nixp.ru v3.0

29 мая 2017,
понедельник,
18:14:55 MSK

DevOps с компанией «Флант»
Wlad написал 13 июня 2005 года в 09:23 (459 просмотров) Ведет себя неопределенно; открыл 9 тем в форуме, оставил 26 комментариев на сайте.

Я в Линуксе полгода, но так и не нашел внятных рекомендаций по безопасности.

1.Я вхожу в Интернет. Может ли хакер покопаться в содержимом моего компьютера.

2.Есть ли что-либо похожее на Zone Alarm?

3.Советы типа читай мануалы и конференции хороши тем, кто на работе имеет неограниченный доступ за чужие деньги и не знает как убить время . А у меня дома за свои и не очень много времени.

4.Iptables имеет длиннющие настройки, для начинающего явно не годится, Clamav тоже птица темная.

5.Так как все таки с безопасностью Linux+Internet?

Завыватели, вам здесь делать нечего.

Genie
1.Я вхожу в Интернет. Может ли хакер покопаться в содержимом моего компьютера.

«вхожу»… :)

ладно, пропустим.

1) абсолютно безопасного соединения не бывает.

если подключаешься — значит зависим, значит — уязвим.

2) при просмотре страничек и прочей активности в ИНтернете есть две составляющие — программно-аппаратный комплекс (компьютер+система) и человек. как правило, менее надёжная составляющая — вторая :)

формально — покопаться можно всегда ;) потому как часть содержимого открываем специально, а часть — пытаемся скрыть. проблема в том, чтобы скрыть желаемое при открытии доступного.

вот тут уже надо смотреть, что именно даём в доступ и как.

и не забывать делать обновления для безопасности. их не так много.

но, как правило, это только половина. вторая половина — пользователь — куда сложнее в настройке и указании что делать.

2.Есть ли что-либо похожее на Zone Alarm?

в linux один файрволл — iptables. есть, правда, к нему куча всяких утилит для настройки, но — это всё не то. лучше разобраться, что и как делать самому, заодним о сети побольше узнать. а-а-а-а. ну да,

3.Советы типа читай мануалы и конференции хороши тем, кто на работе имеет неограниченный доступ за чужие деньги и не знает как убить время . А у меня дома за свои и не очень много времени.

только знаешь ли. я вот тоже из дома, по gprs, что не так дёшево, сижу тут и отвечаю. что я с этого имею? да ничего, собственно. так. just for fun трачу по 1000 р/месяц.

4.Iptables имеет длиннющие настройки, для начинающего явно не годится, Clamav тоже птица темная.

ну посмотри поиском по форуму. мой конфиг для iptables довольно рабочий. описание iptables у тебя, как ты сказал, есть. вот и смотри/читай что и как надо.

5.Так как все таки с безопасностью Linux+Internet?

в умелых руках и х%й — отвёртка. :D

нет ничего безопасного. есть только более или менее. в сравнении с Windows «из коробки» — много безопаснее.

хорошо настроенное и пропатченное — а хрен его знает. такое исследование никто не проводил и не будет проводить. потому как PR от него будет довольно низкий.

что касается собственных опытов — то до меня ещё попробовать достучаться надо. были, конечно, гении, которые через нат-прокси прямым образом проходили, но — не через два. это уже несколько сложнее.

в общем, объёмного ответа по шагам на вопрос «как сделать систему безопасной» в принципе не существует.

потому как описывать придётся либо частности по всем программам, так или иначе имеющим отношение к сети и которые могут быть небезопасными, либо общности правил поведения в сети.

писателям такое писать не встало, а потенциальные читатели, увидев объём, врядли читать будут полностью и внимательно.

в общем, задаём конкретный вопрос, получаем конкретный ответ.

Wlad

1.Что значит — часть содержимого открываем специально? Уменя такого желания не возникает.

2.Если я соединился с внешней сетью, значит ли это, что мой компьютер с Линуксом открыт для всех желающих копаться в чужой машине? ASP; ALT; Knoppix мои оси.

3.Насколько безопасен тогда Windows XP & Zone Alarm?

Feuerbach
Wlad
1.Что значит — часть содержимого открываем специально? Уменя такого желания не возникает.

Значит, что вы можете установить сервера http, ftp и еще кучу. Не возникает — значит проследите, чтобы у вас эти сервисы были отключены.

Wlad
2.Если я соединился с внешней сетью, значит ли это, что мой компьютер с Линуксом открыт для всех желающих копаться в чужой машине? ASP; ALT; Knoppix мои оси.

Нет, не значит. То есть из первого второе не следует. Если отключить соотв. сервисы и заботиться о том, чтобы используемое ПО (в т.ч. ядро) не было дырявым (т.е. своевременно обновлять), то все будет файно.

Genie

Wlad, к чему такая параноидальность? (и я бы даже сказал — спесивость)

«попал на бабки», по собственному недосмотру (в чём даже себе признаваться не никакого желания) и больше не хочется? :))

ну, тогда понятно. ;)

на самом деле, если особенно не настраивать, то линукс на первое время можно выставить в инет «голой задницей» не особенно беспокоясь о том, что есть где-то какие-то хакеры (используя, естественно, как можно более новый дистрибутив и оставив в нём как можно меньше торчащих наружу сервисов).

