Ubuntu Linux Desktop biztonsági tippek 2022-ben

Ubuntu Linux

Milyen biztonsági lépéseket érdemes megtenni átlagos, otthoni felhasználású, asztali Ubuntu operációs rendszeren? Szerver nem fut, desktop Ubuntu verzió, egyfelhasználós (hogy egyszerűsítsük a dolgokat).

Én összegyűjtöttem egy listát, amit találtam, ill. amiket alkalmazok is. Esetleg van-e olyan pont a listában, ami nem helyes, vagy esetleg mit adnátok hozzá, mit vennétek el, mit csinálnátok máshogy?

  • Rögtön a telepítéskor: bepipálni, hogy titkosítsa az adathordozót. Erős jelszót megadni, viszont utána azt nem szabad elfelejteni, mert akkor nem lehet többet hozzáférni a fájlokhoz (hacsak nem volt recovery file megadva). Ez hasznos, ha ellopják/elvész az adott számítógép, hogy ne tudjanak hozzáférni a fájlokhoz. De akkor is hasznos lehet, ha szervizbe kell leadni a gépet.
  • Állítsuk be, hogy jelszó kelljen a bejelentkezéshez, a jelszó legyen elég erős
  • Állítsunk be BIOS jelszót (csak aztán ne felejtsük el, vagy írjuk fel jelszókezelőbe), tehát hogy csak jelszóval lehessen megnyitni a BIOS-t. Érdemes letiltani az USB bootot is.
  • Az automatikus frissítések legyenek bekapcsolva, minden frissítést telepítsünk azonnal
  • Antivírus szoftver: az ingyenesek nem annyira jók, a fizetősek általában zárt forráskódúak, kevés van belőlük, drágák, főleg csak úgyis Windowsos kártevők ellen védenek. Én azt találtam erről a témáról, hogy Ubuntura nem kell antivírust telepíteni.
  • Tűzfal: ártani nem árt, ha bekapcsoljuk. Persze ha mégis futtatnánk szervert vagy távolról akarunk hozzáférni a géphez, akkor be kell állítani a megfelelő jogosultságokat. De ha távolról nem akarjuk, hogy bárki hozzáférjen a géphez, akkor terminálba beírni: sudo ufw enable
    Ezután még újra kell indítani a gépet, hogy aktív legyen a beállítás. Utána terminálba beírni: sudo ufw status verbose
    Ha ezt látjuk, az jó, mert akkor minden bejövő kapcsolat blokkolva van, és minden kimenő engedélyezve:
    Status: active
    Logging: on (low)
    Default: deny (incoming), allow (outgoing), disabled (routed)
    New profiles: skip
  • Csak az Ubuntu szoftverközpontból, vagy hivatalos Ubuntu tárolóból telepítsünk fel szoftvert. Ha mégis hozzáadunk más tárolót vagy internetről töltünk le szoftvert, akkor nagyon nézzünk utána, hogy megbízható-e az adott szoftver, mások mit írnak róla.
  • Használjunk jelszókezelőt (pl. Bitwarden, KeePassXC, LastPass). Ha lehetséges, akkor állítsunk be kétfaktoros azonosítást a jelszókezelőhöz. Mindenhol legyen erős, véletlenszerű a jelszó, és ugyanazt a jelszót ne használjuk kétszer sehol.
  • Ahol lehet, állítsunk be kétfaktoros hitelesítést, de legalább a fontosabb bejelentkezéseknél.
  • A webböngészőben állítsuk be, hogy alapértelmezetten https-en kapcsolódjon minden weboldalhoz, ahol elérhető
  • Fontos, hogy a webböngésző küldjön figyelmeztetést, ha kártevő weboldalt keresnénk fel (általában ez be van állítva a böngészőkben).
  • Csak megbízható forrásból származó böngészőkiegészítőt telepítsünk, lehetőleg csak a hivatalos böngészőkiegészítő adatbázisból.
  • Biztonsági mentések: rendszeresen mentsük le a fájlokat külső adathordozóra, és lehetőleg titkosítva készítsünk rendszeresen biztonsági mentést is a felhőbe
  • Spamként megjelölt emailekben sose kattintsunk a linkekre. Gyanús emailekben ne kattintsunk semmilyen linkre.
  • Általában véve kerüljük a gyanús webhelyek meglátogatását
  • Óvatosan futtassunk bármilyen programot a Wine-ban, nézzünk utána az adott programnak, hogy megbízható-e. Ha nem muszáj, ne is használjuk a Wine-t.
  • 1221 megtekintés

( influencer | 2022. 01. 03., h – 21:54 )

Én esetleg annyi, bár nem biztonság, és nem is adatmentés, de RAID 1 tömbre tenném az egészet, hozzá valami szoftveres megoldással, hogy jelezze, ha az egyik disk/ssd nem megy. A szoftveres raid megfelelő, de akár az alaplapi raid is több lehet, mint a semmi. Ez sem ér semmit, ha törölsz, vagy akkor sem, ha nem veszik észre, hogy az egyik lemez nem megy, és akkor a másik is elromlik, csere előtt.

