Příspěvky

8236

Server / Re:blokace ip

« kdy: 25. 08. 2012, 22:24:58 »

No nevím, já mám v logu "Authentication failure for user root", for user test, for user games, ale for <myuser> nikdy.

Jasně. Útoky script kiddies nijak nevylučují to, co jsem psal.

Administrátorská hesla mají tendenci povalovat se v různých obálkách v různých podivných trezorech

No to je jednak samo o sobě daleko prekérnější než povolený root login, jednak pokud bude potřeba přihlásit se přes jiný než rootovský účet, tak na tom papírku ten login nejspíš bude napsaný taky, ne?

Pokud to adminuje víc lidí a všichni znají rootovo heslo ...

...tak nepomůže ani mantra Na Nachma Nachman Meuman http://goo.gl/aTUZB  , natož PermitRootLogin Protože tak jako tak se všichni nějak k rootovi musí umět dostat, takže je jedno, který z těch hesel leakne, nebo jestli leakne jedno heslo, který používají všichni.

... nebo taková, že projde autentizace, i když by neměla a zarazí se to až na PermitRootLogin ...

S takovou logikou můžeme další a další vrstvy zabezpečení přidávat do aleluia, protože vždycky existuje možnost, že v něčem bude chyba a zarazí se to až na té poslední

8237

Odkladiště / Re:Materiály k unixu(linuxu)

« kdy: 25. 08. 2012, 22:00:42 »

Pěkná otázka!

Problém je v tom, co to znamená "naučit se unix". SUS klidně číst můžeš, ale není to nepodobný tomu, myslet si, že se naučíš používat web, když si přečteš specifikaci http "Naučit se unix" může znamenat znát strukturu jádra a umět programovat drivery, znát administraci, znát programování v userlandu, ... Každá tahle věc je sama o sobě na roky a roky studia, takže si spíš budeš muset přečíst jenom nějaký základy a pak si vybrat, do čeho se chceš pustit.

Já bych šel touhle cestou:
1. nějakou knížku o základech unixu (filosofie, základní příkazy, základní postupy) - pokud už základy máš, můžeš přeskočit, nebo prolítnout hodně rychle (já třeba i po letech s unixoidními systémy pořád nacházím i v základních textech něco, jsem nevěděl, nebo už pozapomněl)

2. každý slušný (!) OS má nějakou ucelenou dokumentaci, kde jsou popsaný hlavní subsystémy a hlavní administrativní úkony. Docela slušně je na tom třeba FreeBSD (Google: freebsd handbook), OpenBSD. Slušně popsaný má některý obecný základy tuším i AIX.
Nemůžu si pomoct, ale NEdoporučuju v tomhle stádiu dokumentaci k Linuxům. Sice RedHat ji má docela pěknou, ale tam co dneska platí, zítra platit nebude

3. zkoušet, zkoušet, zkoušet. Provozovat nějakou reálnou věc, klidně i jenom pro kamarády nějakej malej web, udělat nějakou vtipnou webovou kalkulačku něčeho nebo si třeba cvičně postavit nějakej klastřík apod. Není od věci poohlídnout se v okolí, jestli neexistuje nějaká svépomocná skupina, která se tímhle zabývá (přihřeju si polívčičku: http://un-xovani.gosw.cz/ ). Podle mě se člověk o nějakém OS dozví nejvíc, když ho dlouho používá - projde si různými problematickými upgrady, pády a vůbec nestandardními situacemi, o kterých se nikde nedočte...

4. porovnávat získané zkušenosti s různými best parctices a s handbookem

5. až tě to začne nudit, zkusit jiný OS

6. dělat machra na Rootu!

8238

Server / Re:blokace ip

« kdy: 25. 08. 2012, 21:40:28 »

Pokud je přihlášení roota povolené, zná případný útočník polovinu z toho, co potřebuje (už. jméno), chybí jen heslo

To neni tak uplne pravda. Jednak login neni "polovina", protoze heslo by melo jit vyrazne hur uhodnout, jednak login je vicemene verejny udaj (kde jsou ty casy, kdy mail uzivatel@x znamenal "uzivatel na stroji x").

