Názory k článku Nedívá se někdo? (2)

To je tak tezky pochopit, ze je jedno, jestli bude krizek v inetd.conf nebo v services? Proc pisete takovy kravoviny? Proc nekdo, kdo si koupi knizku o Linuxu, nainstaluje si ho doma, pouziva ho pul roku, pise o bezpecnosti? Proc? Proc se vubec rozciluju? Boze muj, instalujete vsichni jaderko z rpmka? Proc, proboha proc?

Neni to jedno. Jaderko z rpm nainstalovat jde a RedHat to nabizi. Asi vi proc:-))
Pokud se chcete rozcilovat, prosim. Vzdy je to v lidech.

Jak to, ze to neni jedno, proc jenom mlatite slamu, vzdyt vy nemate zadne argumenty! A ja nerikam, ze nejde nainstalovat predkompilovane jadro, ano, RH to nabizi, ale to je reseni pro takove lidi, jako vy. Proto vi proc. Kdyz chce mit nekdo kernel, ktery vubec neni optimalizovany pro danou platformu, je univerzalni, prosim... Ale prosim, nepiste o bezpecnosti, piste o vcelach, o tom cemu ROZUMITE! A neveste na nos buliky lidem, kteri mozna na rootovi hledaji radu nebo jenom inspiraci. Vzdy je to v lidech, ale ja nesnasim kutily. Kdyz chci postavit zed, zavolam zednika. Kdyz chci zabezpecit PC, poradim se s odbornikem, ale ne s porodni babou.

A kdyz vam odbornici jako Zbynek Pospichal nebo Ondrej Suchy slusne napisou, ze nemate pravdu, a vy tady napisete takovy bullshit, kterym opet obhajujete sve kvality odbornika na bezpecnost, tak s prominutim... Naschle v lepsim svete bez radoby odborniku a unixovych ( i jinych) expertu!

Ale ale! Vy jste vazne hodne nesnasenlivy Linuxista. Nedivim se, ze podobnych diskusi jiz ma Ondrej Neff na psovi plne zuby. Smim se zeptat, kolik C2 systemu jste jiz postavil? Asi zadny vidte. Neobhajuji zadne kvality. Ale na druhou stranu jsem zvykly diskutovat. Mimochodem, panu Jandovi (na psovi) napsali tez (a asi urcite mnohokrat), ze nema pravdu. Za jeho 'objev' mu vsichni nadavali a nikdo mu nepodekoval. Ovse, jiz mame kernel 2.2.16 u ktereho vyrobci sami uvadeji, ze 'pouziva ponekud jine technologie'.
Ovsem, pokud se chcete nadale vztekat, prosim. Je to vase vec.

Pan Janda byl IMHO stejnej vul, jako vy ;-). Jaky vyrobci kernelu? Jakej objev? Psal pouze podobne kravoviny jako vy!

Víte co? Kdyz se neumite chovat slusne... jdete se radeji vztekat jinam. Diskuse je jedna vec, ale 'leceni si komplexu' je vec jina. Zkuste to treba rozplavat na plazi:-))))

Prominte, flameseni taky nemam rad, ale vy si, pane Vymazale, vazne myslite, ze je (mimojine) dobry napad radit novackum vsem, ze stylizovane pozice odbornika na bezpecnost, aby instalovali predkompilene jadro?

(Tam melo byt 'novackum nebo vsem', pajpa 'nejak' ztratila.)
A myslim, ze zde je zcela lhostejne, kolik kdo postavil C2 systemu. Kdyz je proti vam takova halda namitek ruzneho odborneho a flamesoidniho kalibru, nestalo by za to se nad nimi alespon zamyslet pred hazenim pulradkovych smajliku za utrpnymi hlaskami?

Proc nepouzivat predkompilovane jadro? Je to docela jednoducha instalace a na domaci pouziti je dobre az az. nevidim duvod, zacit hned z nejvyssich otacek a kompilovat si jadro sam. Jisteze, napr. provozovatele serveru mobil.cz a centrum.cz (viz. clanek o PHP) k tomuto kroku sahli a velmi srozumitelne uvadeji proc.
Podivejte, namitky budou vzdy. Napr. autora clanku o PHP nekdo obvinil, ze 'nevi o cem pise'. Ja si myslim, ze to vi velmi dobre a to jsem ten clanek cetl ctyrikrat, nez jsem si udelal nazor. A protentokrat navstivim i to centrum.cz (i kdyz ma hroznou reklamu).

