Acrobase  

Καλώς ήρθατε στην AcroBase.
Δείτε εδώ τα πιο πρόσφατα μηνύματα από όλες τις περιοχές συζητήσεων, καθώς και όλες τις υπηρεσίες της AcroBase.
H εγγραφή σας είναι γρήγορη και εύκολη.

Επιστροφή   Acrobase > Υπολογιστές και Τεχνολογία > Πληροφορική και Επικοινωνία > Linux
Ομάδες (Groups) Τοίχος Άρθρα acrobase.org Ημερολόγιο Φωτογραφίες Στατιστικά

Notices

Δεν έχετε δημιουργήσει όνομα χρήστη στην Acrobase.
Μπορείτε να το δημιουργήσετε εδώ

Απάντηση στο θέμα
 
Εργαλεία Θεμάτων Τρόποι εμφάνισης
  #1  
Παλιά 08-04-11, 10:26
Το avatar του χρήστη Archmage
Archmage Ο χρήστης Archmage δεν είναι συνδεδεμένος
Μέλος
 

Τελευταία φορά Online: 14-03-18 00:30
Φύλο: Άντρας
Firewall και IPv6

Όπως έχουμε αναφέρει, σύντομα θα πρέπει να περάσω στο ipv6. Αυτό συνεπάγεται ότι χρειάζομαι firewall *στο* μηχάνημα.

Επειδή δεν υπάρχει περίπτωση να ασχοληθώ με τα ip(6)tables, θα ήθελα ένα, ας πούμε, απλό front.

Ένα παράδειγμα του τι θεωρώ εγώ απλό είναι ένα παλιό firewall που είχα στα παράθυρα. Δε χρειαζόταν να ρυθμίσω ποτέ τίποτα, επειδή με ρωτούσε πχ "microsoft word wants to access the internet, ip X, port Y, allow?", εγώ απαντούσα όχι και δεν ασχολιόμουν ποτέ ξανά με το microsoft word. Ομοίως δούλευε για εισερχόμενα.

Φυσικά μπορούσα να δω/αλλάξω αναλυτικά τους κανόνες, αν και σχεδόν ποτέ δεν είχα λόγο να το κάνω.

Προτάσεις;
__________________
may you live in interesting times
Απάντηση με παράθεση
  #2  
Παλιά 12-04-11, 12:21
Qluser Ο χρήστης Qluser δεν είναι συνδεδεμένος
Μέλος
 

Τελευταία φορά Online: 24-02-23 19:01
Αρχική Δημοσίευση από Archmage Εμφάνιση μηνυμάτων
Επειδή δεν υπάρχει περίπτωση να ασχοληθώ με τα ip(6)tables, θα ήθελα ένα, ας πούμε, απλό front.
Για Ubuntu δες το gufw (disclaimer: δεν το έχω χρησιμοποιήσει).

Ένα παράδειγμα του τι θεωρώ εγώ απλό είναι ένα παλιό firewall που είχα στα παράθυρα. Δε χρειαζόταν να ρυθμίσω ποτέ τίποτα, επειδή με ρωτούσε πχ "microsoft word wants to access the internet, ip X, port Y, allow?", εγώ απαντούσα όχι και δεν ασχολιόμουν ποτέ ξανά με το microsoft word. Ομοίως δούλευε για εισερχόμενα.
Δεν έχω υπ'όψη μου κάτι αντίστοιχο.
Απάντηση με παράθεση
  #3  
Παλιά 12-04-11, 12:48
Το avatar του χρήστη Morgul
Morgul Ο χρήστης Morgul δεν είναι συνδεδεμένος
Άσωτος διαχειριστής
 

Τελευταία φορά Online: 26-03-22 21:02
Φύλο: Δεν έχω αποφασίσει ακόμα
Απ'όσο ξέρω δεν υπάρχει κάτι 100% αντίστοιχο των personal «firewalls» των Windows (που είναι πακέτα από firewalls, local security framework, antivirus, κλπ κλπ κλπ).

Στο Linux έχεις τον netfilter firewall που είναι αναπόσπαστο μέρος του kernel, συν εργαλεία για να του λες τι να κάνει. Αυτό ισοδυναμεί με περίπου το μισό ενός Windows «firewall» (το κομμάτι που ασχολείται με network traffic που έρχεται/φεύγει από το κουτί σου).

Το security framework σε Linux (που ασχολείται με το τι πάει να κάνει μια εφαρμογή ΣΤΟ κουτί σου) αντιστοιχεί περίπου στο SELinux. Δυστυχώς δεν έχω ιδέα αν υπάρχει κάποιο end-user config tool αντίστοιχο των Windows.

