Bezpieczeństwo OpenSolaris

PomPom · Luty 13, 2024, 07:05:09 PM

Wzywam osoby z podwątku: https://forum.linuxiarze.pl/index.php?msg=34433

Fajnie się was czyta, tylko wątek nie o tym, więc założyłem ten na szybkości.

Dla mnie używanie systemów porzuconych tak dawno to całkiem obca rzecz, ale jak kogoś to interesuje, ma świadomość wad i nie poleca tego innym, to niech sobie używa. Polecanie takich rozwiązań też pewnie często poskutkuje najwyżej stratą czasu przez zainteresowanego, ale szanujmy czas innych.

Piotr_1988 · Luty 13, 2024, 09:15:02 PM

Dyskusja rzeczywiście jest ciekawa, więc kontynujmy tutaj... linux4ever, jakich systemów typu Unix używacie dla bezpieczeństwa w bankowości w Chinach? A propos, dołączam do subskrybentów 寰亞音樂.

microsofter · Luty 13, 2024, 11:30:33 PM

Dobry pomysł, niech tamten wątek zostanie o zrzutach.
Melduję się, jako sprawca zamieszania. Przy czym, OpenSolaris mam dopiero 2 dni, szerzej mogę napisać o pełnej wersji.

Cytat: sovtware w Luty 13, 2024, 05:18:20 PMbezpieczeństwo zależy jak to ktoś odbiera jest bardzo stabilny i to mi się podoba
wystarcza zainstalowanie

Stabilny a bezpieczny to osobne zagadnienia. Za przykład niech służy WinXP. Potrafi pracować miesiącami bez restartu, więc jest stabilny. Wystarczyło jednak wyłączyć w nim firewall, by szybko złapać robaka przez dzirę w RPC.

Cytat: Piotr_1988 w Luty 13, 2024, 05:08:31 PM"Powszechnie stosowany w bankowości" rozumiesz jako:
(A) Duży odset instalacji Solaris był w bankach.
(B) Duży odsetek banków używał Solaris.
Przypuszczam, że większość banków Solaris jednak nie stosowała (więc nie B), a co najwyżej istotna część w sumie rzadkich instalacji Solaris była w bankach (więc A).

Mogę się mylić. Najzwyczajniej mało mnie to przekonuje.

Zacytowałem czyjąś opinię z forum BSD, z dyskusji o Illumosie. Solaris jest używany w bankowości. W zbiorach Unix horror stories można poczytać, jakie numery odwalali admini Solarisa w bankach. Nie mam pojęcia, jaki jest faktyczny odsetek Sol w bankowości. Z pewnością jest to zależne od tego, na jaką platformę sprzętową postawił bank (Sparc = Solaris, Itanium = HP-UX, Power = AIX, x86 - może być cokolwiek).

Obecnie przeważa sprzęt x86, gdzie Solaris to najwyższa półka, ze względu na kompleksowe podejście do bezpieczeństwa. Rozumiem pod tym pojęciem, zaimplementowanie odpowiednich funkcji, a następnie drobiazgowe testy pod kątem dziur, przed wydaniem releasu. Uważam, że lepiej zapobiegać, niż polegać na łatkach.

Z instalatora Solarisa:

To nie reklamy, a fakty. Pod Zero overhead virtualization, kryje się Zones, czyli partycjonowanie systemu operacyjnego. Jak już nie raz pisałem, nie da się przejść z zony lokalnej do globalnej (rzeczywistego OS) ani innej lokalnej, więc nawet gdyby któraś została skompromitowana, reszta systemu będzie bezpieczna. Ba, z zony lokalnej, nawet nie da się sprawdzić adresu ani nazwy hosta zony globalnej, więc hacker nie ma żadnej podpowiedzi, co w ogóle atakować. Była jakaś sztuczka, aby zobaczyć jej nazwę, lecz zapomniałem ją, to skąd ma to znać jakiś haker, który łamie Windowsy i Linuxy.
Jeśli chcemy, możemy używać zony globalnej wyłącznie do zarządzania lokalnymi, nawet całkowicie odcinając od netu zonę globalną. Wtedy mamy system nie do zdobycia nawet przez Mitnicka. Linux nie ma podobnych zabezpieczeń.

Krok drugi, to testy każdego releasu przed wprowadzeniem do sprzedaży. Komercyjne systemy zawsze są rygorystycznie weryfikowane pod względem luk. Tu nie ma jak w Archu czy Fedorze: działa? super, a jak są bugi, to userzy zgłoszą. Płacąc Sunowi, HP, SCO, czy IBM, płacisz za jakość i swoje bezpieczeństwo.
Darmowy OpenSolaris nie przechodził takich testów, jak pełny Solaris. To jeden z czynników, dlaczego wzbraniałem się przed nim. Nie mam pojęcia, jak wygląda sprawa ewentualnych luk. Będę polegał na zones i firewallach, backup jest.