Heslo může "leaknout" - buďto ho někdo uhodne, nebo získá např. sociálním inženýrstvím

Moc mě nenapadá, jak by mohlo leaknout heslo bez toho, aby zaroven leaknul login

V SSHd může být chyba (viz např. nedávný problém s generováním klíčů na Debianu)

...napriklad takova, ze PermitRootLogin bude ignorovat Tohle je poměrně nesmyslný argument, zvlášť když sshd obvykle běží pod rootem...

Chrání Tě to před sebou samým (pokud si do profilu nedáš sudo su - :-)
[/list]
Tohle je asi jedinej fakt relevantni argument (viz niz). Neni to tak dlouho, co se tady kdosi divil, ze si na roota dal heslo root a nekdo mu to hacknul

No a kromě toho:

Spíš bych jako hlavní argument dal pravidlo "secure by default" - pokud pro vzdalene prihlasovani na roota neni vazny duvod, je lepsi to mit vypnuty.

8239

Odkladiště / Re:SEO

« kdy: 25. 08. 2012, 19:10:51 »

Neřeš blbosti a neskač na špek obchodníkům s teplou vodou.

8240

Server / Re:blokace ip

« kdy: 25. 08. 2012, 19:09:50 »

Se zakázaným rootem se přihlásím jako uživatel, musím přes to SSH spustit su/sudo, tomu nějak předat heslo, které *musí být někde uložené* a až přes to spustit potřebný skript.

Nebo mít v sudo nastaveno, že přesně tenhle skript můžu přesně z tohodle uživatele pouštět pod rootem bez hesla. To je překvápko

Nastavit "PermitRootLogin" na "no" je naprostá kravina, která reálnou bezpečnost systému vůbec nezvýší.

Imho to není tak nebo onak, ale je to "v nějakém systému tak, v jiném onak". Bezpečnost přece nazávisí na spoustě proměnných okolo.

8241

Software / Re:Cim sifrovat disk se zalohami?

« kdy: 25. 08. 2012, 19:00:30 »

Je to sice debata o (píp), ale co, je sobota a ta logika uvažování by mě zajímala.

Taky se o něčem takovém nikdo nebaví. Psal jsem o rozdílu mezi ochranou souborového kontejneru a ochranou šifrované partition nebo zařízení proti  náhodnému (neúmyslnému) poškození. A tam je rozdíl sakra podstatný, protože jakýkoliv šifrovaný kontejner se z principu *musí* jevit jako náhodná data. A třeba právě ty Windows mají tendenci "neinicializovaný disk" (za který šifrovaný disk považují) inicializovat (tzn. zprasit, pokud jde o šifrovaný kontejner).

Komu/čemu se tak má nebo nemá jevit? Jak už zaznělo, pro Windows je šifrovaná partition stejně "náhodná" jako jakákoli jiná partition, jejímuž obsahu a struktuře nerozumí, ne?

Můžeš uvést nějaký konkrétní scénář, kdy mi (něco) poškodí šifrovanou partition a ext3 nepoškodí?

Ale i na poškození partition, které nepoškodí soubor, se dá scénář najít. A docela snadno: Pokud si přepíšu hlavičku partition a pak na to přijdu, tak ji zase dokážu obnovit. Nebo aspoň dokážu dohledat soubory na té partition a vykopírovat je ven. Pokud je ovšem partition šifrovaným kontejnerem, tak jsem si přepisem její hlavičky pravděpodobně přepsal šifrovací klíče a všechna data uvnitř mám navždy zničená (pokud nemám zálohu hlavičky, pochopitelně).

To je zvláštní úvaha, protože porovnáváš poškození kontejneru (hlavičky šifrované partišny) s poškozením něčeho, co je vně kontejneru (hlavička nešifrované partišny). Platná by mohla být jedině v případě, že by náhodné přepsání hlavičky partišny bylo nějak výrazně pravděpodobnější než  náhodné přepsání jiné části partišny.

Jasně, pokud beru za pravděpodobné udělat mkfs omylem na špatné partišně, tak asi jo. Akorát nechápu, jak víme, že je to pravděpodobnější omyl, než přepsat soubor.

- a jenom tak pro připomenutí: musí to být rozdíl setsakramentsky pádný rozdíl, aby vyvážil tu dvojitou režii, kterou s fs v souboru mám.

