Re: Installation utan brandvägg ?
On 11 Nov 2014 08:40 +0100, from anders.wallenqu...@kreawit.se (Anders Wallenquist): Vari ligger rädslan för intrång? En brandvägg innebär i huvudsak att stänga portar. Det är först när du installerar tjänster på din maskin som du utsätter dig för risker som en brandvägg kan råda bot på, så länge du installerar väldefinierade tjänster från Debians repository så har du en god nivå på vardagssäkerhet. Debian installerar få tjänster i onödan och inga bakdörrar som du är drabbad av utanför Linux-världen. Det har ju funnits problem på lägre nivå än enskilda tjänsteimplementationer eller enskilda protokoll. http://www.cvedetails.com/vulnerability-list/vendor_id-33/product_id-47/cvssscoremin-9/cvssscoremax-/Linux-Linux-Kernel.html Där finns en hel hög med buggar i Linuxkärnan med Authentication Not required, Access Remote och åtminstone några stycken med Gained access level Admin. Finns helt säkert andra motsvarande sidor, jag googlade på linux remote exploit och ovanstående var en av de träffar som hamnade högst upp i listan. En stor källa till sårbarheter är webbläsaren och plugins som t ex Flash. En annan är installation av främmande programvara utanför Debians repositories. Visst är dessa realistiska angreppsvägar efter installation, men ingendera är speciellt trolig som något problem under installationen, och du kan se till att all programvara är helt uppdaterad innan du börjar använda systemet till något annat än just att installera det grundläggande operativsystemet och applikationer. Ja, risken att man råkar ut för något under installationen är hyfsat liten. Men varför ska man ta en risk som med relativt små medel kan undvikas? Varför kan Debians installationsmedia _inte_ ha en grundläggande uppsättning brandväggsregler i iptables som standard? Vilket skulle problemet vara för en normal användare om det gjordes, och kanske kunde stängas av med en bootparameter de få gånger som det verkligen behöver göras (medvetet val från användaren/administratören)? Jag håller med om mycket av det du säger att det finns annat också att ha koll på, men förstår inte varför det skulle göra att en enkel brandväggskonfiguration (ordnat av bootskripten) i Debians installationsmiljö skulle göra aktiv skada. I de fall du säger (inga sårbarheter finns i miljön) så skulle ju nyttan i stort sett vara noll, och finns det sårbarheter som kan utnyttjas men som inte är allmänt kända i de programvaror som används under Debianinstallationen (inklusive Linuxkärnan) så minskar man markant angreppsytan för en yttre angripare. Tillför en bootparameter typ `firewall=accept-all` för att avaktivera brandväggen om det av någon anledning behövs. På vilket sätt är det en nackdel anser du? -- Michael Kjörling • https://michael.kjorling.se • mich...@kjorling.se OpenPGP B501AC6429EF4514 https://michael.kjorling.se/public-keys/pgp “People who think they know everything really annoy those of us who know we don’t.” (Bjarne Stroustrup) -- To UNSUBSCRIBE, email to debian-user-swedish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/2014083808.gb22...@yeono.kjorling.se
Re: Installation utan brandvägg ?
On 11 Nov 2014 08:40 +0100, from anders.wallenqu...@kreawit.se (Anders Wallenquist): Debian installerar få tjänster i onödan och inga bakdörrar som du är drabbad av utanför Linux-världen. *host* OpenSSL slumpgeneratorn *host* http://www.theregister.co.uk/2008/05/21/massive_debian_openssl_hangover/ Skulle förvisso inte ha avhjälpts av en brandvägg, men att Debian-maintainers är inne och petar i källkoden även till hyfsat säkerhetskritiska komponenter vet vi ju, och misstag sker alltid. -- Michael Kjörling • https://michael.kjorling.se • mich...@kjorling.se OpenPGP B501AC6429EF4514 https://michael.kjorling.se/public-keys/pgp “People who think they know everything really annoy those of us who know we don’t.” (Bjarne Stroustrup) -- To UNSUBSCRIBE, email to debian-user-swedish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/2014084317.gc22...@yeono.kjorling.se
Re: Installation utan brandvägg ?
