Wybór firewalla....

[piotrino]

Mam wbudowany w systemu firewalla systemowego, a chciałbym sobie zainstalować firestartera....Jaki mi bardziej firewalla polecacie....? Zostac przy systemowym czy zainstalować firestartera(mam do niego sentyment)...Druga sprawa jak to jest z antywiruami w linuksie...?O ile się orientuję linux nie potrzebuje antywirusa...

[Zajec]

Chyba wszystkie "firewalle" to po prostu nakładki na iptables. Spróbuj może najpierw skorzystać z podstawowej konfiguracji, którą zapewnia YaST2. Jak Ci nie wystarczy to pokombinuj

[immoralroses]

Się Zajec wysilił  mniejsza z tym.

Chyba wszystkie "firewalle" to po prostu nakładki na iptables.

Z tego co mi wiadomo to prawda 
A co do samego pytania: Ja ci podpowiem żeby wykorzystywać tego systemowego a nie jakiegoś więcej bo ten lunixowy w przeciwieńswie do windowego działa

[adasiek_j]

Koledzy immortales i piotrino, zadajcie sobie pytanie, jakie usługi (daemony) macie uruchomione na waszych komputerach, które musicie chronić firewallem. Zapewne CUPS, ssh, być może Apache? Czy coś jeszcze poza tym? Pamiętajcie, że firewall ma sens i konieczność dopiero wtedy, kiedy ma coś ochraniać i w określony sposób. W MS-W.... firewall jest niezbędny w większości przypadków dlatego, że usługi udostępniania plików i drukarek oraz inne ciekawe wymyjsły jak RPC w wykonaniu Windows są dziurawe jak sito i istnieje wiele sposobów aby w ten sposób przejąć kontrolę nad systemem, wpuścić wirusa, spyware, malware, itp...
W linuksie jest trochę inaczej, czyli o 1276% bezpieczniej
Ja np. na moim laptopie, którego używam, nie mam żadnego! firewalla ustawionego, jest dokładnie tak:

Kod:

adasiek@sea-star:~> sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
adasiek@sea-star:~>

Czy przez to mam zawirusowany komputer? Nie, bo na Linuksa nie ma wirusów. Czy przez to ktokolwiek włamał mi się do komputera? Nie, bo wbrew pozorom przy utrzymywaniu w miarę świeżych wersji ssh nie jest to wcale łatwe zadanie.
Tak więc właściwie to dajcie sobie spokój z dywagacjami jaki firewall na Linuksa jest lepszy, zwłaszcza jeśli w grę wchodzi stacja robocza. W 99,89% domyślnych instalacji nie trzeba robic NIC.

pozdrawiam,
Adam

[immoralroses]

Koledzy immortales .....

pozdrawiam,
Adam

ImmoralRoses lub immoralroses albo immo jeśli łaska. Z góry dzięki.

Czy przez to ktokolwiek włamał mi się do komputera? Nie, bo wbrew pozorom przy utrzymywaniu w miarę świeżych wersji ssh nie jest to wcale łatwe zadanie.
Tak więc właściwie to dajcie sobie spokój z dywagacjami jaki firewall na Linuksa jest lepszy, zwłaszcza jeśli w grę wchodzi stacja robocza. W 99,89% domyślnych instalacji nie trzeba robic NIC.

A widzisz. Powiem ci tak ,że mam bardzo ważne dane na komputerze, do tego udostępniam te dane po sieci lan która jest też podłączona do internetu nie tak jak to miałem na windowsie jakiś czas temu ,że Tylko między komputerami, bez wyjścia na out.
Co do reszty to w sumie prawda. Tylko z jednym małym wyjątkiem. Wrast z wrostem userów linux-a i coraz większą ilością antywirusów zaczynają się pojawiać wirusy na linux-a.  Jako przykład podam wirus który był w pliku wykonywalnym .exe i jeżeli masz wine i z niego korzystasz to się ciekawie dzieje Tak więc szczerze nie mów mi ,że jest cała ochrona całkiem zbędna TYLKO dlatego ,że jestem nowy. Zanim przeskoczyłem na linux-a bardzi długo obserwowałem jego rozwój i ilość wszelkich akcesoriów do niego itd....
Pozdrawiam

[adasiek_j]

Immo, przepraszam, tak jakoś zaćma na oczy mi weszła jeśli chodzi o Twojego nicka...

A widzisz. Powiem ci tak ,że mam bardzo ważne dane na komputerze, do tego udostępniam te dane po sieci lan która jest też podłączona do internetu nie tak jak to miałem na windowsie jakiś czas temu ,że Tylko między komputerami, bez wyjścia na out.

