Ubuntu.pl 🇺🇦️W nasze ręce dostał się artykuł z szacownego czasopisma PC World Komputer na temat bezpieczeństwa sytemu Ubuntu (a w pewnym zakresie także Linuksa jako takiego) Jak chronić Pingwina? autorstwa Łukasza Bigo.
Jako, że naszym zdaniem przynosi on więcej szkody niż pożytku postanowiliśmy przekazać nasze zdanie.
Uwaga!
Tekst NIE JEST poradnikiem „Jak naprawdę dobrze zabezpieczyć Ubuntu”, a jedynie polemiką ze wspomnianym artykułem, choć i artykuł, i nasza odpowiedź mogą stanowić wskazówkę na co należy zwracać uwagę przy planowaniu zabezpieczeń we własnej maszynie
Tytułem wstępu
Autor, przykro nam to mówić, zebrał wiele znanych prawd o zabezpieczaniu systemów linuksowych (de facto profesjonalnych serwerów) i komputerów domowych jako takich (czy z systemem Windows, czy Linux), pomieszał je w jeden koktajl i nie zadał sobie trudu sprawdzenia efektu (czyli ich wartości i wykonalności w systemie Ubuntu).
Znaną od lat prawdą jest, że systemy wygodne i superprzyjazne dla użytkownika bezpieczne nie są (vide Windows XP Home Edition), a z kolei superbezpieczne stają się w nieużywalne (jako przykład bywa podawany komputer ODCIĘTY od sieci i zamknięty w sejfie :D). Autor zresztą sam we wstępie o tym przypomina….. a potem zupełnie te względy pomija. Każdy administrator systemu (czy to serwerowego czy biurkowego) musi świadomie podejmować decyzje co do zabezpieczeń.
W systemach biurkowych (a do takich należą Ubuntu i Windows XPHE) decyzje takie w zasadzie podjęto za użytkownika. Firma Microsoft postawiła na maksymalną dogodność pracy (Żadnych haseł, zabezpieczeń, praw dostępu – każdy użytkownik ma automatycznie przypisywane prawa administratora. Efekt znamy: powstała nowa, wielka gałąź przemysłu IT – ochrona antywirusowa, antytrojanowa itd.:D). Firma Canonical zaś nadal trzyma się pewnych, od lat ustalonych w Uniksach zasad – oczywiście z uwzględnieniem przeznaczenia systemu: domowo-biurowy.
(Żeby nie było, że wykorzystujemy polemikę do pognębienia Windowsów: Windows XP Professional rozdziela konta administracyjne od użytkowych, pozwala na wręcz doskonałe sterowanie prawami dostępu i, co tu dużo gadać, wirusów – przy rozsądnym używaniu konta administratora – obawia się zdecydowanie mniej)
1.
Gdybyś natomiast już na etapie instalacji zdecydował się na oddzielenie /, /home, /var i /tmp, miałbyś pełną swobodę działania. Nawet całkowite zapełnienie katalogu /var nie przeszkodzi w bezproblemowym uruchomieniu kolejnej kopii Midnight Commandera, za pomocą której mógłbyś usunąć zbędne pliki.
Oczywiście – prawda. Tylko…..
Zalecenia rozdzielenia folderów wykorzystywanych przez system na wiele partycji jest typowe dla instalacji serwerowych. I żadna dystrybucja Linuksa domyślnie nie wydziela z dysku osobnej partycji /var czy /tmp. Stawianie więc zarzutu, że nie robi tego też Ubuntu brzmi cokolwiek fałszywie.
Autor zupełnie pomija za to ergonomię działania. W warunkach domowych ważny bywa każdy megabajt miejsca, zaś wydzielanie partycji WYMAGA określenia ich wielkości ze sporym zapasem. Już osobna pięciogigabajtowa partycja „/�? (zalecana przez nas jako kompromis pomiędzy bezpieczeństwem danych osobistych, a wygodą instalacji i użytkowania) to początkowa strata ok. 3GB niewykorzystywanych przez 99,99% czasu pracy komputera. Wydzielanie kolejnych partycji zaś to kolejne gigabajty leżące odłogiem.
Jeśli ktokolwiek próbował instalować np. UT2004 w domyślnej konfiguracji proponowanej przez instalator – na partycji „/�? – już po kilku minutach doprowadził do całkowitego zawieszenia komputera przez ….. całkowite wypełnienie partycji „/�?. Czy to oznacza, że powinniśmy partcję „/�? od razu zrobić odpowiednio dużą dla UT? To rozwiązuje problem z grą, to prawda, ale….. Vmware, coraz bardziej popularny wirtualizer, także domyślnie lokuje obrazy systemów operacyjnych na partycji „/�?, więc znowu więcej? Gdzie jest więc koniec tego „zabezpieczania�??
(Vmware tak naprawdę proponuje umieszczeniu obrazów systemów w folderze /var – jeśli więc wydzielimy osobną partycję /var staniemy przed tym samym problemem: jak dużą?)
Oszacujmy więc wszystkie potencjalne zachcianki użytkownika i stwórzmy podział idealny – taki, że prawdopodobieństwo przepełnienia partycji będzie małe, a wygoda pracy duża:
partycja „/” – 5GB wspomniane wyżej na system
partycja „/usr” – 10GB dla programów, gier i wszystkich możliwych aplikacji z uwzględnieniem UT
partycja /var – 20GB (dla logów i obrazów trzech systemów operacyjnych w VMware gdyby nam się tak zachciało)
partycja /tmp – 10GB jeśli posiadamy nagrywarkę DVD i chcemy sobie kopiować filmy nagrane dwuwarstwowo.
Razem należałoby „wykroić” 45GB miejsca na dysku z czego na początku wykorzystane będą zaledwie dwa (sic!), a reszta stanowić będzie bufor bezpieczeństwa. Wszystkim, którzy zarzucą mi wyolbrzymianie odpowiadam: w czasie instalacji nie możemy przewidzieć co też wymyśli lub zechce zrobić użytkownik, a zmiana wielkości partycji po fakcie jest już mocno kłopotliwa, więc należałoby zabezpieczyć się zawczasu i przygotować na każdą ewentualność czy zachciankę.
Ale istnieje prostsze rozwiązanie – rozsądek.
Trwonienie kolejnych gigabajtów miejsca na dysku w przypadku Ubuntu zainstalowanego na biurku jest całkowicie zbędne przy ODROBINIE rozsądku. A jeśli nawet przydarzy nam się „instalacja UT na partycję „/�?” naprawa jest prosta i trwa kilka minut: reboot, tryb recovery i usunięcie zbędnych plików (oczywiście tak samo postąpić należy jeśli „odmowa usług” będzie spowodowana zapełnieniem partycji „/” przez rozrośnięty ponad miarę folder /var) . Owe „kilka minut�? to wieczność w przypadku serwerów produkcyjnych i akceptowalny „koszt�? oszczędności wielu gigabajtów miejsca na dysku w warunkach domowych. (Jeśli użytkownik zechce skopiować DVD wystarczy, że zmieni domyślny katalog tymczasowy z /tmp/user na /home/user/cos_tam) itd. itd.
2.
To dobre zabezpieczenie, ale istnieją lepsze – zamiast MD5 możesz skorzystać z Blowfisha, którego złamanie trwa przynajmniej kilka razy dłużej.
Kolejna prawda, ale…
Za Wikipedią:
Dopiero prace badawcze chińskich naukowców Xiaoyun Wang, Dengguo Fen, Xuejia Lai i Hongbo Yu w pełni wykazały słabość algorytmu. 17 sierpnia 2004 opublikowali oni analityczny algorytm ataku, dzięki któremu do podrobienia podpisu wystarczyła godzina działania klastrowego komputera IBM P690
Wiem, że dane jakie zgromadziłeś na dysku są dla Ciebie bezcenne, jeśli dodatkowo sądzisz, że są warte dla potencjalnego włamywacza kilku tysięcy polskich złotych (koszt godziny pracy klastra) – zmień algorytm koniecznie. Jeśli jednak oglądasz www, słuchasz muzykę, odbierasz pocztę czy grasz – też możesz algorytm szyfrowania zmienić. Czy jednak Twoje stare hasło jest w niebezpieczeństwie? W sieci są dziesiątki milionów niczym niezabezpieczonych komputerów (patrz wstęp) – każdy „włamywacz”, testujący (wg. mniej lub bardziej przypadkowo generowanego IP) kolejne komputery i szukający ofiary wycofa sie natychmiast po stwierdzeniu pierwszej przeszkody. Szkoda czasu i atłasu na łamanie MD5 skoro tuż obok jest kilkadziesiąt razy więcej (proporcje Linux-Windows) bardziej „gościnnych�? maszyn.