Nechapu - jedna z prvnich veci, kterou jsem po instalaci Linuxu udelal byla kompilace jadra.
Jako zacatecnik, bez zkusenosti a v pohode. Pokud tedy neumite tak zakladni vec, proc pisete o bezpecnosti?

To ma byt nejaka uvaha, esej nebo navod ? Nejak mi unika poslani tohoto clanku,
pac mi prijde uplne zmateny (zejmena druha 'zavisla' cast)

Je to druhy dil. Bez prvniho skutecne mohou nektere veci unikat. Zkuste projit vsechny odkazy, pak to smysl davat bude.

no /etc/services radeji komentovat nebudu, co treba neco dalsiho?
vazne si myslite ze 'babiccino udoli' je dobre heslo? cetl jste aspon neco malo o bezpecnosti? treba pravidla na tvorbu hesel? ve skole to vetsinou bejva na nastence, ale asi jste do skoly nechodil ...

Tak jeste jednou a tentokrat snad naposledy. Neni jedno, zda je krizek v /etc/services ci v inetd.conf. V clanku jsou popsany sluzby, ktere 'smi' spoustet demon inetd a tech by se tedy tykal krizek v inetd.conf. V /etc/services se ale dotykate nejenom demona inetd. Navic, je to 'zkusebni' procedura, ktera ale 'na domaci pouziti' (a tak je clanek minen) funguje docela hezky. Pokud si potrebujete postavit firewall, pak tudy cesta rozhodne nepovede:-))))

A nebylo by snad vhodnejsi uz od malicka vest i domaciho uzivatele ke standartnim resenim, a naucit ho hledat chyby tam kde jsou, a ne nekde jinde?

Zkuste na heslo 'babiccino udoli' treba cracklib
Heslo samozrejme musi splnovat urcite pozadavky a to:
1) delka hesla (minimalni pocet znaku) samozrejme
2) v hesle se naopak nektere znaky nesmeji vyskytovat (nemely by se vyskytovat, protoze na nekterych konsolich je nemusi byt mozne napsat)
3) heslo by melo byt zapamatovatelne tak, aby si je uzivatel nemusel psat (tady je ten kriz s 'binarnimi hesly')
4) rada systemu pouziva nejruznejsi nastroje pro test 'odolnosti' hesel. Jedna se o testy bud se 'slovniky' (cracklib, nebo znamy IOphtcrack pro NT). Ani jeden z techto slovniku 'babiccino udoli' neodhalil.
5) kvalita 'slovnikovych hadacu' je samozrejme primo umerna kvalite slovniku, pokud ovsem nekdo zna vase heslo, proc by jej nenapsalrovnou a zdrzoval se se slovnikem?
6) ano, nezapominam na nebezpeci 'okoukani hesla' - treba pres rameno. Ovsem clanek je psan pro 'domaci uzivatele' a kdo vam tad

A ze maji nektere platformy limit na delku hesla 8 znaku a ostatni jsou ignorovany, to tomuhle ignorantovi take zjevne uchazi. Inu, nechme ho stavet systemy s C2 security class, ktere mu po dvou dnech nekdo naboura pres deravou verzi binda ci ftp daemona, bezicich pod rootem ;-))))

