Ocena wątku:
  • 0 głosów - średnia: 0
  • 1
  • 2
  • 3
  • 4
  • 5
Ochrona PC z Linuksem Mintem
#31
0
(27-01-2022, 08:49)omkar napisał(a): Nie wmawiajcie ludziom, że zapora w Linuksie nic nie daje.

Przeczytaj może jeszcze raz na spokojnie co pisał morfik o twoim FW z naciskiem na to co pisał o kolejce połączeń wychodzących.
Odpowiedz
#32
0
Mam pytania:

-Jak wykryć oprogramowanie szpiegujące? (Jedyny pomysł co mi przychodzi do głowy to monitor ruchu sieciowego. )
-Czy spyware będzie wyświetlało się w menedżerze zadań jako proces?
-Jak zlokalizować katalog z szpiegującym oprogramowaniem?
-Czy spyware może zaszyć się w oprogramowaniu układowym?
-Czy da się zablokować w FW nieznane protokoły?

Wiem, że samo używanie serwera X.Org bez firejail jest niebezpieczne, bo otwiera właśnie furtkę dla oprogramowania szpiegującego.

A zanim użytkownik się zorientuje, że miał zainstalowane oprogramowanie spyware to program zdąży wysłać jakieś poufne dane.

I teraz najważniejsze:

-Jak zapobiegać takim zdarzeniom?

Bo tak jak mówiłem jak użytkownik zorietnuje się, że działa oprogramowanie spyware to zazwyczaj jest już po ptakach i jedyne co można zrobić to zmienić hasła na innym urządzeniu.
Odpowiedz
#33
1
Better response on post RE: Ochrona PC z Linuksem Mintem
(27-01-2022, 08:49)omkar napisał(a): Nie wmawiajcie ludziom, że zapora w Linuksie nic nie daje.

Tu nikt nikomu nic nie wmawia. Co ja ci poradzę, że w taki sposób odbywa się wymiana informacji przez sieć. Obecnie też nie mamy lat 80-90, gdzie wektory ataku były zupełnie inne niż obecnie z racji odmiennej rzeczywistości, w której ludzie żyli -- trzeba ten istotny fakt zrozumieć.

(27-01-2022, 12:40)SuperTux napisał(a): Z tego co wiem BitTorrent może działać na każdym porcie, tak samo jest z spyware, keyloggerami (Można stworzyć program, który ma tablicę portów i jak nie uda się nawiązać połączenia może próbować inicjować połączenie na następnym porcie.)

Do realizacji połączenia jest potrzebnych 5 rzeczy -- lokalny adres IP, lokalny port, zdalny adres IP, zdalny port i protokół. Każdy klient torrent korzysta z portów efemerycznych używanych do zestawiania połączenia -- generalnie to każda aplikacja kliencka z tych portów korzysta jeśli chce nawiązać połączenie sieciowe (to jest lokalny port). W qBittorrent można zakres tych portów sobie dodatkowo sprecyzować/zawęzić, np. 55000-56000 i tylko z tych portów ten klient torrent będzie próbował nawiązać połączenie. Niemniej jednak, te porty to są porty wychodzące, a nie przychodzące.

Port przychodzący jest z reguły jeden i też go w opcjach qBittorrent'a można określić i to na ten port będą przychodzić zapytania z sieci (jeśli mamy publiczny IP). Ten port możesz otworzyć na FW w INPUT i wtedy klienty torrent'a z prywatnych adresów IP (tych za NAT ISP) będą miały możliwość nawiązania połączenia z twoim "klientem" torrent'a, czego efektem będzie więcej peer'ów i szybszy transfer.

(27-01-2022, 12:40)SuperTux napisał(a): I teraz jest pytanie:

-Jak wykryć oprogramowanie szpiegujące? (Jedyny pomysł co mi przychodzi do głowy to monitor ruchu sieciowego. )
-Czy spyware będzie wyświetlało się w menedżerze zadań jako proces?
-Jak zlokalizować katalog z szpiegującym oprogramowaniem?
-Czy spyware może zaszyć się w oprogramowaniu układowym?

Opcji radzenia sobie z tymi problemami jest sporo, tutaj przykłady:
https://nfsec.pl/security/6386
https://nfsec.pl/security/6358
https://nfsec.pl/security/6336
https://nfsec.pl/security/6322
https://nfsec.pl/security/6314
https://nfsec.pl/security/6237

Generalnie to na nfsec jest sporo artów traktujących o analizie procesów.

(27-01-2022, 12:40)SuperTux napisał(a): Poza tym samo używanie serwera X.Org bez firejail jest niebezpieczne, bo otwiera furtkę właśnie dla oprogramowania szpiegującego.
A zanim użytkownik się zorientuje, że miał zainstalowane oprogramowanie spyware to program zdąży wysłać jakieś poufne dane.