3.
Deweloperzy Ubuntu twierdzą, że w domyślnej instalacji ich system nie potrzebuje firewalla. To prawda: nawet jeśli coś (np. demon CUPS odpowiadający za obsługę drukowania) otworzy port, zwykle można się do niego podłączyć jedynie z lokalnej maszyny.
Tutaj mamy tylko sugestię, bez jakichkolwiek przesłanek i dowodów. Ot, klasyczne straszenie.
4.
Podręczniki zabezpieczania Linuksa radzą, aby usunąć wszelkie niewykorzystane kompilatory i interpretery języków. Taki zabieg utrudni cyberwłamywaczowi przygotowanie skryptów (programów) za pomocą naszej maszyny.
Kolejna prawda wzięta z „Podręcznika administratora systemu klasy enterprise”
Tam po zakończeniu instalacji i konfiguracji systemu należy usunąć wszystko co już nie będzie używane, a co może zostać wykorzystane przez włamywacza.
Jednak w systemie domowym całkowite pominięcie zależności między pakietami dla uniknięcia prawie nieistniejących zagrożeń kosztem wygody pracy jest nie do przyjęcia dla normalnego użytkownika. Oczywiście, „piekło zależności�? jest jednym z problemów wszystkich Linuksów, ale póki musimy z tym żyć należy brać to pod uwagę przy konstruowaniu wszelakiej maści poradników. Wykonanie proponowanego przez autora polecenia pozbawi nas:
apport – aplikacji do automatycznego generowania raportów błędów
bug-buddy – aplikacji do wysyłania tychże
acroread – czytnik plikow pdf
java – środowisko java
w32codecs – kodek audio-video
vmware – wirtualizer
efax – program do wysyłania i odbierania faksów.
Jest to przykład wyłącznie z mojego laptopa. W zależności od własnych preferencji (zainstalowanych aplikacji) możecie się pozbyć innych ważnych dla Was funkcji. Oczywiście, bez części z nich da się żyć. W zasadzie to od biedy da się żyć bez wszystkich, ale czy Ubuntu nie powinien odtwarzać filmów w formacie .wmv (w32codecs), czy nie chcielibyście zrobić przelewu w internetowym banku (java)? itd.
5.
Co gorsza: jeśli w katalogu /root znajdują się filmy lub pliki muzyczne oznaczone jako wykonywalne (z atrybutem eXecute), łatwo się zorientować, że właściciel komputera prawdopodobnie nie należy do osób doświadczonych. Oszukanie go będzie wyjątkowo łatwe.
Oczywista prawda, tylko….
W Ubuntu konto root jest ……. domyślnie wyłączone, wiec plików muzycznych w katalogu /root raczej nie będzie. Ale brzmi złowieszczo… hmm.
Przyjmijmy jednak, że taka sytuacja ma rzeczywiście miejsce – czy dla kogoś, kto jakimś cudem dostał sie do systemu (nie mającego otwartych portów), złamał hasła dysponując komputerem klasy mainframe, fakt czy użytkownik ma czy nie ma doświadczenie ma jakieś znaczenie? Że łatwo go oszukać? Mamy z jednej strony obraz potężnego demiurga, dysponującego olbrzymią (jak dla zwykłego użytkownika) wiedzą i gigantycznymi (jak dla zwykłego użytkownika) środkami technicznymi, który MOŻE oszukać przedszkolaka słuchającego empetrójek na koncie roota? I co zyskać?
Inny z zarzutów to prawa dostępu do katalogu domowego roota ustawione na 755 (tzn, że każdy może sobie obejrzeć zawartość tego katalogu i przeglądać istniejące w nim pliki). Brzmi strasznie? Każde podglądanie administratora brzmi strasznie. Tylko, że w Ubuntu NICZEGO tam nie znajdziecie – skoro nie używamy konta roota, nie ma też żadnych tajemnic w katalogu /root.
Podsumowując – ten punkt to szukanie dziury w całym i budowanie niemal niemożliwej do spełnienia listy zależności, aby wykazać się jeszcze jednym znalezionym zagrożeniem.
6.
Sieć delikatnie wzmocniona
Istnieje kilka opcji, które w warunkach domowych mogą zrekompensować brak firewalla w systemie.
Bez komentarza – jeżeli ufacie autorowi po przeczytaniu pierwszych pięciu punktów zróbcie to. Jeśli nie…. Brak tu bowiem jakichkolwiek wskazówek co dostaniemy po wykonaniu tych zaleceń. Nie mówiąc już, że „brak firewalla�? jako zagrożenie nie został czymkolwiek uzasadniony, a po raz kolejny wyzyskuje się świadomość konieczności posiadania tegoż właściwą dla użytkowników Windowsów.
7.
Napędy pod specjalnym nadzorem
Zanim wystawisz swój komputer na pastwę rodzeństwa lub ciekawskich kolegów, powinieneś wykonać jeszcze dwie czynności. Dzięki nim zablokujesz możliwość uruchomienia twojego sprzętu z systemu, którego nie kontrolujesz.
W zasadzie jedyny punkt, do którego trudno byłoby się przyczepić. W zestawieniu jednak z poprzednimi strasznymi zagrożeniami (np. łamanie haseł) należy zauważyć: jeżeli ktoś dysponuje środkami do złamania hasła MD5 i ma fizyczny dostęp do komputera potrafi też zresetować BIOS, albo też odpiąć dysk i przejrzeć go na innym komputerze (co zresztą autor przyznaje). Ogólnie: zabezpieczenie systemu, do którego potencjalny agresor ma fizyczny dostęp jest praktycznie niemożliwe. Należy zwrócić też uwagę, że autor nie wspomniał nawet o trybie recovery dostępnym w Ubuntu, którego to uruchomienie pozwala bez logowania i haseł ……. uzyskać prawa roota! Więc, jeśli „rodzeństwo” ma wrogie zamiary wszystko na nic!
A komfort? Zakładając hasła na GRUB-a według zaleceń autora, po raz kolejny zderzamy się z wyborem: wygoda czy bezpieczeństwo? Jeśli bowiem ktokolwiek z rodziny (np. ów wspomniany „brat”) zechce skorzystać z Windowsa to co? Musimy przy komputerze pojawić się we własnej osobie, wpisać hasło, a potem pilnować, żeby NA PEWNO nie spróbował zajrzeć do plików Linuksa. Kto chce być aż tak bezpieczny?
Podsumowując:
autor przeczytał z różnych źródeł różne poradniki na temat zabezpieczenia różnych systemów i jako bezdyskusyjne prawdy podał do zastosowania użytkownikom Ubuntu. Oczywiście, mają one pewne zastosowania w środowiskach produkcyjnych (/var, md5, kompilatory – jednak na serwery Ubuntu ma wersję Server Edition w artykule w ogóle nie wspomnianą ) czy w warunkach domowych (nieużywanie konta root, blokada BIOS-u), razem jednak tworzą złowieszczy misz-masz niepotrzebnie straszący i wprowadzający tylko zamęt i zamieszanie.
Odnosi się wrażenie, że cały artykuł to czysta teoria, zaś autor z Ubuntu nigdy w bliższy kontakt nie wszedł.
Nie bójcie sie więc używać Ubuntu takim jaki on jest. Jest naprawdę bezpieczny – na tyle jednak, żeby jego używanie sprawiało przyjemność.
