A Linux tovább bírja... :-)

Szerintem aki használt szervernek Linuxot, vagy akár Desktopnak is, ezt tanusíthatja, nem kell ehhez se c|net se semmi :)

Hat nem sok ertelmet latom az ilyen felmereseknek, mert okor az aki arra alapoz, hogy a nem patchelt rendszere azert jobb, mint a masike, mert tovabb birja a neten megtores nelkul. A patchek azert vannak, hogy azokat fel kell tenni. Kevesebb lenne a feltort Windows rendszer is, ha a patcheket minden felhasznalo feltenne.

En ott latom a bajt a Windows-nal, hogy a sokkal nagyobb felhasznaloi taboraban nagyon sok laikus van (meg a szakmaban is), mig a Linuxot altalaban olyanok hasznaljak, akik mar valamilyen szinten tisztaban vannak a gepuk / operacios rendszeruk mukodesevel. Egyebkent vannak jol karbantartott Windows rendszerek is, amelyeket nem tornek fel konnyen. Mi is uzemeltetunk nem egy Windows szervert az interneten, van amelyik tobb eve megy es nem tortek meg (legalabbis nem tudunk rola :-). Persze van rajta tuzfal, es rendszeresen patchelve van.

A problemat az MS is latja, egyre jobban ra akarja szoritani a felhasznalokat a biztonsagra, de ez nehezen megy. Sok esetben latni a kovetkezot:

Jozsika Windows-ara fel van telepitve a Half-Life 2. Mondjuk Jozsika egy kicsit mar expertebb felhasznalo, es tudja, hogy a gepet nem egeszseges ``rendszergazda'' felhasznaloval futtatni, es azt az internetre kitenni. Viszont olyan gondja van, hogy sima userkent nem tud telepiteni. Ha rendszergazdakent teszi fel a programot, akkor meg nem tudja user-kent futtatni. Annyira nem perfect, hogy a jogokat jol ki tudja osztani, vagy netan ismerne a ``runas'' szolgaltatast. Ezert a vege az, hogy a Half-Life 2-t a vegen ``rendszergazdakent'' fogja elinditani. Persze a HL2-nek kell internetes kapcsolat, mert a Steam hasznalja. Es Jozsika gepen nincs fenn a rpc bugfix, mert hiaba tette fel a SP2-t, az elso dolga volt, hogy kikapcsolja a tuzfalat, es a Windows Update-et, mert az a franya buborek allandoan elojott az ora mellett, es zavarta. A tuzfalat meg azert kapcsolta ki, mert a LAN party-ban amikor ossze akarta kotni a gepet a haver gepevel, nem ment a ping. Ezert nem az ICMP-t engedelyezte, hanem egyszeruen kikapcsolta a tuzfalat. Estenkent meg megnezi kedven pr0n oldalat, es csodalkozik, hogy 40 spyware, 60 dialler, mer a banat tudja mi kerul a gepere. Termeszetesen fele azert mert a bongeszoben is a legalacsonyabb biztonsagi szint van beallitva, masik fele meg azert mert o sajat maga kattint arra, hogy telepiti az ``ora pontosito segedprogramot''.

Lenyeg a lenyeg: nem a rendszerekben van _tobbnyire_ a hiba, hanem a felhasznalok hozzaallasaban. A Linux / Unix felhasznalok mar a tobbfelhasznalos, jogosultsagokat kemenyen hasznalo rendszereken edzodtek, mig a Windows felhasznalok nagy resze DOS, Win 3.1, Win 95, Win 98, Win ME operacios rendszereken nott fel, es nem alakult ki bennuk egy egeszseges igeny a biztonsagra. Utana belekerultek a Windows 2000, Windows XP vilagaba, de ott csak nyugnek ereztek a biztonsagi dolgokat, es az volt az elso dolgunk, hogy a letrehozott felhasznalojukat azonnal hozzaadtak a ``rendszergazda'' csoporthoz, es kikapcsoltak az osszes biztonsagi funkciot.

