View previous topic :: View next topic |
Author |
Message |
gewe n00b
Joined: 09 Jan 2005 Posts: 2
|
Posted: Sun Jan 09, 2005 11:39 pm Post subject: Gentoo tietoturva aloittelijalle |
|
|
Asensin tossa Gentoon (stage1) ensimmäistä kertaa ja täytyy myöntää että suomennettu asennusopas oli aivan loistava eikä asennus ollut yhtään niin vaikea tai hermojaraastava kuin on annettu ymmärtää. Olen kaikenlisäksi täysin aloittelija linuxin kanssa. Muiden distrojen kanssa ei ole muita kuin lyhyitä ja masentavia tutustumis kokeiluja, mutta nyt Gentoon kanssa kaikki tuntuisi toimivan hienosti.
Mutta kun koko systeemin saa itse konfiguroida alusta loppuun niin pitää tietoturvastakin ilmeisesti huolehtia itse. Gentoo.org sivuilla oleva tietoturva-opas vaikuttaa kyllä kattavalta, mutta todella sekavalta näin aloittelijan silmissä, vielä kun ei noista internet-termeistä/standardeista ole niinkään paljon tietoa...
Windowsin kanssahan tyydyttävän turvallisuudentunteen saavuttaa helposti asentamalla virustorjunta ja palomuuri -ohjelmat, ja säätäminenkin on helppoa yksinkertaisten gui:tten avulla.
Mitä Gentoossa / Linuxissa pitäisi siis vähintään tehdä tietoturvan osalta, kun tietokonetta on tarkoitus käyttää
ihan normaalina kotikoneena (internet, sposti, openoffice, jne.)? |
|
Back to top |
|
|
Flammie Retired Dev
Joined: 02 Jun 2003 Posts: 633 Location: Dublin, Ireland
|
Posted: Mon Jan 10, 2005 12:50 am Post subject: Re: Gentoo tietoturva aloittelijalle |
|
|
gewe wrote: | - -täytyy myöntää että suomennettu asennusopas oli aivan loistava |
Kiitän
Quote: | Mitä Gentoossa / Linuxissa pitäisi siis vähintään tehdä tietoturvan osalta, kun tietokonetta on tarkoitus käyttää
ihan normaalina kotikoneena (internet, sposti, openoffice, jne.)? |
Melkein uskaltaisin sanoa, että jo se riittää kun pitää ohjelmistot ajan tasalla ja tarkkailee tietoturvavaroituksia vaikka ilmoitusfoorumilta tai gentoo-announce-postituslistalta. (glsa-check-sovellus on kehitteillä tämän automatisointiin muttei ole vielä luotettava tietääkseni).
Tietoturvaoppaassa kotikoneelle erityisen aiheelliset kappaleet ovat alussa oleva root-käyttäjäkappale (lyhyesti: älä käytä root-tunnusta juuri koskaan) ja 11:nnestä kappaleesta ne ohjelmat, jotka ovat käytössä, yleensä ainakin X, asetukset voi lähes copypasteta omaan järjestelmään.
Kappaleessa 13 on juttua palomuureista, iptables-osiossa on kuvattu suht järkevä palomuuri vaikka sen toteutus vähän ontuu. Monet tosin pitänevät kotikoneelle mittavaa palomuuria liioitteluna. Yksi vaihtoehtohan olisi käyttää jotain graafista palomuuriohjelmaa, mutta minä en näistä tiedä sen enempää. Tiettävästi niiden GUI:t ovat melkein yhtä simppeleitä kuin windows-palomuurisovellusten. |
|
Back to top |
|
|
s4kk3 Apprentice
Joined: 15 Oct 2004 Posts: 232 Location: Finland
|
Posted: Mon Jan 10, 2005 5:16 pm Post subject: |
|
|
Onnitelut vaan onnistuneesta asennuksesta
Itse en ole kyllä palomuuria gentoon kanssa käytellyt. Jotain iptables juttuja kernelissä mukana ja iptables asennettuna kyllä. Enkä tiedä onko se palomuuri niin välttävä peruskäyttäjälle. Eipä ainakaan f-protilla tai chrootkitillä ole vielä mitään löytynyt omalta koneelta.