Ez sem ér semmit, ha törölsz, vagy akkor sem, ha nem veszik észre, hogy az egyik lemez nem megy, és akkor a másik is elromlik, csere előtt.

btrfs (RAID-1-et tudja "belül" is, ráadásul elég neki, ha egy disken helyes az adat, el tudja dönteni, melyik stimmel) és mondjuk óránként időzített snapshot, már a törlés ellen is véd :)

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Ne mismatched és ismeretlen előéletű diskekre tegye... (ennyi volt a kifogása a cikkben a RAID-1 implementációval szemben). A többi meg (jajúristen, kihúztam egy disket és vissza, a szemét nem futtatja automatikusan a resyncet és nem tudtam, hogy balance kell hozzá, hát az meg PEBKAC-gyanús...)

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

amúgy az a cikk teljesen f*cked up... 

pl.:

Moving beyond the question of individual disk reliability, btrfs-raid1 can only tolerate a single disk failure, no matter how large the total array is. The remaining copies of the blocks that were on a lost disk are distributed throughout the entire array—so losing any second disk loses you the array along with it. (This is in contrast to RAID10 arrays, which can survive any number of disk failures as long as no two are from the same mirror pair.)

az előbb próbáltam ki 4 diszkkel, ebből kettőt kiszedtem (degraded-ben, nyilván), még fileokat is másoltam rá, utána visszaraktam a hiányzókat... és a scrub ügyesen besyncelte őket...

A raid1 jellegű megoldások alapesetben felezik a tárhelyet, és minden blokkból kettő példányt tárolnak. Azaz tetszőleges n darab diszk esetén egy diszk kiesést minden esetben tolerálják, illetve [n/2] darab diszk kiesését szerencsés esetben.

Nem, a btrfs sem tud csodát tenni - legfeljebb úgy, hogy egy logikai blokkot nem kettő, hanem több, független fizikai eszközön lévő fizikai blokkban tárolja. De ekkor a nettó kapacitásod fog csökkenni. (De ezt (kettőnél több diszkre tükrözni) minden "rendes" raid1 megoldás tudja.)

szerk: csak a félreértés elkerülése végett: sima raid1 (amiben ugye meghalhat max 2 device a 4ből, ha úgy kapja el) és raid1c4-gyel is próbáltam (ebben az esetben 3 diszket szedtem ki, a maradékra rámásoltam a fileokat, majd amikor visszatettem a diszkeket ezeket is szépen besyncelte)

( zeller | 2022. 01. 04., k – 00:04 )

"Ezután még újra kell indítani a gépet, hogy aktív legyen a beállítás." - Nemvindóz... systemctl enable ufw && systemctl start ufw

( Raynes v | 2022. 01. 04., k – 00:14 )

Szerkesztve: 2022. 01. 04., k – 00:18

Ez nagy része jó tanács, és nem csak Linuxra vonatkozik, pl. titkosítás (tévhiedelemmel ellentétben nem lassít), jelszókezelő használata, nyanús linkek meg nem nyitása, rendszeres backup. Ahogy vírusirtó nem kell, úgy tűzfal se. Engedélyezni lehet, sok bajt nem csinál, de sok nyereség sem lesz rajta. A Linuxnak pont ez az egyik előnye, hogy nem kell mindenféle extra védelmi szutyoknak futnia a háttérben, már alap telepítésben is sokkal biztonságosabb, mint egy Windows.

Szerintem Ubuntura nem sok extra biztonsági intézkedés kell, out of the box is elég sok minden be van konfigurálva rajta megfelelően, pl. böngésző alapértelmezetten https kapcsolatokat erőltet, figyelmeztet veszélyesnek jelölt oldalaknál, stb.. Ez átlag felhasználónak elég, ennél többre (mint pl. SELinux, két faktoros hitelesítés, meg mindenféle biztonsági extra paranoiás intézkedések max. csak katonai, kormány, corporate szinten kellenek). Amiket én javaslok inkább, azok csak optimalizációs módszerek, nem feltétlen a biztonságot érintik.

1) Rendszeresen frissítsenek az új linuxos, ubuntus userek, ne halogassák, nyomják ki lustaságból, és ne féljenek utána újraindítani a rendszert, ne a hosszú uptime-ra gyúrjanak. Érdemes lehet a kernel update utility-ben kipróbálni újabb kerneleket is, főleg, ha valakinek modern hardverei vannak, amik nemrég jöttek ki.

2) Minden csomagot lehetőleg natívan, linuxos deb csomagként telepítsenek, a hivatalos tárolókból, és ne külön weboldalakról begyűjtött .deb csomagokat, Snap-ot, Flatpakkot, Appimage-t, meg ne windowsos szoftvereket Wine-ben meg virtualizált Windowsban futtatva erőltessenek (ezek csak vész esetre legyenek, mikor már sehogy máshogy nem lehet hozzájutni az adott szoftverhez). PPA-ból is nézzék meg, hogy mit vesznek fel, az megbízható, sokak által tesztelt legyen, amiben nem csak hogy disznóság nincs, de a rendszert se töri el verziófüggőségek okán. Ezt te is írtad, de külön szájba rágással felhívom én is a figyelmet rá. Veteránoknak ezt nem kell magyarázni, de kezdőbb userek ebbe mindig belefutnak, még a nem annyira laikusok is. Ékes példa rá, ahol a hülye gyerek Wine-ban felerőltette a Notepad++-t, mikor ott volt rá a hivatalos Ubuntu-tárolókban (tehát nem Sznepszutyok meg Shitpakk formájában) a natív notepadqq alternatíva, vagy akár egy Visual Studio Codium is megfelelt volna. Szintén ebben a videóban később a másik nagyokos felnyomja a hivatalos oldalról az OBS-t (ahogy Windowson szokás), a linuxos kiadásban fele default plugin hiányzik, és később rájött, hogy a hivatalos Ubunu-tárolókban ott volt eleve a rendes, fullos OBS, csak csomagkezelővel telepítenie kellett volna, és minden szokásos alap plugin benne van, nem kellett volna vergődnie vele, sok későbbi pluginproblémát élből került volna el. De fórumokon is sokat láttam, hogy felerőltetik Wine-ban a Total Commandert, foobar2000-et, Winamp-ot, mikor ott lenne rá a hivatalos tárolóban a natív Double Commander, Deadbeef, Audacious, QMMP, stb..

