Witaj na Forum Linuxiarzy
Zanim zalogujesz się, by pisać na naszym forum, zapoznaj się z kilkoma zasadami savoir-vivre'u w dziale Administracja.
Wiadomości z problemami zamieszczone w wątku "Przywitaj się" oraz wszelkie reklamy na naszym forum będą usuwane.

Antywłam

Zaczęty przez 7dni_z_linuxem, Listopad 18, 2018, 03:40:20 PM

Poprzedni wątek - Następny wątek

7dni_z_linuxem

Witajcie

Ponad tydzień temu na iOS i w nim iClouda próbował mi się ktoś włamać co oznacza,że widzi moje dane logowania,dlatego usunąłem Windowsa 10 i mam Linuxa Mint 19 Tara.
Jak mogę zabezpieczyć Linuxa? Zapora sieciowa,antywirus jakiś VPN?
Chodzi o to żeby nie było można "mnie podglądać i wejść do mnie"

TataPingu

@7dni_z_linuxem
Groch z kapustą !
- możesz nam przybliżyć, co właściwie chcesz zabezpieczyć, iOSa, iClouda, Twojego PCta, i o jakie zabezpieczenie Ci chodzi, z zewnątrz, w sieci lokalnej ?

Poza tym, do czego chcesz VPNa, do połączeń z iClodem ?

7dni_z_linuxem

Niema tematu iClouda ani iOSa,chce zabezpieczyć komputer jak tylko się da

pavbaranov

Antywirus - np. clamav
Firewall - (o ile on w ogóle sens ma w samym komputerze) - np. iptables.
W jednym i drugim przypadku bywają w dystrybucjach dostępne nakładki (GUI), które lekko ułatwiają konfigurację.

7dni_z_linuxem

super to poinstaluje to,a VPN i Tor ma sens? Nie chce żeby ktokolwiek widział co robię

pavbaranov

Garnek na głowę, tylko bez antenek i cały w folii aluminiowej.
Poważnie - praktycznie nie ma takiej możliwości.
Tor? Teoretycznie daje brak możliwości wyśledzenia połączenia. Teoretcycznie.
VPN...
Sorry, ale to każdym systemie funkcjonuje.
Dodatkowo jeszcze brak ciasteczek, określone oprogramowanie itd. itp.
Jedyna możliwość braku zobaczenia tego co robisz - brak robienia czegokolwiek, a już nie daj boże przy połączeniu z siecią.
Inna sprawa, że oceń sobie prawdopodobieństwo zainteresowania się przez kogokolwiek akurat Twoim komputerem. Tzw. normalny użytkownik pada zwykle ofiarą różnego rodzaju ataków na własne życzenie, a nie dlatego, że ktoś, celowo się do niego akurat włamał.
Polecam portal bodaj bezpiecznik.pl - chyba tam znajdziesz informacje, które Cię interesują.

7dni_z_linuxem

Dobra dzięki za wskazówki

D35CART35

CytatPolecam portal bodaj bezpiecznik.pl
A czy nie chodzi o niebezpiecznik.pl?

pavbaranov

@D35CART35 - Tak, oczywiście.

PS: Ot, śmiesznostka taka sprzed bardzo wielu, wielu lat. Miałem wówczas WinXP, który nabywał jakieś dziadostwo z sieci przy pierwszym połączeniu. Wprawdzie MS przygotował jakąś łatkę, no ale... cóż, wpierw należało się podłączyć do sieci i wówczas - jak najbardziej, owe dziadostwo było łapane.
Niezbyt wielką wiedzę miałem, ale wiedziony tym doświadczeniem, wiedziałem już - WinXP muszę zabezpieczyć. Przeszukałem sieć, zainstalowałem co tylko mogłem, by chroniło. Ufff... zabezpieczyłem. Wszędzie widniało, że mój komputer nie jest widoczny z sieci, za wirusy najnowsze oprogramowanie, za trojany, za malware, za spyware... itp. itd.
Bardzo udanie zabezpieczyłem, albowiem przy próbie włączenia systemu za żadnego diabła WinXP nie dopuścił mnie, jako swego użytkownika do jego uruchomienia :)

hobbysta

Pierwsza rzecz to wyłącz TavaScripta w przegądarce - ale wtedy stracisz większość zabawy. Ale poważnie na pc-ecie to własnie przeglądarki są głównym zródłem problemów. 100% bezpieczny system - to tylko wirtualizacja - stawiasz jednego Linuxa - gospodarza - a na nim drugiego - gościa - i na gościu pracujesz na co dzień. Gospodarz jest właśnie po to aby monitorować - włamania, ustawia się na nim firewalla itp. Dla paranoików jest prywatna sieć między gospodarzem i gościem. Wirualizacja: Xen, VirtualBox albo qemu. Xen najbardziej skomplikowany. VirtualBox najprostszy i najbardziej przyjazny. Ale co znaczy nie być widocznym? To chyba tylko publiczna Wifi + VPN + inne historie - ale sory nie wiem do czego ci potrzebne. Czy jesteś jasna czy ciemna strona mocy.   

TataPingu

#10
@7dni_z_linuxem
- wszystko zależy od tego, "jak daleko (czy głęboko") chcesz "zniknąć"...