винды же.. «голым задом» не советуется — долго не живут. даже обновления скачать не успевают (чисто для справки: когда мне это было интересно (и даже несколько «зудело» по этому поводу в голове), настроил на шлюзе отлов «бескорыстных радостных» попыток заражённых виндов поделиться своими вирусами. до 130 в сутки — это учитывая то, что внутренняя сеть — gprs-сеть сотового оператора…)

если так уж привык к виндам — можно сделать просто — есть WinLive-CD. загружайся на отдельной машине, с чистым, по возможности, винтом, куда будешь складировать скачанное. а потом — переключать его на машину основную, проверять на вирусы и т.д. заразили? — просто рестарт. ;) и переделать образ диска с учётом дырки. и так по кругу.

через какое-то время получится довольно стабильный LiveCD, безопасный, под Win. (для этого можно использовать пакет WinPE, вроде бы).

почему на начальной стадии можно не заботиться о безопасности linux — ну, потому, что: ты его только поставил и переставить пару-тройку раз будешь готов, данных ценных за это время (окромя опыта) — набрать ещё не успеешь. а потом — потому уже несколько обоснуешься в систему, узнаешь несколько больше, и появится интерес/необходимость более глубокого изучения. тогда и настроить уже сможешь так, как считаешь нужным. и будешь готов пользоваться советами, которые тебе дают.

propeller

На самом деле настроить iptables даже после утверждение политик по умолчанию довольно сложно. то есть сделать какой-то скрипт легко, но насколько ему доверять? ну догадался я не принимать никаких echo request да icmp отрубить побольше, но что потом? а почему то, что я понимашу — это все, что мне надо? тут надо еще неплохо разбирать во всем том, что в сети бывает.

Да, а как люди пробились через нат?

И почему бы не перейти на стрим — спареный телефон?

Genie
Да, а как люди пробились через нат?

за счёт дефрагментации пакетов и последующей их сборкой самим шлюзом.

в сети есть немало по этому — поищи.

И почему бы не перейти на стрим — спареный телефон?

мне? ну, я не в Мск.. и домашнего прямого телефона с выходом на город у меня нетупотому и gprs.

Мегафон был бы дешевле, но — он не ловится. вообще.

на МТС и Би — цены одинаковые.

так что.. SkyLink вроде бы уже как появился, но какчество связи — никакое…

На самом деле настроить iptables даже после утверждение политик по умолчанию довольно сложно.

ну, на самом деле потому и надо начать сидеть и разбираться с сетевыми программами и что и как работает — понемногу начнёшь соображать, что нужно, что — не нужно, а что — вообще надо зарубить на корню..

propeller

так ведь вся шутка в том, что после того, как сколько-то там изучишь не будет никакой уверенности, что нет еще чего-то жуткого, что ты не выключил правилом iptables (про отключение ненужных служб я не говорю)!

Wlad
Genie
Wlad, к чему такая параноидальность? (и я бы даже сказал — спесивость)

Паранойи здесь нет, есть просто необходимость знать, чт и как. Точно также, как мы хнаем правила перехода улицы.

«попал на бабки», по собственному недосмотру (в чём даже себе признаваться не никакого желания) и больше не хочется? :))

ну, тогда понятно. ;)

Я заплатил за каждую ось несколько десятков рублей.

на самом деле, если особенно не настраивать, то линукс на первое время можно выставить в инет «голой задницей» не особенно беспокоясь о том, что есть где-то какие-то хакеры (используя, естественно, как можно более новый дистрибутив и оставив в нём как можно меньше торчащих наружу сервисов).

винды же.. «голым задом» не советуется — долго не живут. даже обновления скачать не успевают (чисто для справки: когда мне это было интересно (и даже несколько «зудело» по этому поводу в голове), настроил на шлюзе отлов «бескорыстных радостных» попыток заражённых виндов поделиться своими вирусами. до 130 в сутки — это учитывая то, что внутренняя сеть — gprs-сеть сотового оператора…)

И все же Windows+Zone Alarm&

если так уж привык к виндам — можно сделать просто — есть WinLive-CD. загружайся на отдельной машине, с чистым, по возможности, винтом, куда будешь складировать скачанное. а потом — переключать его на машину основную, проверять на вирусы и т.д. заразили? — просто рестарт. ;) и переделать образ диска с учётом дырки. и так по кругу.

через какое-то время получится довольно стабильный LiveCD, безопасный, под Win. (для этого можно использовать пакет WinPE, вроде бы).

Меня не вирусы беспокоят, а копатели, которым интересно что-либо испортить, ну как есть любители настенных надписей.

почему на начальной стадии можно не заботиться о безопасности linux — ну, потому, что: ты его только поставил и переставить пару-тройку раз будешь готов, данных ценных за это время (окромя опыта) — набрать ещё не успеешь. а потом — потому уже несколько обоснуешься в систему, узнаешь несколько больше, и появится интерес/необходимость более глубокого изучения. тогда и настроить уже сможешь так, как считаешь нужным. и будешь готов пользоваться советами, которые тебе дают.