Wszystkie cytaty (poza cytatem z Wikipedii) pochodzą z PC World Komputer.
Poprosiłem autora o komentarz do „komentarza”. Zrezygnował, ale w zamian poprosił o dodanie linka: http://forum.idg.pl/index.php?showtopic=93353&hl co niniejszym czynię.
Tak czytalem go i pomyslaem, ze jest to kolejny glupi artykul o tematyce linuksowej (na szczescie tym razem nie w ks-ekspercie (bez offensywy, bo niektore sa nawet dobre ;))) i pewnie zostanie bez odzewu a potem jak ma to juz miejsce teraz pelno ludkow chce na sile miec cedege i przez nia wszystko odpalac (bo o wine nic nie wspomnieli).
Z moich obserwacji na temat pana Łukasza Bigo dochodzę do wniosku, że dość często 'mija się z prawdą’. Nie wiem czy to specjalnie, czy po prostu z braku wiedzy.
Dobrze jednak, że jest ktoś taki jak sylwester, który pewne rzeczy wytłumaczy 🙂
Łukasz na co dzień używa BSD, stąd to skrzywienie 🙂
to może ktoś napisze jak taki lamera jak ja (użytkownik ubuntu) powinien zabezpieczyć swój desktop? Tzn, co należy włączyć, a co wyłączyć, żeby to nie komplikowała za bardzo pracy.
Punkt drugi tej polemiki jest bez sensu. Skoro można, bez żadnych strat, korzystać z lepszego i bezpieczniejszego algorytmu to czemu tego nie zrobić? To naprawdę nie boli, a kiedyś może się bardzo przydać.
Podobnie jest z punktem siódmym – jeżeli można coś łatwo zabezpieczyć nie tracą na wydajność i funkcjonalności to czemu tego nie zrobić?
Wiecie czemu użytkownicy Debiana, jak ja, krytykują *buntu? Wielu użytkowników *buntu chyba nie rozumiem co to jest bezpieczny desktop, a tym bardziej serwer. Nawet autor tej polemiki. Dopóki zabezpieczanie systemu nie pociąga za sobą dodatkowych kosztów lub utraty pewnych funkcji to trzeba: zabezpieczać, zabezpieczać i jeszcze raz zabezpieczać. 🙂
[quote comment=”8794″]Punkt drugi tej polemiki jest bez sensu. Skoro można, bez żadnych strat, korzystać z lepszego i bezpieczniejszego algorytmu to czemu tego nie zrobić? To naprawdę nie boli, a kiedyś może się bardzo przydać.
Podobnie jest z punktem siódmym – jeżeli można coś łatwo zabezpieczyć nie tracą na wydajność i funkcjonalności to czemu tego nie zrobić?
Wiecie czemu użytkownicy Debiana, jak ja, krytykują *buntu? Wielu użytkowników *buntu chyba nie rozumiem co to jest bezpieczny desktop, a tym bardziej serwer. Nawet autor tej polemiki. Dopóki zabezpieczanie systemu nie pociąga za sobą dodatkowych kosztów lub utraty pewnych funkcji to trzeba: zabezpieczać, zabezpieczać i jeszcze raz zabezpieczać. :)[/quote]
Czy ja napisałem żeby nie zmieniać algorytmu? Napisałem tylko, że zagrożenie nijak się ma do potrzebnych środków na złamanie kodu md5.
Punkt 7. zaś tylko skonfrontowałem z poprzednimi – równie skutecznym zabezpieczeniem przed zdesperowanym i wiedzącym co robi agresorem jest odczynianie uroków.
[quote comment=”8793″]to może ktoś napisze jak taki lamera jak ja (użytkownik ubuntu) powinien zabezpieczyć swój desktop? Tzn, co należy włączyć, a co wyłączyć, żeby to nie komplikowała za bardzo pracy.[/quote]
Napiszę co ja robię:
1. Podział partycji:
– 5GB „/”
– 512 MB swap
– reszta „/home” dla zabezpieczenia danych użytkownika w razie awarii systemu
2. Ustawiam hasło dla roota, aby tryb recovery o nie pytał.
3. Ustawiam hasło i bootowanie jak w artykule, żeby każdy domorosły „hakier” nie mógł użyć LiveCD
Wszystko to razem wzięte zabezpiecza komputer przed dowcipnisiami i jest absolutnie wystarczające dla użytkownika domowego.
Kas – a serwery to zupełnie inna działka i inne zabezpieczenia i ja o nich w ogóle nie pisałem. Artykuł zaś jest właśnie bezsensownym i opartym wyłącznie na teorii serwerowo-desktopowym bigosem mającym za cel jedno: przestraszenie.
(…)słuchasz muzykę, odpierasz pocztę czy grasz(…) – literówka.
Nigdy wszystkim nie dogodzisz. Jeden zwroci uwage na dzielenie root na partycje, inny co cos kompletnie innego. Jesli artykul nie jest totalnym nieporozumieniem napisanym przez 2 dniowego uzytkownika to nie ma sie co denerwowac. Wazne ze zostal podjety temat, a ludzie dowiedza sie ze windows to nie jedyny system.
Naleze wziasc pod uwage to, ze gazeta nie jest kierowana do administratorow/geekow tylko do zwyklych uzytkownikow, ktorzy mniej wiecej wiedza co sie w komputerze dzieje. I nie ma sie co oszukiwac – jaki odbiorca taki artykul.
Juz dawno przestalem sie dziwic ze ludzie instaluja linuksa i na wine odpalaja programy ktore rownie dobrze mozna zastapic ich odpowiednikami. Mam nadzieje ze juz niedlugo zniknie moda na linuksa, a sam system stanie sie prawdziwym konkurentem dla windows i realna alternatywa.
„dysponując komputerem klasy mainframe”
Wbrew pozorom komputery klasy mainframe mają bardzo niską moc obliczeniową. Na tyle niską że porządny pecet szybciej złamie hasło niż przeciętny mainframe.
Podejrzewam więc że chodziło tutaj nie o mainframe, ale raczej o jakiś klaster obliczeniowy 😉
[quote post=”501″]Wiecie czemu użytkownicy Debiana, jak ja, krytykują *buntu? Wielu użytkowników *buntu chyba nie rozumiem co to jest bezpieczny desktop, a tym bardziej serwer. [/quote]
Co trzeba mieć, żeby zalogować się do systemu?
Odpowiedź jest oczywista – login i hasło.
A co trzeba mieć, żeby system zniszczyć?
Login i hasło roota.
Skoro już przywołałeś użytkowników Debiana, gdzie konto root jest wykorzystywane rutynowo, a ubuntowe „sudo” stanowi przedmiot drwin powiem jeszcze jedno: robią to ludzie nie znający sie na rzeczy (nasuwa mi sie tu inne słowo, no ale w oficjalnej dyspucie ich sie nie używa).
Co bowiem musi zdobyć agresor włamujący sie do systemu debianowego? Hasło roota, oczywiście. A do Ubuntu? Hasło „głównego usera” (możemy przyjąć, że tak samo trudne do złamania) i UWAGA, UWAGA login tegoż usera! Co de facto PODWAJA KONIECZNY nakład pracy. Odpowiednik debianowego roota w Ubuntu może bowiem nosić dowolną nazwę i wystarczy rzucić okiem na choćby nasze forum żeby zobaczyć, że nosi.
Bezsilny bywa atak słownikowy (np. Yooz3R, Kornik__ i inne), a strzelanie bez zakreslonych warunków co do długości loginu, jego rodzaju itd. może trwać i dłużej niż złamanie samego hasła.
Po raz kolejny więc powtórzę: „sieciowo” Ubuntu jest dostatecznie zabezpieczone w swoim domyślnym ustawieniu, „sprzętowo” zupełnie wystarczą trzy moje zalecenia, choć należy zdawać sobie sprawę, że kłopot sprawią tylko „hakierom-wandalom” nie mającym pojęcia o systemie i sprzęcie – jako dobry przykład przychodzi mi na myśl grupa znana jako „dzieci neostrady: :D.
