Сайт | Скачать | Видео | Wiki

Автор Тема: Безопасность PRA: защитный экран (firewall), пароли  (Прочитано 8080 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Пол

  • Постоялец
  • ***
  • Сообщений: 146
  • Репутация: +0/-0
Про антивирус  и файрвол можно подробнее.
Обязательно ли менять пароль и (или) пользователя(на не root )
 при frugal установке?

vuurmuur
« Последнее редактирование: 10 Октябрь 2017, 14:37:41 от sfs »

Оффлайн sfs

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 24916
  • Репутация: +176/-0
    • PuppyRus-A
Re: Безопасность PRA: зашитный экран, пароли
« Ответ #1 : 14 Сентябрь 2017, 13:25:29 »
http://forum.puppyrus.org/index.php?topic=16491.msg104453#msg104453
Антивирус в линуксе для параноиков или проверки винды
Фругал с сохраненкой в модуль неубиваем. Отключаем в биос винты, грузимся с флэша copy2ram, вытаскиваем флэш. Творим что угодно. Все проблемы вылечит reboot
А вообще - фотки, файлы - в любом случае надо бэкапить

Если открытых портов нет (посмотреть : netstat -lptn) и вы в серой домашней сети за NAT - фвол тоже для параноиков. Новички  получат больше проблем от неправильно настроенного фвола, чем от его отсутствия . Фвол (iptables) есть в ПРА, но не настроен
Пароли в этом случае менять особого смысла нет. При физическом доступе врага к компу с любой системой поможет только шифрование. Остальное - только от лохов

Если открытые порты есть (ftp ssh ..) торчат в инет - дефолтные пароли надо менять
Если доступ к открытому надо ограничить по ip - фвол или аналогичные ограничения в конфигах сервисов (не везде есть)
« Последнее редактирование: 07 Октябрь 2017, 08:23:12 от sfs »

Оффлайн sewar

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 458
  • Репутация: +15/-0
Надо ли меня пароль и (или) пользователя ( на не root)
по умолчанию вы работаете под юзером live с паролем woofwoof.
менять пароль конечно можно, ...а зачем?
разграничить профили пользователей, как в винде?..сомневаюсь, что ПРА юзают несколько чел на одном компе и им ружны разные профили с разными паролями..
и кстати да - как создать нового юзера?

Оффлайн sewar

  • Модератор
  • Ветеран
  • ****
  • Сообщений: 458
  • Репутация: +15/-0
Можно что-нибудь про антивирус и файрвол сказать?
если у вас фругал - система неубиваема!
да и в обычных линуксах без всяких файероволов и антивирей все достаточно надежно..не думайте об этом!

Оффлайн sfs

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 24916
  • Репутация: +176/-0
    • PuppyRus-A
Re: Безопасность PRA: защитный экран, пароли
« Ответ #4 : 14 Сентябрь 2017, 14:55:28 »
разграничить профили пользователей, как в винде?..сомневаюсь, что ПРА юзают несколько чел на одном компе и им ружны разные профили с разными паролями..
если нужны - лучше сделать несколько сохраненок для разных юзеров
Создать нового юзера тоже можно: useradd , но придется копировать конфиги, менять права и я не уверен, что-где нибудь в скриптах не "прибито" к live

Оффлайн sfs

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 24916
  • Репутация: +176/-0
    • PuppyRus-A
Re: Безопасность PRA: защитный экран, пароли
« Ответ #5 : 14 Сентябрь 2017, 16:09:21 »
А можно отключить винчестер
(не в биос) через меню загрузки,
уже после загрузки с него в ОЗУ.
Можно только отмонтировать. Далее пример паранойи
Если вас хакнут и получат root - примонтируют и все поудаляют :)
А что если full,тогда как с безопасностью?
Хуже чем у фругал:
reboot мало что исправит , большинство изменений не откатить назад
носители не отмонтировать

Про фвол и юзера одинаково

При фул как правило юзер сам себе может навредить больше, чем все хакеры мира - и это уже правда жизни, а не паранойя  :)
« Последнее редактирование: 14 Сентябрь 2017, 16:13:25 от sfs »

Оффлайн Roader

  • Ветеран
  • *****
  • Сообщений: 523
  • Репутация: +18/-0
Re: Безопасность PRA: защитный экран, пароли
« Ответ #6 : 15 Сентябрь 2017, 09:07:22 »
Имхо, проще всего:
1. Поменять пароли root & live.
2. Сделать отдельный модуль(какой-нибудь 099-psw) из /etc/shadow
3. При любых изменениях . Только перенести модуль в другую систему. И больше не заморачиваться.