Sajnos a szakmaban is igy van ez. Nem egyszer indultam mar ejjel vagy hajnalban el Gyorbol az orszag masik vegebe, mert a rendszergazda megfeledkezett ezekrol a dolgokrol, es Windows szervere 1237248 darab virustol forgott sajat nyalaban. Miutan viszont kifizette a rendberakas tobb szazezres kolseget, rajott, hogy ez nem kifizetodo, es megkerdezte, hogy ezek utan mit, hogyan. Miutan elmondtam neki az alapveto dolgokat, azokat betartotta, es azota lass csodat, 2 eves nem voltam annal a rendszernel. Azota mukodik szepen, problema nelkul....

Szoval inkabb a hozzaertes hianya az, ami miatt a Windows rendszerek sokkal hamarabb aldozatul esnek... Az esetek nagy rendsze user error-bol szarmazik...

Hozzátartozik még az a régi "anekdota" :) hogy a vindóz elküldi a fat táblát darabokban a m$-nak, és ezért sem érdemes csatlakozni ilyen veszélyes helyekhez mint az update... :) azaz mit is beszélek, mert mindenkinek csak jogtiszta swe van... :)

Ezzel nem értek egyet. Anyós pajtásnál egy Windows 2000-et tettem fel, SP4-gyel, ami teljesen jogtiszta volt. Viszont mivel csak modem volt ott, ezért kb. fél órán keresztül szedte a patch-eket, ezalatt viszont szanaszét fertőződött. Ez konkrétan azt jelenti, hogy ha nem viszek tűzfalat, és egy halom letöltött patch-et külön CD-n, akkor esélyed sincs, egy friss, jogtiszta Windows 2000 SP4-et vagy akár XP SP1-et úgy frissíts, rögtön a telepítés után, hogy azon ne legyen 20 perc alatt egy óriási vírustenyészet

Sziasztok!

Kb. hasonlót mondtam (írtam) én is a Linuxról pár alkalommal, de nem hittek nekem a "mezei" W32 userek.

Pedig lassan 3 éve ugyanazzal a rendszerrel: egy némileg frissített SuSE 7.1-el internetezem és tűzfal

nélkül!

Igaz, hogy bezárt portokkal, de ennek ellenére nem kell rettegjem mint akár egy XP esetében, amelyre nemrég szépen "besétált" az MBlaster... (3 perc sem telt el a neten)

No, igen! Mit tegyen az ember ha vesz egy LapTop-ot és regisztráltatná az XP-t?

Szerintem a probléma gyökere inkább ott van, hogy míg a Józsika tévéjét a tévészerelő szereli, mert ő ért hozzá, számítógépét ő maga, mert azt hiszi, ő ért hozzá. Lám mennyit számít az egér és a páka közti különbség! Ha egy vírusos gép kigyújthatná a házat, mint ahogy egy rossz tévé megteheti, máris más lenne a hozzáállás. Én mindig egy kicsit ideges leszek, amikor a szomszéd áthív, mert vett valamit, és fel kell rakni a kezelőprogramját a Windowsára. Nem azért, mert nem segítek szívesen, hanem azért, mert a számítógépet is meg kell tanulni kezelni, hogy használni tudjuk, mint akármi mást. A mai világ már csak ilyen: vagy tanulunk életünk végéig, vagy kiköltözünk a rengetegbe.

De nem csak windowsupdate van. Ha ténylge érdekelné őket, akkor rátalálnának a http://microsoft.com/technet/security/CurrentDL.aspx oldalra is.... Bár ehhez már kellene egy ki tudás, de nem is túl sok...

Szerintem ebből az lesz, hogy a köv windows nem fogja megkérdezni hogy felteheti e a javításokat hanem felteszi és kész.

A biztonságra meg kényszeríteni kellene az embert pl ha az a buborék mondjuk elkezdene villogni amikor kikapcsolod a tűzfalat az állati idegesítő lenne, de ha nem lehetne vele mit tenni a user csak venne annyi fáradságot hogy megnézze hogy lehet megoldani hogy ne villogjon nem ??

Bár lehet hogy ez egy naiv elképzelés.

