Názory k článku Nedívá se někdo?

Pravda, pravda,
bezpečnost je mnohem víc o lidech, než o technologiích (jak se snaží třeba zrovna underground lidem namluvit)

To myslite vazne, ze zakomentovanim nazvu sluzeb
v /etc/services sluzby znepristupnite? Nebylo by
lepsi vysvetlit, kde se kyzene sluzby spousti a
zakazat primo jejich spousteni? A nebo se jeste
lepe zdrzet 'dvouradkovych' rad na zabezpeceni
systemu.....

Celkem dobry clanek, ale kdo to mysli s bezpecnosti vazne, mel by i pouzivane porty zafirewallovat pro pristup zvenku (vcetne 25, 53 ... - pokud jste na dialupu a maily vas stroj jenom posila a neprijima, tak to jde). Je to jen par ipchains pravidel. Ani dialupisti nejsou v bezpeci, obcas mi nekdo na dialup stroji (ktery dostava pridelenou dynamickou IP )skenuje obskurni porty jak 12345, 12346 a jine.

Jo inetd se restartuje restartem systemu :-) jste hesky lamer
ja ho teda retsartuje 'killall -HUP inetd'
Jinak ta adresa(co vam skenuje porty) je heska hovadina
raci si stahnete 'nmap' jeste ktmomu co mam delat pokud
provozuju ftp server mail server. Ale ten program evidentne nezajima
ze muj server snim nema RELAY tudiz neni vyuzitelny ke spamu ...
a jeste ktomu evidentne nezhodnocuje rozdil mezi sendmai-em
a nenabouratelnym QMAL-em (pokud ho nabourate kontaktujte autora
dostanete 10 000 USD) takze je lepsi --)
Je mnohem lepsi nit nekde na inet masine nmap a o
kenovat si vsecny porty
a ty sluzby se odebiraji v /etc/inet.conf
a vtome /etc/services jsou pouze aliasy takze ty sluzby pobezi dal
pokud zustanou v inet.conf. No a ftpd telnet finger ...
jsou v inet.conf a ne /etc/rc.d/... takze je lze vypnout tam
(v /etc/rc.d/... jde vypnout celi inetd

nechapu proc autor clanku pouziva k testovani linuxu web utilitku ktera je urcena pro win (je to tam i napsano :), nehlede na to ze mi vynadali za to ze mam pusteny sendmail a nedej boze httpd :) add /etc/services souhlas, jsou to pozue aliasy, jejich zakomentovani nebo vymazani nic neresi

Panove, v clanku jsou urcite nepresnosti, ale uvedomte si, ze je to psano pro BFU, kteri nezvladnou nejaky portscanner ani zkompilovat.
K /etc/services - nejsem si ted uplne jisty, ale mam dojem, ze pokud inetd nenajde povoleny port v /etc/services, tak prislusneho demona nespousti.

Je to docela proste vazeni. Utilitka na www.grc.com 'nepozna' z jakeho operacniho systemu
se hlasite do Internetu. Mimochodem, poznat by se to dalo, ale cast tohoto 'poznavani' bude
stejne hadani - takze to nema smysl:-)))))
Jinak v etc/services skutecne jsou 'nazvy' protokolu (vyraz aliasy neni moc presny a pripousti
vice nez jeden vyklad, coz je spatne), a to ve vztahu ke konkretnimu cislu portu (jeste je treba
uvest, zda 'spojeni'
bude tcp nebo udp). V tom je prave ten vtip (ale v clanku to je zdurazneno - sluzbu sice
spustite, ale uz nenavaze spojeni). Proc nenavaze spojeni? Protoze inetd se sice na
'zatahani' za port pokusi odpovedet tim, ze danou sluzbu spusti a priradi ji protokol
a cislo portu, ale prave to 'prirazeni' se mu (diky krizku v etc/services) nepovede a spojeni
se nekona. Jednoduche.
Pokud si chcete upravit primo /etc/inetd.conf, muzete, ale

jaky to ma smysl? To uz muzete 'vyradit' cely inetd a je to.
Jeste k tomu restartu, mel jsem na mysli skutecne restart Linuxu (v clanku to je uvedeno).
Pokud totiz upravite runlevel, je opravdu lepsi restartovat vse.