Onhan noita graafisia palomuureja esim. guarddog (KDE) ja firestarter (GNOME) muistaakseni. Katsoppa http://packages.gentoo.org ja etsi hakusanoilla firewall _________________ My own filemanager project |
|
Back to top |
|
|
jmz2 Guru
Joined: 13 Jan 2004 Posts: 421 Location: Finland
|
Posted: Tue Jan 11, 2005 8:07 pm Post subject: Re: Gentoo tietoturva aloittelijalle |
|
|
gewe wrote: | Mutta kun koko systeemin saa itse konfiguroida alusta loppuun niin pitää tietoturvastakin ilmeisesti huolehtia itse. |
Aivan totta
gewe wrote: | Gentoo.org sivuilla oleva tietoturva-opas vaikuttaa kyllä kattavalta, mutta todella sekavalta näin aloittelijan silmissä, vielä kun ei noista internet-termeistä/standardeista ole niinkään paljon tietoa...
Windowsin kanssahan tyydyttävän turvallisuudentunteen saavuttaa helposti asentamalla virustorjunta ja palomuuri -ohjelmat, ja säätäminenkin on helppoa yksinkertaisten gui:tten avulla.
Mitä Gentoossa / Linuxissa pitäisi siis vähintään tehdä tietoturvan osalta, kun tietokonetta on tarkoitus käyttää
ihan normaalina kotikoneena (internet, sposti, openoffice, jne.)? |
Jos olet jo selannut tietoturvaopasta, olet jo päässyt pitkälle. Moni asia tuossa oppaassa on kotikäyttäjän tietoturvatarpeita ajatellen täysin turhia, joten kaikkia tietoturvaa parantavia "niksejä" ei kannata edes harkita.
Periaatteessa ulkoisen tietoturvan eteen ei tarvitse tehdä mitään erityistä. Et välttämättä tarvitse edes palomuuria kotikoneeseesi, ellei operaattosi verkko vilise verkkohäiriköitä (siis sellaisia tahoja jotka häiritsevät verkkoliikennettä, ja johon operaattorisi puuttuu itsekin). Palomuurin säätäminen Linuxin puolella ei ole yhtä jouhevaa kuin Windowsin ohjelmilla, joilla voi määrätä ohjelmakohtaisia asetuksiakin tyyliin estetään liikenne mutta Half-Life2.exe saa päästä nettiin.
Tärkeämpää tietoturvan kannalta on rajoittaa fyysinen pääsy tietokoneellesi ja pääkäyttäjän tunnuksille. Esimerkiksi, jos käytät sudo-ohjelmaa, älä ainakaan poista salasanan kyselyä käytöstä.
Suosittelen että liityt Gentoo-announce postituslistalle, jolle tulee tietoturvavaroitukset. Aja esync tai emerge sync säännöllisesti, vähintäänkin ennen kuin alat päivittämään mitään ohjelmia.
Jos sinulla on tarkoituksena säilyttää tärkeitä tai arvokkaita tiedostoja tietokoneellasi, investoi hetki aikaasi ja/tai rahaasi varmuuskopioinnin järjestämiseen. Varmuuskopiointi on yksi laiminlyödyimmistä tietoturvan alueista. Itselläni on Linuxin puolella peilatut levyt (yksinkertainen peili, jossa mukana yksi varalevy). |
|
Back to top |
|
|
gewe n00b
Joined: 09 Jan 2005 Posts: 2
|
Posted: Wed Jan 12, 2005 3:54 am Post subject: |
|
|
Muutama pikku kysymys herännyt oppaita selatessa:
1. Roottina ei saa siis ajaa juuri mitään ohjelmia, etenkään X:sää.
Entä jos olen kirjautunut normaalilla käyttäjä tunnuksellani, käynnistänyt gnomen ja muut härpäkät, ja sitten gnomen virtuaaliterminaalissa "su -":lla rootin oikeudet käyttöön ja asetuksia säätämään. rikotaanko tässä tuota edellämainuttua sääntöä? vai onko toi "su -" ja roottina kirjautuminen kaksi täysin eri asiaa?