3) Tanulják meg használni, szokják meg minél hamarabb a terminált, shell-t, legalább az alapokat, tab billentyűs kiegészítés, man és ls parancs használata, fájlok másolása, mozgatása, törlése, jogosultságok és tulajdonos beállítása, felcsatolás, sudo és su használata, mappa létrehozása, apt csomagkezelő használata (frissítés, csomagok telepítése, leszedése), lemezkép kiírása USB-s meghajtóra, tömörített formátumok kibontása (tar és egyebek), esetleg később git használata. Fontos ez ügyben még, hogy netről, fene tudja milyen oldalról kimásolt parancsokat nem érdemes ész nélkül futtatni, ha nem értjük mit csinál, kezeljük extra óvatossággal és gyanúval, míg utána nem néztünk parancsonként lebontva, hogy mit csinál pontosan. Ezen nem csak azt értem, hogy vannak olyan kódszemelvények, amikbe káros dolog van belerejtve, de lehet pl. nem szándékos hiba vagy valami absztrakciós probléma benne, pl. egy leírás elrendel egy dd-s műveletet monduk a /dev/sdb2-re, akkor az nem biztos, hogy a mi rendszerünkre is jó lesz változtatás nélkül (legyalulhatja fontos adatainkat) meg tartalmazhat olyan parancsokat, amik egy újabb Ubuntu verzión problémát okozhatnak, vagy csak nem működnek, pl. megint csak Linus Tech Tips-féle balfékség, mikor csodálkozik, hogy Arch-alapú Manjaro-n nem fut le a random weboldalon ajánlott apt-get parancs, mert helyette pacman van csomagkezeléshez. Hasznos trükk az is, ha egy GUI alkalmazás nem indul, láthatatlanul crash-el, akkor terminálból indítjuk, ott esetleg írni fogja stdout-ra, hogy mi a gikszer.

4) Tanuljanak meg leírásokat, Wiki-ket, meg hibaüzeneteket, kiírásokat FIGYELMESEN olvasni és értelmezni az ott írtakat. Nem csak ilyen felszínes, á, ez technobla-bla, möh-möh, fosolmány ez is, ugorhatjuk, kiírt valamit, már nem tudom mit, gyorsan kellett bezárni, kinek van erre a sok szarra ideje, stb. hozzáállással, mert az ilyen szívásokhoz vezethet. Különösen vonatkozik ez az Ubuntu telepítőre, a Windowsról frissen érkezett userek 90+ százaléka már itt el szokta kezdeni a marhulást, hogy nincs türelme rendesen a nyelvet, billentyűzetet beállítani (ész nélküli next-next a default English-re, aztán később megy a sírás, hogy nem magyar), meg átsiklanak azon checkbox felett, ahol 3rd party drivers/codecs telepítését lehet választani, ami később sok dolog ponton azonnali könnyebbség lehet.

5) Ha elakadtunk, nem szégyen linuxos oldalakon kérdezni veteránoktól, de abban az esetben meg jól kell kérdezni. Tehát nem úgy kell indítani, hogy szaralinux, meg bezzeg Windowson ez alapból ment, így sose lesz linukszdesztkopéve, meg hogy segítség, nem megyen. Pontosan kell leírni mindent, pontosan milyen hardveren próbálta, hányas Ubuntu, milyen grafikus felület (alapból Gnome, de nem mindenki a főkiadást használja, vagy feltett idő közben egy másik DE-t, WM-et), pontosan mit jelent, hogy nem megy, mit ír ki, van-e hibaüzenet, hibajelenség mi (fekete képernyő, grafikus glitch), korábban ment-e (most tört el, frissítés után esetleg, vagy soha nem ment), mit próbált eddig, ami nem segített, stb.. A másik, hogy az ajánlott megoldási módokat, amit írtak, meg kell próbálni, figyelmesen végigcsinálni. Tehát nem olyan alapon lerázni, hogy á, újrabootolni hülyeség (de, megoldhatja), meg , ez hosszú, bonyolult, ennyit én nem gépelek terminálba. Segíteni csak annak lehet, aki közreműködik és hagyja, hogy segítsenek neki. Nem szabad türelmetlennek lenni, mert nem válaszolnak azonnal 5 perc alatt, ez nem Windows support-vonal, ahol szorgalas indiai jómunkásemberek hátát lehet verni az azonnal válaszért.