Оффлайн Пол

  • Постоялец
  • ***
  • Сообщений: 146
  • Репутация: +0/-0
Re: Безопасность PRA: защитный экран, пароли
« Ответ #7 : 16 Сентябрь 2017, 20:03:45 »
Спасибо за ответы.

Оффлайн Ekim

  • Старожил
  • ****
  • Сообщений: 306
  • Репутация: +5/-0
Цитата
3 Установлен антивирус и файрвол.
Ну как бы в линуксе файрвол на уровне ядра присутствует уже лет двадцать - iptables  ;D
Антивирус практически не востребован.

Кстати, sfs, вам не сложно сделать модуль GUFW?   

Оффлайн sfs

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 24916
  • Репутация: +176/-0
    • PuppyRus-A
Re: Безопасность PRA: защитный экран, пароли
« Ответ #9 : 21 Сентябрь 2017, 09:22:13 »
сделать модуль GUFW?   
https://www.archlinux.org/packages/community/any/gufw/ тут такие зависимости, что он больше базы получится - не наш метод

Для серьезного фвола идеален:
https://www.archlinux.org/packages/community/any/shorewall/

Если совсем просто (на sh) - из пупи взять

Оффлайн orion

  • Пользователь
  • **
  • Сообщений: 34
  • Репутация: +0/-0
pra6407-1709light.iso - извините, но это сетевое решето!
« Ответ #10 : 07 Октябрь 2017, 01:52:41 »
Этот вопрос, как я убедился, уже поднимался много раз, даже в отдельной теме о Firewall (далее FW), но многоуважаемый SFS упорно отказывается решить эту проблему, отделываясь отговорками.

PuppyRus использую более года, считаю систему очень перспективной для домашнего пользования, но из-за отсутствия FW, применять ее для серьезных работ, даже дома не решаюсь. Нравится высочайшая производительность (равных в мире нет) стабильность работы в последнем релизе, программы очень оптимизированы, надежны в работе, есть мелкие огрехи с утилитами, идущими в комплекте с окружением, но это дело поправимое. И вот опять, отсутствие FW!

Из-за этого решил попробовать аналогичное детище Барри Кулера (далее Барри), все таки профессор по образованию, если не ошибаюсь – специалист по безопасности сетей.

Скачал, установил, пришел в восторг от всего, показалось, что PuppyRus отодвинули. Но, главное, – имеется FW, простенький, но такой надежный – не пробьешь ни чем! К сведению замечу, что в Mint тоже есть FW, но когда его проверишь, поймешь, что сплошной обман для не знающих вопроса. Однако, когда поработал с детищем Барри, оказалось, что проблем столько при фактической работе программ и утилит, что даже наличие FW не заставило меня остаться на этой системе. Вот, те и профессор! Вернулся снова на родной и любимый PuppyRus.

Почему поднял эту тему настойчиво?

Да, PuppyRus не убиваем в принципе! Но во время работы, если по сети можно пробраться тем или иным способом в систему (а для этого существуют открытые порты), то ни о какой безопасности речи быть не может и такую систему, лично я, всегда бракую по принципу. ИМХО!

В Интернет сейчас очень много программ, которые призваны проверять ОС на возможность проникновения в них по сети, а соответственно, при наличии опыта и инструментов, делать в ней все, что угодно, и пользователь даже знать этого не будет. Это называется хакерством. Специалисты по этим вопросам единодушно пришли к выводу о том, что и Linux в этом отношении не исключение, как и Windows. Известно, что при опыте и возможностях хакер может даже получить права root! Только бы система была открыта и получить доступ к открытым портам.

Вот поэтому и ставят FW, но такой, который бы напрочь закрывал систему от внешнего вторжения. FW у Mint – этого не обеспечивает, хотя очень красивый внешне. FW у Барри – внешне монашеский вид, неприглядный, но закрывает систему напрочь, пробить невозможно в принципе! Аналогично имеет место и у ROSA – простенький, понятный, но не пробьешь, если включишь (по умолчанию он отключен). Замечу, что производительность при этом не падает!

Извините, уважаемый SFS, но даже Ваш последний, очень понравившийся нам кладбищенский релиз, как и прежние сборки, -  решето, никуда негодное!