Да уже все сносил и ставил раз пять, приноравливаясь. В Инете летает, куда там Блину Гейтсу. НО, НО хочу все знать.

Wlad

Ктоже все таки ответит об эффективности Clamav. By the Way а что такое Klamav?

Никто не опроверг эффективность Окон с файрволом Зоне Аларм.

А насчет вирусов, так я в ASP сразу поймал Виндосовский, который уютно устроился в броузере и пытался изменить вкладки браузера на Интернет Эксплореровский лад и вешал всю систему. Что он еще делал мне неведомо. Но т.к. у меня небыло антивирусника (скачал доктор ВЕБ, но он потребовал ключ, а такового под Линукс видимо в природе нет, во всяком случае бесплатного), пришлось снести ось. Вот Вам и безопасный Линукс!

anonymous

Толе лыжи не катят …

» НО, НО хочу все знать.»

и

«Советы типа читай мануалы и конференции хороши тем, кто на работе имеет неограниченный доступ за чужие деньги и не знает как убить время . А у меня дома за свои и не очень много времени.»

или первое или второе ..

Clam — нормальная защита …

@ Никто не опроверг эффективность Окон с файрволом Зоне Аларм.@

если ксипу с последними патчами и самым новым оутпостом + закрыто всё что только можно — выбивают то и аларм снесут …

насчёт безопасности — як настроишь такая и будет ..

П.С. а читать всё равно прийдётся

П.П.С от многих знаний многие печали …

fly4life
Wlad
Ктоже все таки ответит об эффективности Clamav.

А что тебя именно интересует в его эффективности? Ну, вирусы ловит… Или ты сравнения желаешь? Тогда натравливай разные вирусы по очерерди на несколько антивирусов, в том числе и на clamav. Потом увидишь, кто и сколько поймал.

Wlad
By the Way а что такое Klamav?

Klamav — графическая оболочка к clamd.

Wlad
Никто не опроверг эффективность Окон с файрволом Зоне Аларм.

а чего её опровергать? Я тебе отвечу цитатой, прям вот из этого же треда:

в умелых руках и х%й — отвёртка. :D


Wlad
А насчет вирусов, так я в ASP сразу поймал Виндосовский, который уютно устроился в броузере и пытался изменить вкладки браузера на Интернет Эксплореровский лад и вешал всю систему. Что он еще делал мне неведомо. Но т.к. у меня небыло антивирусника (скачал доктор ВЕБ, но он потребовал ключ, а такового под Линукс видимо в природе нет, во всяком случае бесплатного), пришлось снести ось. Вот Вам и безопасный Линукс!

Т.е. ты ругаешь линукс за то, что ты его снёс сам из-за какого-то виндовс-вируса?! Мммм, не то, чтобы я тебя обидеть как-то хочу, но спешу тебя заверить — ни линукс, ни его безопасность тут ни при чём.

fly4life
Wlad

Мдаа, кто в лес, кто по дрова. Как на новгородском вече. Кто кого перекричит, тот и прав.

Вразумительных советов и ответов, за исключением трезвых мыслей модератора, не наблюдается. Слышите Вы, ребята, звон, да не знаете, где он.

fly4life
Wlad
Мдаа, кто в лес, кто по дрова.

Ну-ка, вспомним давай историю треда. Началось всё с того, что некто Wlad боится «хакеров», которые могут «копаться» (!) во «внутренностях» (!!) его компа (видимо, через тот самый интернет, в который он «входит»). При этом Wlad НЕ хочет читать документацию, на которую у него якобы нету времени (даже если эта документация откроет ему глаза на всю нелепость заданного им вопроса под номером «1»). Ну-ну, не читай, не нужна она тебе. Лучше продолжать и дальше «входить» в интернет на зло «хакерам».

Затем он [некто Wlad] спросил про аналоги Zone Alarm в линуксе, при этом отказавшись изучать iptables (который, как раз, можно хоть как-то назвать «аналогом» требуемой ему программы), поставивил этот самый iptables в один ряд с антивирусом clamav, а из продолжения дискуссии становится ясно, что это единственные программы в линуксе, которве он считает «защищающими» его комп.

А то, что Clamav, в основоном, предназначен для отлова виндовс-вирусов на почтовых и прочих серверах <font color=«grey»><font size=«-2»>(уверен, с первого раза ты б не понял этого предложения. Поэтоум подскажу: «виндовс-вирусов» означает, что clamav защищает windows-машины в сети, а никак не линукс)</font></font> и ему на рабочей станции этот антивирус не впёрся ни в одно место, он тоже не знает. И при этом документацию читать всё ещё отказывается.

Так кто всё-таки в лес?.. Или в сад..

Wlad
Как на новгородском вече. Кто кого перекричит, тот и прав.

Вразумительных советов и ответов, за исключением трезвых мыслей модератора, не наблюдается.

Тут надо бы определиться. Только ли «трезвые» мысли являются «вразмуительными» ответами? Если только трезвые, то откуда уверенность, что модератор трезв? ;). Если не только, то все ответившие тебе тоже дали совет, а, следовательно, ты соврал.

Если же ни то, ни другое, то на фоне выгораживания модератора ты пытаешься оскорбить остальных форумлян. Это тебя в очередной раз показывает не с самой лучшей стороны.