8242

Odkladiště / Re:Znechutenost z IT

« kdy: 25. 08. 2012, 14:20:59 »

A evidentně mají i smysl pro humor http://www.rozhlas.cz/zpravy/hudba/_zprava/1045881

8243

Software / Re:Cim sifrovat disk se zalohami?

« kdy: 25. 08. 2012, 14:04:17 »

Asi se jeden z nás ztratil ve vlákně, nebo nepochopil to, co napsal Miroslav Prýmek :-)

Myslím, že Jarda to pochopil úplně přesně

Řešili jsme rozdíl mezi 1) šifrovaný oddíl na disku (partišně) a 2) šifrovaný oddíl v souboru.

Imho tam žádnej rozdíl není (kromě těch drobností, co psal pepak, ale to mi přijde jako prkotiny): ad 1) překopíruju pomocí dd, ad 2) překopíruju pomocí cp. Nic navíc šifrovat/dešifrovat nemusím, je to úplně stejná situace - co je za úložiště pod tím nehraje roli.

Proti souboru mluví to, že má dvojí režii (fs nad fs).

8244

Sítě / Re:Jednoduchý OS pro RouterStation

« kdy: 25. 08. 2012, 14:00:08 »

Ještě existuje pfSense, postavený na BSD. Ale jestli bude splňovat to, proč nechceš linuxovou věc, to nevím, protože jsi nenapsal důvod.

8245

Software / Re:Cim sifrovat disk se zalohami?

« kdy: 25. 08. 2012, 00:33:06 »

Naopak dm-crypt je v jadre, tudiz toto nebezpeci zde tolik nehrozi.

Jak přesně fakt, že je nějaký kód v jádře, snižuje možnost, že je v něm backdoor?

8246

Software / Re:Cim sifrovat disk se zalohami?

« kdy: 24. 08. 2012, 22:41:33 »

No, minimálně ten šifrovaný ext3 v souboru dává smysl. Odpojím ho a soubor pak můžu bez obav překopírovat kamkoliv. A nemusím řešit jak co kam překopírovat.

Čili s ním můžu zacházet úplně stejně, jako bych zacházel s partišnou pomocí dd

8247

Software / Re:Cim sifrovat disk se zalohami?

« kdy: 24. 08. 2012, 22:17:51 »

Je lepsi zasifrovat cely oddil (hda1), nebo si vytvorit na hda1 napr. ext3 a na nem teprve sifrovany soubor opet s ext3?

Nejlepší je mít ext3 oddíl, v něm soubor taky s ext3, do něj si uložíš soubory virtuálního stroje, do něj pak nainstaluješ Windows, do nich nainstaluješ TrueCrypt, kterým zašifruješ soubor, na kterém budeš mít DOSEMU a do něj teprve nahraješ ty zálohy.

8248

Odkladiště / Re:Znechutenost z IT

« kdy: 24. 08. 2012, 22:12:12 »

No, já žádnej, ale LACO a DŽAMILA, který z mejch daní živí stát, mají deset dětí a každý sežere nejméně tři za den.

Tak proč ze svýho čistýho příjmu dáváš někomu cizímu?

8249

Odkladiště / Re:Znechutenost z IT

« kdy: 24. 08. 2012, 21:00:27 »

kokundy: http://finance.idnes.cz/it-pracovnici-berou-v-cesku-mene-nez-v-cizine-f3a-/podnikani.aspx?c=A120816_1817231_podnikani_zuk

No a co jako? Kapitáne, tobě nestačí dvaapůl hambáče za hodinu? Kolik jich jako za hodinu sníš?

8250

Distribuce / Re:Výběr distribuce

« kdy: 24. 08. 2012, 16:25:37 »

Pokud odinstalace nevyhovujícího DE znamená, že se ti odinstaluje prakticky všechno krom základního systému, tak je skutečně nejjednodušší změnit distribuci na takovou, která ti nevyhovující produkt nevnucuje jako defaultní.

Tak pokud vím, že mi to DE nevyhovuje, tak ho ani neinstaluju, ne?

Anebo když jsem to zjistil až posléze, tak ho prostě odinstaluju, no. Půl hodiny bude PC šrotovat. No a? Pořád je lepší mít dál OS, ve kterým se vyznám, než zkoušet něco jinýho, co bude mít zase jiný mouchy...