Kwestia takich udostępninych danych to w sumie wymagałoby odrębnego podejścia do tematu zabezpieczeń, bo firewall nie zawsze jest remedium na wszystko. Pytanie, czy udostępniasz dane to:
- samba
- nfs
- ftp
- ssh/scp
- może jakaś inna usługa w stylu CodaFS ?
Bo może warto przemyśleć kilka kwestii, ale bez większej wiedzy, co chcesz zabezpieczyć, nie będę w stanie podpowiedzieć niczego sensownego...

Co do reszty to w sumie prawda. Tylko z jednym małym wyjątkiem. Wrast z wrostem userów linux-a i coraz większą ilością antywirusów zaczynają się pojawiać wirusy na linux-a. 

Ooo, to coś przespałem zatem, czy możesz mi powiedzieć, jakie wirusy na Linuksa pojawiły się w ostatnich 2 latach? Bo ja ostatnie wirusy na linuksa pamiętam dosyć dawno...., np. http://math-www.uni-paderborn.de/~axel/bliss/ lub http://vil.nai.com/vil/content/v_136821.htm ..

Jako przykład podam wirus który był w pliku wykonywalnym .exe i jeżeli masz wine i z niego korzystasz to się ciekawie dzieje

Trudno nazwać to wirusem dla Linuksa, ale rzeczywiście, ciekawe takie doświadczenie powinno być, np. kod wirusa szuka dysku C: ... i co znajduje w Wine? A co w Linuksie?

Tak więc szczerze nie mów mi ,że jest cała ochrona całkiem zbędna TYLKO dlatego ,że jestem nowy. Zanim przeskoczyłem na linux-a bardzi długo obserwowałem jego rozwój i ilość wszelkich akcesoriów do niego itd....
Pozdrawiam

Przepraszam, jesli w czymkolwiek uraziłem. Po prostu napisałem swoją opinię, że szukanie wyszukanego firewalla dla laptopa moim zdaniem nie ma wielkiego sensu.

Adam

[immoralroses]

Ja udostępniam dane prze Sambę A no widzisz nie pamiętam nazw więc ci nie przytoczę konkretów-przepraszam. Nigdy tego nie zapamiętywałem i chyba zapamiętywać nie bd. Co do tego wirusa do wine (.exe) nie nie szukał partycji c. Był tak ciekawie napisany ,że się zagnieżdżał w normalnym dysku linuxowym :/ mniejsza z tym zresztą. Z tego co wiem to już go nie ma. Co do nicku spoko Wielu ludzi ma z moim nickiem problem więc jest skrót "Immo" 
Czy firewall wszystko załatwia? Nie i wiem o tym i tego nie napisałem ,ale firewall bardzo często się przydaje. Przykład fizyczny: Czy jeżeli chcesz obronić coprawda wieeeeeelki gród który jest prawie niewykonalne podbicie to postawisz w nim mury czy zostawisz bez? Zawsze jest dobrze mieć mur
Pozdrawiam

[adasiek_j]

W sambie są fajne sekcje:
- valid users
- hosts allow

Bardzo pomagają, a hosts allow pełni rolę "prawie" firewalla dla Samby. Polecam - sam używam i jak na razie nikt sie mi nie włamał; ale też raczej nikt nie próbował, zwłaszcza że ze świata smaba nigdy nie jest widoczna. Jak potrzebuję ją widzieć z komputera z sieci zewnętrznej to robię VPN do serwera i dopiero klient VPN "widzi" sambę.

pozdrawiam,
Adam

[immoralroses]

Skoro tak już tłumaczysz to jeszcze mi powiedz: Jak się uchronić przed taką prostotą jaką jest telnet? Prostotą pod względem tego ,że jest to najprostrza komenda jaką ludzie wpisują w cmd(windowsowym terminalu).

[adasiek_j]

Zadam to pytanie: po co chcesz chronić się przed telnetem?
Jak chcesz, spróbuj:

Kod:

telnet main.abix.info.pl 22

Ja tam się wielce przed telnetem nie chronię....

Adam

[dEEpUs]

Skoro już się bawimy w przenośnie ze średniowiecza, to jak król ma posiadłość z 4 000 drzwi, wynajmiesz 12 ekip by porobiła zasieki, wilcze doły, mury zbudowała, a księżniczka i tak da radę wymknąć się i oddać pastuszkowi. Jak ma wielki zamek, to nie stawia płotu na około, bo księżniczka i tak siedzi w wierzy.