Второй раз цитирую модератора (и второй раз эта цитата из этого же треда. Видимо, просто невнимательно читаешь):

«задаём конкретный вопрос, получаем конкретный ответ.»

Wlad
Слышите Вы, ребята, звон, да не знаете, где он.

Забавно это слышать от человека, который снёс линукс из-за вируса…

Longobard

fly4life а все же я был прав :) ЫЫЫЫ :)

Wlad

Да снес и поставил снова. А что прикажете было делать?

О чтении документации я пояснил в начале темы. У кого на работе Инет и валом времени — вот те сидят. Я тоже почитал документы, но вопросы остались, поэтому запросил форум. Кстати, в документах о том, что Clamav серверный антивирусник я нигде не прочитал. Это что, моя вина? Человек в Виндовсе ставит Zone Alarm, указавает в графике опции и все. Можно при этом ничего не читать. А здесь гробится сама идея хорошей быстрой оси з а нагромождением разных мануалов. Ну сделайте ее эксплуатацию попроще. Пойдет в нее народ. Поэтому рядовой пользователь и выбирает Мелкомягкого, что у него все в графике. А про все эти тыканья меня мордой, я вначале написал, завыватели, это не ваша тема, уйдите.

rgo

Wlad, откуда такое мнение взялось что все посетители инета заходят в него с работы? Я, например, (как и большинство моих знакомых) захожу по dialup’у, из дома, за свои кровно заработанные. И это не мешает мне искать и читать мануалы, которых нет на харде.

myst
Wlad
Да снес и поставил снова. А что прикажете было делать?

Ну хотя бы просто удалить вир нахер.

О чтении документации я пояснил в начале темы. У кого на работе Инет и валом времени — вот те сидят.

Я вот дома сижу. Что-то мне подсказывает, что сидят те кого знания интересуют, а не решение своих проблем чужими мозгами.

Я тоже почитал документы, но вопросы остались, поэтому запросил форум. Кстати, в документах о том, что Clamav серверный антивирусник я нигде не прочитал. Это что, моя вина?

Вот смотри. Я вообще этой темой не интересовался, но что такое clamav знаю хотя бы из новостей. Ты что, на необитаемом острове живёшь?

Человек в Виндовсе ставит Zone Alarm, указавает в графике опции и все. Можно при этом ничего не читать.

Вот пусть человек в виндовсе и сидит. А потом, почему-то человек жалуется, что виндовс то, виндовс сё и т.д.

А здесь гробится сама идея хорошей быстрой оси з а нагромождением разных мануалов. Ну сделайте ее эксплуатацию попроще. Пойдет в нее народ.

Вот тут ты сморозил, так сморозил.

Поэтому рядовой пользователь и выбирает Мелкомягкого, что у него все в графике.

Рядовой пользователь, например, слушает попсу, а я Вивальди. Меня это что как-то задевать должно?! Тут то же самое. Срал я на рядовых, обычных и среднестатистических.

А про все эти тыканья меня мордой, я вначале написал, завыватели, это не ваша тема, уйдите.

Никто ещё тебя мордой не тыкал. И что зто за «завыватели». Иди ка ты на х.. со своими вопросами и тупыми советами, как популяризировать Линух.

Genie
Да снес и поставил снова. А что прикажете было делать?

ну, сперва надо было ещё и описать проблему, предоставить адрес странички, на которой поймали такой глюк.

для того, чтобы можно было поглядеть, что же это такое, проверить, и исправить программу (ну, или составить авторам багрепорт).

О чтении документации я пояснил в начале темы.

ну, несерьёзно.

во-первых, см. /usr/share/doc/

мало? поставь соответствующие пакеты. они так обычно и называются *-doc

вот у меня есть ещё и такие:

doc-linux-html — Linux HOWTOs, mini-HOWTOs, and FAQs in HTML format

doc-linux-text — Linux HOWTOs, mini-HOWTOs, and FAQs in ASCII format

старенькие, правда, но — они есть, инет для них не нужен.

незнание — не освобождает от ответственности, не так ли? ;)

(впрочем, почему не был задан конкретный вопрос «А есть ли где почитать документацию локально?» ? впрочем, ответ я уже привёл..)

У кого на работе Инет и валом времени — вот те сидят.

ну, о том. сколько я дома трачу, помимо того, что на работе бываю — сумму я как бы уже привёл. огласите свои затраты ;)

Кстати, в документах о том, что Clamav серверный антивирусник я нигде не прочитал.

ok, читаем: http://clamav.net/doc/latest/html/node2.html

Clam AntiVirus is an anti-virus toolkit for UNIX, designed for e-mail scanning on mail gateways.

обычный компьютер функции «mail gateway» не выполняет. значит: сервер.

да, его можно применять локально. можно попробовать прикрутить его к web-proxy, такому, как squid. но опять же — это серверное применение.

Это что, моя вина?

см. чуть выше :)

либо у меня с логикой не в порядке? ;)

Человек в Виндовсе ставит Zone Alarm, указавает в графике опции и все.