Az a te gyengeseged h felteszed az internetre patcheles nelkul. Errol beszeltem. Normalis szakembernek (mondjuk egy cegnek) ha Windows-t telepit az alabbi eszkozei vannak:

1. Internet kapcsolat tuzfallal

2. Eleve XP SP2 telepito CD-je, (vagy Win2k SP6a vagy mittom en mi) amit akar maga is meg tud csinalni

3. Akar sajat SUS szerver

Pontosan arrol beszelek, hogy kello kepzettseg nelkuli ``szakemberek'' otthoni barkacsolasanak az a vege, h mire feltelepiti a rendszert, az mar regen rossz. Ki mondja azt, hogy Windows operacios rendszert egy atlagos otthoni felhasznalonak kell telepiteni? A Microsoft soha nem mondott ilyet. Nem veletlenul hozta letre az OEM halozatot, es nem veletlenul vannak Solution Provider cegek a komolyabb munkakhoz (mert a szerver oprendszereket sem a rendszergazdaknak kell telepiteni a hiedelmekkel ellentetben, hanem az erre kikepzett szakembereknek. Persze ez egybe is eshet a rendszergazdaval, de tapasztalat, hogy nagyon keves rendszergazda kepzett MS szakember). Az MS vizioja az, hogy uj geppel uj oprendszer. Es nem a vegfelhasznalo, hanem az OEM System Builder telepiti a rendszert. Mire a vegfelhasznalohoz kerul, addigra az fel van patchelve a legfrissebb szintre. Persze mas kerdes, hogy vannak hanyag OEM partnerek is...

nem értem az ms hozzáállását sem

miért jo az neki ha a warezolt windowsok irusosak lesznek

az nem marketing kérdés ??

azzal az összes windows "hírnevét" rontja nem ??

Itt van magyarul a cikk amúgy:

http://index.hu/tech/biztonsag/linuxjo1223/

ez mind szép és jo de ha egy win elszemetesedi, lelassul akkor ujra kell telepíteni nincs mese

mutass nekem egy olyan főnököt aki azt fogja mondani a cég rendszergazdájának, hogy jólvan fiam itt van 100000 és hívj egy hozzáértőt aki ujratelepíti a windows szervert

Pedig mennyi van... Ezekbol elunk... :-D

>ez mind szép és jo de ha egy win elszemetesedi, lelassul akkor ujra kell telepíteni nincs mese

Ha ceg, van tuzfal is (ha nincs, akkor az milyen ceg mar?). Ha van tuzfal, es a ceg halozata nem tragyadomb, akkor nincs Blaster es virus belul. Ha felteszel egy Windows XP-t tuzfal mogott egy nem virusos halozaton, majd a telepites utan egybol Windows Update oldalra mesz, es felfrissited a rendszered, majd ha kesz feltelepitesz egy virusirtot, akkor mar megtetted az alapveto dolgokat.

Ugyanez otthon: Felteszed a Windows XP-t, majd egybol bekapcsoltod a beepitett tuzfalat, akkor nincs Blaster. Majd WU, es virusirto (van egy rakas ingyenes, en pl. a AVG-t hasznalom (personal hasznalatra free) egy csomo helyen, es nincs virusom evek ota). Nem rendszergazdakent hasznalod a gepet, es egybol nincs problema. Ne mondd, hogy nem mukodik, mert szamtalan cegnel csinaljuk ezt, itthon a 9 eves fiam gepere (aki aztan tenyleg mindenre kattint az interneten) masfel - ket eve tettem XP-t azota nem kellett hozzanyulni, csak frissiteni. Persze nem is telepithet mindent, a rendszer szepen korlatozva.

Mondom, a hibak nagy resze user error, hanyagsag, es a biztonsagi javitasok ``elfelejtese''.

Az a baj, hogy a Windows elhiteti a felhasználókkal, hogy nem kell hozzá érteni, és emiatt aztán az egész internet szív a vírusok tömege miatt. Pedig a Windows nem MacOS! Viszont olcsóbb és rosszabb.

