- dla wprawnego oka jest oczywiste, że autorowi brakuje odpowiedniego przygotowania i wiedzy. Np. odnosząc się do słów, które padły w pierwszym poście tego wątku:

Tuż po instalacji systemu, należy włączyć zaporę sieciową, która chroni nasz komputer przed niepowołanym dostępem z sieci.

No i już tutaj jest sporo błędów, bo system, na którym nie ma uruchomionych usług sieciowych (tych otwierających gniazda TCP/UDP), to zapora sieciowa jest zbędna i nie daje żadnej dodatkowej ochrony w stosunku do systemu, który tej zapory nie posiada. Przykładem takiego systemu, który nie ma żadnego FW filtrującego ruch przychodzący jest Android, czyli z fonami, których są miliardy, od ponad dekady każdy może się łączyć i jakoś nic wielkiego z tego powodu się nie stało i nie dzieje. Idąc dalej, nawet jeśli już ktoś posiada jakieś usługi wystawione poza swojego hosta, to zaaplikowanie reguł FW powinno nastąpić przed podniesieniem sieci, tj. na bardzo wczesnym etapie fazy boot, a nie z poziomu graficznego narzędzia i to po uruchomieniu całego środowiska graficznego. A co jeśli user się nie zaloguje do systemu i nie podniesie sesji graficznej?

No i tak można by skomentować każdy poruszony w tym poście wątek -- brak rzeczowego przemyślenia poruszanych kwestii i argumentacji stawianych tez czy twierdzeń.

[magnus]

0

Program zarządzający ufw działa z uprawnieniami root i uruchamia zaporę podczas rozruchu systemu przed połączeniem do sieci.

[morfik]

0

W sumie fakt.

Dalej można się przyczepić, że domyślna polityka tego FW to DEFAULT_OUTPUT_POLICY="ACCEPT", czyli brak efektywnego filtrowania połączeń wychodzących, a przez to jak jakiś syf się do systemu dostanie, to efektywnie omija jakąkolwiek politykę FW.

[omkar]

0

Nie należy przeceniać znaczenia firewalla w Linuksie ale błędem jest jego niedocenianie. Zapewne nie instalujecie wielu aplikacji spoza repo i nie przelewacie w internecie dużych sum pieniędzy

Jeśli chodzi o Androida, to w wersji 12 ma zaporę sieciową, a do tej pory w uprawnieniach można wyłączyć dostęp aplikacji do internetu. Zresztą ten system Google nie najlepszym przykładem dla rzetelnej ochrony.

[morfik]

0

Nie należy przeceniać znaczenia firewalla w Linuksie ale błędem jest jego niedocenianie. Zapewne nie instalujecie wielu aplikacji spoza repo i nie przelewacie w internecie dużych sum pieniędzy

Tu nie chodzi o instalowanie spoza repo, tylko jeśli już jakiś syf się do systemu dostanie, to nic go nie powstrzyma przed komunikacją ze światem i może podłączyć się on ze swoim centrum dowodzenia. No chyba, że niektórzy mają procesowy FW (tak jak ja), gdzie każda aplikacja wymaga wyraźnego zezwolenia na komunikację ze światem. Poniżej przykład takiej reguły dla aplikacji Thunderbird:

Kod:

add rule inet filter check-cgroup-user meta cgroup { 5 } tcp dport { 443, 80, 587, 465, 995, 993 } counter accept comment "thunderbird"

Bez tej reguły, TB nie byłby w stanie się połączyć z siecią. A tak jego procesy są oznaczane markiem 5 przez cgroups i jeśli taki proces z markiem 5 nadaje pakiety (wychodzące) na te widoczne wyżej porty, wtedy taki pakiet może opuścić moją maszynę.

Jak coś instaluje i to coś komunikuje się z siecią po uruchomieniu, to w logu widzę blokowanie pakietów i żadna komunikacja sieciowa tej aplikacji nie będzie możliwa do momentu ręcznego zezwolenia jej na to. Wtedy jak najbardziej FW spełnia swoje zadanie, bo jakby to była nieuprawniona aplikacja, to syf by został zablokowany, a ja o tym fakcie bym wiedział. Niemniej jednak, w ogromnej większość maszyn OUTPUT nie jest w żaden sposób filtrowany. No i nie ma co się dziwić, bo to trochę skomplikowane. Wystarczy rzucić okiem na poniższą fotkę, która obrazuje jedynie mały wycinek mojego FW:



Wszystko co ma cgroup numerek odnosi się do jakiegoś procesu w systemie. Przeciętnego człowieka już dawno by z takim FW szlag trafił.

Jeśli chodzi o Androida, to w wersji 12 ma zaporę sieciową, a do tej pory w uprawnieniach można wyłączyć dostęp aplikacji do internetu. Zresztą ten system Google nie najlepszym przykładem dla rzetelnej ochrony.

