Gå til innhold

Sikkerhet i Linux

South_Bridge

Av South_Bridge
i Operativsystemer

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Langbein

Langbein

Skrevet
Skrevet (endret)
Som ny bruker av Linux er jeg opptatt av sikkerhet. Jeg er klar over at filsystemet er helt annerledes fra windows, så jeg antar at jeg ikke rammes så hardt av spyware osv. Men noen sikkerhetsregler må det vel finnes.... har jeg de? Noe som følger med Ubuntu eller må jeg laste ned og installere selv?

5137727[/snapback]

Har aldri hørt om noe spyware som blir installert linux, og det er heller ikke lett å få noe slikt inn siden det er lagt opp til at man ikke skal bruke root til surfing og andre daglige aktiviteter.

 

Virus er også et temmelig ukjent fenomen i linux, selv om det fins noen "lab-virus". Hovedgrunnen til at mange kjører antivirus i linux er fordi maskinen brukes som server med windowsklienter, og det er altså windowsmaskinene som skal beskyttes.

 

Nå fins det riktignok flere ulike definisjoner på spyware, og noen snakker også om spyware i forbindelse med cookies (som jeg er uenig i siden det ikke er software). Hvordan man hanskes med uønskede cookies er et browseravhengig problem, og må selvsagt også gjøre i linux hvis man bryr seg om dette. Evt kan man installere en proxy ala www.privoxy.org som fungerer uavhengig av browser.

 

Tipset om firewall er jeg dog med på. Alltid kjekt å ha en firewall hvis man er direkte koblet opp mot internett (ingen ruter som sperrer imellom). Følgende kommando gjør susen:

 

iptables -I INPUT -i eksternt_nettverkskort -m state --state NEW,INVALID -j DROP

 

Det eksterne nettverkskortet vil normalt være eth0

 

Denne bør legges inn i et oppstartscript så den starter hver gang, og gjør pcen "usynlig" slik at ingen kommunikasjon kan initierers fra andre pcer til din pc.

 

Skal du kjøre servere må du selvsagt åpne nødvendige porter i firewallen.

 

 

EDIT: Ikke installer programmer fra tvilsomme kilder. Last ned kildekode eller ferdigkompilerte binaries fra pålitelige steder, som f.eks repositories til distroen din.

Endret av Langbein
Lenke til kommentar
stigfjel

stigfjel

Skrevet
Skrevet (endret)

Hvis det er snakk om brannmur, kan jeg jo nevne FreeBSD og ipfw. Syntaksen er nokså enkel:

Tillate at man kobler seg til en ekstern FTP-server over port 21 fra en maskin på innsiden av brannmuren:

ipfw add allow tcp from any to any 21 out via $pif setup keep-state

$pif = public interface, hva nå det måtte være.

Endret av stigfjel
Lenke til kommentar
Langbein

Langbein

Skrevet
Skrevet
Hvis det er snakk om brannmur, kan jeg jo nevne FreeBSD og ipfw.

Her var det snakk om linux da (Ubuntu) ;)

 

Litt overkill å sette opp en separat FreeBSD firewall med mindre man har et helt nettverk å beskytte. Iptables er vel minst like bra som firewallene til *bsd, bare en noe annen syntaks.

Lenke til kommentar
stigfjel

stigfjel

Skrevet
Skrevet (endret)
Hvis det er snakk om brannmur, kan jeg jo nevne FreeBSD og ipfw.

Her var det snakk om linux da (Ubuntu) ;)

 

Litt overkill å sette opp en separat FreeBSD firewall med mindre man har et helt nettverk å beskytte. Iptables er vel minst like bra som firewallene til *bsd, bare en noe annen syntaks.

5139592[/snapback]

Joda, jeg er fullt klar over at tråden handler om Linux (Ubuntu) ;) . Men har man en gammel maskin som ligger og støver, kan man forholdsvis lett sette opp en brannmur basert på FreeBSD. Og syntaksen til ipfw er ganske enkel og lettfattelig, etter min mening mer lettfattelig enn syntaksen til iptables. Og da kan man samle eventuelle maskiner man måtte ha i en hatt og så bruke felles brannmur. Jeg bruker selv en FreeBSD brannmur (se spec's) med 2 nettverkskort, og den fungerer også som DHCP-server. Den beskytter et nettverk på 4 maskiner sett bort fra brannmuren. Internet-linjen er en 10 Mbps fastlinje, og den bruker så å si ikke CPU-tid i det hele tatt på firewall-aktiviteten. Den bruker NAT.

 

Edit: jeg får ikke hastighetstap, og brannmuren bruker svært lite CPU-tid på brannmur-tjenester selv ved full aktivitet på linjen.

Endret av stigfjel
Lenke til kommentar
Ueland

Ueland

Skrevet
Skrevet
Det skader seg ikke å sitte seg litt inn i iptables. Firestarter er et eksempel på en "brannmur"

5137794[/snapback]

Den vanlige bruker i dag sitter på ADSL nettverk og de er i alle tilfellene jeg vet om på NATet nett, dvs at "din" maskin er usynlig på internett uansett. Så det er kun greit med firewall i tilfelle du faktisk har satt opp port forwarning til maskinen.
Lenke til kommentar
stigfjel

stigfjel

Skrevet
Skrevet
Det skader seg ikke å sitte seg litt inn i iptables. Firestarter er et eksempel på en "brannmur"

5137794[/snapback]

Den vanlige bruker i dag sitter på ADSL nettverk og de er i alle tilfellene jeg vet om på NATet nett, dvs at "din" maskin er usynlig på internett uansett. Så det er kun greit med firewall i tilfelle du faktisk har satt opp port forwarning til maskinen.