Nejsem si uplne jist, komu byl vlastne clanek urcen. Nektera fakta jsou vice nez zavadejici.
O ten krizek v /etc/services bych se hadal. Nelenil jsem a dohledal prislusne RFC pro
definici obsahu souboru /etc/services. Dokument RFC (Requaest for Comments) cislo
923 jasne rika, ze soubor /etc/services pridruzuje jmenum a aliasum Internetovych sluzeb
cisla portu a protokolu pouzivanych temito sluzbami. Jinymi slovi, je to jakysi slovnik pro
preklad cisla portu na lidsky srozumitelny nazev (napr. prelozi cislo portu 25 na smtp).
To, ze nejaky radek v tomto souboru zakomentujete nic na sluzbe nezmeni. Pouze
napriklad v pripade vypisu TCP a UDP spojeni (napr. nastrojem tcpdump) uvidite misto
aliasu cisla portu. S bezpecnosti to tedy nema co delat. Autorovi clanku vrele doporucuji,
aby nastudoval alespon zakladni literaturu z oboru computer security. Na toto tema u
nas vyslo jiz dost literatury (napr. D. B. Chapman, E. D.

Vazeny pane,
z Vaseho clanku je znat, ze jste prilis mlad ;-(
Jeste Vas ceka cteni dobre literatury. Az
prectete vsechno od Garfinkela, Spafforda,
Chapmana, Zwicky, Ranuma, Cheswicka, Bernsteina
a mnoha dalsich (na vic si momentalne z hlavy
nevzpomenu), zjistite, ze na problemy, pro ktere
vymyslite vlastni metody, existuji elegantni
reseni. Zatim je videt, ze si se systemem
prilis netykate. Zjistujete otevrene porty na
vlastnim stroji pomoci portscanneru? TO TAKY
JDE. (TM, Filip Topol) Ovsem cetl jste nekdy
netstat(8)? Kolikrat jste precetl veskerou
dokumentaci ke svemu systemu? Cetl jste M. J.
Bacha, R. W. Stevense? Nezlobte se na me, ale
znalost nejakeho ,,Linuxu v kostce'' by Vam
nemela brat zabrany psat o bezpecnosti do media,
jez ctou lide, kteri Vasi inkompetenci neumi
prohlednout. Jste Bezpecnostni Dira!

rad bych podporil ty, kteri tady SPRAVNE uvadeji, ze vykomentovavat sluzby v /etc/services je opravdu dost velky nesmysl. Zbytek clanku komentovat nemuzu, protoze v miste, kde jsem na toto narazil mi pripadalo jaksi zbytecne pokracovat.

pan Vymazal, je sice mozne ze vam neslo o restart inetd ale linuxu (ked sa hovori o init 6)
ale potom preformulujeme otazku: Preco kvoli zmene v inetd restartovat cely linux ?
Odchovancovi win* je to prirodzene ale v linuxe to je zbytocnost.
pokial ide o services, vymazanim portov ako finger a telnet mozete zablokovat viac ako len demonov.
nehovoriac o tom ze mat v inetd.conf svinstvo (napriklad miesto mien sluzieb cisla portov)
bude vam mazanie v /etc/services zbytocne. Skratka a jednoducho, /etc/services sa nedotykajte, subor ktory je dolezity je inetd.conf;

Zkusim to vysvetlit znovu. Predne, pravdu ma ctenar, ktery uvadi, ze soubor /etc/services pridruzuje jmenum a aliasum Internetovych sluzeb
cisla portu a protokolu pouzivanych temito sluzbami.
S tim naprosto souhlasim. A ted, rekneme, ze alias v /etc/services jednoduse nebude.
Pripominam, ze se bavime o 'domacim uzivateli', kteremu na jeho Linuxu zadny bind ani sendmail nebezi.
Ale treba chce (duvod je jeho) ponechat to ftp. Pokud upravite inetd.conf, jednoduse nezjistite, ze se nekdo pokousel treba o telnet (priklad, jde o princip).
Samozrejme, ze mohu mit sluzby spoustene tak, ze se do /etc/services 'nepodivaji'. Jisteze ano. Ale, ruku na srdce. Doma?
Zminene ftp necham spoustet demona inetd a priradim mu naprosto jiny port (jisteze to na druhe strane musim vedet).
Je to proste urceno pro domaciho uzivatele. Nemusite mit obavy, C2 systemy znaji i pojem 'domaci PC' a navrhari bedlive zvazuji, zda tomu

Nemusite mit obavy, C2 systemy znaji i pojem 'domaci PC' a navrhari bedlive zvazuji, zda tomuto domacimu uzivateli povoli takoveto upravy, primeji jej pouzivat firewall i doma, nebo jeho PC jednoduse 'usmiknou'.
Pokud demona inetd nepotrebuji, vyradim jej take (krizky v /etc/services necham, to nicemu neublizi).
To je vsechno. V zahlavi clanku to je uvedeno - pro domaciho uzivatele.