6) Eleinte a Linuxhoz kell egyfajta türelem, alázat. Tudomásul kell venni, hogy Linuxra váltva nem fog minden 1 perc alatt sikerülni, problémákba, nehézségekbe lehet belefutni, utána kell nézni egyes dolgoknak, dolgozni értük, és eleinte nem fog minden olyan simán menni, mint Windowsban több éves tapasztalattal megszokta az ember. A Linux nem Windows módjára működik, saját logikája, működése, szoftverkínálata van, és nem kell belőle Windowst csinálni. Csak azért, mert a Windows egy adott dolgot adott módon oldott meg, adott szoftverrel, az nem jelenti azt, hogy Linux alatt is így kell, vagy hogy ez az egyetlen jó megoldási mód. Linux alatt sok mindent előlről meg kell tanulni, az alapoktól, kályhától elindulva, kell tényleg hozzá türelem és alázat. Még az se indok, hogy van a Linuxszal már valakinek szerveres tapasztalata, az desktop vonalon nem annyira releváns, nem garancia semmire, mert a desktop egy sokkal komplexebb, sokrétűbb világ. Érteni kell azt is, hogy a Linux nem egy komplett OS, nem egy kereskedelmi termék, hanem csak egy kernel köré kiépült, sokrétű, független fejlesztőkből álló laza szisztéma, és nem egy darab komplett kereskedelmi termék, amit a mi desktop kiszolgálásunkra hoztak létre, hogy Windows helyett működjön Windowsként, meg legyünk vele elégedve, felhasználóbart legyen, és hogy megspórolhassunk a Windows licencet.

7) Kell a fegyelem és az eltökéltség. Kerülni kell, egy felmerült probléma esetén visszabootolunk Windowsra, meg megoldjuk inkább egy androidos vagy iOS-es okostelón. Ez könnyelműség, csalás, így nem fejlődik az ember semmit, ha nem tanulja meg Linuxon rendesen megoldani ezeket, akkor csak arra fog rászokni, hogy hogyan lehet megfutamodni, meg kerülőutakon lavírozni. Le kell erről szokni, ha Linux, csináljuk rendesen, ne a dualbootolgatás, Wine-ben gányolás, meg a felemás oda-vissza táncolás menjen, mert az éppen könnyebbnek, gyorsabbnak tűnik.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

A tűzfalról azt olvastam, hogy frissen telepített Ubuntuban ugyan nincsen nyitott port, viszont ha később telepítünk egy adott szoftvert, ami kinyit egy portot, akkor máris sebezhető lehet távolról a rendszerünk, ha ebben az adott szoftverben van egy biztonsági rés, és a nyitott porton keresztül ezt ki tudja használni egy támadó.

Persze az más, ha direkt telepítünk egy szervert, és ehhez kell a nyitott port. De ha nem állt szándékunkban kinyitni portokat, hanem valahogy úgy alakult, hogy adott szoftver mégis kinyitott egy portot (mondjuk nem olvastuk át teljesen, hogy mit is csinál adott szoftver, vagy akár van benne egy bug, ami távoli kódfuttatást tesz lehetővé), akkor mégiscsak jól jön, hogy az ufw lezárta az összes bejövő kapcsolatot. Gondolom ha egy program megnyit egy portot, de az ufw blokkolja az összes bejövő kapcsolatot, akkor az ufw szabályai lesznek az erősebbek, tehát amíg az ufw blokkol minden bejövő kapcsolatot, addig azt más nem tudja felülírni?

Minden csomagot lehetőleg natívan, linuxos deb csomagként telepítsenek, a hivatalos tárolókból

Az Ubuntu szoftverközpontban van egyre több (ellenőrzött) snap csomag is (lásd https://snapcraft.io), szóval gondolom úgy értetted, hogy "hivatalos tárolókból, deb vagy snap csomagként telepítsünk".

"adott szoftver mégis kinyitott egy portot" - azaz a kiszolgáló "ráül" egy adott tcp-portra, és hallgatózik rajta. Ez az adott sw "magánügye, a csomagszűrés "mélyebben" van, úgyhogy bekapcslot/elindított ufw mellett abba lehet belefutni, hogy telepítve, elindítva, és nem érhető el mégsem. Persze lehetnek perverz csomagok, amik belenyúlnak az ufw-be, és ott _is_ lukat nyitnak maguknak, de az ilyen csomag karbantartóját péklapáttal illik simogatni.

> Gondolom ha egy program megnyit egy portot [...], az ufw szabályai lesznek az erősebbek

Igen. Kicsit leegyszerűsítve ez úgy néz ki, hogy ha nincs telepítve olyan program, ami az adott porton figyelne, akkor a bejövő kérésekre nem válaszol semmi, vagyis a port "zárt". Ha telepítesz egy ilyen programot (pl. egy http szervert), akkor az válaszolni fog, vagyis a port nyitott lesz.

Az ufw (vagy bármilyen más tűzfal) még azelőtt megvizsgálja a beérkező kéréseket, hogy a programig eljutna, és a beállított szabályok alapján vagy továbbítja neki (ekkor a port nyitott), vagy nem (ekkor pedig zárt).

Debian - The "What?!" starts not!
http://nyizsa.blogspot.com

Erre írtam: "Persze lehetnek perverz csomagok, amik belenyúlnak az ufw-be, és ott _is_ lukat nyitnak maguknak, de az ilyen csomag karbantartóját péklapáttal illik simogatni."

Tippre ez nem felel meg a csomagolási/csomagkészítési szabályoknak/elvárásoknak, de ugye láttunk már karón varjút/baromságokat buguntus környezetben: apache telepítés csomagból elhasalt. Mint kiderült azért, mert a telepítés végén el is akarta indítani a f...kalap, és a konfigban az volt hogy IPv6-on is figyeljen, a gépen meg fullosan ki volt kapcsolva az IPv6, emiatt az apache nem indult el... (Ez mondjuk alapból baromság, hogy konfigurálás _nélkül_ a frissen felrakott kiszolgálót elindítja...)