I jeszcze jedna kwestia – zwolennicy totalnego zabezpieczania wszystkiego dokonują cały czas skrótu myślowego (przywołanego przeze mnie w punktach 2 i 5) – z jednej strony straszą agresorem o olbrzymiej wiedzy, posiadającym świetny sprzęt, a z drugiej odmawiają temuż odrobiny inteligencji i logiki i uznają, że będzie to wykorzystywał przeciw Ubuntu przeciętnego Kowalskiego.
Panowie!
Ochrona serwerów to jedno (i W OGÓLE o niej nie pisałem) – a desktopy rządzą się swoimi prawami więc nie straszcie Zwykłego Użytkownika.
Wiecie jak się kiedyś włamywało do WindowsXP z założonym hasłem na koncie? Zaznaczę, że wtedy mało kto wiedział o istnieniu systemów bootowalnych z płyty. Wystarczy uruchomić komputer w trybie awaryjnym, poczekać od 15 do 20 min. i jesteśmy w domu ;] Nie wiem czy ten sposób jeszcze działa, ale jak działał, to po takim zabiegu można było robić wszystko i to w środowisku graficznym!!!
Moim zdaniem tutaj mamy do czynienia z typowym „szukaniem dziury w całym”. Chociażby co do algorytmu szyfrowania haseł – tutaj myli się Sylwester 9autor tego artykułu). Może i złamanie md5 (autor nie podał jakiej długosci i z jakich znaków) zajmuje klastrowi godzinę, ale ja wiem, że złamanie hasła md5 6-literowego zajmuje mojemu Duronowi 800 MHz 20 min, a gdybym ściągnąl sobie tzw. Rainbow tables, trwałoby to wiele razy krócej. Więc, co do algorytmu szyfrowania, tutaj Sylwester opowiada bzdury.
[quote post=”501″]3.
Deweloperzy Ubuntu twierdzą, że w domyślnej instalacji ich system nie potrzebuje firewalla. To prawda: nawet jeśli coś (np. demon CUPS odpowiadający za obsługę drukowania) otworzy port, zwykle można się do niego podłączyć jedynie z lokalnej maszyny.
Tutaj mamy tylko sugestię, bez jakichkolwiek przesłanek i dowodów. Ot, klasyczne straszenie.[/quote]
Przepraszam – gdzie tu straszenie. To jest właśnie uspokojenie i wyjaśnienie sytuacji. A przesłanki i dowody są – po instalacji Ubuntu nie ma otwartych portów, a jeśli jakieś się pojawiają, jest do nich dostęp tylko z localhost – to są fakty.
[quote post=”501″]Nie bójcie sie więc używać Ubuntu takim jaki on jest. Jest naprawdę bezpieczny – na tyle jednak, żeby jego używanie sprawiało przyjemność.[/quote]
Tak, ale zawsze może być bezpieczniejszy. Windows XP też jest bezpieczny – używam go od 5 lat i nigdy nie miałem wirusa, czy włamania, a jednak ciągle słyszy się, ze to taki niebezpieczny OS. Każdy system można zabezpieczyć dodatkowo, albo można go zostawić, jakim jest – wybór należy do użytkownika. A czytelnicy PC World Komputer to jednak osoby bardziej, niż większość świadome takich rzeczy. Artykuł ten uważam za zwykłe, złośliwe czepianie się.
[quote comment=”8918″]ale ja wiem, że złamanie hasła md5 6-literowego zajmuje mojemu Duronowi 800 MHz 20 min, a gdybym ściągnąl sobie tzw. Rainbow tables, trwałoby to wiele razy krócej.[/quote]
Taa, a czemu nie dwuliterowe? Dlaczego za każdym razem staracie się dowieść swoich racji używając absurdalnych argumentów? A zresztą, nawet jak złamiesz to hasło (niby skąd weźmiesz zaszyfrowane) w 20 minut to co?
Potrzebujesz jeszcze login. W Debianie złamanie 6-literowego hasła roota daje Ci otwartą drogę do systemu. A w Ubuntu jakoś nie – więc nie straszcie.
No i gdzie w końcu zanegowałem samą istotę zamiany algorytmu? Już we wstępie nawet zaznaczyłem, że czytelnik z OBU artykułów będzie mógł wyciągnąć wnioski dla siebie.
[quote]Przepraszam – gdzie tu straszenie. To jest właśnie uspokojenie i wyjaśnienie sytuacji. A przesłanki i dowody są – po instalacji Ubuntu nie ma otwartych portów, a jeśli jakieś się pojawiają, jest do nich dostęp tylko z localhost – to są fakty.[/quote]
Czytałeś w ogole oryginał? Bo chyba nie. Nie cytuję całości artykułu (choćby dlatego, że staram sie udowodnić, że nie jest tego wart), ale proszę:
[quote]W jednym z następnych odcinków cyklu pomożemy ci walczyć z krnąbrnymi usługami sieciowymi.
……………..
Istnieje kilka opcji, które w warunkach domowych mogą zrekompensować brak firewalla w systemie.[/quote]
Nie, nie, to wcale nie jest straszenie.
[quote post=”501″]Nie bójcie sie więc używać Ubuntu takim jaki on jest. Jest naprawdę bezpieczny – na tyle jednak, żeby jego używanie sprawiało przyjemność.[/quote]
[quote]Tak, ale zawsze może być bezpieczniejszy. [/quote]
To prawda, ale mój artykuł po pierwsze jest wyłacznie polemiką z większości bzdurnym radami kolegi Łukasza, a po drugie nigdzie nie powiedzialem nie „nie zmieniajcie algorytmu”. Zostawiam ludziom pod rozwagę, a nie straszę ich jakimś genialnym Zorro.
[quote]A czytelnicy PC World Komputer to jednak osoby bardziej, niż większość świadome takich rzeczy. Artykuł ten uważam za zwykłe, złośliwe czepianie się.[/quote]
A to już najśmieszniejsza część Twojej wypowiedzi.
1. Nie wiem CO wiedzą czytelnicy PCWK, ale serwowanie im bzdur o partycjach, kompilatorach, firewallach, czy (największa ze wszystkich) „wykonywalnych” piosenkach w katalogu /root na pewno ich wiedzy nie poprawi
2. Skoro jednak wiedzą więcej to pewnie też nie wpisują 6-literowego hasła, nie słuchają piosenek z konta root itd. itd. Zaprzeczasz sam sobie.
3. Moze nie czytelnicy, ale moderator z forum IDG (na mój gust osoba JESZCZE BARDZIEJ ŚWIADOMA), piszący: „tekst o 755 dla /root w ubuntu mnie załamał – serio jest tam tak źle?” najlepiej oddaje stan wiedzy (czy raczej NIEWIEDZY) o Ubuntu.
I ostatnie – nieco smutne:
choć artykuł jest w zasadzie jedną wielką bzdurą (nie wszystko, ale przez kontekst i to co prawdziwe traci na wartości), choć moja odpowiedź z założenia miała być przerysowana w drugą stronę i kontrowersyjna, to jak widać i u nas, i na forum IDG nie wywołaliśmy jakiejś burzliwej dyskusji. Co oznacza, że temat zabezpieczeń ludzi w ogóle nie interesuje 🙁
Co do algorytmu szyfrowania – tutaj nie można się czepić autora, bo myślę, że sporo ludzi ma tego typu hasła, natomiast zmiana algorytmu szyfrowania w żaden sposób nie utrudnia korzystania z systemu, jest to więc czysty zysk i akurat krytykowanie tej porady w twoim artykule było robione na siłę – musisz to przyznać.
Co do całości artykułu, to tak – czytałem go jakiś miesiąc temu i wywarł na mnie dobre wrażenie.
Co do straszenia brakiem firewalla, to zgadzam się tu z autorem; bo chociaż po domyślnej instalacji nie mamy otwartych portów, to użytkownik może zainstalować jakąś aplikację otwierającą je, dlatego powinno być w domyślnej instalacji narzędzie służace do maskowania otwartych portów, czy też blokady odpowiadania na pingi broadcast itp.