Ostatni krok, to właśnie firewall. U siebie, w zonie globalnej, mam wszystko odcięte na firewallu, oprócz portów 80 (będę uruchamiał Apache), ephemeral, i - otwarte tylko dla ruchu lokalnego - SMB, NFS i Telnet. Więc gdyby nawet ktoś pokonał zewnętrzny firewall, zatrzyma go ten w Unixie. IPFilter jest konfigurowany wyłącznie ręcznie. Nie przepuści niczego, co nie pasuje do jakiejś reguły, przepuszczającej konkretne pekiery (adres lub sieć źródła, cel, port źródłowy, docelowy, protokół). Podczas pracy na Solarisie 10, stworzyłem i dopracowałem swój obszerny zestaw reguł. Okresowo analizuję logi; adresy, skąd było najwięcej prób włamań, blokuję na amen. Jestem dobrej myśli!

Cytat: PomPom w Luty 13, 2024, 07:05:09 PMPolecanie takich rozwiązań też pewnie często poskutkuje najwyżej stratą czasu przez zainteresowanego, ale szanujmy czas innych.

Ja już dawno zrozumiałem, że polecać tutaj cokolwiek innego niż Linux, to strata czasu. Tak mi się chlapnęło ,,polecam", z rozpędu.

Nie da się zaprzeczyć, że OpenSolaris to już leciwy system, era Win7. Przełamałem się, bo to ostatnie chwile, kiedy można go poużywać. Jeśli nie sprawdzi się, wrócę do Sol10, albo przejdę na coś innego. Jak na razie, nic nie wskazuje na taką potrzebę. Legenda żyje i ma się dobrze!

Piotr_1988 · Luty 13, 2024, 11:50:06 PM

Cytat: microsofter w Luty 13, 2024, 11:30:33 PMJa już dawno zrozumiałem, że polecać tutaj cokolwiek innego niż Linux, to strata czasu. Tak mi się chlapnęło ,,polecam", z rozpędu.

Otóż nie. Ja np jestem bardzo otwarty na Unixy. Twój post jest niezwykle interesujący. Jest też bardzo prawdopodobne, że w przyszłości przesiadę się z Linuxa na Redox OS, ale ten system wciąż nie jest w gotowy i kilku lat jeszcze im trzeba.

Zastanawiają mnie możliwości zaatakowania Fedory w konfiguracji, w której mam FreeBSD w Virtualboxie pod Fedorą, a wróg zna mnie wyłącznie od strony FreeBSD.

microsofter · Luty 14, 2024, 12:03:17 AM

O, trafił się chociaż jeden user.
Z tym włamem to chyba na odwrót. Nie słyszałem, aby Fedora grzeszyła pod względem bezpieczeństwa. Chyba nikt tego nie używa w zastosowaniach profi. FreeBSD znajdziesz w wielu firmach. W US możesz nawet szukać pracy jako admin FreeBSD.

Ale tak do rzeczy, dostęp z gościa do hosta jest tylko przez neta, więc wszystko zależy od konfiguracji sieci i zapory.

Piotr_1988 · Luty 14, 2024, 12:37:15 AM

Prawdziwą przyczyną, dla której używam Fedorę Silverblue jako główny system jest bardzo wysoka bezawaryjność. Laptopa mogę najwyżej potrzastać młotkiem, ale na Silverblue ufam, że system nie odmówi uruchomienia przez błąd oprogramowania. Wiem, że istnieją systemy lepiej zaprojektowane pod kątem stricte antywłamaniowym, ale czy są równie bezawaryjne? Może zamiast przechodzić na inny system prościej jest postarać się popodkręcać konfigurację Silverblue? A może wystarczą dobre nawyki takie jak osobne przeglądarki do różnych czynności, kopie bezpieczeństwa, itp., itd.?

MSki · Luty 14, 2024, 11:02:07 AM

Dziwne mi się myśli kołatają w głowie i może podpowiecie mi, kto jest najbardziej narażony na ataki hakerskie i kto powinien stosować paranoidalne zabezpieczenia swojego systemu ?

Piotr_1988 · Luty 14, 2024, 07:02:57 PM

Cytat: MSki w Luty 14, 2024, 11:02:07 AMDziwne mi się myśli kołatają w głowie i może podpowiecie mi, kto jest najbardziej narażony na ataki hakerskie i kto powinien stosować paranoidalne zabezpieczenia swojego systemu ?