Δεν είμαι 100% πεπεισμένος ότι χρειάζεται, όμως (πχ δεν έχω δει κάτι παρόμοιο σε MacOS). Η ασφάλεια στα *nix είναι ήδη καλύτερη από την ασφάλεια στα win(32|64) και δε χρησιμοποιεί το χρήστη ως inference engine για να κρίνει τι να κρατήσει και τι να μπλοκάρει.

Για firewalling πάντως, υπάρχουν πάμπολλα απλά firewalls που θα σε φροντίσουν μια χαρά (από τη μάνα του: μπλοκάρουν όλες τις εισερχόμενες νέες συνδέσεις, επιτρέπουν όλες τις εξερχόμενες). Προσωπικά δε μπορώ να σε βοηθήσω γιατί έχω ένα δικό μου firewalling script που έχεις τις ρίζες του στα τέλη της δεκαετίας του '90 και καλύπτει όλες μου τις ανάγκες πιο ευέλικτα απ' ό,τι άλλο έχω δει. Your mileage will vary.
Απάντηση με παράθεση
  #4  
Παλιά 12-04-11, 13:13
Το avatar του χρήστη Archmage
Archmage Ο χρήστης Archmage δεν είναι συνδεδεμένος
Μέλος
 

Τελευταία φορά Online: 14-03-18 00:30
Φύλο: Άντρας
ΟΚ, όσο μελετώ τις απαντήσεις ας το θέσω λίγο διαφορετικά:

Πώς μπορώ να είμαι βέβαιος ότι κάποιο application δε θα επιχειρήσει να μιλήσει με το internet;

Φυσικά μπορώ να κόψω ένα συγκεκριμένο application αλλά δε θέλω να κόψω εκ των προτέρων τα πάντα, δηλαδή όλα τα δυνατά processes που εκτελούνται τώρα και πιθανόν θα εκτελεστούν στο μέλλον.

Πάντα με την πρότερη εμπειρία των παραθυριών, αν κόψω τα πάντα φοβάμαι ότι θα κόψω και πράγματα που δεν πρέπει, επειδή απλά αυτή τη στιγμή δεν ξέρω ότι δεν πρέπει! Ως αποτέλεσμα θα χτυπάνε διάφορα και τελικά θα ψάχνω τι φταίει - και πραγματικά δε θέλω να γίνω γκουρού και στο iptables, ας αφήσω και κάτι για πιο ειδικούς Γενικά λοιπόν μου φαίνεται πιο απλός τρόπος αυτό το, ας πούμε, learning mode, που με ρωτάει κάθε φορά που κάποιο process θέλει να στείλει ή να λάβει.

Πιθανόν έχω καεί στα παράθυρα και το ρωτάω αυτό, όμως μου φαίνεται λογικό ερώτημα. Το "personal firewall" ή όπως αλλιώς το λένε κόβει το connection (είτε in είτε out) μέχρι να πατήσω yes/no, οπότε τουλάχιστον το παίρνω χαμπάρι. Υπάρχει κάποιος τρόπος να έχω τέτοιες ειδοποιήσεις / πληροφορίες; Ή ανησυχώ για λάθος πράγματα;

Υπόψη ότι όλα αυτά τα θέλω για το ipv6, επειδή (από ότι έχω καταλάβει) ο υπολογιστής θα είναι ξυπόλητος στα αγκάθια...
__________________
may you live in interesting times
Απάντηση με παράθεση
  #5  
Παλιά 13-04-11, 11:00
Το avatar του χρήστη Morgul
Morgul Ο χρήστης Morgul δεν είναι συνδεδεμένος
Άσωτος διαχειριστής
 

Τελευταία φορά Online: 26-03-22 21:02
Φύλο: Δεν έχω αποφασίσει ακόμα
Αρχική Δημοσίευση από Archmage Εμφάνιση μηνυμάτων
ΟΚ, όσο μελετώ τις απαντήσεις ας το θέσω λίγο διαφορετικά:

Πώς μπορώ να είμαι βέβαιος ότι κάποιο application δε θα επιχειρήσει να μιλήσει με το internet;
Διαβάζεις τον κώδικά του. Ή του κόβεις την πρόσβαση στο networking stack με SELinux.

Αλλά:

1. Όσο καιρό χρησιμοποιώ *nix κανένα application δεν έκανε ποτέ «call home». Δεν είναι μέρος της νοοτροπίας του *nix προγραμματιστή να κάνει κάτι τέτοιο. Και από τότε που το ξεκίνησε η Microsoft, είναι και ab ovo καταδικαστέο. Ειδικά με open source εφαρμογές, κάτι τέτοιο θα βρισκόταν σύντομα, και ο συγγραφέας θα είχε πολλά ζητήματα. Συμπέρασμα: οι open source εφαρμογές είναι πιο σίγουρες από binary-only.

