[LUGOS] cudni log

joze_klepec joze.klepec at siol.net
Tue Aug 10 19:20:28 CEST 2004 

Bostjan Tursic pravi:

> povejte mi en dober razlog da imajo *VSI* dostop do vasih sshd-jev????
>  
> Bostjan
>  
>
>     ----- Original Message -----
>     *From:* joze_klepec <mailto:joze.klepec at siol.net>
>     LP, JK
>
Priznam, pod winshitom sem imel te stvari bolje urejene (stranh, bi 
rekla Pika), tule se še malo lovim, vendar mislim da tole bo vseeno 
pomagalo razumeti stvar. Kar ne pomeni, da je stvari potrebno jemati z 
rezervo... .

Četudi je vse pošlihtano v passwordih in naprej in nazaj, se lahko še 
vedno izvede zločesta koda (npr. trojanec, etc.) in voila, razmeroma 
enostavno se pride do dostopa nivoja root (:-(). Kar pomeni, da ima koda 
dostop kamorkoli. Če flawa ni v linuxu, je lahko v linux uporabniku.

Preberi si kak naslov na to temo iz linux howtojev, priročnik za unix, 
veliko o varnosti na internetu zveš na spletnih straneh firme att, 
zlasti od  Lorrie Faith Cranor in njenih sodelavcev (e-volitve, 
e-upravljanje - att tradicionalno uporablja unix (;-));  poišči tudi SFS 
- secure file system {izraelski produkt, sicer za DOS - ideja je v 
enkripciji zapisanega in sprotnem brisanju po Gutmannovi metodi [avtor 
Peter G., 35x prepis s posebnimi vzorci, ki so ustvarjeni za  uničenje 
zapisanih informacij]}),  primerjaj tudi spletni strani programa PGP 
(avtor Phil Zimmerman) in GnuPG (priložen nekaterin linux distribucijam, 
ČSNM).

Nobeni podatki niso varni takoj ko mašina deluje - včasih smo tudi 
FDDje, TB in RST tipke izklapljali. Dve varnostni strategiji (prosto po 
Hack Attacks Encyclopedia):
- uporabiš dva stroja, enega za žrtveno jagnje (zunaj mreže, povezan, 
služi za strežnik navzven, nezaščiten), drugi služi kot datotečni 
strežnik/router navznoter in je ločen od žrtvenega jagnja z požarnim 
zidom, ki ločuje notranjo in zunajo mrežo. HAE pravi - fleksibilnost, 
vendar tudi visoka ranljivost zun. strežnika.
- druga, zaprta  strategija (prva se imenuje odprta),  postavi zunanji 
in notranji datotečni strežnik in router za pzid. To je tudi bistvena 
razlika - po tem principu deluje tudi vsaka namizna mašina - ali pa ni 
varna.  HAE pravi tu - togost, nizka stopnja ranljivosti (je res, če ni 
veliko demončkov in tega zna biti v multimedijskih cajtih dosti).

Pravi firewall si pa, kot linuxaš, lahko narediš z dvema mrežnima 
karticama, kablom in starim 486 (najmanj DX/4-100/8MRAM ali 
P-133/16MRAM+zelo suh debian ali kaj podobnega - tudi eni čehi imajo 
nekaj silno lepega, poglej pa tudi za distro linuxa floppyfw - firewall 
specialka za na CD/fdd, tdaj bolj paše kakšen FreeBSD NetBoz v1.2/v1.4). 
Stroški ne morejo odpičiti delj kot do 20000 SIT (dolgoročno tudi skuri 
več elektrike, če bo res samo fwall in ne bo gor še spamassasin + vse 
kar zraven spada -- glej nekaj niti nazaj, ko so se dajali o konfig, 
spamassasina), če tega nimaš, zato je včasih kar bolje kupiti strojni 
firewall v trgovini (vendar tudi ti niso brez težav...).

LPP,  JK
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://liste2.lugos.si/pipermail/lugos-list/attachments/20040810/4ca39979/attachment-0001.htm

More information about the lugos-list mailing list