Jsem rad, ze vznikla diskuse. To je ucelem clanku

A ted za domaci ukol.
Vite nekdo jak j e d n o z n a c n e zjistit, z jakeho OS se uzivatel hlasi k Internetu?
Nemate povoleny zadne specialni aplikace. Smite se 'divat' jen na porty.

co je specialni aplikace ?
nmap to tjisti pomoci fingerprintu jednotlivych OD na TCP/IP ...

zakomentovavat sluzby v /etc/services je pekna blbost. Jednak sluzby nespoustene pres inetd funguji vesele dal a druhak se vam prestanou fungovat jmena portu u telnetu, ipchains, netstat a jinych. Spravna vec je zeditovat inetd a spousteni demonu v /etc/rcX.d. Editaci /etc/services resite problem na nespravnem miste a navic riskujete, ze po upgrade /etc/services, ktery udelate aniz byste si uvedomil nasledky, vam zacnou takto 'rafinovane' zakazane sluzby opet fungovat

zakomentovanim sluzby v /etc/services se sluzba nijak nezablokuje, v tom nema pan vymazal pravdu. zakomentovavat musite v /etc/inetd.conf :)

Michal Vymazal: Prdlajs se sluzba nespusti. Pokud budu mit telnet v inetd.conf zadany takhle:
25 stream tcp nowait root /usr/sbin/tcpd in.telnetd, tak mi zadna kouzla se /etc/services nepomohou, telnetd tam porad pobezi. Krome toho, kdo rika, ze telnetd a fingerd museji byt nutne security holes? ;-) Ostatne viz finger @195.70.151.188. Rikanim nepresne a neuplne pravdy jen matete novacky, kteri se v problematice jeste dostatecne neorientuji a motivujete BFU k tomu, aby rikali zcela nesmyslne svym spravcum, ze nemaji bezpecne systemy.

Problem je v tom, ze jsme se bavili o domacim uzivateli, ktery k Internetu pristupuje pres modem.
Pokud si takovyto 'domaci uzivatel' upravid inetd.conf, je to samozrejme jeho vec. Ostatne - nejvetsim nebezpecim pro informacni systemy je sam uzivatel:-))))))
Nemam v umyslu mast novacky. A uz vubec nemam v umyslu rikat spravcum, ze nemaji bezpecne systemy. Ovsem to jen za predpokladu, ze takovy spravce (tedy profesional!)
dela vse proto, aby umel 'rozborku a sborku' sveho hradu. Jinak prvni na rade s primou zodpovednosti je on.
A spravce, ktery neumi argumentovat a vysvetlovat to rovnez nebude mit lehke.
Ostatne - o upravach inetd.conf jsem v clanku nemluvil a to umyslne. Nechtel jsem totiz 'hybat' s inetd. Neni to moc rozumne.

Novacky matete celkem uspesne.
Proc nechcete hybat s inetd ? Muzete mi to prosim nejak rozumne vysvetlit? /etc/services jsou pekne, ale bezpecnejsi je zmenit inetd. a restartovat pocitac pri zmene neceho dulezitejsiho (jako inetd) ... nezlobte se na me, to nedelam od te doby co jsem spalil CDcko s Windows NT.
ono killall -HUP inetd udela to same, akorat ze to netrva 2-3 minuty ...

Inu, nechci hybat s inetd proto, ze chci, aby to fungovalo ve vsech runlevels (tedy 1-5). Proto jsem na to v clanku upozornoval. Jsou i taci, co v nekterych runlevel inetd spousteji a v runlevel 5
(coz je default) jej nespousteji. Navic to ma dalsi hacek. Napriklad v knize 'Linux v kostce - Computer Press 1999' se na strane 465 doctete toto:
Nasledujici servery muze startovat server inetd: bootpd, bootpgw, fingerd, ftpd, imapd, popd, rexecd, rlogind, rshd, talkd, telnetd a tftpd. Dale se tu pise:
nesnazte se pomoci inetd startovat sluzby named, routed, rwhod, sendmail a listen ani zadne servery NFS.
Ergo 'pohnutim' s inetd vyresite jen maly kaminek mozaiky, protoze muzete sahnout pouze na porty tech serveru, ktere inetd muze spustit.
To neni univerzalni reseni. Kdezto, pokud port jednoduse 'odstranim' v etc/services pak je mi celkem jedno, zda onu volanou sluzbu spoustel inetd
nebo neco jineho. Jisteze,

Jisteze, neni to reseni stoprocentni (to ani firewall - proto jsou u nej profesionalni obranci, kteri jej hlidaji), ale je jednoduche, prostinke a snadno pochopitelne.
Ostatne - k autorovi clanku 'you have been hacked' se vetrelci dostali napred pres ftp (tusim) a pak zrejme spustili shell s pravy roota a pak si upravili sshd. A bylo
Mimochodem - jedna perlicka. Pokud se inetd pokusi spustit sluzbu, ktera vzapeti skonci chybou (protoze nema port - smula ci co:-))), pak tuto chybovou hlasku poslusne zapise.
Utocnik to nevi, ale vy ano. Jste ve vyhode protoze vite, ze to nekdo zkusil.
Na 'dva krizky' v etc/services to docela ujde, ne?