> 2. Eleve XP SP2 telepito CD-je, (vagy Win2k SP6a vagy mittom en mi) _amit akar maga is meg tud csinalni_

Na WininstallCD remastering...

Azt meg hogyan?

(komolyan érdekel)

...es Windows szervere 1237248 darab virustol forgott sajat nyalaban.

ROTFLMAO! :DDDDD

Veszed az XP CD-d és felmásolod a c:xp-be pl. Ezután letöltöd az XP service Pack 2-est a netrõl vagy elõtúrod a CD-t. Felparaméterezed ügyesen: xpsp2.exe /integrate:c:xp . Ezután veszel egy ISO Buster nevũ programot, amivel ki tudod szedni az XP CD boot-részét, majd Nero-val írsz egy Boot-CD-t, aminek a gyökere a c:xp könyvtár lesz, a bootrésze meg amit kiszedtél az XP CD-bõl. Emuláció nem kell, meg kell etetni vele, hogy 4 szektort olvasson be bootkor. Én megcsináltam és összejött. Elõször persze ISO-ba, aztán vmware, de mikor láttam, hogy ment, felírtam CD-re. Azóta már feltettem pár gépre. Innen tanultam: http://www.winsupersite.com/showcase/windowsxp_sp2_slipstream.asp

Adi wrote:

> _...es Windows szervere 1237248 darab virustol forgott sajat nyalaban._
>
> ROTFLMAO! :DDDDD

En ezt nem tartom olyan viccesnek... K.rva sz.r dolog virust irtani,
foleg szerverrol... Plane hogy ezert meg a vilag masik vegebe is kell
menned...


IroNiQ
p.s.: neadjisten ha nemcsak virus van, hanem esetleg 1-2 emberke is
ki-be maszkal a gepedre az engedelyed nelkul es ezert ujra kell
telepiteni egy rendszert, akkor...
--
Web: http://ironiq.hu
Email: iron_uh.qinori

Trey, az elmelet gyonyoru, de a gyakorlat az ellenkezojet mutatja. Multkor pl. kis fusizas kereteben, egy srac gepet reinstalltam. Ceges halora Linux tuzfal moge feldug, felrak szepen, SP2 felrak, minden letezo fix felrak, Mozilla felrak (srac mar egy ideje azt hasznalja), tuzfal engedelyez, sok ez-az secholegenerator ware letilt, atom.

A srac boldogan elvitte haza a vasat, otthon feldugta kabeltvs netre, es 10 perc mulva mar tele volt a gepe minden takonnyal. Masnap hiv elkeseredetten, hogy mivan, en meg nezek magam ele, hogy ez hogyvan. Harmadnap olvasom indexen [index.hu] a cikket, hogy sulyos sechole az SP2-ben, ami az egesz gepet tarva-nyitva hagyja kifele, es mar van ra fix. Mondom okes, koszi, csak 2 napot kesett...

Mas. Kivancsi lennek hogy sikerult ezt a Linux csak harom honapig birja dolgot abszolvalni. Csak mert -bar nem vagyok ra buszke-, de nekem evekig volt SuSE 6.4 alapu gepem a netre kotve, alig nehany frissitessel, raadasul egy Linuxos ismerkedeseim kezdeten konfigolt kernellel, amibol kimaradt az ip filter c. feature. :) Vegul 365+ketszazvalahany+398 nap uptime utan lett lelove, addig ugy ment, megsem zabalta meg semmi... Most mar persze Debian van rajta, tuzfallal, meg latest frissitesekkel, de kb. semmi diff, leszamitva hogy picivel azert jobban alszom. :)

En nem tapasztaltam ilyet. Nekem a fent leirt modszer mukodik. Hiba meg mindenben van. Ha neadjisten egy regi Linux CD-rol telepitesz, elofordulhat, hogy remote root-os kernelt telepitesz. Az a rendszer is gaz, egeszen addig, amig nem frissitesz, vagy kernelt nem forditasz. Tudod: ami szoftver, abban van hiba is. Es itt nincs kulonbseg abban, hogy ki a gyarto. Egyebkent azt mondtam, hogy az esetek _nagy_ reszeben user error, es ez nem zarja ki, hogy egyeb (mondjuk gyartotol szarmazo) hiba is legyen a rendszerben. Ezzel egyutt kell elni. Egyebkent ha a gepe 10 perc utan virusos lett annak ellenere, hogy volt a gepen virusirto, akkor azt javaslom h, dobja ki a francba a virusirtojat, mert ***** :-)