2. Onko linuxissa noin yleensäkin KAIKKI tärkeät asetus yms. tiedostot vain ja ainoastaan rootin käytössä oletuksena, niin ettei kukaan muu niitä pääse säätämään. vai pitääkö permissioneita itse säätää? onko terveellistä että joku muu kuin root pääsee edes lukemaan näitä tiedostoja.
3. Edelliseen kysymykseen liittyen. Windowsissa on "shared folder" jota LANissa olevat pääsevät selaamaan. Onko linuxissa jotain tällaista josta en tiedä? Jos koneeni on esim. taloyhtiön LANissa niin pääseekö kuka tahansa lukemaan tiedostojani? |
|
Back to top |
|
|
jmz2 Guru
Joined: 13 Jan 2004 Posts: 421 Location: Finland
|
Posted: Wed Jan 12, 2005 8:21 am Post subject: |
|
|
gewe wrote: | Muutama pikku kysymys herännyt oppaita selatessa:
1. Roottina ei saa siis ajaa juuri mitään ohjelmia, etenkään X:sää.
Entä jos olen kirjautunut normaalilla käyttäjä tunnuksellani, käynnistänyt gnomen ja muut härpäkät, ja sitten gnomen virtuaaliterminaalissa "su -":lla rootin oikeudet käyttöön ja asetuksia säätämään. rikotaanko tässä tuota edellämainuttua sääntöä? vai onko toi "su -" ja roottina kirjautuminen kaksi täysin eri asiaa? |
Tässä on kyse eri asiasta, sillä su:ia käytettäessä vain yhdessä terminaalissa on pääkäyttäjän oikeudet käytössä, eikä esimerkiksi graafisella tiedostonhallinnalla pääse tekemään tuhoja; ei ulkopuoliset etkä itsekään.
gewe wrote: | 2. Onko linuxissa noin yleensäkin KAIKKI tärkeät asetus yms. tiedostot vain ja ainoastaan rootin käytössä oletuksena, niin ettei kukaan muu niitä pääse säätämään. vai pitääkö permissioneita itse säätää? onko terveellistä että joku muu kuin root pääsee edes lukemaan näitä tiedostoja. |
Oletuskäyttöoikeudet ovat yleensä sellaisia, että ainoastaan pääkäyttäjällä on kirjoitusoikeudet. Käyttöoikeuksia ei tarvitse säätää, ellet tee jotain erikoisasetuksia. Esimerkiksi /etc/lilo.conf:iin on kaikilla lukuoikeudet. Jos laitat liloon käynnistyssalasanan, kannattaa tiedostosta poistaa lukuoikeudet muilta kuin pääkäyttäjältä. /etc/passwd -tiedoston lukuoikeuksia ei voi historiallisista syistä poistaa. Tiedostojen oikeuksia ei kannata säätää ellei tiedä mitä tekee.
gewe wrote: | 3. Edelliseen kysymykseen liittyen. Windowsissa on "shared folder" jota LANissa olevat pääsevät selaamaan. Onko linuxissa jotain tällaista josta en tiedä? Jos koneeni on esim. taloyhtiön LANissa niin pääseekö kuka tahansa lukemaan tiedostojani? |
Linuxissa ei ole mitään jakoja päällä ellet ole niitä itse käynnistänyt. Minkään ohjelman asentaminen Linuxiin ei käynnistä jakoja. Jos haluat jakaa tiedostoja, täytyy sinun asentaa Samba tai joku muu tiedostojenjakopalvelu. |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|