о! вот и добрались до сути. правда, вывод тут правильный такой: «методы работы [в данном случае корректнее сказать: пользования], принятые [навязанные] Windows применимы только в оной или аналогичной среде».

поэтому вполне нормально, что тут это делается несколько иначе.

А здесь гробится сама идея хорошей быстрой оси з а нагромождением разных мануалов.

ну, гробится ли — это ещё вопрос…

можно настроить, ничего не читая, в том же Zone Alarm такое, что сама работа Windows будет невозможна (локально! прецендеты есть..)

да, это большой минус, что нет единого ёмкого источника информации, где бы можно было получить описания разной степени детализации. нет, по всей видимости, потому, что никто никого ничем не «промотивировал». ;) материально, скажем. :)

и вот это тоже:

Ну сделайте ее эксплуатацию попроще.

понемногу оно к тому и движется. появляются графические средства настройки, снижается необходимый порог требования обладания квалификацией при настройке, усложняется и потому становится более глючным ПО.

но: вопрос простоты можно понимать двояко. простота — это минимализм необходимых ресурсов при выполнении функциональности или же — графическая наглядность и нетребовательность к знанию предмета?

утилиты *nix-мира просты. в первом понимании. и у них есть ещё одно свойство: им, в основном, не требуется интерактивность. таким образом система работает, а не ожидает, пока человек почешется ответить на какое-то окошко с какой-то надписью о невозможности продолжить выполнение вследствие непредвиденного фактора.

Поэтому рядовой пользователь и выбирает Мелкомягкого, что у него все в графике.

рядовой российский пользователь выбирает продукцию MS совершенно по другим причинам, нежели «наглядность процесса установки и настройки в графическом режиме»…

причём — кардинально по иным. ;)

А про все эти тыканья меня мордой

хех… открою страаашную тайну: по сути и я тем же самым занимаюсь. :D

итак:

  • выбросьте принципы, усвоенные в Windows. они тут только мешать будут.


  • учитесь правильно задавать вопросы. конкретизируйте и предоставляйте максимум полезной информации по проблеме. (впрочем, помнится, я уже отсылал поискать «Как правильно задавать вопросы»… )


  • старайтесь не задевать пользователей форума высказываниями и формулировками. вот это в полной мере хромает — fly4life уже подметил.


  • если что-то непонятно — лучше уточнить. вежливо. а потом уже обижаться.
Wlad

Модератору. Твои советы конструктивны, потому, что они по работе.

Советы других — это тыканье мордой, т.к. они направлены на личность. Надо таким «советчикам» отделять работу от личного. Тогда к их советам будут прислушиваться. Кстати, как было удалит вирус? Совет хороший, но как?

xant

Mojet ia ne prav, no

2Wlad

Zdes idet nebolshoe stolknovenie mirov. Iz mira Windows(gotovih reshenii) vi pereshli v mir UNIX(razbiratsa samomu). Esli v odnom mire est gotovie reshenia po prinzipu postavil,ponazimal i zabil, to v drugom mire nado rasbiratsa samonu i ponimat chto proishdot vnutri i chto proishodit za kulisami. V poslednee vrema vedushee linux distributori(SUSE,REDHAT,MANDRIVIA) stali vse aktrivnee vtorgatsa v mir gotovih reshenii. Oni pitautsa mir UNIXA zasunit v druguu odezdu. Poiavilis vsakie graficheskie pribludi, krasivi installatori za 5 minut i t.d. V etom net nichego plohogo,no togda ne ojidaite bolshego. Vi hotite videt komuter kak black box, kotorai vipolnaet vashi funkzii. Pri etom y Vas net vremeni i jelania razbiratsa, chto tam vnutri. Poetomu ia dam Vam prakticheskii sovet. Poseshaite regularno sait vashego distributiva i skachivaite vse patchi po besopasnosti. Zavedit vtorogo nepriligerovanogo polsovatela, i rabotaite iz pod nego. Eto budet v sto raz besopasnee chem sosednii windows xp s SP2, antivirusom i ZoneAlarm.

P.S. Eto forum, a ne technicheska poderka, gotovih reshenii zdes net.

Wlad

Подведем итоги.

1.Linux мне очень нравится и работать в нем я буду.

2.Антивирусной защиты и файровол для Пингвина фактически нет.

3.Поэтому, кто и когда лазил в Вашей машине, подключенной к Интернету, никто толком из вас сказать не сможет.

4.Можно вторгаться без нанесения вреда, просто посмотреть что нужно, может даже скачать, и все. Тихо-тихо и также незамеченным уйти.

5.И последнее. Убеждать народ, что Москвич лучше иномарки, потому что его все время надо настраивать…. Ну ну, попробуйте. Авось убедите.

6.Спасибо модератору. Тема закрыта

fly4life
Wlad
Подведем итоги.

Давай.

Wlad
1.Linux мне очень нравится и работать в нем я буду.

Если сможешь. В чём я пока сомневаюсь.

Wlad
2.Антивирусной защиты и файровол для Пингвина фактически нет.