[quote post=”501″] Nie bójcie sie więc używać Ubuntu takim jaki on jest. Jest naprawdę bezpieczny – na tyle jednak, żeby jego używanie sprawiało przyjemność.
Tak, ale zawsze może być bezpieczniejszy.
To prawda, ale mój artykuł po pierwsze jest wyłacznie polemiką z większości bzdurnym radami kolegi Łukasza, a po drugie nigdzie nie powiedzialem nie „nie zmieniajcie algorytmu”. Zostawiam ludziom pod rozwagę, a nie straszę ich jakimś genialnym Zorro.[/quote]
Cały artykuł jest utrzymany w tonie krytycznym wobec artykułu z PCWK, więc jest tak, jakbyś to opdradzał, czego najlepszym podsumowaniem jest zdanie o nie baniu się używania Ubuntu.
Może przesadziłem, że artykuł jest tylko złośliwym czepianiem się. Spora część to konstruktywna krytyka, ale np. część o algorytmi to typowe „czepialstwo”.
Co do czytelników PCWK – może się mylę, ale wydaje mi się, że osoby czytające ten artykuł rozumieją jego treść i patrzą na to analitycznie i krytycznie, a nie tylko robią dokładnie to, co polecił im autor.
I na tym forum, i na IDG jednak większość głosów jest na „NIE” wobec ŁB.
Jako, że jedynym punktem spornym jak widzę jest algorytn szyfrowania hasła zacytuję sam siebie:
[quote]Wiem, że dane jakie zgromadziłeś na dysku są dla Ciebie bezcenne, jeśli dodatkowo sądzisz, że są warte dla potencjalnego włamywacza kilku tysięcy polskich złotych (koszt godziny pracy klastra) – zmień algorytm koniecznie. Jeśli jednak oglądasz www, słuchasz muzykę, odbierasz pocztę czy grasz – też możesz algorytm szyfrowania zmienić.[/quote]
Jak widać różnica między autorem artykułu w PCWK, a mną sprowadza sie do:
On: algorytm blowfish jest lepszy.
Ja: algorytm md5 jest wystarczający
I tyle.
Uwagi o zamykaniu portów otwieranych ŚWIADOMIE przez userów pominę –
Ubuntu jest pewną zamkniętą całością i jego autorzy odpowiadają tylko
za to. Równie dobrze mógłbyś wsadzać do więzienia producentów noży 😉
I na koniec uwaga o stylistycznych „fikołkach”:
dlaczego pomijasz bzdury o katalogu /roota? o partycjonowaniu „serwerowym”? o usunięciu kompilatorów i np. javy? czy zupełne pominięcie trybu „recovery” świadczące o absolutnej, praktycznej nieznajomości Ubuntu? Czy autor wiedział co pisze? Czy pisał co wiedział?
Więc jeszcze raz powtórzę: nie bójcie sie używać Ubuntu w jego domyślnej konfiguracji. JEST NAPRAWDĘ BEZPIECZNY.
Kolejna jałowa dyskusja.
Witam,
a ja jestem zwykłym użytkownikiem Ubuntu i nie zamierzam zmieniać algorytmu szyfrowania.
Całkowicie zgadzam się z Sylwestrem, to rozwiązanie dla paranoików a nie dla przeciętnego użytkownika systemu biurkowego. Ten artykuł może co najwyżej przestraszyć osobę która chce stawiać pierwsze kroki z Linuksem niż komuś pomóc. Zadałbym najpierw pytanie. Do kogo był skierowany ten artykuł ? (nie Sylwestra tylko ten z PCWK) Jeśli dla osoby początkującej to jest chybiony, jeśli dla użytkowników Ubuntu to myślę że będą pomocy szukać raczej na swoim Forum.
Pozdrawiam wszystkich
Bez obrazy Sylwester, wiem że nie odradzałeś zmiany algorytmu.
Sylwester… Powiem szczerze: jako użytkownik Debiana mam spory dylemat. Z jednej strony sudo uważam za głupotę ponieważ jest bardzo mało wygodne podczas administrowania systemem nawet na stacji roboczej. Zwykle dawałem upust swojej złości robiąc sudo su. 🙂
Z drugiej jednak strony rzeczywiście zalogowanie się do konta administratora jest w *buntu trudniejsze niż w Debianie.
Może kiedyś powstanie jakieś połączenie obu rozwiązań tak aby maksymalnie zabezpieczyć system przed wszelkimi zagrożeniami i jednocześnie zachować wygodę obsługi.
Mimo, że używam Debiana na serwerach i stacja roboczych uważam, że dyskusje od wyższości jednego GNU/Linux nad drugim są bez sensu. Nie zamierzam dyskryminować użytkowników innych dystybucji. Nawet Mandriva Linux. 😉 Wolność, równość, braterstwo! Każdy inny, wszyscy równi!
[quote comment=”8956″]Z jednej strony sudo uważam za głupotę ponieważ jest bardzo mało wygodne podczas administrowania systemem nawet na stacji roboczej. Zwykle dawałem upust swojej złości robiąc sudo su. 🙂
Z drugiej jednak strony rzeczywiście zalogowanie się do konta administratora jest w *buntu trudniejsze niż w Debianie.[/quote]
Wybacz, ale opinie o wygodzie „sudo” brzmią tak samo jak opinie o Linuksie: że jakiś głupi, że jakiś inny, że wszystko nie w tym miejscu. Nie mają jakiegokolwiek uzasadnienia merytorycznego – takiego niepodważalnego. Ot jeden robi tak, a drugi inaczej – kazdy jak lubi – i tyle.
Cieszę się też, że przyznałeś, że zalogowanie na konto administratora w Ubuntu łatwe nie jest – a z artykułu w PCWK wynikało zgoła coś innego.
[quote]uważam, że dyskusje od wyższości jednego GNU/Linux nad drugim są bez sensu.[/quote]
Nie dyskutujemy tutaj wcale na temat wyższości czegokolwiek nad czymkolwiek (co we wstępie zastrzegłem, a nawet o Windowsie kilka ciepłych słów napisałem). Dyskutujemy nad artykułem w PCWK.
[quote comment=”8954″]WZadałbym najpierw pytanie. Do kogo był skierowany ten artykuł ? (nie Sylwestra tylko ten z PCWK)[/quote]
I to jest dobre pytanie, zresztą zadane też na forum IDG – artykuł bowiem to zbiór w zasadzie prawdziwych stwierdzeń, przydatnych w RÓZNYCH zastosowaniach (i Ubuntu, i Debiana), które jednak nie zostały wcale sprawdzone w konkretnej sytuacji: Ubuntu na biurku. A w dodatku przyprawionych sosem strachu i wątpliwości.
Nie nadają sie dla początkującego (dla kogos takiego wystarczają aż nadto trzy „moje” zalecenia), a dla administratora serwera po prostu muszą być ZABAWNE w swojej treści.
sylwester, dobra riposta. Mógłbym się jedynie dowiedzieć co robisz dla zabezpieczenia systemu oprócz dzielenia partycji? Mam na myśli trzeci punkt w jednym z Twoich powyższych komentarzy. Ustawiasz hasło na gruba i już, tak? Czy korzystasz również z polecenia chattr? Dzięki z góry.
Łukasz Bigo to Andrzej Lepper dziennikarstwa IT.
Już nie raz dawał popisy swoich umiejętności:
http://reksio.ftj.agh.edu.pl/~azrael/2007/02/ciezka-praca-dziennikarza/
Hmm… Jedno mnie zastanawia…[quote post=”501″]To dobre zabezpieczenie, ale istnieją lepsze – zamiast MD5 możesz skorzystać z Blowfisha, którego złamanie trwa przynajmniej kilka razy dłużej.[/quote][quote post=”501″]Kiedy już wymyślisz hasło, wpisz w wierszu poleceń (Terminal) grub-md5-crypt i podaj swoją tajną frazę. Otwórz teraz jako root plik /boot/grub/menu.lst i znajdź wiersz # password topsecret. Skasuj początkowy znak komentarza (#), a zamiast topsecret wpisz –md5 [wygenerowany skrót hasła],[/quote]Domyślam się, że nie można zmienić szyfrowania haseł na GRUB-ie?