Elviekben, szakmai síkon igazad van. Nyilván biztonságosabb, ha van egy tűzfal, +1 védelmi réteg, mert adott alkalmazás nem beszél „haza”, meg nem ül be szolgáltatásként egy portra, ahol bejöhetnek, kivéve, ha kifejezetten meg lett neki engedve. De a gyakorlatban azt tapasztalom, hogy mióta mindenki NAT-olt router mögül csatlakozik a netre, elvesztette a szükségességét a tűzfal, addig volt jelentősége, míg mindenkinek egy gépe volt, és az direktbe volt a netre kötve, rajta minden port közvetlenül tárva-nyitva.

Szóval nem azt mondom, hogy tűzfalat tilos használni, meg hülye, aki azt használ, de egy kezdőnek mégis azt javaslom, hogy mikor még csak kevesebb, mint 1-2 éve linuxozik, és még nincs nagy tapasztalata, ne a tűzfal meg a vírusirtózós baromság legyen, amin elkezd fetrengeni. Tanulja meg a rendszerének inkább a fontosabb működési rendszereit, shell használata, bootloader megjavítása, beállítása, initrendszerben szolgáltatás engedélyezése és indítása, driverek belövése, csomagok telepítése, eltávolítása, fájlrendszerben mi hol van, stb.. Ezen 999%-ban nagyobb a nyereség biztonsági tekintetben is, mint a tűzfalazós mantrával.

Tényleg szorítsuk a tűzfalhasználatot indokolt esetekre, mikor nem azért teszi fel a user, mert Windowson azt szokta meg, és a jelenlétét Linuxon is elvárja. Linuxon ráadásul megvan az az előny, hogy azon, ha a tárolókból telepít az ember, akkor tényleg szinte csak nyílt forráskódú alkalmzások vannak, és azokban emiatt nincs benne ilyen hazatelefonálás, meg szükségtelenül nyitva hagyott porton lógó trójai disznóság, mivel azonnal fény derülne rá. Néha fény is derül, pl. lásd most legutóbb az Audacity új tulajdonosa által bevezetett telemetriát, meg régen az Ubuntu Dash-keresős botrányát, mikor a desktop keresési találatokat továbbították az Amazonnak marketingcélokra, mindkettőből lett is akkora médiahőbörgés, hogy csak na, mindenki hallott róla. Ilyenkor vagy kiveszik az adott funkciót, vagy az emberek az adott szoftver használatát bojkottálják, és helyette forkokat használnak, amikben ilyen gázos húzás nincs.

Természetesen én mindvégig a magáncélú desktop felhasználásról beszélek, és nem céges meg katonai szerveres, workstationös felhasználásról, ahol esetleg kényesebb titkokat kell őrizni, meg midenféle extra biztonsági előírásnak és szabványnak megfelelni! Az egy egészen más műfaj, de ott meg az egyszeri usernek általában adnak külön informatikai helpdesk supportot is, és nem elvárás, hogy egyedül legyen biztonsági szakértő, meg telepítésen és állítson be mindent, meg elve a szerveren is szűrnek egy csomó mindent (pl. proxy, szerveres tűzfal használata), és nem tud egyenesben kimenni a netre.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

"hogy mióta mindenki NAT-olt router mögül csatlakozik a netre, elvesztette a szükségességét a tűzfal, addig volt jelentősége, míg mindenkinek egy gépe volt, és az direktbe volt a netre kötve, rajta minden port közvetlenül tárva-nyitva." - Ezt gondold át... Ha egy és csak egy gép/eszköz van NAT mögött, akkor lehet igazad. De onnantól kezdve, hogy n+1 eszköze lóg azonos hálózaton, kifejezetten jó tud lenni, ha egymást is csak kontrollált módon érhetik el.

Ja, és tessék csak az IPv6-ra is odafigyelni... Ott nincs nat, bár a soho dobozokban (talán) van valamilyen alapszintű szűrés...
 

Ja, és tessék csak az IPv6-ra is odafigyelni... Ott nincs nat, bár a soho dobozokban (talán) van valamilyen alapszintű szűrés...

Én inkább ezt látom - még enterspájz környezetben is - hogy simán elfelejtik, vagy azt hiszik, ők nem használnak IPV6-ot, így tüzfal sem kell.

Aztán kiderül, hogy csak nem tudtak róla, és köszönhetően az optimista hozzáállásnak, már jóideje ~minden egyből figyel IPV6-on is...

zrubi.hu

De a gyakorlatban azt tapasztalom, hogy mióta mindenki NAT-olt router mögül csatlakozik a netre

hacsak nem egy laptorpról van szó, amit hurcolsz irodába, haverhoz, szállodába, reptérre, vagy bármilyen publikus wifi-re csatlakozol...

 

Ezen felül  a debian alapú disztróknál  (nem tudom az Ubuntu esetében más-e) eleve ott van az az elcseszett default működés, hogy amint telepítesz valamit, az azonnal el is indul + bekerül az 'autostart'-ba.

Ez pedig pontosan azt okozza, hogy feltettél egy szever csomagot valamiért, (vagy valaminek a függésőgeként) és rossz esetben egyből ott figyel a nyitott portja.

 

Szóval jó az a tűzfal, és egy csak kifele engedő default szabálykészlettel sokmindentől meg is véd.