Опять неопределённость. Что значит «фактически»? А я тебе скажу, что есть. Причём есть и то, и другое и безо всяких там «фактически». Правда, антивирус не столько для «Пингвина», сколько для «пингвина на сервере», причём для защиты не самого линукса, а, скорее, виндовс-машин <font color=«grey»><font size=«-2»>(правда, ты это понимать отказываешься. Даже не смотря на то, что тоже самое утверждает и модератор)</font></font>. А вот файерволл в линуксе очень даже мощный, с огромным числом возможностей. Он очень гибок и, на самом деле, не так сложен в настройке, как ты это рисуешь. Твоё (и чьё либо ещё) незнание, неумение и нежелание изучать принципы работы и настройки той или иной программы не говорит об отсутствии этой программы.

Видимо, у тебя отсутствует понятие терминов «файерволл» и «антивирусная защита». Или расскажи мне, что в твоём понимании значит «файрвол» и антивирус, а я тебе расскажу, в чём ты ошибаешься.

Причём также отсутствует понятие о защите компьютера, раз всё сводится к файерволлам и антивирусу. А ведь есть ещё <font size=«-2»>[навскидку]</font> разграничение прав доступа, chroot и прочие jail окружения, программы для мониторинга системы (причём мониторинг самый разный: от проверки логов, типа scanlogd и portsentry, до проверки целостности файлов, типа tripwire).

Wlad
3.Поэтому, кто и когда лазил в Вашей машине, подключенной к Интернету, никто толком из вас сказать не сможет.

Вот уже в третий раз цитирую модератора (и третий раз из этого же треда. Настаиваю на том, что ты невнимательно читаешь, и всё больше склоняюсь к тому, что не читаешь вообще, что тебе пишут):

«выбросьте принципы, усвоенные в Windows. они тут только мешать будут.»

Wlad
4.Можно вторгаться без нанесения вреда, просто посмотреть что нужно, может даже скачать, и все. Тихо-тихо и также незамеченным уйти.

См. абзацем выше.

Wlad
5.И последнее. Убеждать народ, что Москвич лучше иномарки, потому что его все время надо настраивать…. Ну ну, попробуйте. Авось убедите.

Почему всё время-то?! Вон у меня стоит маршрутизатор под линуксом. Я его когда-то два года назад настраивал. С тех пор и не трогаю. Иногда ставлю новое ПО, но очень редко и к настройкам двухлетней давности это никак не относится.

Wlad
6.Спасибо модератору. Тема закрыта
myst

Wlad, меня всё-таки интересует, как ты залезешь ко мне в комп по TCP/IP, если у меня нет открытых портов?..

Genie

лично мне больше интересно другое: если настолько параноидально относиться к возможности атаки из сети и так этого бояться, зачем вообще тогда пользоваться сетью? зачем «входить»,…?

правда, если быть настолько мнительным — то до того прекрасного момента. когда како-нибудь крякер доберётся до содержимого твоего компьютера — можно просто не дожить. куда быстрее попадётся какя-нибудь безобидная шутка/фраза, от которой инфаркт какой случится.

подводя итоги текущего обсуждения, можно сказать, что «потрепались и разбежались": по тем некоторым действительно полезным советам и предожениям, что я сам усматриваю никакой реакции не последовало. хотя вопросы „что это“, «какие бывают», «где взять» и «что из этого можно посмотреть» в этой теме или в соответствующей ветке на форуме появиться по идее должны были..

1.Linux мне очень нравится и работать в нем я буду.

а что есть «работа в linux"? как это видится?

2.Антивирусной защиты и файровол для Пингвина фактически нет.

антивирусы на текущий момент просто не актуальны. что именно тому причина — меньшая распространённость по сравнению с Windows или же более высокий уровень компьютерной грамотности общего числа устанавливающих систему — тема отдельного исследования.. ;)

что же касается firewall, то реализация netfilter — в виде iptables — очень гибкий и мощный истремент, позволяющий защищать как отдельный компьютер, так и целую сеть. (кстати, а в Zone Alarm есть возможность защищать сеть?)

что же касается настройки — то чтение документации iptables (в основном, примеры использования и iptables-tutorial) — это только малая часть необходимых знаний. другая составляющая — знание принципов работы каждого используемого сетевого сервиса — будь то email (smtp, pop/imap,…), web (http, ftp,…), remote shell (ssh, rsh, telnet,…), dns, irc/icq/…

понятно, что сразу такой объём настраивать несколько сложно. никто и не заставляет. наоборот — в новых дистрибутивах уже идёт в поставке более-менее настроенный на потребности рядового пользователя iptables. и для начальной работы его более чем хватит.

3.Поэтому, кто и когда лазил в Вашей машине, подключенной к Интернету, никто толком из вас сказать не сможет.

да, сложно назвать такого человека.. за отсутствием оного. ;)

при необходимости можно настроить ведение журналов событий, выходящих за рамки обычного функционирования системы. и, скажем, записывать их на cd-r(w) ну другой соседней машине, передавая данные ей по сети.

только тут надо взвешивать всё «за» и «против» — надо ли такое городить дома? я пойму, если это где в конторе с 1-2-3им уровнем доступа (только наличие доступа к интернету на таком компьютере там несколько странно будет выглядеть..)

вспоминается в этой связи: «Неуловимый Джо» — не потому, что его поймать никто не может, а потому, что даром никому не нужен.