2. Έστω ότι μια εφαρμογή προσπαθεί να κάνει call home και να στείλει, πχ, τα συνθήματά σου. Το /etc/shadow δεν είναι αναγνώσιμο από το χρήστη, και τα desktop password stores (στα οποία ο χρήστης έχει πρόσβαση) είναι κρυπτογραφημένα με ισχυρή κρυπτογραφία. Μπορεί να στείλει κάτι ακρυπτογράφητο, όπως πχ το browsing history σου αν ξέρει τι browser έχεις, αλλά ξανά: δες το 1 πιο πάνω.

3. Οι εφαρμογές που είναι πιο πιθανό να προσπελάσουν το δίκτυο για home calling είναι εκείνες που έχουν και έγκυρες χρήσεις (πχ web browsers). Έτσι είναι ψιλοδύσκολο να ξεχωρίσεις τι γίνεται.

4. Αν χρησιμοποιείς Debian, Ubuntu ή άλλες παρόμοιες διανομές με package management, η πιθανότητα κακοπροαίρετης εφαρμογής είναι πρακτικά μηδέν. Η κοινότητα προσέχει πολύ, και ειδικά το Debian δε βάζει ό,τι κι ό,τι στα repositories. Το ξέρω, έχω προσπαθήσει να βάλω δική μου δουλειά και δε γίνεται δεκτή αν δεν γίνω full-blown debian developer (παίρνει μήνες διαδικασιών) ή αν δεν είμαι διάσημος.

5. Στα Windows το networking stack είναι πρόσφατη προσθήκη, κι έτσι ο τρόπος συγγραφής εφαρμογών συνήθως δεν περιλαμβάνει networking ως λύση προβλημάτων, παρά μόνο όταν χρειάζεσαι να μιλήσεις με το Internet. Στα *nix, το networking stack ήταν παρόν από την αρχή, και πολλές ανάγκες καλύπτονται με αυτό (πχ Interprocess Communication [IPC] με Unix domain sockets). Τα KDE και GNOME, πχ, χρησιμοποιούν sockets κατά κόρον και το DBUS, πολύ μοδάτο σύστημα για IPC, είναι κι αυτό networking-based). Τα ίδια τα X11 είναι networking protocol, ακόμα και τοπικά. Άρα κατά συνθήκη, οι *nix εφαρμογές έχουν ανάγκη να μιλάνε στο δίκτυο.



Αν έχεις ένα συγκεκριμένο application που δεν εμπιστεύεσαι, βλέπω τρεις λύσεις: (α) δεν το τρέχεις (τι λόγο έχεις να τρέξεις κακοπροαίρετο software; ). (β) το τρέχεις σε «chroot jail» (sandboxing — έχει πρόσβαση στο δίκτυο αλλά όχι στο filesystem σου πέρα απ'ότι έχει άμεση ανάγκη). (γ) το τρέχεις σε virtual machine με ένα από τα σχετικά προγράμματα.

Προτείνω τη λύση (α) εκτός κι αν προσπαθείς να μάθεις τι ακριβώς κάνει η εφαρμογή.


Αρχική Δημοσίευση από Archmage Εμφάνιση μηνυμάτων
Πάντα με την πρότερη εμπειρία των παραθυριών, αν κόψω τα πάντα φοβάμαι ότι θα κόψω και πράγματα που δεν πρέπει, επειδή απλά αυτή τη στιγμή δεν ξέρω ότι δεν πρέπει! Ως αποτέλεσμα θα χτυπάνε διάφορα και τελικά θα ψάχνω τι φταίει - και πραγματικά δε θέλω να γίνω γκουρού και στο iptables, ας αφήσω και κάτι για πιο ειδικούς Γενικά λοιπόν μου φαίνεται πιο απλός τρόπος αυτό το, ας πούμε, learning mode, που με ρωτάει κάθε φορά που κάποιο process θέλει να στείλει ή να λάβει.
Το netfilter (ο firewall τον οποίο κάνεις configure με το πρόγραμμα iptables) δεν ασχολείται με εφαρμογές αλλά με πακέτα στο networking stack.

Λόγω του σημείου 5. παραπάνω, αν είχες learning mode, θα έτρωγες όλη σου τη μέρα δίνοντας «ΝΑΙ» σε εκατομμύρια κλήσεις του networking stack. Θα ήταν χειρότερα από τα Vista.

Εν ολίγοις, σε ένα μηχάνημα *nix που δε χρησιμοποιείς ως root και που δεν κατεβάζεις βλακείες, ο κίνδυνος είναι απ'έξω· όχι από μέσα.