 

szerintem

zrubi.hu

"Ubuntura nem sok extra biztonsági intézkedés kell, out of the box is elég sok minden be van konfigurálva rajta megfelelően"

Bocs, nem trollkodás, de azért egy tűzfal és egy titkosított /home partíció minimum kellene még bele, továbbá egy böngésző plugin, ami nem enged fel az ismert támadó oldalakra. Mert aki out of the box használja, az nem sokkal védettebb, mintha a redmondi csodaszoftvert használná.

> egy tűzfal és egy titkosított /home partíció minimum kellene még bele

Szerintem is, ezt írtam is a nyitó bejegyzésben (de látom, hogy nem nekem válaszoltál, de azért megemlítem)

> egy böngésző plugin, ami nem enged fel az ismert támadó oldalakra

Tudtommal ez működik és alapból aktív is Firefox és Chrome/Chromium esetében is. A többi böngészőről nem tudok, de biztos azokban is van ilyen funkció alapból, nem kell hozzá plugin. Bár nem tudom, hogy az alapértelmezett mennyire ad erős védelmet.

Firefox esetében: Settings - Privacy & Security - Deceptive Content and Dangerous Software Protection rész alatt legyen bepipálva mindhárom:

Block dangerous and deceptive content
Block dangerous downloads
Warn you about unwanted and uncommon software

Bővebben: https://support.mozilla.org/en-US/kb/how-does-phishing-and-malware-prot…

Viszont Firefoxban ami alapból nincsen beállítva, de hasznos beállítani: Enable HTTPS-Only Mode in all windows

FFoxot használok, pont azért, mert erre van bőven plugin, hogy ne legyen fapados.

Hogy plugin nélkül is megfogja-e a támadó oldalakat, arról nem vagyok meggyőződve. Lejárt tanúsítványra figyelmeztet, de ez ignorálható. Gyanítom, hogy csak a valamilyen adatbázisban szereplő, ismert adathalász oldalakra működik a tiltás.

Nekem azért fenn van egy adblocker, és az uBlock Origin is, mert ez utóbbi jónéhány olyan oldalra nem engedett fel, amelyet a plugin nélküli FFox és a Chrome/Chromium vidáman megnyitott.

Sajnos a https-t még nem tehetem defaulttá, bár már nem sok kell hozzá. 2021-ban már 10 alatt volt azoknak a sima http oldalaknak a száma, amelyekkel dolgom volt.

Firefoxban nyugodtan bekapcsolhatod az "Enable HTTPS-Only Mode in all windows" opciót, mert ha szembejön egy oldal, ami nem támogatja a https-t, akkor csak annyi történik, hogy bejön egy figyelmeztetés, hogy https nem elérhető, továbbmész-e? Rányomsz a gombra hogy tovább, és akkor kapcsolódik http-n, ennyi.

Viszont ha adott oldal elérhető http és https verziókban is, és amúgy az oldal nem irányítana át automatikusan a https verzióra, akkor jól jön ez a funkció, mert így is mindenképp a https verziót fogja betölteni a Firefox.

( dcsaba v | 2022. 01. 04., k – 10:38 )

Forráskód elemzése sorról sorra, lehet még bujkál pár apache log4j-hoz hasonló ős bug.

( zrubi v | 2022. 01. 04., k – 11:04 )

Szerkesztve: 2022. 01. 04., k – 11:05

A legtöbb említett dolog egyátalán nem Ubutu specifikus. Sőt, teljesen általános OS független.

 

A témához pedig:

Tapasztalatom szerint az "átlagos, otthoni felhasználó" még egy password manager használatára sem képes/hajlandó.

(de még igen nagy nevű enterspájz környezetekben is extra)

zrubi.hu

Ami a gyakorlatban - szerintem - igen jelentős: adblocker (uBlock Origin) a böngészőben.

Ez nem csak a mérhetetlen mennyiségű szeméttől (reklám) óvja meg a felhasználót, de biztonsági szempontból is igen hasznos.

(a paranoid userek ezt megspékelhetik egy noscript-tel is :)

zrubi.hu

Biztonsági szempontból szerintem elég a Firefox alap beállítása: https://support.mozilla.org/en-US/kb/enhanced-tracking-protection-firef…

A Settings - Privacy & Security - Enhanced Tracking Protection résznél a Standard beállítás, ami alapból él.

Balanced for protection and performance. Pages will load normally.
Firefox blocks the following:
Social media trackers
Cross-site tracking cookies
Cross-site cookies in Private Windows
Tracking content in Private Windows
Cryptominers
Fingerprinters

Persze ez magát a reklámokat nem blokkolja, de szerintem biztonsági szempontból elég. Ha magukat a reklámokat is blokkolni akarod, az már szerintem más téma, nem biztonsági.

Igen, a Noscript az tényleg hasznos lehet biztonság szempontjából. Használtam egy ideig jó pár évvel ezelőtt, de sajnos már akkor is sok macerát okozott. Már akkor is, de mára már tényleg szinten minden weboldal Javascripten alapul, és ha tiltod a Javascriptet, akkor nem fog működni a legtöbb weboldal. Persze aztán lehet egyesével engedélyezni a weboldalakat, de azzal meg elmegy sok idő. Emiatt nem vagyok benne biztos, hogy a Noscript hasznos lenne, mert túl sok időt elvisz.

más téma, nem biztonsági.

háát,

Hacsak nem nézed úgy, hogy amikor egy megbízhatónak hitt oldalt látogatsz, ami a reklámok miatt tele van 100 féle külső random - biztonsággal egyátalán nem törődő - hivatkozással, amik bizony a te gépeden futtatnak kódot.