Ja bym radził jeszcze zaspawać obudowę komputera, wtedy nie będzie tak łatwo zresetować BIOS czy wyciągnąć dysk twardy w celu odczytania go na innej jednostce 😉
[quote comment=”8972″]Ja bym radził jeszcze zaspawać obudowę komputera, wtedy nie będzie tak łatwo zresetować BIOS czy wyciągnąć dysk twardy w celu odczytania go na innej jednostce ;)[/quote]
Zapomniałeś o konieczności przyspawania komputera do podłogi 😀
Ale bardziej poważnie bo temat robi się kabaretowy: o bezpieczeństwo NALEÅ»Y dbać. Należy przy tym zdać sobie sprawę, że 99,99% prób włamań to zwykli wandale są, co to ściągnęli z sieci kilka skryptów i zaczynają „hakierski lans”. Na takich osobników wystarczają najprostsze metody (w sieci: brak otwartych portów, nieznany login „administratora”, hasła md5; a w domu/biurze: hasło na BIOS i bootowanie bezpośrednio z dysku). Przy napotkaniu bowiem jakiejkolwiek szykany zmieniają kierunek „ataku” i szukają łatwiejszego celu (np. mnóstwa komputerów z otwartym kontem „gość”).
Jeżeli zaczniecie sie bawić w udostępnianie usług w sieci sprawa robi się bardziej skomplikowana: wydzielona partycja na /www, czy /var (na logi), firewall, wirtualizacja – ale i w tym wypadku to nie system jest winny jakiemuś włamaniu, ale niefrasobliwy użytkownik.
Profesjonalne zabezpieczenia zostawmy zaś profesjonalistom – w środowiskach produkcyjnych PŁACĄ im za to, żeby wiedzieli co robić.
Przypominam jednak, że włamano się na serwery Microsoftu czy Pentagonu – więc ZAWSZE i tak dochodzimy do zgniłego kompromisu między używalnością, a bezpieczeństwem.
Ostatnio bawię się trochę Debianem i jako średnio-zaawansowany użytkownik nie zauważyłem, że pracuję na koncie roota. Traktuję tą dystrybucje jako poligon doświadczalny i przy okazji testuje tą słynną stabilność. Nie chciało mi się dociągać GDM, poleciałem „startx”, Gnomik się załadował i zacząłem pracować. Pod koniec dnia zauważyłem, że pracuje w GUI roota ;]. Nie znam dobrze „sudo”, ale założę się, że ma to jakieś ograniczenia administracje. Jeśli tak jet, to kolejny mit o tym, że Ubuntu jest niebezpieczne może zostać obalony.
Aha, przypomniała mi się jeszcze jedna możliwość sudo: wymaganie hasła innego użytkownika. Jeśli komuś nie wystarczy to, że haker musi złamać login i hasło użytkownika z uprawnieniami do sudo, może jeszcze dodać do złamania drugie hasło: to, o które woła sudo.
Dobra, poszpanowałem wiedzą, teraz pytam, bo nie mam pojęcia:
Skoro już Sylwester wspomniał o koncie gościa: osobom goszczącym przy naszym komputerze chyba dobrze byłoby udostępnić konto nie posiadające zbyt wielu uprawnień (zabronione katalogi domowe, brak sudo). Lepsze to, niż wpuścić kogoś, nawet zaufanego, ale niekoniecznie świadomego na swoje konto (nie ujawniając hasła).
PS Sylwester, chyba nie jest źle, jeśli chodzi o zainteresowanie bezpieczeństwem. Tyle komentarzy, a nikt nie czepił się błędu w tytule 😛 Sam dostrzegłem go przed chwilą na nagłówku przeglądarki. Skrót od „według” pisze się bez kropki.
Todu: no bij-tnij-żnij, ja tam żadnej kropki nie widzę…:P
poczytalem oba artykuly i powiem krotko „Wszystkim i tak sie nie dogodzi” 🙂
[quote comment=”8806″]Skoro już przywołałeś użytkowników Debiana, gdzie konto root jest wykorzystywane rutynowo, a ubuntowe „sudo” stanowi przedmiot drwin powiem jeszcze jedno: robią to ludzie nie znający sie na rzeczy (nasuwa mi sie tu inne słowo, no ale w oficjalnej dyspucie ich sie nie używa).
[/quote]
Popieram, używam Debiana, korzystam z sudo. Polecam też korzystanie z sudo na Debianie -> http://thesimplicity.wordpress.com/2007/07/21/sudo-w-debianie/
Tak z czystej ciekawości, na podstawie czego, twierdzisz iż sudo jest ubuntowe? Wydedukowałeś to z http://www.sudo.ws/sudo/history.html czy może z http://www.sudo.ws/sudo/authors.html?
Pozdr.
[quote comment=”9179″]Tak z czystej ciekawości, na podstawie czego, twierdzisz iż sudo jest ubuntowe?[/quote]
Czy zwrot „maciejowe gacie” oznacza, że tylko Maciej ma gacie? A może, że Maciej je wymyślił i uszył?
[quote comment=”9034″]poczytalem oba artykuly i powiem krotko „Wszystkim i tak sie nie dogodzi” :-)[/quote]
Pewnie, że tak. Tylko, że my nie dyskutujemy o „dogodzeniu” komukolwiek, ale o konkretnym artykule. A jest on tylko przykładem kiedy ktoś cos wie i jednocześnie uważa, że jak swoją wiedzę przekaże w sposób trudny i niezrozumiały dla gawiedzi, a jeszcze lepiej przerażający, zdobędzie doczesny szacunek i pieniądze oraz wieczną sławę.
Może i miałoby to jakieś zalety gdyby ta wiedza była gruntowna. A tutaj mamy klasyczne: gdzieś dzwonią tylko nie wiadomo gdzie.
Tego typu artykuły po prostu szkodzą Linuksowi i Open Sources.
[quote comment=”9189″]Czy zwrot „maciejowe gacie” oznacza, że tylko Maciej ma gacie? A może, że Maciej je wymyślił i uszył?
Zwrot „maciejowe gacie”, z reguły oznacza, że gacie są własnością Macieja. Nie należą one do Ciebie. Ty masz swoje gacie. Czy masz prawo do korzystania z gaci Macieja? Nie.
Czy Debian i Ubuntu, ma prawo do korzystania z sudo, we własnych systemach? Tak.
Pozdr.
@Cordial, wyluzuj – chodzi o to, że sudo jest charakterystyczne dla Ubuntu. Inne dystrybucje dopuszczają do korzystania z konta root w taki, czy inny sposób, natomiast Ubuntu jest chyba jedyną dystrybucją (przynajmniej ja się z inną nie spotkałem), która zamiast pozwalać na logowanie na roota, stosuje sudo.
[quote comment=”9193″][quote comment=”9189″]Zwrot „maciejowe gacie”, z reguły oznacza, że gacie są własnością Macieja. Nie należą one do Ciebie. Ty masz swoje gacie. Czy masz prawo do korzystania z gaci Macieja? Nie.
Czy Debian i Ubuntu, ma prawo do korzystania z sudo, we własnych systemach? Tak.
[/quote]
Czyli właśnie udowodniłeś, że i ja, i Maciej możemy mieć gacie. A gacie Macieja pozostają więc „maciejowymi” czy Ci sie podoba czy nie 😀
A to, że Twoi koledzy drwią sobie z „ubuntowego sudo” jest faktem bez względu na lingwistyczną sofistykę.
A to, że moderator forum IDG pisze autorytatywne teksty o Ubuntu nie mając o nim JAKIEGOKOLWIEK pojęcia to kolejny fakt. Itd.itd.
Chciałbym więc jeszcze dopisać, że „alternatywne uprawnienia” używane są także w Windowsach (pojawiają się więc gacie łindołsowe).