4.Можно вторгаться без нанесения вреда, просто посмотреть что нужно, может даже скачать, и все. Тихо-тихо и также незамеченным уйти.

более того. hacker-ы (не путать с cracker-ами), люди образованные и высокоморальны. именно так они и делают. ну, ещё в видном месте записку оставят: вот, надо тут и тут поменять настройки, чтобы было всё тип-топ, и моим способом нельзя было зайти. (собственно: лично так однажды и получилось. только записку несколько отсылал письмом. незадача была только в одном: суть проблемы только раза с пятого до них дошла, что дырка действительно опасна)

и связи с этими пунктами опять же, повторюсь: как это ни парадоксально, но вреда от пользователя много больше, чем вреда от внешних атак, бросков питания и процих непредвиденных событий. неумение правильно пользоваться программами, нежелание хоть немного изучить используемый инструмент — а компьютер и программы как раз и есть инструмент — дают в результате печальные последствия.

5.И последнее. Убеждать народ, что Москвич лучше иномарки, потому что его все время надо настраивать…. Ну ну, попробуйте. Авось убедите.

не, я не буду убеждать, что Москвич-401, с отделкой салона деревом и велюром, с электронной системой управления салоном, с 8-тактным двигателем от Porsche, с утяжелённым днищем (дабы не взлетало) будет хуже иномарки…

myst
Genie
не, я не буду убеждать, что Москвич-401, с отделкой салона деревом и велюром, с электронной системой управления салоном, с 8-тактным двигателем от Porsche, с утяжелённым днищем (дабы не взлетало) будет хуже иномарки…

Я бы сказал, подарочный набор «собери себе Porshe 911 Turbo». Иногда, конечно, детали нужно обрабатывать напильником, но, зато, когда соберёшь!..

myst

P.S. Епть! Вот что написано тут:

Многие современные вещи были созданы прежде всего для того, чтобы выполнять определенные функциональные задачи. И лишь немногие из них могут по-настоящему изменить жизнь человека, заставить взглянуть его по-новому на свои возможности.

Это ж прямо про UNIX!

Wlad

Я полагаю, это вершина айсберга дыр и остальных безобразий в Линуксе. Порядковый номер статьи говорит о том, что до нее есть еще 93. Но это лишь цветочки…

94. Одной из лучших программ, позволяющих выявить установленные в системе наборы средств для взлома является программа Rkdet (www.vancouver-webpages.com/rkdet/). Она работает в режиме демона и проверяет контрольные суммы двоичных файлов. При выявлении изменений отсылается письмо администратору и блокируется сетевой интерфейс. Программа Chkrootkit (www.chkrootkit) обладает даже большими возможностями, чем Rkdet, дополнительно сверяя результаты выполнения команды ps с записями в каталоге /proc и проверяя изменения файлов wtmp и lastlog. Эта программа специально предназначена для выявления более чем 35 наборов программ для взлома, включая различные версии LKR, Knark t0rn, ARK и даже «червей» Ramen, Lion и Adore.

Более подробную информацию о наборах средств для взлома можно получить на очень полезном Web-сайте по адресу http://staff.washington.edu/dittrich/misc/faqs/rootkits.faq.

Конец первой части…

Created by VIKT0R

Помогали:

ADZ Projects — размещение статей на сайте http://adz.void.ru

Genie, fly4life — исправление ошибок и неточностей http://nixp.ru

При условии сохранения копирайтов пособие разрешено копировать, размещать на сайтах, добавлять новые методы защиты и удалять ошибки, если таковые есть.

propeller

Wlad, скажем сразу — линукс, это не то место, где есть дыры и безобразия. тут все вопросы к /dev/hands. так что про вершину айсбераг ты в корне неправ. это не виндовс — здесь можно закрыть все то, что ты видишь дырой легко и понятно.

ты выбрал неверный подход к вопросу безопасности. ты хочешь поставить одну программу и не париться. так не бывает. защита сервера состоит многих ступеней. например первая — закрыть все те порты, что тебе не нужны.

Про Rkdet. первым делом скажу, что про такую и не слыхал… потом скажу, что проверка контрольных сумм двоичных файлов — это слишком мало. просто очень. еще можно сверять и сверять. ну подумай сам (скажем сразу — здесь без этого не бывает; думать надо всегда — для этого нам дали голову) — я не сменю ни одного двоичного файла, но скажу в настройках твоего ssh, чтобы он пускал всех с адреса xx.xx.xx.xx. Есть сильная программа на все эти дела — Tripwire (она делает гораздо больше всего). Смею заметить, что это все надо еще и умело использовать. грош цена будет этим данным, если хакер успеет изменить базу данных программы!

Вявлять наборы — дело благородное. но может лучше сначала обеспокосить вопросами недопускания их появления в системе?

З.Ы. если ты читаешь по-англицки, то надо было бы прежде чем ругать линукс за «дырявость» прочитать ту ссылку, что Genie выложил первой темой этой части форума.

Ты что-то узнал про средства для взлома… И что ты получил? Если хочешь безопасности в какой-то мере, надо разобраться в сетевой жизни как таковой. Ты занимешься не совсем тем. не разобравашись ничего не сможешь сделать приличного.