Ja nie używam firejail, ino jadę na czystym apparmor i profil dla Xorg'a też mam ale to i tak zbyt wiele nie pomoże, bo xorg jest niebezpieczny sam w sobie -- appki mogą np. podglądać przyciskane klawisze i nie trza do tego uprawnień root. Generalnie żadna izolacja aplikacji na xorgu nie istnieje. Jeśli teraz jakiś syf ci się wgra, to przechwyci ci klawisze bez żadnego problemu i nawet o tym nie będziesz wiedział, bo to nie bug w linux, to ficzer. Big Grin Wayland ma to adresować. Tak czy inaczej, jeśli nie będziesz filtrował OUTPUT na FW, to te klawisze mogą zostać przesłane w świat przez ten proces, który nasłuchuje tych eventów i jest pozamiatane. Dlatego u mnie OUTPUT jest obowiązkowo filtrowany by nawet podczas takiej kompromitacji ograniczyć jej skutki. Big Grin
Odpowiedz
#34
0
Zagrożenia w Linuksie to jest aktualnie jeszcze temat teoretyczny. Bardzo trudno jest, jeśli w ogóle, natrafić na wirusy, spyware, czy keyllogery. W Windowsie robiłem testy aplikacji zabezpieczających na prawdziwych wirusach i nie miałem problemu żeby je pobrać. Tutaj niczego nie mogłem znaleźć i na nic nie natrafiłem poza jednym, niegroźnym zainfekowaniem Firefoxa kilka lat temu.
Ja mam tylko zainstalowany uBlock Origin z odpowiednimi listami i to głównie ze względu na reklamy których nie znoszę, włączoną zaporę w profilu Dom i sporadycznie uruchamiam przeglądarkę w piaskownicy, szczególnie podczas przelewów, ponieważ zapobiega ona keyllogerom i zrzutom ekranu przez aplikacje zewnętrze w przeglądarce. Wiem, że takich aplikacji nie ma na moim komputerze, jeśli w ogóle istnieją, ale wolę nie być zaskoczonym. Taka szajba Smile
[Obrazek: 96ae32b114e54.jpg]
Odpowiedz
#35
0
@omkar W temacie zabrakło wspomnienia o dość banalnej, ale przydatnej opcji, ochrony Grub-a przed modyfikacjami, np zmianą hasła. Poza tym, może też zainteresuj się tym: https://madaidans-insecurities.github.io...l#firejail To o ile trafia w sedno, to zapewne nie kończy tematu.
Odpowiedz
#36
0
(31-01-2022, 13:14)omkar napisał(a): Zagrożenia w Linuksie to jest aktualnie jeszcze temat teoretyczny. Bardzo trudno jest, jeśli w ogóle, natrafić na wirusy, spyware, czy keyllogery. W Windowsie robiłem testy aplikacji zabezpieczających na prawdziwych wirusach i nie miałem problemu żeby je pobrać. Tutaj niczego nie mogłem znaleźć i na nic nie natrafiłem poza jednym, niegroźnym zainfekowaniem Firefoxa kilka lat temu.
Ja mam tylko zainstalowany uBlock Origin z odpowiednimi listami i to głównie ze względu na reklamy których nie znoszę, włączoną zaporę w profilu Dom i sporadycznie uruchamiam przeglądarkę w piaskownicy, szczególnie podczas przelewów, ponieważ zapobiega ona keyllogerom i zrzutom ekranu przez aplikacje zewnętrze w przeglądarce. Wiem, że takich aplikacji nie ma na moim komputerze, jeśli w ogóle istnieją, ale wolę nie być zaskoczonym. Taka szajba Smile

Wrzuć tutaj (albo mi na priv) wynik iptables -S . Chcę rzucić okiem jak wyglądają u ciebie reguły w FW, bo bez nich nie sposób powiedzieć jak FW u ciebie działa. Big Grin
Odpowiedz
#37
0
Kod:
Fatal: can't open lock file /run/xtables.lock: Permission denied
[Obrazek: 96ae32b114e54.jpg]
Odpowiedz
#38
0
Już samo Permission denied powinno podpowiedzieć gdzie leży przyczyna ...
Odpowiedz
#39
0
No polecenia też brak, więc zbytnio nie da się powiedzieć co tam zostało w terminal wpisane. Big Grin
Odpowiedz
#40
0
(02-02-2022, 20:59)dedito napisał(a): Już samo Permission denied powinno podpowiedzieć gdzie leży przyczyna ...

Uruchom to polecenie jako root.

Cytat:sudo iptables -S
W takim razie jest sens używać tej zapory z domyślnymi ustawieniami?
Pozdrawiam
Blade
Odpowiedz


Skocz do:




Użytkownicy przeglądający ten wątek: 1 gości