Nie wiem jak ten FW w A12 wygląda, bo mam jedynie A11 ale tutaj FW spełnia głównie dwie role. Jedną z nich jest quota na net pakietowy (limit netu i blokowanie dostępu do internetu po przekroczeniu tego limitu), i drugi (tak jak piszesz) blokowanie dostępu do internetu konkretnym appkom. O ile limit danych jest ustawiany w iptables, to blokowanie appek już nie i do końca nie wiem jak blokowanie netu w appkach działa (chodzi o blokowanie w ich opcjach wifi data, mobile data, i ewentualnie background network access). Nie jestem pewien czy tym sposobem też da radę blokować systemowe aplikacje. Niemniej jednak, wciąż polityka w INPUT jest ustawiona na ACCEPT i telefon odbiera i przetważa wszystkie pakiety, które do niego trafią i nic z tego powodu się zbytnio nie dzieje, bo Android (jak się popatrzy na uruchomione usługi) nie ma wystawionych żadnych usług, które byłyby w stanie odebrać pakiet z sieci (przynajmniej jeśli chodzi o AOSP). I taki stan rzeczy nie jest przypadkiem.

[omkar]

0

Okej, ale dam Ci prosty przykład. Gdy zainstaluję np klienta sieci torrent, to gdy zapora sieciowa jest wyłączona, program pobiera i wysyła dane bez problemu. Jeśli jednak firewall jest włączony, to bez utworzenia reguły aplikacja nie działa. Podobna sytuacja może być z niektórymi programami typu spyware, keyloggerami i logerami wykorzystującymi zrzuty ekranu, które wysyłają informacje do sieci. Oczywiście przy aktualnej popularności Linuksa na dekstopach, tego typu zagrożenie jest minimalne ale istnieje.

[morfik]

0

... Gdy zainstaluję np klienta sieci torrent, to gdy zapora sieciowa jest wyłączona, program pobiera i wysyła dane bez problemu. Jeśli jednak firewall jest włączony, to bez utworzenia reguły aplikacja nie działa. ....

By przetestować czy rozumiesz zasadę działania swojego FW, mam pytanie. Czy tworzyłeś jakąś regułę dla przeglądarki Firefox (czy jakiej tam używasz) w tym FW? Bo jeśli nie, to ta aplikacja również nie miałaby prawa działać. Jeśli jednak nie tworzyłeś w FW reguły dla przeglądarki internetowej i jesteś w stanie przeglądać internet, to klient torrenta również będzie działał prawidłowo.

Bez poznania reguł, które masz w filtrze, nic więcej nie da się powiedzieć.

Każdy klient torrent ma do określenia w swoich opcjach port, na którym uruchomiona zostaje usługa akceptująca nowe połączenia z sieci. Jeśli np. nie masz publicznego IP (stałego/zmiennego), bo twój ISP stosuje NAT, to ten klient torrent'a nie będzie w stanie odbierać nowych połączeń spoza sieci, czego efektem będzie możliwość podłączania się do mniejszej ilości peer'ów, a nie całkowite upośledzenie pracy aplikacji -- twój klient będzie mógł nawiązywać połączenia jedynie z tymi peer'ami, które mają publiczny IP.

Nie wiem co tam masz za reguły w FW i czy masz publiczny IP ale samo włączenie FW (blokowanie połączeń przychodzących) nic nie daje, bo inicjacja połączenia odbywa się ze strony twojego klienta, a późniejsze pakiety sieciowe są akceptowane przez reguły łapiące ruch połączeń już ustanowionych.

Podobna sytuacja może być z niektórymi programami typu spyware, keyloggerami i logerami wykorzystującymi zrzuty ekranu, które wysyłają informacje do sieci. Oczywiście przy aktualnej popularności Linuksa na dekstopach, tego typu zagrożenie jest minimalne ale istnieje.

To może być czy jest i czemu tylko z niektórymi? Właśnie takich zdań powinieneś się wystrzegać pisząc howto/tutorial -- albo wiesz o czym piszesz i podajesz uzasadnienie/przykład/źródło tego na czym opierasz swoje twierdzenie, albo odpuszczasz sobie formułowanie takich myśli, bo możesz jedynie kogoś wprowadzić w błąd.

Jeśli jakiś syf ci się dostanie do systemu i masz niefiltrowane w żaden sposób połączenia wychodzące, to taki spyware nawiązuje połączenie ze swoim serwerem dokładnie w takim sam sposób jak to robi przeglądarka internetowa, gdy odwiedzasz pierwszą lepszą stronę WWW. I jak już wspomniałem wyżej, jeśli nie dopisywałeś żadnych reguł FW, by zezwolić przeglądarce www na połączenie, to ten spyware również będzie działał i robił co chciał.

[omkar]

0

Na moich komputerach przy włączonym firewallu profil "dom" (publiczny jest bardziej rygorystyczny), tylko niektóre aplikacje jak przeglądarki internetowe, downloadery, czy komunikatory mogą łączyć się z internetem. Reszta programów wymaga reguł! Wynika to ze wstępnie skonfigurowanych reguł filtrowania.
Nie wmawiajcie ludziom, że zapora w Linuksie nic nie daje.