З.Ы.Ы. Перестань ругать линь за дырявость. Твои утверждения ничем вообще не обоснованы (из того, что ты чего-то не знаешь не следует, что этого нет). замечу, что в видновсе ты веришь на слово, что после того, как поставил zone alarm тебя никто не провьет!!! — откуда тогда выводы о дырявости линя по сравнению к виндовсу?

К слову большинство серверов интернета стоит именно на юниксах.

anonymous

Занимательная статья

П.С. любые знания полезны …

anonymous

Да нет, если ведро стало решетом от некачественного материала, все дырки можно залатать… Минут на десять, потом оно снова станет дырявым и так можно латать до бесконечности. Если конечно других дел нет и тебе за это платят. Ты ведь админ?

propeller

Влад, что ты знаешь о линуске? что ты знаешь о его безопасности? ты вот говоришь, что поставил у себя zone alarm в виндах и спишь спокойно. а я тебе хочу сказать, что ты ни разу не знаешь, что у тебя вообще происходит на машине. и ты просто веришь, что эта программа тебя разом спасает от всех бед.

Ты вот так уверенно расписываешь тут дырки линукса. ну назови парочку! да еще такую, что у виндовса нет!

Опять же я хочу сказать, что ты рассуждаешь о теме, которую не знаешь. нельзя сделать что-то хорошо не поняв сути дела. и безопасную систему ты не построишь не разобравшись. не сделаешь ты систему безопасной устновив пару zona alarm, или подобных.

Wlad

Ну ладно. Есть такое ФАПСИ. Большие спецы по криптографии и кодированию, в общем по той сфере, которая называется ЗАС (закрытая связь). Так вот они официально заявили в 2004 году, что Виндовс ХР самая надежная операционная система по безопасности. Вот их мнение попытайтесь оспорить. По Линуксу никто серьезных исследований не проводил. Окромя таких фокусов, которые называются гаражным ремонтом, ручками и кувалдой. Так что о безопасности Линукса действительно ничего неизвестно.

decvar
Виндовс ХР

причем это было еще до SP1. Т.е. до Sasser и других червей для RPC. Ты о таких слышал? Так вот, сечас эти самые ФАПСИ, мало того что не существую, так и гос. учереждения обязаные не устанавливать НИКАКИЕ обновления, включая SP1 и SP2 на Windows XP, тем самым обеспечивая ПЕРЕДОВУЮ защищеность.

Я не скрою, что Microsoft очень оперативно реагирую на дыры и патчит их довольно быстро, в основном ДО появления эксплойтов, и соответственно Windows XP+все патчи+прямые руки = впосле сносная защита. НО, они же не патчат свои станции => они в полной жопе,и спасает их только отсутствие связи с внешним миром.

Пойми ты наконец, детё неразумное. Безопасность — это не продукт или патч, безопасность — это процесс. Всегда клепают новые сплойты, всегда программисты сознательно или нет лажают в плане защиты, но нет панаци. Есть только инструменты, которыми ты можешь обеспечить некий уровень безопасности, обладая знаниями о том, что и как надо НЕ делать, и чего опасаться. Так вот под GNU\Linux этих средств обеспечания безопасности БОЛЬШЕ, все зависит от их приенения.

Microsoft предоставляет средства обеспечения базовой защиты, типа ICF, стороние производители еще какой-то софт, но если ты его не правильно применяешь, то ты по-любомум облажался. То же самое в GNU\Linux, тока большая часть софта уже в системе, тебе надо применить его правильно, но ты этого не умеешь. Причем и для Windows видимо тоже.

Хочешь в этом разбраться — разбирайся, читай статьи, пробуй, испытывай… все что угодно, но не говори что ты УЖЕ решил свою задачу.

Вообщем резюме:

иди учиться, специалистов по ZoneAlarm на работу не берут.

anonymous

@Ну ладно. Есть такое ФАПСИ. Большие спецы по криптографии и кодированию, в общем по той сфере, которая называется ЗАС (закрытая связь). Так вот они официально заявили в 2004 году, что Виндовс ХР самая надежная операционная система по безопасности. Вот их мнение попытайтесь оспорить. По Линуксу никто серьезных исследований не проводил. Окромя таких фокусов, которые называются гаражным ремонтом, ручками и кувалдой. Так что о безопасности Линукса действительно ничего неизвестно.@

ФАПСИ расформировали во второй половине 2004 года

По линуксу проводили серьёзные исследования и серьёзные конторы — и оказалось что число дыр в ядре меньше чем в среднем по платному софту

где ссылка на факт?

metal
Wlad
Ну ладно. Есть такое ФАПСИ. Большие спецы по криптографии и кодированию, в общем по той сфере, которая называется ЗАС (закрытая связь). Так вот они официально заявили в 2004 году, что Виндовс ХР самая надежная операционная система по безопасности. Вот их мнение попытайтесь оспорить. По Линуксу никто серьезных исследований не проводил. Окромя таких фокусов, которые называются гаражным ремонтом, ручками и кувалдой. Так что о безопасности Линукса действительно ничего неизвестно.

ALT linux успешно сертифицировал свои дистрибутивы на безопасноть в той же организации ( пока она существовала:) )