5139664[/snapback]

Men så har man en del folk som sitter på nett hvor IP-adressen er synlig fra internet. Da er det greit å ha en egen maskin/router som kjører NAT og brannmurtjenester.

Lenke til kommentar
Langbein

Langbein

Skrevet
Skrevet (endret)
Den vanlige bruker i dag sitter på ADSL nettverk og de er i alle tilfellene jeg vet om på NATet nett, dvs at "din" maskin er usynlig på internett uansett. Så det er kun greit med firewall i tilfelle du faktisk har satt opp port forwarning til maskinen.

En del Telenor-kunder sitter vel på ADSL-linjer med rent modem uten ruterfunksjonalitet. NGT og flere andre leverandører har derimot alltid levert rutere.

 

I tillegg er det en del folk som har kabelmodem fra UPC og andre leverandører som heller ikke kjører NAT. Selv har jeg UPC med 3 eksterne IP-adresser, så jeg slipper å styre med portforwarding med mindre jeg kobler på 4 pcer :)

 

Ellers kan jeg nevne at linuxdistroer generelt har blitt mye sikrere som default, ved at de ikke lenger setter opp servere i hytt og pine for nybegynner som ikke engang vet hva som foregår på pcen :thumbup:

Endret av Langbein
Lenke til kommentar
stigfjel

stigfjel

Skrevet
Skrevet
Ellers kan jeg nevne at linuxdistroer generelt har blitt mye sikrere som default, ved at de ikke lenger setter opp servere i hytt og pine for nybegynner som ikke engang vet hva som foregår på pcen  :thumbup:

5139690[/snapback]

Det er svært positivt at distroene nå er bygd opp slik at man aktivt må aktivere de tjenester man vil kjøre. Dette er noe som lenge har vært standard på BSD-versjonene, samt Slackware.

Lenke til kommentar
Manuel

Manuel

Skrevet
Skrevet (endret)
Joda, jeg er fullt klar over at tråden handler om Linux (Ubuntu) ;) . Men har man en gammel maskin som ligger og støver, kan man forholdsvis lett sette opp en brannmur basert på FreeBSD. Og syntaksen til ipfw er ganske enkel og lettfattelig, etter min mening mer lettfattelig enn syntaksen til iptables. Og da kan man samle eventuelle maskiner man måtte ha i en hatt og så bruke felles brannmur. Jeg bruker selv en FreeBSD brannmur (se spec's) med 2 nettverkskort, og den fungerer også som DHCP-server. Den beskytter et nettverk på 4 maskiner sett bort fra brannmuren. Internet-linjen er en 10 Mbps fastlinje, og den bruker så å si ikke CPU-tid i det hele tatt på firewall-aktiviteten. Den bruker NAT.

 

Edit: jeg får ikke hastighetstap, og brannmuren bruker svært lite CPU-tid på brannmur-tjenester selv ved full aktivitet på linjen.

5139643[/snapback]

Nå er ikke NAT og filtrering de mest CPU-intensive oppgavene du kan sette maskinen til. Skal du ha QoS, så er jeg ganske sikker på at CPU-bruken øker betraktelig med antall pakker som passèrer gjennom brannmuren.

 

Det er uansett veldig greit med en dedikert maskin til "slike" oppgaver. Det kan være greit å kjøre tjenester som ftp, ssh og torrent på systemet, fordi systemet alltid er oppe og tilgjengelig for alle maskiner på nettverket, samt fra internett.

 

Det er svært positivt at distroene nå er bygd opp slik at man aktivt må aktivere de tjenester man vil kjøre. Dette er noe som lenge har vært standard på BSD-versjonene, samt Slackware.

Og Debian. Der er standardvalgene svært konservative, og det er uvanlig å begynne med en enorm, forhåndsvalgt grunninstallasjon.

Endret av Manuel
Lenke til kommentar
RattleBattle

RattleBattle

Skrevet
Skrevet (endret)
Det skader seg ikke å sitte seg litt inn i iptables. Firestarter er et eksempel på en "brannmur"

5137794[/snapback]

Den vanlige bruker i dag sitter på ADSL nettverk og de er i alle tilfellene jeg vet om på NATet nett, dvs at "din" maskin er usynlig på internett uansett. Så det er kun greit med firewall i tilfelle du faktisk har satt opp port forwarning til maskinen.

5139664[/snapback]

Jeg har NAT-router, men synes det er greit å ha firewall/iptables til maskinen min. Grunnen er at jeg har trådløst nett. Jeg har selvsagt sikret det, men WEP er ikke veldig sikkert. Derfor, paranoid som jeg er, sikrer jeg PC-ene med iptables i tilfelle noen kommer seg inn på WLANet mitt.

Endret av RattleBattle
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...