Clanek je strasny a nesmyslny. Pokud jste neco pos*al, tak muzete rikat, co chcete a furt to bude vypadat, ze jste to pos*al. Verim, ze jste to nemyslel zle. Ale vzal jste si prilis velke sousto.

Bude jeste treti dil? :)

hmm...a napr. ipchains autorovi nic nerika. A i finger
lze provozovat, co cfinger?;)

ale ano muzete se dozvedet ze se vam nekdo snazil pristupovat na telnet port ... me to treba chodi kazdy den rano v daily security check outputu ... :)

Vazeni, mam navrh. Ta diskuse je plodna a myslim, ze ma vyznam. Predem bych tu rad rekl, ze nechci nikoho nas... Berte to tak, ze pripady 'divani oknem' se mnozi a neni to nic pekneho.
Co s tim? Dostavam radu mailu, kde se me lide ptaji, jak jsem to myslel. Inu tak, aby co nejjednodussim zpusobem bylo mozne si 'domaci PC' upravit tak, aby utocnik 'prestal mit chut'.
Jenomze, kdyz to napisu podle vasich navrhu, bude z toho kniha a pekne dlouha. Pojdme se do toho vlozit vsichni. Pokud napad mate, popiste jej a poslete redakci. Pokud psat nechcete, aspon mi jej zaslete.

Ale. Dejte prednost jednoduchym napadum. Popiste je, popiste i vedlejsi ucinky a popiste system, na jakem jste to zkouseli (distribuce, kernel, predkompilovane jadro, kompilace jadra - proc, jak atd.)
Pripojte odkazy, adresy, nazory. Berte to tak, ze rada Lidi (vidim jich hodne) by si rada k Linuxu sedla, ale nevi jak. Zatim jsme to (linuxovy narode) dopracovali tak, ze pan Neff se na Psovi vyjadruje o Linuxu jako 'Jeho Velicenstvo poklekni Linux'. Asi tam byla taky debata:-))
Mimochodem, milacek Soundblaster AWE 32 ISA pnp me nejspis skutecne prinuti zkompilovat znovu cely kernel:-))
Tak se mejte a piste!
Vas M.V.

Nevim, jak tento clanek pomuze domacim uzivatelum?
Jinak takove blbosti jako delka hesel a podobne je
snad vseobecne znama a popsana vsude tam kde se mluvi
o bezpecnosti.
Jinak vec druha, spustene mam pouze sluzby ktere
pouzivam.
Vec treti, tajne dokumenty jako adresar mojich pritelkyn
ulozim na disketu a sup pod zamek.
Vec ctvrta porizuji si zalohu dat a pokud se mi tam
nekdo dostane a neco poskodi tak nevznikla zadna skoda.
Vec pata normalni domaci uzivatele jsou pripojeni k
internetu pres telefon a odtud tak velke nebezpeci
nehrozi, jsem pripojen kratce pokazde s jinou adresou atd...
Daleko vetsi nebezpeci hrozi pokud k pocitaci pustim pritele.

pane vymazal, rad bych neco rekl k vasi originalni metode zakazu sluzeb v /etc/services ('a pouzivaji ji i stavitele firewallu'... ehm).
v podstate je to tak, ze zakomentovanim sluzby v /etc/services zpusobite chybu nastaveni systemu, ktera jako jeden z vedlejsich ucinku ma zruseni pristupnosti teto sluzby. potud to funguje :)
rozhodne to vsak neni standardni a nevinna vec: dalsi vedlejsi ucinky teto chyby jsou napriklad: nemoznost pouzivani teto sluzby ani ven, mozna nekompatibilita sitovych programu apod.