Czy tylko chcesz się na tyle zabezpieczyć, by nikt nie dostał się do Twoich danych, ew. danych transmitowanych w sieć, czy też chcesz "zakamuflować" drogi, którymi poruszałeś się w sieci, czy miejsca, które "odwiedzałeś".

Zniknąć CAŁKOWICIE po prostu się nie da (no, chyba, że odłączysz PCta od sieci i napięcia ;)). Nawet gdybyś używał TORa, to i tak Twoje "ruchy" w sieci są znane. Co prawda nie wszyscy są w stanie je wyśledzić, ale na poziomie sieci TORa nie ma tajemnic co tam porabiałeś.
Weź również pod uwagę, że TOR nie nadaje się do codziennego użytku.

Takim realnym zabezpieczeniem dla zwykłego użytkownika może być sposób opisany przez Kolegę "hobbystę".
Wirtualna maszyna plus ew. VPN. Mając np. znajomych w Rosji, którzy "udostępnią" Ci tunel VPN z którym "sprzęgnesz" jedną z VM na Twoim PCcie, możesz się poruszać po sieci, jakbyś to robił bezpośrednio z Rosji.
To jednak wcale nie oznacza, że w sieci nie ma Twoich śladów

webrunner

Co prawda zdaję sobie sprawę, że odgrzewam starego kotleta, niemniej jednak mam wrażenie, że nikt profesjonalnie nie pokusił się od udzielenie odpowiedzi.

Kilka zasad bezpieczeństwa w przypadku tego wątku wygląda zm ojego punktu widzenia tak:
1. Zaorany na zero dysk (wyzerowany) - paranoid mode, lub zwyczajnie sformatowany i utworzone na nowo partycje dla wybranego systemu.
2. Wybrać można Whonix, Tails lub (polecam) Qubes OS
3. Zainstalować tylko i ten wyłącznie system.
4. Stworzyć "lewe" konta duchy na gmail, outlook, wybrana poczta mail, wybrane profile duchy na kontach społecznościowych jak FB, Instagram itp.
5. Nigdy nie logować się z tego komputera do żadnego banku i nigdy nie używać na nim poprzednich kont mail oraz społecznościowych ze swojej przeszłości sprzed instalacji w/w systemu. Czyli wyznaczamu zero date i od tej pory na tym komputerze używamy tylko i wyłącznie powyższych kont.
6. Do sieci wi-fi łączymy się tylko i wyłacznie za pomocą VPN
7. VPN kupujemy  jakiegoś dostawcy VPN , może to być Nord albo jakiś inny, lub własny VPN server, jeśli się ma gdzieś takowy, lub można go założyć, oczywiście na "duchowne" dane, czyli nie te prawdziwe.
8. Instalacja iptable, nftables, firewalld, ufw, czy jakiegoś GUI dla firewall - to podstawa na dzień dobry.
9. Opcja paranoid dla obcykanych ,  włączony domyślnie w najnowszym debian 9.9 (sic! dopiero?) AppArmor - zalecam zainstalować
10. Ewentualnie dla dystrybucji z rodziny Red Hat (jak CentOS, Fedora itp.) SELinux (nie taki diabeł straszny jak go malują i jestem w stanie dostarczyć po polsku przystępny tutorial do jego konfiguracji) w sumi do AppArmor też. Ten ostatni łątwiejszy w sumie, ale mniej restrykcyjny w stosunku do SELinux.
11. Wersja bardziej paranoid mode, to postawienie specjalnego firewall między przyłączem Internetu w domu a maszynami za firewall. Można użyć IPFirewall lub IPcop lub coś podobnego, ewentualnie przykładowo jakiś router Mikrotik, który ma już w sobie firewall. Ustawienie regułek firewall i oczywście dopuszczanie do tego routera tylko maszyn na podstawie adresu MAC karty sieciowej (tak wiem o klonowaniu MAC adresów), można na sztywno poprzypisywać adresy IP na routerze maszynom i na ich podstawie dopuszczać do ruchu (wymagana wiedza z zakresu filtrowania ruchu - bardzo skompikowane to nie jest). Zezwalasz na ruch lub go blokujesz dla określonych portów.
12. Włączenie na routerze przykładowo sondy IDS/IDP jeśli ją posiada, plus włączenie zabezpieczenia antyDDoS.
13. Wersja dla tych, co mają w domu serwer poczty, www i na zewnątrz udostępniają - aczkolwiek to wiedzą. Sprzętowy firewall/IDS/IDP - np. jakiś HP router, albo Zyxel USG, lub jakiś Cisco - dość droga rzecz, ale przydatna.
14. Można jakiś skaner ruchu zaintalować na takim firewall , o którym mowa w punkcie 11 (jakis zwuykły desktop miałem na myśli w roli tego firewall). Może być np. snort.
15. Do wykrywania zmian plików w Linux może być np tripwire.
To tak z grubsza jeśli chodzi o podstawy bezpieczeństwa.

TataPingu

Cytat: webrunner w Kwiecień 30, 2019, 12:12:36 PM
....

No, można....
- tylko po co ?

Co do IPFirewall (IPFire) lub IPcop, to ten drugi nie jest już rozwijany, ale IpFiere jest godne polecenia...

A co do sprzętów CISCO, to Kolega chyba nie jest świadomy, co w nich się wbudowywało (w porozumieniu z NSA)...

Zobacz najnowsze wiadomości na forum