Nem egy esetben derült már fény a reklámnak álcázott bitcoin bányász, és/vagy egyéb kéretlen (kém)programra.

 

de ahogy te is látod a biztoság nem van vagy nincs, hanem meg kell találni a SZÁMODRA elfogadható kompromisszumokat.

ebben viszont legtöbbször a tudatlanság nyer, hiszen egy átlag user nem is sejti, hogy milyen veszélyek leselkednek rá egy ártatlannak tűnő böngészés közben ;)

 

szerintem

zrubi.hu

Az mondjuk igaz, hogyha átkattint a user egy reklámon keresztül egy másik weboldalra, akkor az rejthet biztonsági kockázatot. Bár a legtöbb reklám az a Google Adx és hasonló helyekről érkezik, ott azért szerintem van szintén valamilyen automata funkció, ami kiszűri a káros tartalmakat és webhelyeket. Nyilván nem érdeke a Google-nek és a többi cégnek sem, hogy kártevő weboldalra irányítsák a felhasználókat. Meg amúgy is a legtöbb böngésző blokkolja a kártevő weboldalakat, tehát hiába kattintott ár a user, a figyelmeztetés vagy tiltás ott lesz.

A Firefox az pont tiltja alapból a cryptominer és malware scripteket, legalábbis próbálja tiltani őket. Tehát emiatt szerintem nem kell külön az Adblock (ha csak biztonsági szempontból nézzük a dolgokat).

Te valamit félreértesz.

Egyátalán nem kell sehová sem kattintani. ha a reklámot látod, akkor az azt produkáló script már lefutott... a te gépeden, a te böngésződben.

Tehát ha esetleg kártékony/kéretlen kódot tartalmazott, akkor már csak reménykedhetsz, hogy valamilyen másik megoldás (sandbox, tűzfal, akármi) meggátolta abban, hogy valüban kárt tegyen  - de ez eléggé optimista, és 'mindenkiben megbízós' hozzáállás. 

 

És mivel láttunk már ilyet, ez biztosan nem csak fikció. - de persze mindenki azt csinál amit akar, én senkit nem akarok meggyőzni. főleg nem tényekről.

 

És persze, a firefox, meg a többi böngésző is próbálja tiltani a SZERINTE káros dolgokat  de ha ezt elhiszed nekik, meg az OS gyártóknak is, akkor ez az egész elmélkedés értelmetlen, hiszen 'ők' megvédenek minden rossztól... oh wait.

 

 

szerintem.

zrubi.hu

Ja, az egy alap, minden böngésző alatt. Nem csak biztonsági szempontból, de a mai modern netet teljesen használhatatlanná tették, ha nincs reklámszűrés. Annyi szar, szemét script meg izgő-mozgó, videós, zenélős reklám van, ami nem csak idegesítő, de a sávszélt, meg JS mentén sok extra memóriát és CPU időt is leköt.

Ami miatt a reklámszűrésre nem tértem ki a korábbi hozzászólásomban: tapasztalatom szerint, aki Linuxra vált, az már Windowson sem volt annyira laikus user, és mint olyan, már ott is használt valamilyen reklámszűrő plugint, vagy olyan böngészőt, ami deafult szűr (pl. Brave, Librewolf, stb.).

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

( sibike | 2022. 01. 04., k – 11:16 )

  • Antivírus szoftver: az ingyenesek nem annyira jók, a fizetősek általában zárt forráskódúak, kevés van belőlük, drágák, főleg csak úgyis Windowsos kártevők ellen védenek. Én azt találtam erről a témáról, hogy Ubuntura nem kell antivírust telepíteni.

A linuxos antivírus szoftverek egytől egyik sz*rok. Egyedüli értelmes alkalmazás, ha pl samba serveren használod, akkor a windowsos kliensek előtt meg tudja fogna a fertőző fájlokat.

Volt egy ilyen: ESET NOD32 ANTIVIRUS FOR LINUX DESKTOP

De azt írja:

Az ESET NOD32 ANTIVIRUS FOR LINUX DESKTOP 2022-ben véglegesen kivezetésre kerül.

Bár én nem használtam a kivezetés előtt sem. De érdekes lenne tudni, vajon miért szüntették meg.

Mert amúgy a windowsos NOD32-ről jókat hallottam, még régi windowsos koromban használtam is. Aztán csináltak linuxos verziót is, de aztán ugye az megszűnt. Már csak vállalati felhasználóknak van linuxos verzió, az otthoni változat szűnt meg.

a válasz igen egyszerű:

pénzügyileg nem éri meg.

az átlag pistike mindent (is) ingyen akar, ha fizetni is kéne valamiért az már fáj ;)

(persze a személyes adatait gondolkodás nélkül kiadja,  'ingyenes' szolgáltatásokért cserébe)

 

a régi mottó pedig már mindenki számára világos kell(ene) hogy legyen:

"ahol egy szolgáltatás ingyen van, ott TE vagy (a személyes adataid)  a termék."

zrubi.hu

Ubuntura nem kell antivírust telepíteni.

En inkabb ugy fogalmaznek, hogy nem erdemes :)

Egyreszt desktop penetration minimalis, igy sokkal kevesbe eri meg linuxra altalanos virust/malware-t irni, nincs akkora nyereseged rajta, mintha ugyanazt megirod windowsra (regi szep idok, amikor XP-t ugy kellett telepiteni, hogy offline install + offline tuzfal + virusirto, lehetoleg offline SPx telepites, es utana kototted netre, majd kb 10 percen belul a virusirto mar sikitott mindenfele malware miatt).