[immoralroses]

czyli jeżeli mam dużo danych które chcę ochronić to nie muszę bo już są tą "księżniczką w wieży"? Chcę się chronić przed telnetem bo to jest najprosrzy i najmniej chroniony sposób dostania się do kogoś na komputer

[adasiek_j]

Chcę się chronić przed telnetem bo to jest najprosrzy i najmniej chroniony sposób dostania się do kogoś na komputer

Troszkę upraszczasz, polecam różne informacje na temat tego telnetu, przed którym się bronisz...
http://pl.wikipedia.org/wiki/Telnet
http://www.wsp.krakow.pl/papers/telnet.html
http://www.kozgan.neostrada.pl/koziol/telnet/podsumowanie.html

I polecam jeszcze ciekawe forum... http://forum.cc-team.org/viewtopic.php?t=9994

W ogóle proponuję na tym zakończyć wątek, bo on w sumie do niczego nie doprowadzi na dłuższą metę.
Adam

[immoralroses]

Ściślej mi chodzi o to ,że za pomocą telnetu można sterować innym komputerem(serwerem) więc się pytam jak wyłączyć telnet w systemie OpenSuSe 11.0 (środowisko Gnome 2.22) bo hasło w telnecie jest nietrudno złamać. Łamiąc hasło mam kontrolę nad innym komputerem więc mogę np. skopiować sobie dane lub całkiem usunąć. Pytanie ponawiam: Jak wyłączyć telnet?
P.S. Adaśku w reputacji ci daję + bo mi się fajnie z tobą dyskutuje
pozdrawiam

[adasiek_j]

Immo, widzisz, na tak postawione pytanie łatwo jest udzielic odpowiedzi. W katalogu /etc/xinet.d są pliki,

Kod:

main:~ # ll /etc/xinetd.d
razem 96
-rw-r--r-- 1 root root  313 IX 22  2007 chargen
-rw-r--r-- 1 root root  333 IX 22  2007 chargen-udp
-rw-r--r-- 1 root root  256 IX 22  2007 cups-lpd
-rw-r--r-- 1 root root  313 IX 22  2007 daytime
-rw-r--r-- 1 root root  333 IX 22  2007 daytime-udp
-rw-r--r-- 1 root root  313 IX 22  2007 discard
-rw-r--r-- 1 root root  332 IX 22  2007 discard-udp
-rw-r--r-- 1 root root  305 IX 22  2007 echo
-rw-r--r-- 1 root root  324 IX 22  2007 echo-udp
-rw-r--r-- 1 root root  371 IX 22  2007 fam
-rw-r--r-- 1 root root  492 IX 22  2007 netstat
-rw-r--r-- 1 root root  812 IX 22  2007 pure-ftpd
-rw-r--r-- 1 root root  207 IX 23  2007 rsync
-rw-r--r-- 1 root root  337 IX 23  2007 sane-port
-rw-r--r-- 1 root root  332 IX 22  2007 servers
-rw-r--r-- 1 root root  334 IX 22  2007 services
-rw-r--r-- 1 root root  277 IX 19  2007 swat
-rw-r--r-- 1 root root  536 IX 21  2007 systat
-rw-r--r-- 1 root root  407 II  6  2008 telnet
-rw-r--r-- 1 root root  491 II  6  2008 tftp
-rw-r--r-- 1 root root  338 II  6  2008 time
-rw-r--r-- 1 root root  332 II  6  2008 time-udp
-rw-r--r-- 1 root root 2350 II  1  2008 vnc
-rw-r--r-- 1 root root  676 VI  4 00:46 vsftpd.rpmsave

jednym z nich jest telnet.
Jego zawartość to:

Kod:

main:~ # cat /etc/xinetd.d/telnet
# default: off
# description: Telnet is the old login server which is INSECURE and should \
#       therefore not be used. Use secure shell (openssh).
#       If you need telnetd not to "keep-alives" (e.g. if it runs over a ISDN \
#       uplink), add "-n".  See 'man telnetd' for more details.
service telnet
{
        socket_type     = stream
        protocol        = tcp
        wait            = no
        user            = root
        server          = /usr/sbin/in.telnetd
        disable         = no
}

Jak się zapewne domyślisz, opcja disable = yes|no jest odpowiedzialna za włącz|wyłącz. A potem to już tylko

Kod:

rcxinetd restart

. Ot i tyle. Tylko, że to do samby ma się nijak, i to próbuję wyjaśnić cały czas.

Adam