> Lenyeg a lenyeg: nem a rendszerekben van _tobbnyire_ a hiba, hanem a
> felhasznalok hozzaallasaban. A Linux / Unix felhasznalok mar a
> tobbfelhasznalos, jogosultsagokat kemenyen hasznalo rendszereken edzodtek,
> mig a Windows felhasznalok nagy resze DOS, Win 3.1, Win 95, Win 98, Win ME
> operacios rendszereken nott fel, es nem alakult ki bennuk egy egeszseges
> igeny a biztonsagra. Utana belekerultek a Windows 2000, Windows XP
> vilagaba, de ott csak nyugnek ereztek a biztonsagi dolgokat, es az volt az
> elso dolgunk, hogy a letrehozott felhasznalojukat azonnal hozzaadtak a
> ``rendszergazda'' csoporthoz, es kikapcsoltak az osszes biztonsagi
> funkciot.

Ez azért nem kenhető olyan egyszerűen a felhasználókra. Ahogy írtad, a
programok írói sem megfelelően írják meg a programjaikat. A
jogosultságok beállítását nem biztos, hogy a feltelepítést végzőre kell
bízni. Miért nem tudja a telepítőprogram beállítani egy olyan
jogosultságot, hogy a programot helyből tudja használni a normál
felhaszáló? Miért a felhasználóra van ez bízva? Ugyanez Linux esetén a
programok túlnyomó többségével gond nélkül megoldható.

A másik fékező ok pedig a Microsoft üzletpolitikája. Tudatában lehetsz a
security riskeknek, egy Windows XP Home esetében hogyan váltasz nem
privilegizált felhasználóra?

--
--- Friczy ---
'Death is not a bug, it's a feature'

Elég a 135-ös portot tiltani, és máris nem fertőződsz meg az ilyen
férgektől a default telepítésben. Aztán amikor az update-eket feltetted,
már OK a dolog.

--
--- Friczy ---
'Death is not a bug, it's a feature'

> Ha ceg, van tuzfal is (ha nincs, akkor az milyen ceg mar?). Ha van tuzfal,
> es a ceg halozata nem tragyadomb, akkor nincs Blaster es virus belul.

Millió olyan szituációt tudnék neked mondani, ahol céges tűzfal és nem
trágyadomb hálózat ellenére is van vírus és/vagy Blaster. Azt ugye nem
akarod mondani, hogy bármely tűzfal képes hatékonyan kíszűrni a
vírusokat? Nem az a dolga ugyanis.


--
--- Friczy ---
'Death is not a bug, it's a feature'

Van tuzfal es van virusirto. Ezzel mar megtetted a minimalisan elvarhato lepeseket. Senki nem allitotta, hogy nincs virus igy. Ha van Blaster, de a gepek patchelve vannak, akkor mi a baj? A virusirto dolga, hogy megfogja a Blaster-t. Es a virusirtok meg is fogjak. Persze nem ***** virusirtot kell hasznalni.

Ezert mondtam azt, hogy:

"nem a rendszerekben van _tobbnyire_ a hiba, hanem a felhasznalok hozzaallasaban."

> Van tuzfal es van virusirto. Ezzel mar megtetted a minimalisan elvarhato
> lepeseket. Senki nem allitotta, hogy nincs virus igy. Ha van Blaster, de a
> gepek patchelve vannak, akkor mi a baj? A virusirto dolga, hogy megfogja a
> Blaster-t. Es a virusirtok meg is fogjak. Persze nem ***** virusirtot kell
> hasznalni.

A Blastert a vírusirtók jó részének esélye sincs megfogni, mert nem
kerül file-ba a féreg (ahogy a codered esetén sem), nem megy keresztül
azokon a rendszerhívásokon, amit a vírusirtók figyelnek.