Oraz, że jedną z polecanych metod zabezpieczenia w systemach z serii prof jest utworzenie użytkownika o baaaaaaaardzo trudnym loginie, nadanie mu praw administratorskich, a użytkownikowi „administrator” nadanie najlepiej praw „gościa” i jeszcze zablokowaniu go. To, że mało kto to robi to już inna sprawa.
Tak jak Windows nie może istnieć bez konta „administrator”, tak Linux musi mieć roota – i lepiej żeby i jeden, i drugi mieli jak najmniej praw – dla bezpieczeństwa obu systemów. A czy do tego dołożymy, sudo, su, czy alternatywne uprawnienia to już tylko szczegóły.
Zdecydowałem się na odpowiedź na zamieszczoną tutaj recenzję p. Sylwestra. Tekst umieściłem tutaj: http://bigo.pcwk.pl/blog/?p=105
Jako, że dostałem kilka „powiadomień” o odpowiedzi p. Łukasza Bigo, sugerujących jakąś moją reakcję informuję co następuje: czytałem, widziałem i zgadzam się w całej rozciągłości z ……… kolejnym, nierozumiejącym o co chodzi, żałosnym krytykantem ( 😛 ) panem Coppertop ( http://bigo.pcwk.pl/blog/?p=105#comment-1035)
I to byłoby prawie na tyle, ale od siebie dodam jeszcze jedną „bzdurkę” niezauważoną przez p. Coppertopa. Upieranie się przez autora przy odinstalowaniu kompilatorów i obrona tego przez ew. wskazanie łatwego jakoby zaradzenia potencjalnym kłopotom (sudo apt-get remove „kompilatory” , a gdyby kazały sie potrzebne to sudo apt-get install „kompilatory”) ewidentnie wskazuje na fakt, że autor jednak Ubuntu na oczy nie widział. Pierwsze polecenie odinstaluje bowiem kompilatory i wiele innych programów, drugie zaś (będące jego przeciwieństwem) zainstaluje WYŁĄCZNIE owe kompilatory. Dla p. Łukasza zależności i ich właściwości pozostają mało znaczące. A dla zwykłego użytkownika odzyskanie javy, kodeków, acrobata i co tam jeszcze zniknie może być nieosiągalne.
I jeszcze dwa komentarze:
1. Straszenie: „no teraz to Ubuntu jest bezpieczny, ale jeśli użytkownik zainstaluje to czy tamto” najlepiej oddaje znany wszystkim fragment z „Misia”:
[quote]A gdyby tu było przedszkole w przyszłości… i wasz synek mały przechodził… eee w przyszłości. A gdyby tu było nagle przedszkole w przyszłości i wasz synek mały tędy przechodził w przyszłości, którego jeszcze nie macie, więc nie mówcie mi, że siedzi z tyłu![/quote]
Drogi Użytkowniku! Jeśli chcesz mieć kłopoty zainstaluj Ubuntu, serwery na nim i zabezpieczaj to wszystko zgodnie z zaleceniami ŁB. Jeśli jednak wolisz prostsze i sprawdzone rozwiązania – zainstaluj Ubuntu Server Edition i czytaj profesjonalne poradniki administracji systemem.
2. [quote]mimo krytyki i surowej oceny wielu specjalistów nie widzę, by ktokolwiek znalazł z nich błędy[/quote] I tak oto narodził nam się nowy Gorion.
Sylwestrze nie wypłakuj się nam w ramię w kąciku wzajemnej adoracji. Napisałeś felieton stanowiący druzgocącą krytykę. Wykazałeś się nieumiejętnością odróżnienia par niebezpieczny-bezpieczny i mniej bezpieczny-bardziej bezpieczny /dla Ciebie to drugie chyba oznacza to pierwsze/, ale okej. . . Ja przeczytałem uważnie tamten tekst i Twoją krytykę. Uważam że Bigo się zagalopował i nie wszystkie zalecenia mi się podobają, aczkolwiek nie widzę w news’ie poważniejszej winy. Odpowiedział na Twoje zarzuty. Ty to oplułeś uznając za dobrą monetę opowieści użytkownika Coppertop, który wykazuje się delikatnym zdziecinniem pisząc dla przykładu 'Wątpię by Richard Stallman nie miał zamkniętych kodeków w swoim systemie, albo przynajmniej nie instalował ich raz na jakiś czas’ /podpowiedź: Stallman to zatwardziały OS-owiec. Jego zdaniem nawet Debian nie jest dość otwarty, dlatego go nie używa/. Wykaż się wreszcie obiektywnością albo zrób coś, żebym przestał tracić dla Ciebie szacunek.
[quote comment=”9333″] Wykaż się wreszcie obiektywnością albo zrób coś, żebym przestał tracić dla Ciebie szacunek.[/quote]
Zupełnie nie interesuje mnie czy mają czy nie szacunek do mnie ludzie nie mający go do samych siebie , a anonimowe pisanie na to wskazuje.
Używanie zas argumentów ideologicznych [quote]Uważam, że prawdziwy zwolennik Open Source nie powinien korzystać z WMV i bojkotować wszystkich tych, którzy zmuszają go do czego innego[/quote] i Twoje o Stalmanie w dyskusji o bezpieczeństwie świadczy o wojującym fanatyzmie i mentalnych klapkach.
A p. Coppertop napisal dużo więcej i użył mniej lub bardziej odpowiednich ale jednak ARGUMENTÓW, a nie dziwaczył w stylu: na pewno?; Ten akapit miał uspokajać; uważam, że akapit był nieprzemyślany itd.
Szkoda miejsca na cytaty. Bo autor samo sobie wystawił świadectwo: mimo krytyki i surowej oceny wielu specjalistów nie widzę, by ktokolwiek znalazł z nich błędy 😀
No offence. Przedstawiłem się. Uważam tylko że powoływanie się na adwokata-Coppertopa nie jest dojrzałe. Uważam też że naciąganie cytatów jest nie fair. 'Żałosny krytykant Coppertop’ nigdzie się nie pojawił, sam to wymyśliłeś pod publiczkę. . . . . . . . . . . . . . ……………….. . .. . . . . . . . . ………….. Dobra nie chce mi się już więcej pisać. Dajcie sobie po razie i zróbcie wreszcie dobry podręcznik do zabezpieczania zamiast gadać.
Witam.
Nie dostałem od p. Sylwestra żadnej odpowiedzi (użytkownik Coppertop nie przedstawił się jako Pana rzecznik). Rozumiem więc, że przyznaje Pan mnie i moim ew. przedmówcom rację w tym, że:
– nie dostrzegł Pan różnicy między „niebezpieczny-bezpieczny” a „mniej bezpieczny-bardziej bezpieczny”, co wypaczyło Pana spojrzenie na tekst,
– nie zapoznał się Pan z całym cyklem artykułów publikowanym w kolejnych numerach, a tylko z wyimkiem znajdującym się na witrynie.
Niezależnie od tego, jaka będzie Pana dalsza reakcja, byłbym wdzięczny, gdyby darował sobie argumenty nie wnoszące nic do dyskusji oraz populistyczne zagrywki wkładające mi w usta pewne stwierdzenia, których nigdy nie wypowiedziałem ani nie napisałem.
Podkreślam również, że mimo wymienionych powyżej uchybień w tekście p. Sylwestra traktuję krytykę jak najbardziej poważnie. Oczywiście nie mam zamiaru rezygnować z promowania (w piśmie, na witrynie) Ubuntu jako najbardziej dopracowanej dystrybucji Linuksa na rynku. Przykładem może być choćby PCWK 08/2007, w którym zamieściliśmy Ubuntu 7.05.
Pozdrawiam
ŁB
Niczego nie przyznaje po prostu nie komentuję bredni. Nie odpisałem czegokolwiek na forum IDG bo żeby tam pisać trzeba się zarejestrować, a żeby się zarejestrować trzeba wyrazić zgodę na idg-owe spamowanie.
Ale skoro mamy kontynuowac, proszę bardzo.
Mylić się jest rzeczą ludzką, trwać w błędzie to już głupota jest i tyle.