Вот как я это проверяю: из кучи программ для этого в Интернете выбираю программу Х-Scan версии 2.3 (только ее, потому что другие, поздние версии показывают высочайшую защищенность на всех дырявых системах, даже PuppyRus). В этой старой версии стоит троян, предназначенный для открывания портов и сканирования системы по множеству протоколов. Эта программа работает под Windows NT и далее (официально до 2000), но у меня работает на XP. Я ее ставлю на нетбуке. Запускаю PupyyRus, затем свой нетбук с Х-Scan 2.3, указываю в программе IP PuppyRus, и смотрю: программа прямо показывает, что как минимум шесть главных портов для работы основных протоколов открываются, а затем программа сканирует систему по остальным параметрам. Все, такую операционную систему надо браковать, и использовать могут только женщины-домохозяйки, которые говорят просто: а нам вирусы и шпионы не мешают, нам скрывать нечего!

Когда проверяешь Барри и ROSA – программа Х-Scan 2.3  показывает, что к данным системам невозможно даже подключиться, они в сети просто отсутствуют. Вот, что такое FW! ИМХО!

Уважаемый SFS! Когда же Вы, умнейший и талантливейший человек, перестанете заниматься отговорками и сделаете Вашу систему достойной внимания серьезных пользователей, а не домохозяек или начинающих пользователей-чайников, которые еще не обучились азам сетевой безопасности?

Пожалуйста, установите FW, подобный у Барри или ROSA, или хотя бы сделайте модуль, чтобы мы могли его сами подключить! Поймите нас правильно, потому что без FW лично моя семья и я не работаем с системой серьезно и долго в сети. Спасибо за возможность высказать свое мнение.
« Последнее редактирование: 07 Октябрь 2017, 14:08:57 от orion »

Оффлайн Pro

  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 10172
  • Репутация: +103/-0
Re: pra6407-1709light.iso - извините, но это сетевое решето!
« Ответ #11 : 07 Октябрь 2017, 02:44:21 »
Ну и какие порты открыты? Воды много а главного нету.
И что смогла сделать ваша программа с этими портами? Я не вижу в тексте в чем уязвимость?

На серверах 80 порт много у кого открыт - все сервера решето.
Я загружаю новые пакеты сюда: http://file.puppyrus.org/users/ а дальше можно найти самостоятельно.

Оффлайн sfs

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 24916
  • Репутация: +176/-0
    • PuppyRus-A
Re: Безопасность PRA: защитный экран (firewall), пароли
« Ответ #12 : 07 Октябрь 2017, 08:32:28 »
Объединил темы
решето, никуда негодное!
Выше все написал
Фвол в пра из коробки - боитесь хакеров - настраивйте. Гуя нет , т.к.  неумелых руках от фвола больше проблем чем пользы. Надо гуй - вот

выбираю программу Х-Scan
Уверены что эта прога вас уже не похакала ?  :D
Новичкам будет значительно полезнее знать не про фвол, а про то что качать и запускать что попало небезопасно и фвол от этого должен стоять в голове

Чтобы дальше что-то обсуждать покажите вывод netstat -ltpn

Оффлайн DdShurick

  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 6557
  • Репутация: +163/-0
  • Старый чайник
Re: Безопасность PRA: защитный экран (firewall), пароли
« Ответ #13 : 07 Октябрь 2017, 09:17:42 »
PuppyRus
Не путайте PuppyRus с PRA. PRA это puppy-подобный Archlinux.
решето, никуда негодное!
Вот-вот! Особенно sudo.
качать и запускать что попало небезопасно
Это вы про PRA? :D
вывод netstat -ltpn
Richy-219:
Код
# netstat -ltpn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name   
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      3404/cupsd
Моноблок Lenovo IdeaCentre c200 (Intel Atom D525, Intel GMA 3150)
Netbook Acer 722 c6ckk (AMD C-50 Ontario, Radeon HD 6250)
Nettop Asus Eee Box PC B202 (Intel Atom N270, intel GMA 950)
Nettop Asus Eee Box PC EB1007 (Intel Atom D425, Intel GMA 3150)

Оффлайн sfs

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 24916
  • Репутация: +176/-0
    • PuppyRus-A
Re: Безопасность PRA: защитный экран (firewall), пароли
« Ответ #14 : 07 Октябрь 2017, 09:24:07 »
Не путайте PuppyRus с PRA. PRA это puppy-подобный Archlinux.
Линкус он и в Африке линукс. iptables везде одинаковый
Вот-вот! Особенно sudo.
См. выше. Что мешает перенастроить?
Это вы про PRA?
Нет про Richy-219  :D
Код
tcp        0      0 127.0.0.1:631
127.0.0.1 - доступ только с этого компа - т.е. безопасно, фвол тут не нужен
В пра - по дефолту открытых портов нет