--
--- Friczy ---
'Death is not a bug, it's a feature'

Friczy wrote:
>>Van tuzfal es van virusirto. Ezzel mar megtetted a minimalisan elvarhato
>>lepeseket. Senki nem allitotta, hogy nincs virus igy. Ha van Blaster, de
>
> a
>
>>gepek patchelve vannak, akkor mi a baj? A virusirto dolga, hogy megfogja
>
> a
>
>>Blaster-t. Es a virusirtok meg is fogjak. Persze nem ***** virusirtot
>
> kell
>
>>hasznalni.
>
>
> A Blastert a vírusirtók jó részének esélye sincs megfogni, mert nem
> kerül file-ba a féreg (ahogy a codered esetén sem), nem megy keresztül
> azokon a rendszerhívásokon, amit a vírusirtók figyelnek.

Az en szememben a tuzfal nemcsak az iptables/pf/zorp/egyebet jelenti,
hanem egy komplett vedelmi eljarast, amiben bennevan a viruskergeto,
csomagszuro, esetlegesen behatolas-jelzo, es meg sok egyeb dolog. Egy
igazan jo ceg, ami ad a biztonsagra, az nagyreszt nem garazs muveket fog
alkalmazni, hanem komplett megoldast vasarol/alkalmaz, ami mar eleve
tartalmazza ezt.
A masik meg az, hogy egy jol nevelt f-prot lazan megfogta a blaster -t
alapbeallitasokkal. (sendmail+amavis-milter+kav+f-prot, ebbol kav
ateresztette, ez teny, de f-prot elkapta).


IroNiQ
--
Web: http://ironiq.hu
Email: iron_uh.qinori

> Az en szememben a tuzfal nemcsak az iptables/pf/zorp/egyebet jelenti,
> hanem egy komplett vedelmi eljarast, amiben bennevan a viruskergeto,
> csomagszuro, esetlegesen behatolas-jelzo, es meg sok egyeb dolog. Egy
> igazan jo ceg, ami ad a biztonsagra, az nagyreszt nem garazs muveket fog
> alkalmazni, hanem komplett megoldast vasarol/alkalmaz, ami mar eleve
> tartalmazza ezt.
> A masik meg az, hogy egy jol nevelt f-prot lazan megfogta a blaster -t
> alapbeallitasokkal. (sendmail+amavis-milter+kav+f-prot, ebbol kav
> ateresztette, ez teny, de f-prot elkapta).

Na most ha a tűzfal nem "csak" a Zorpot jelenti (aminél jobb tűzfal
kevés van), akkor határozottan érdekel, hogy mi nálad a tűzfal
definíciója?

Más: "W32.Blaster.Worm is a worm that exploits the DCOM RPC
vulnerability" ... "W32.Blaster.Worm does not have a mass-mailing
functionality."

Mi a rákot keresett neked a Blaster a sendmail környékén, hogy volt
lehetősége az amavis, stb. programoknak megfogni?

--
--- Friczy ---
'Death is not a bug, it's a feature'

Mivel ugy kezdtem a mondandomat, hogy Windows Update, nehezen tudom elkepzelni, hogy a WU utan hogyan megy fel egy Blaster a gepre. A WU-ban mar sok-sok honapja benne van az rpc bugfix.

A virusirtok detektaljak a Blastert.

(Csak egy pelda:

Norton AntiVirus will detect Blaster if you have virus

definitions from 8/11/03 or newer.)

> Mivel ugy kezdtem a mondandomat, hogy Windows Update, nehezen tudom
> elkepzelni, hogy a WU utan hogyan megy fel egy Blaster a gepre. A WU-ban
> mar sok-sok honapja benne van az rpc bugfix.

Blasterről továbbra is beszéltél, ezek szerint feleslegesen. :) Ha
egyszer a Windows Update után úgyse terjed, akkor minek hoztad fel a
vírusirtó kapcsán? :Ö

--
--- Friczy ---
'Death is not a bug, it's a feature'

s/Blaster/virusok/g; :-)