Αρχική Δημοσίευση από Archmage Εμφάνιση μηνυμάτων
Πιθανόν έχω καεί στα παράθυρα και το ρωτάω αυτό, όμως μου φαίνεται λογικό ερώτημα. Το "personal firewall" ή όπως αλλιώς το λένε κόβει το connection (είτε in είτε out) μέχρι να πατήσω yes/no, οπότε τουλάχιστον το παίρνω χαμπάρι. Υπάρχει κάποιος τρόπος να έχω τέτοιες ειδοποιήσεις / πληροφορίες; Ή ανησυχώ για λάθος πράγματα;
Εφ'όσον ο κίνδυνος είναι συνήθως εξωτερικός και όχι εσωτερικός, τι νόημα έχει η ειδοποίηση; Ο κίνδυνος δεν είναι από επικίνδυνα πακέτα που ανακάλυψες και μπλόκαρες αλλά από επικίνδυνα πακέτα που δεν ανακάλυψες και δεν μπλόκαρες. Ο μόνος τρόπος να έχεις ειδοποιήσεις για αυτά είναι πλήρη packet logs τα οποία θα διαβάζεις καθημερινά. Καλή τύχη.

Το Windows «firewalling» είναι τελείως μα τελείως διαφορετικό από το packet filtering από τις περισσότερες απόψεις. Είναι ένα σύστημα προστασίας από τις χιλιάδες κακοπροαίρετες εφαρμογές που σου κάνουν ζημιά εκ των έσω.


Αρχική Δημοσίευση από Archmage Εμφάνιση μηνυμάτων
Υπόψη ότι όλα αυτά τα θέλω για το ipv6, επειδή (από ότι έχω καταλάβει) ο υπολογιστής θα είναι ξυπόλητος στα αγκάθια...
Για να προστατευτείς στο δίκτυο, θες τρία βασικά packet filtering rules:

1. Νέες συνδέσεις από έξω προς τα μέσα: REJECT.
2. Νέες συνδέσεις από μέσα προς τα έξω: ALLOW.
3. Πακέτα συνδέσεων που έχουν ήδη γίνει: ALLOW.

Αυτό είναι όλο. Μπορείς να κάνεις διάφορες εξυπνάδες, και θα χρειαστεί να ανοίξεις κάποια ports αν τρέχεις local servers, αλλά βασικά δε θες κάτι περισσότερο. Το ίδιο ruleset σε προστατεύει και σε IPv4 και σε IPv6, και το κάνει εξίσου καλά.
Απάντηση με παράθεση
Οι παρακάτω χρήστες έχουν πει 'Ευχαριστώ' στον/στην Morgul για αυτό το μήνυμα:
Archmage (24-05-11)
  #6  
Παλιά 13-04-11, 16:38
avel Ο χρήστης avel δεν είναι συνδεδεμένος
Mέλος
 

Φύλο: Δεν έχω αποφασίσει ακόμα
[offtopic]

Αρχική Δημοσίευση από Morgul Εμφάνιση μηνυμάτων
ειδικά το Debian δε βάζει ό,τι κι ό,τι στα repositories. Το ξέρω, έχω προσπαθήσει να βάλω δική μου δουλειά και δε γίνεται δεκτή αν δεν γίνω full-blown debian developer (παίρνει μήνες διαδικασιών) ή αν δεν είμαι διάσημος.
Υπερβολές, εδώ έχουν βάλει στη διανομή δικό μου software.

[/offtopic]
Απάντηση με παράθεση
  #7  
Παλιά 13-04-11, 23:58
Το avatar του χρήστη Morgul
Morgul Ο χρήστης Morgul δεν είναι συνδεδεμένος
Άσωτος διαχειριστής
 

Τελευταία φορά Online: 26-03-22 21:02
Φύλο: Δεν έχω αποφασίσει ακόμα
Αρχική Δημοσίευση από avel Εμφάνιση μηνυμάτων
[offtopic]

Υπερβολές, εδώ έχουν βάλει στη διανομή δικό μου software.

[/offtopic]
Απλά έχεις χρήσιμο software.
Απάντηση με παράθεση
Απάντηση στο θέμα


Συνδεδεμένοι χρήστες που διαβάζουν αυτό το θέμα: 1 (0 μέλη και 1 επισκέπτες)
 
Εργαλεία Θεμάτων
Τρόποι εμφάνισης

Δικαιώματα - Επιλογές
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is σε λειτουργία
Τα Smilies είναι σε λειτουργία
Ο κώδικας [IMG] είναι σε λειτουργία
Ο κώδικας HTML είναι σε λειτουργία

Που θέλετε να σας πάμε;


Όλες οι ώρες είναι GMT +3. Η ώρα τώρα είναι 23:28.



Forum engine powered by : vBulletin Version 3.8.2
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.