skutecne korektnim zrusenim sluzeb je skutecne jen a pouze vyrazeni sluzby z inetd.conf (to v pripade sluzeb spoustenych z inetd), pripadne zruseni volani z /etc/rc.d ci jinych start-up skriptu (to v pripade standalone sluzeb).

a jeste k heslu 'babiccino udoli'. u hesla se da posoudit prakticka bezpecnost (heslo neni odhalene beznym slovnikovym utokem), ale take muzete posuzovat teoretickou bezpecnost. a z tohoto pohledu skutecne babiccino udoli neni nikterak bezpecnym heslem. vysvetlim: slovnikovy utok je pouze jednim z mnoha moznych utoku na bezpecnost hesla. dalsi muze byt napriklad brute-force hadani vsech kombinaci znaku. a zde je kamen urazu vaseho hesla - to totiz obsahuje pouze alfabeticke znaky a jeste k tomu jen v lowercase. to velice radikalne snizuje pocet moznych kombinaci a tudiz i cas potrebny k rozlousknuti brute-force metodou.
chcete-li skutecne bezpecne heslo, musite se pokusit co nejvic rozsirit pocet moznych kombinaci. tj. pouzit vsechny mozne pouzitelne znaky, jak lowercase a uppercase pismena, tak cisla i jine znaky. tim vyrazne zvysite cas potrebny na brute-force utok.

S vasim nazorem naprosto souhlasim. Jednim z dulezitych faktoru je cas, po ktery heslo 'odola'. Je to proste rada pro uzivatele, ktery ma sve PC doma a pripojuje se k Internetu pomoci modemu nebo kabelove televize. U toho modemu bych mu heslo typu 'babiccino udoli' povolil s tim, ze je bude pravidelne menit v kratkych intervalech. Pokud by se PC nachazelo treba v terminalove ucebne, budu trvat na tzv. 'binarnich' heslech, treba ve tvaru 'Xc1!aqsx325'. Kazdopadne diky za pripominku.

Rad bych reagoval na poznamku Ondreje Sucheho o snadnosti louskani hesel. Jsem sice teprve Linuxovy zelenac (Linux a SAMBU jsem nainstaloval teprve pred 3 tydny), ale to co pisete je s prominutim blbost. Jednak by utocnik musel predpokladat, ze je heslo slozene jen s lowercase pismen a i kdyby to tak bylo, na kazde pozici se muze vyskytovat jeden z 27 znaku, coz pri delce hesla 15 znaku (rekneme ze by ji utocnik take znal) dava pres 2954312706551000000000 kombinaci. I kdybyste byl schopen overit 1.000.000 kombinaci za sekundu, trvalo by Vam to 93680641 let. Tak az skoncite - dejte vedet.

Z clanku jsem nepochopil jednu vec: k cemu vlastne takove zakomentovani sluzby v /etc/services ma podle autoa clanku slouzit ? co se tyce ZAMEZENI spusteni nejake sluzby tak je to nesmysl, protoze to je vazano na inetd. Uzivateli to nijak nezvysi bezpecnost, naopak prijde o sve pohodli kdy mohl psat 'telnet server pop3' bude si muset pamatovat cisla zakomentovanych portu. Naopak neni nejmensi duvod proc by mnel cracker spoustet nejakou sluzbu, ktera je na pocitaci zakomentovana - tozn. nebezi, naopak takovy clovek PO nabourani do vaseho systemu pres nejakou sluzbu kde byste se to nendal si spusti shell na nejakem tom lidovem portu 31337 zamaskuje ho jako swapd a nejake services nebo inetd.conf ho nezajimaji. Pokud jsem to tedy pochopil spravne je to metoda pro 'uzivatele' kteri se boji sahat do defaultniho redhatovskeho inetd.conf s 50ti zakomentovanymi sluzbami aby nahodou neco nepo.... Naopak, pokud uz ma takovy domaci uzivatel potrebu spoustet ftpd a jine tak by si mnel udel

/sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0./0 -i lo -j ACCEPT
/sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 ! -y -j ACCEPT
/sbin/ipchains -A input -s 0.0.0.0/0 -d 0.0.0.0/0 -j DENY

(ano, viem ze to nie je dokonale.. aktivne ftp a tak..)