Jsem rad, ze ted vetsina verejnosti vi, k cemu slouzi /etc/services. Vazne, cim vice lidi se o problem zajima tim lepe.
Uz ted se tesim na debatu o /etc/passwd.

Domaci ukol jsem musel ponekud 'opravit'
Vite nekdo jak j e d n o z n a c n e zjistit,

Domaci ukol jsem musel ponekud 'opravit'
Vite nekdo jak j e d n o z n a c n e zjistit, z jakeho OS se uzivatel hlasi k
Internetu?
Smite se 'divat' jen na porty.
(Vetu 'Nemate k dispozici zadne specialni aplikace' vypoustim - diky za pripominku)

OS ? OS jednoznacne? Pokud by to znamenalo rozlisit Linux, dalsi Unixy (jednoznacne) a pak rodinku Win, pak www.insecure.org/nmap :)

No, s tim 'stealth' to trochu prehaneji, ne?
Kdyz si necham bezet ssh (jakoze si to nechat
bezet CHCI), tak stejne poznaji, ze pocitac
odpovida aspon na jednom portu, pak uz je celkem
jedno jestli ostatni jsou 'stealth'....

Horsi nez BFU je clovek, ktery pise o bezpecnosti a nerozumi ji.

/etc/services slouzi v podstate volani getservbyname(3), ktera prevede jmeno sluzby na cislo portu.
Ruzne programy si to mohou delat po svem, a kdyz zaznam neexistuje, tak dosadit default nebo mit napsane v konfiguraci, na ktery port se spojit.
Klasickym pripadem muze byt apache. Zakomentovanim www se apache nezastavi.

Skoda, skoda. Tak ten clanek vypadal zajimave a na konci uplny blabol. Byt Vami tak ho radsi nejak opravim, at zbytecne nematete uzivatele.

Jo a neskodilo by si precist nejakou knihu o bezpecnosti.

pane autore, skutecne jste presvedcen, ze finger a telnet jsou jedinymi a otevrenymi dvermi do systemu? k blabolum o /etc/services a restartu linuxu, kvuli ukonceni a spusteni inetd uz se nebudu vyjadrovat - to ucinili jini. nejsem zadny unix guru, ale s cistym svedomim si dovolim prohlasit, ze jste lamer jako krava... pokud mate zajem me presvedcit, ze je toto tvrzeni nepravdive, staci se domluvit, ja vam necham na verejne ip masinu s povolenymi porty telnet a finger a muzete mi to predvest. esli se vam to povede, verejne sezeru svy stary papuce! jo, mimochodem, kdyz jste si tak jisty bezpecnosti sveho stroje, proc ten vymaz ip adresy z reportu???

Skutecne jste si precetl cely clanek pozorne a k tomu veskerou dokumentaci na www.grc.com + ty tri zminovane clanky?
Ne?! Tak to by ale chtelo:-) Ony tri clanky a grc jsou totiz zaklad. A k tomu telnetu a fingeru. nejsou to jedine diry. Nicmene finger docela vede (neberu-li potaz na top ten bezpecnostnich chyb). Firewall si mnou popsanym zpusobem nepostavite. To ani nebylo ucelem clanku. Nicmene ony 'dva Krizky' pouzivaji stavitele firewallu a to pri ladeni svych 'hradeb'. Mimochodem, zkuste si na vasi masinku s povolenymi porty telnet a finger (a povolenym, neupravovanym inetd) pustit nmap.
Ach Linuxici, proc jen jsme tak nesnasenlivi a nekdy i zbrkli:-)))))
Ostatne pan Janda dostal za svuj clanek na Svete Namodro pekne vynadano, nicmene mame na svete kernel 2.2.16
Jen mne mrzi, ze se autorovi dostalo posmechu namisto uznani.

Pan autor je slusny demagog. Mozna by to mel
zkusit v politice, jiste by se tam uplatnil. Tam
totiz, zda se, nevadi, ze clovek nevi o cem mluvi,
hlavne ze to umi okecat.
Precetl jsem vsechny clanky, o kterych zde autor
mluvi a presto musim souhlasit s jeho odpurci.
Asi mam male sebevedomi, ale se svymi znalostmi problematiky
(urcite vetsimi, nez ma autor clanku) bych se neodvazil
publikovat v odbornych mediich. Nasemu autorovi zjevne sebevedomi nechybi.
Kdyby mel alespon odvahu pripustit chybu...

Kdysi kdosi kdesi napsal: 'Ctenari by meli mit moznost otriskat autorovi spatnou knihu o hlavu.
V pripade elektronickych medii neni ani tato moznost, i kdyz bych mel sto chuti.

Napadl me logicky vyklad autorova zameru:
Je to hacker, ktery se snazi pripravit si mnozstvi
spatne zabezpecenych stroju pro svuj utok.