Masreszt tenyleg nem nagyon van hasznalhato virusirto. ClamAV most nem tudom hogy all, de azt is legtobbszor mailszerverre teszik fel, hogy a virusos csatolmanyokat kiszurjek a levelezesbol, es ne fertozze meg a windowsokat :)

Harmadreszt ha rendszeresen frissitesz, akkor altalaban sokkal hamarabb kijon a security fix, mielott elterjedhetne az azt kihasznalo kartevo.

https://en.wikipedia.org/wiki/Linux_malware

> Egyreszt desktop penetration minimalis...

Másrészt a felhasználók is tudatosabbak. Családonként legalább egyvalaki ért hozzá annyira, hogy mindenkinek külön user accountja van, mezei jogokkal (vs. Windows, 1 user, rendszergazda), másrészt el tudja mondani, hogy ha John Doe küld neked egy kiscica.jpg képet e-mailben, arra ne kattints rá.

Debian - The "What?!" starts not!
http://nyizsa.blogspot.com

( Charybdis | 2022. 01. 04., k – 12:32 )

Szerkesztve: 2022. 01. 04., k – 12:34

Eszembe jutott valami, hátha valaki tudja a választ:

Nálam a Software & Updates beállítások részben a "download from:" résznél az van megadva, hogy "Server for Hungary". Tehát innen tölti le a frissítéseket az Ubuntu.

Igen ám, de ahogy nézem, nem mindegyik mirror server támogatja a https kapcsolatot, legalábbis a Software & Updates szerint. Valamelyik csak sima http.

Ha rámegyek a lenyíló menüre, akkor van olyan opció, hogy "Other...". Kiválasztom hogy Hungary, aztán ezek az opciók jönnek fel:

ftp.fsn.hu - http only

mirror.niif.hu - https only

mirrors.sth.sze.hu - https only

quantum-mirror.hu - https only

repo.jztkft.hu - http only

Legalábbis ezeket az értékeket írja ki nekem a Software & Updates program. Lehet, hogy valójában mindegyik mirror https, csak a Software & Updates rosszul tudja?

Kérdés: ha egy mirror server csak a http kapcsolatot támogatja, és egy ilyen szerverről tölti le az Ubuntu a frissítéseket, akkor ez hogy lesz így biztonságos? Nem az lenne csak a biztonságos, ha kizárólag https-en kapcsolódna az Ubuntu a mirror serverhez? Vagy http kapcsolatról is biztonságos letölteni a frissítéseket, mert utána a rendszer úgyis még egyszer validálja a letöltött csomagokat?

Ha csak a https a biztonságos, akkor nem kéne kézzel átállni a beállításoknál egy https mirror serverre?

Hint: a csomagok vannak aláírva GPG-vel, és ha az aláírás sérült/nem a nálad lerakott kulcsnak a párjával lett aláírva, akkor az apt minimum visít, hogy gond van. Így a repószervereknek nem kell ssl-t csomagolni, ami azért "kellemes" terhelést tud adni, bár inkább i/o-ban, mint cpu-ban "szokás" elfogyni :)

Nagyjából felesleges, de el lehet képzelni olyan scenáriót, ahol gond lehet a sima HTTP forgalomból. (Paranoiásoknak: a netszolgáltatód látja, hogy most kérted le a friss apache-ot, tehát tudja, hogy még nem az van fenn, egy gyors kis exploit belefér, addig egy kicsit visszafogjuk a sebességet, nagy az a 10 megás csomag :) )

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Gépet kikapcsolni, áttérni papír alapú munkára.

A hekkerek minden bizonnyal a hétvégén telepítették a zsarolóvírusokat, amikor a kórházak technikai személyzetének csak kisebb része tartózkodik a helyszínen, és a név nélkül nyilatkozó ápolók szerint a helyzet pillanatok alatt olyan súlyossá vált, hogy a munkavégzéshez át kellett térniük a toll és a papír használatára.

Lássuk be, a legbiztonságosabb a papír+toll kombináció :)

Ha csak a https a biztonságos

:)

hát igen, ez az eredménye az agyatlan dogmák sulykolásának.... amikor a hozzá nem értők osztják az észt, hogy mi biztonságos meg mi nem :D

Közben meg fogalmuk sincs hány darab és honnan való root CA van a hiper biztonságos böngészőkben by default.

 

hasonló okosságok még:

a TOR is gonosz, mert azt meg terroristák és a peofilok használják

a torrent-en meg csak a varez megy

 

Ha valóban érdekel a téma, akkor igen sokat kell tanulni, hogy megértsd pontosan mi mire való, mi ellen véd,  és hogy egyátalán mit értünk 'biztonság' alatt. 

De persze a zinterneten minden ott van, csak ki kell tudni válogatni a sok baromság közül az értelmes információt ;)

ahol az arány úgy 90-10 a baromságok javára.

 

szerintem.

zrubi.hu

( uid_4656 v | 2022. 01. 05., sze – 11:36 )

Nekem egy sokkal rövidebb listám van, és eléggé bejött az elmúlt 20+ évben:

  • ne csinálj olyan dolgokat, amelyről nem tudod, hogy mi

Ez elég sok dolgot megold :-)

Az eredeti listából meg aminek tényleg van értelme, az a 2FA.