Pomija Pan PODSTAWOWE zalecenia (np. dotyczące hasła czy podziału na partycje) w zamian za co mamy wymądrzanie sie o blowfishu. Paranoiczne upieranie sie przy haśle na gruba nie zasługuje na komentarz. Zalecając usunięcie kompilatorów zakłada Pan, że potencjalny agresor umie kompilować, jednocześnie wprost odmawiając mu umiejętności zalogowania sie do trybu recovery – gdzie tu jakakolwiek logika jest?
Naigrawał się Pan z mojego „javovego banku”?
A tutaj mamy: http://www.idg.pl/news/118590/100.html Zna Pan autora?
chattr, z którego jest pan taki dumny, wysadzi w powietrze zależności w przypadku aktualizacji (TAKŻE BEZPIECZEŃSTWA !)
Powtórzę więc jeszcze raz na koniec: wszystkie „porady” wygrzebał Pan w poradnikach, nie dodając nic od siebie, nie sprawdzając ich funkcjonalności i nie komentując CO TAK NAPRAWDĘ PRZYNIOSĄ. Podaje je Pan ex cathedra, mieszając zastosowania serwerowe z domowymi i strasząc ludzi bez sensu.
Wszystkie te porady, jeśli zastosuje je niedoświadczony użytkownik, na długo odstręczą go od Linuksa:
[quote]Jestem użytkownikiem Windowsa i zastanawiam się nad zmianą na Linuksa, ale ten artykuł całkowicie namieszał mi w głowie. Windowsa instaluję i od razu powiadamia mnie, że powinienem zainstalować program antywirusowy co czynię i mam w miarę bezpieczny system, przynajmniej podstawowe zabezpieczenia mam (firewall aktualizacje antywirus).
Natomiast w przypadku Linuksa myślałem, że jest on od razu bezpieczny po instalacji i w razie czego powiadomi mnie o uchybieniach (jak Windows) – zresztą o aktualizacjach Ubuntu od razu mnie powiadomił, podobnie jak Windows. Tymczasem dostaję 10 kompletnie niezrozumiałych dla mnie porad rzekomo niezbędnych do zapewnienia bezpieczeństwa i co mam o tym teraz myśleć? Chyba jednak zostawię sobie na razie Windowsa, a o ewentualnej instalacji Linuksa pomyślę za kilka lat.[/quote]
Najsmutniejsze w tym artykule (i w kolejnym opublikowanym) jest to, że każda z tych porad osobno może stanowić użyteczne rozwiązanie i jest prawdziwa, jednak ich zastosowanie uzależnione jest od wielu czynników, potrzeb i przeznaczenia systemu. A Pan podał je wszystkie razem w zupełnie niestrawnym sosie, bez merytorycznego komentarza. Przepisanie kilku zdań z ogólnodostępnych źródeł nie upoważnia kogokolwiek do wypinani piersi po order, powinno być raczej powodem do wstydu.
Jednym zdaniem: od przyjaciół zachowaj nas Panie…… 🙁
BTW. I jeszcze jedno: ku mojej satysfakcji zdecydowana większość komentarzy i tu, i na idg, i na jakilinux są zbieżne z moim.
co do partycji – zawsze można użyć LVMa a osobna partycja /home się często przydaje.
hehe…. sylwester zejdź z chłopaka bo w depresje wpadnie:P
Pozdrawiam:D
Z tymi kompilatorami, to moze 10 lat temu. Teraz i tak wiekszosc syfu przyjdzie w formie statycznie skompilowanej binarki.
Wiekszosc wlamow i tak bedzie nie ze wzgledu na nasze dane, a mozliwosc wykorzystania hosta do spamowania/phishingu, badz wlamania sie gdzies dalej.
Bardziej niebezpieczne moze okazac sie posiadanie wgeta czy fetcha, albo popularnego mc, czy byle klienta ftp, ktorym wlamywacz mozna zaciagnac co sie chce na komputer ofiary.
Brak firewalla tez nie jest czyms strasznym, chyba ze sie otwiera fafnascie roznych niepokonfigurowanych poprawnie uslug. No ale wtedy firewall tez nie pomoze.
W zasadzie kazda z tych „porad” jest o *upe rozbic.
Nawet gdyby ktos popelnil wszystkie z opisanych w tekscie „bledow”, to szanse ze cos stanie sie jego systemowi sa nadal niewielkie.
Ogolnie lepiej byloby, gdyby tego typu wypociny nie trafialy do druku, przynajmniej nikomu by to nie szkodzilo.
Ta porada 2…Czasem dane sa warte tys zl a nawet dziesiatki tys wiec wtedy moze warto stosowac inny algorytm szyfrowania…? 🙂
hej, jestem BARDZO świerzym i bardzo zadowolonym z nowego systemu użytkownikiem Ubuntu. Z artykułu tutaj zamieszczonego i dyskusji najlogiczniejsze i przemawiające do mojego rozumu wypowiedzi, wydają mi się, te należące do Sylwestra. A teraz pewnie coś mega lamerowskiego 😉 chciałem obsługiwać konto bankowe z Ubuntu, ale mam zainstalowanego Azureusa. Partycje tak ustawione jak Sylwester polecił 😉 No i w związku z powyższym sie zastanawiam, czy mogę bezpiecznie dokonywać operacji na koncie bankowym przez internet, czy np. wyłączyć tego p2p, czy jak?Te porty chyba sąprzez niego otwierane… no, nie wiem… dziękuję za radę. Pozdrawiam gorąco i czekam na odpowiedz.
ps.: No, a Win zostawiłem sobie do grania w UT 4.1 😉
Wolałbym aby takie czasopisma jak owo wyżej niejednokrotnie wymieniane pozostały przy pomocy użytkownikom windowsa. Ubuntu ma wystarczająco dobre wspomagane w postaci forumowiczów których jest ponad 6tyś i ciągle ta liczba rośnie. Może ktoś powie że to nieludzike stwierdzenie ale jeśli ktoś ma robić niepotrzebny chaos w głowach osób które są zainteresowane danym systemem to niech lepiej tego nie pisze. Jeśli ktoś jest ciekaw w jaki sposób ma zabezpieczyć swój system może przeczytać na forum lub stworzyć taki temat. Wiem że to bardzo podchodzi pod próbe odizolowania się od całego świata ale taka jest prawda, tego co jest potrzebne dowiesz się tylko i wyłącznie od uzytkowników takiego systemu, żaden redaktor nie będzie ci w stanie pomóc, jeśli nie jest uzytkownikiem takiego oprogramowania i to nie chodzi o człowieka który się tym zajmuje 6-7 miesięcy ( przykładem jestem ja sam ) a rzecz w tym aby porady zasięgnąć u kogoś kto zajmuje się tym lata. Reklama poprzez takie czasopisma jest dobra ale jeśli pomaga i co najważniejsze MY nie potrzebujemy ludzi którzy przyjdą do nas z innych systemów zadadzą 300 pytań i potem uciekną bo tam było łatwiej. Nasza własna reklama chodźby w postaci rozmowy ze swoimi znajomymi jest wystarczająca i duuuużo bardziej odpowiednia bo ta osoba moze liczyć na naszą pomoc nie tylko w taką jaką otrzymują na forum ale dużo lepszą bo realną. Więc Panie redaktorze zostaw już ten temat i system dla ludzi którzy się na nim znają i potrafią naprawdę pomóc w sposób fachowy, nie stwierdzam że chce Pan obrzydzić komukolwiek cokolwiek ale moim zadaniem takie coś Pan zrobił.
Owa wypowiedz jest TYLKO I WYŁĄCZNIE MOJĄ WŁASNĄ!!
Witam
Jestem nowym uzytkownikiem Ubuntu, wiec prosze o jak najprostrza odpowiedz.
Zastosowem instrukcje Pana Lukasza i teraz mie moge sie zalogowac do ubuntu.w wierszu polecen tez wola odemnie haslo i login , ale one nie dzialaja.
Nie pokazuje mi sie menu bootowania.
I nie ma. LiveCD.
Czy jest jakis sposob, zeby dostac sie do systemu?
Dziekuje za pomoc.