Polecam interesującą rozmowę sprzed tygodnia z gen. dyw. Karolem Molendą, dowódcą komponentu Wojsk Obrony Cyberprzestrzeni:
https://www.youtube.com/watch?v=rwDbiKutDbc
Otóż w roku 2024 w cyberprzestrzeni Polska jest najintensywniej atakowanym krajem świata. Oczywiście dużą część ataków dokonują grupy działające dla rządu Rosji. Niemniej ataki są z różnych stron świata, ja np. byłem atakowany po tym, jak zainteresowałem się info o żydowsko-amerykańskim terroryźmie na Bliskim Wschodzie.

Inną kwestią jest pospolita cyberprzestępczość. Prześledźmy artykuły na Linuxiarzach: https://linuxiarze.pl/category/swiat/
Choćby tutaj czytam:

CytatAtaki ransomware to wciąż kwestia ,,kiedy", a nie ,,czy": 76% firm zostało zaatakowanych co najmniej raz w ciągu ostatnich 12 miesięcy. Chociaż liczba ta spadła z 85% w 2023 r., 26% przedsiębiorstw zostało w ubiegłym roku zaatakowanych co najmniej cztery razy.

Liczę na to, że Linux + dobrze znane dobre praktyki (czyszczenie przeglądarki, kopie bezpieczeństwa, wszędzie inne hasło, itp., itd.) wystarczą w ochronie przed zwykłymi cyberprzestępcami. Pytanie jest o możliwości techniczne wrogich Polsce państw, a z tego co rozumiem ich działania są obecnie w tendencji rosnącej.

Edit: MSki, wniosek jest taki, że musimy szykować się na wojnę...

CDeB · Luty 14, 2024, 11:50:03 PM

Jeżeli to kogoś interesuje, to kwestii bezpieczeństwa Linuxa, jest fajny wykład / szkolenie po polsku na YouTube Wprowadzenie do bezpieczeństwa Linuxa.
Za darmo można się zapisać na drugą część pt.: analiza powłamaniowa w Linuksie.

Ciekawych rzeczy można się dowiedzieć...

MSki · Luty 15, 2024, 12:48:09 PM

Cytat: Piotr_1988 w Luty 14, 2024, 07:02:57 PMja np. byłem atakowany po tym, jak zainteresowałem się info o żydowsko-amerykańskim terroryźmie na Bliskim Wschodzie.

..a może, nie mając w przeglądarce zainstalowanych odpowiednich rozszerzeń, po prostu nadziałeś się.
Kiedyś dobrą praktyką np. w Debianie było udostępnianie wszystkich DVD/CD z programami dla systemu, obecnie udostępniana jest tylko jedna DVD/CD, aby system można było zainstalować. Dostęp do internetu, to świetna sprawa, ale czasami zabójcza dla systemu i sprzętu.
A co do wojny ..ona już trwa, trwa od czasu, kiedy wymiana informacji itd. itd. ..nie ma sensu moralizować.

Piotr_1988 · Luty 17, 2024, 10:25:55 PM

Cytat: CDeB w Luty 14, 2024, 11:50:03 PMJeżeli to kogoś interesuje, to kwestii bezpieczeństwa Linuxa, jest fajny wykład / szkolenie po polsku na YouTube Wprowadzenie do bezpieczeństwa Linuxa.
Za darmo można się zapisać na drugą część pt.: analiza powłamaniowa w Linuksie.

Ciekawych rzeczy można się dowiedzieć...

Interesujące. Myślę o napisaniu jakiegoś skryptu lub programu zainspirowanego tym wykładem, gdyz część z pokazywanych rzeczy da się zautomatyzować.

microsofter · Luty 27, 2024, 02:26:12 PM

Bezpieczeństwo bezpieczeństwem, a tymczasem rozpykałem OpenSolaris. Jestem mega zadowolony, system zostaje. Już wiem, że przejście na Linuxa byłoby pomyłką i krokiem wstecz.

Tydzień przed migracją, po wtępnych testach, musiałem kupić nową kartę graficzną (podobnie, jak niegdyś Viście). Oto, dlaczego osol nie chciał działać na starej:

Jest sztos! Pewnie stoi za tym I. Murdock. Wiedziałem, że Sun wrzucił do osol, pod maskę, wszystko co najlepsze, ale nie spodziewałem się efektów graficznych rodem z Visty. Piękny ukłon w stronę domowych userów. Dzięki, Ian!

Do pełni szczęścia przydałyby mi się jeszcze:
- FontConfig 2.8 (musi być dla OpenSolaris, nie działa wersja dla Solaris 10),
- ipkg ,,Entire Incorporation" (prawdopodobnie to plik entire@0.5.11,5.11-0.111:20090514T145840Z).
Jakby kto miał, dajcie głos.

Unix wiecznie żywy, pozdro dla userów!