Den 2014-11-11 09:43, Michael Kjörling skrev: On 11 Nov 2014 08:40 +0100, from anders.wallenqu...@kreawit.se (Anders Wallenquist): Debian installerar få tjänster i onödan och inga bakdörrar som du är drabbad av utanför Linux-världen. *host* OpenSSL slumpgeneratorn *host* http://www.theregister.co.uk/2008/05/21/massive_debian_openssl_hangover/ Skulle förvisso inte ha avhjälpts av en brandvägg, men att Debian-maintainers är inne och petar i källkoden även till hyfsat säkerhetskritiska komponenter vet vi ju, och misstag sker alltid. Givetvis finns det då och då sårbarheter även i Linux-kärnan, men till vardags kan vi, IMHO, lita på den. Vill du ha extremt hög säkerhet så kräver detta självklart andra åtgärder. Problemen i OpenSSL har iofs varit otippade, men mest förvånande är att tunga användare med miljarder i utvecklingsbudget inte investerat mer i den tekniken, utan tagit den för given. Vardagsanvändare måste bestämma sig för vilken leverantör av programvara man litar på och sedan göra det och har då all rätt att ta säkerheten för given - i alla fall anse att säkerheten är tillräckligt hög. Allt annat är oekonomiskt. Är Debian bättre än Fedora eller Suse - så håll fast vid den leverantören. Litar du mer på RHEL eller Ubuntu, håll fast vid dem. Har man högre krav än så är det dags att engagera sig och läsa CVE:er och löpande göra egna tester/granskningar - och då är man inte vardagsanvändare längre. Risken är att man stirrar sig blind på brandvägg och virusskydd som är kritiska i andra miljöer, när det är lösenord och uppdaterade tjänster som är kritiskt i vår. Iceweesel/Firefox är en många gånger större riskfaktor än Linux-kärnan. Säkerhet är alltid en kostnad som optimeras genom att agera ekonomiskt. Ekonomi är att hushålla med begränsade resurser. Lägg därför tid och omsorg på de områden där investeringen gör störst nytta. Mvh Anders Wallenquist -- To UNSUBSCRIBE, email to debian-user-swedish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5461e734.1040...@kreawit.se
Re: Installation utan brandvägg ?
Rolf Edlund skrev 04/11/14 01:48: Den 4 november 2014 00:59 skrev Rolf Edlund rolfew...@gmail.com: Finns det routrar som klarar 1Gb/s eller ens 100Mb/s om de kostar 500 sek? Och var påstår jag det ? Kom nu på att jag var inne på Elgiganten här i Varberg för några veckor sedan. Där en av säljarna sa att dom hade en router för 295 :- , som skulle klara 300 Mb/s. Kanske skulle köpt hela lagret ? På ethernet-sidan är det få routrar som har mer än 100 Mbit/s interface. På radiosidan görs ofta reklam i fina fixa intervaller med 150, 300, 450, 867, osv mbits/s. Detta är länkhastigheten enligt 802.11ac-standarden, men vad man faktiskt kan uppnå beror på många andra faktorer, som hur radiomiljön ser ut, var trafiken skickas (mellan tråd-trådlöst, eller trådlöst-trådlöst, eller trådlöst-usbminne) - eller om det bara mäts rå kanalkapacitet utan faktiskt pakettransmission. Man bör alltså ta det med en stor nypa salt. Däremot blev jag glatt överraskad av asus ac68u, i samma rum så tryckte den faktiskt igenom 30 mbyte/s (ca 300 mbit/s) mellan två trådlösa klienter. En annan försäljare på samma ställe, sa att man med ett USB 2 minne, skrev till och läste ifrån minnet med 480 Mb/s. Japp, så är det, usb-2 kommunicerar i 480 Mbit/s. Men usb-minnet måste förstås också klara att läsa och skriva informationen, det går sällan i samma takt. Än värre är när usb-minnet är använts ett tag och blivit fullt. Om man tar bort filer och sen skriver dit nya, så måste flash-cellerna nollställas, vilket tar märkbar tid. På SSD-diskar pratas om trim-funktionen som gör denna nollställning kontinuerligt i bakgrunden, vad jag vet finns detta inte för flashminnen utan görs vid skrivning vid behov, vilket sänker skrivhastigheteten rejält. Tog med mig min dator nästa gång jag besökte butiken, så att vi kunde testa hastigheten på minnet. Och fick en läshastighet på ca 5 Mb/s och skrivhastighet på ca 2 Mb/s. Killen sa då att det var fel på det USB minnet. Så vi provade ett nytt minne. Samma resultat. Med risk för att enheterna är ihopblandade: Är det 5 Mbit/s eller 5 Mbyte/s? Viktigt att hålla reda på om man vill jämföra måtten. Typiskt sett så mäts läs- och skrivhastighet mot datalagring i bytes/sekund, men datakommunikation över ledning i bits/sekund. Inte oväntad prestanda. Det är ungefär samma som jag brukar få i en vanlig dator också. Begränsningen är i usb-minnet, inte usb-2 gränssnittet. Prova med en usb-hårddisk istället och prova både i dator och router. /Stefan -- To UNSUBSCRIBE, email to debian-user-swedish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5462a46f.4030...@alfredsson.org
