Linux ja winukka samalla kovolla? Viruksia Windowsiin

Tarkoitin, että Googleta kioski tyyppisiä Linux jakeluita. Ovat tarkoitettu julkisiin tiloihin "kioskeihin" ja käyttö on hyvin rajoitettua. Löytyi suomenkielinenkin http://porixi.antenniserveri.fi/porixi-webc-70.iso. On varmaan jo vanhentunut toteutus.. ks http://webconverger.org/

Ei sitä koneelle hakkerit kovin helposti pääse. Pitää olla joku palvelu päällä mitä käyttää hyödyksi. Jos ei mitää palveluita päällä ja portissa 80 vastaa vain nettiselain. Jos oikeudet on kunnossa ja kotihakemistossa ohjelmien käynnistys kielletty. Niin hankalaksi menee..

Suorituskielto kotihakemistoon talletuille tiedostille on helppo asettaa. Komentojonot onkin sitten hieman hankalampi juttu.

Lisää hankaluutta tuo chroot-vankila. Chroot vankilassa käyttäjällä on vain minimaalinen ympäristö käytössä ja esim bash-komentotulkinkin käyttö on estetty. Silloin on vaikea tehdä pahojaan jos ei juuri mitään palikoita käytössä.

Windowssissakin pääsisi monesta riskistä eroon kiristämällä käyttöoikeuksia linux-tyylisesti..

Moni Linux on taas muuttunut Windows-tyyliseksi. Oletuksena käynnistyy bluetooth, samba, tulostin, etäkäyttö, ftp,.. verkkopalveluita joista moni on turhaan päällä. Monia multimedia soittimiakin voi käskyttää etänä ja niissä voi suorittaa komentoja..

 

Kun ei kummosia linuxista osaa, niin "vainharhasena" tosta Puppysta miettii tota mount valon pimennystä hakkerin toimesta.
Paremmin tutkimaan Puppy ja linuxia, mistä säädetään ettei edes root saa mountata winukka osiota, niin sillähän se on sujattu hakkeroinnilta ja haittakkeilta netin läpi.
Palomuuri ohjelmallinen ja ihan normi tekstitiedostona pitäis olla. 1) Kaikki portit kiinni', 2) vain se portti auki mitä mikäkin ohjelma tarvitsee. Selaimen tapauksessa 80.

En tarvi, ei kiinnosta itselle distrot jotka 'Ovat tarkoitettu julkisiin tiloihin "kioskeihin" ja käyttö on hyvin rajoitettua.' Ennemmin otan/laitan "oikean" linuxin jossa rootin lisäksi (mielellään rajallisempi admin ja) rajoitettu nettitili.
Tuo Puppy kun on kevyt ja silleen näppärä muutenkin, niin mielenkiintoa olisi miettiä siitä takuuvarma nettikäyttis winukan rinnalle. Siis takuuvarmasti estämään winukan saastuminen. (Tai tietää missä siinä on riski paikat)

p.s. Yhden kerran on oma kone saastunut ja sekin kaverilta saatujen disketillä olleiden pikkupelien seurauksena. Jokainen disketti oli saastunut. Ja kaveri oli saannut ne veljeltään. Varmuudella en sano kumpi tahallisesti tän virusjäynän teki.

 

Jos haluaa estää pääsyn Win osiolle se käy helposti... poistaa vaan tuen NTFS-levyille. Linux kerneli osaa vain lukea NTFS levyjä. Kirjoitustuki on heikko, se onnistuu vain erillisellä ajurilla. Kuten Windowssilla ext-levyille luku/kirjoitus. Kernelikin on melko helppo kääntää vain niillä ajureilla joita haluaa.

Palomuuri on turha, jos koneella ei pyöritä mitään netti-palvelua. Parempi ilman muuria kuin käyttää väärin saadettyä muuria.

 

Puppyssä onnistuu suoraan ntfs-kirjoitus. (En ole miettinyt onko kernelissä vai ajureilla tehty.)
Kirjoitus tuki on linuxeissa huono, koska MS ei ole lähdekoodiaan näyttänyt. Voi tapahtua virheitä. Takuuvarma (virhevapaa) on fat osio yhteisenä, jossa 4GB on tiedoston koon rajana.
Kernelin kääntäminen ja ntfs tuen poistaminen on ehkä liian työläs opeteltava ja/tai hankala lopputulos.

Eikös ilman palomuuria hakkerilla ole vapaa pääsy, kaikki portit auki?
Ei tietenkään väärin säädetty palomuuri.
Linuxin palomuurihan on "helppo". Suljet ja avaat haluamasi portit, lista tekstitiedostona komennoista. Hankaluus on vain tietää, mitä portteja mikäkin softa tarvitsee.

 

Softapalomuurien tarve on lähinnä Windowssin ominaisuus. Nykyään tietoturva on paremalla tasolla. Ennen kun XP koneen liitti verkkoon asennuksen jälkeen se oli avoin hyökkäyksille vaikka ei yhtään ohjelmaa olisi käynnistetty tai sammutettu. Ja pian täynnä haitakkeita.OpenBSD kehui pitkään 0 tietuturva reikää asennuksen jälkeen. Nyt on tilanne 2 löytynyttä tietoturvariskiä...

Netissä löytyy testejä kuinka pian koneeseen on tunkeudettu asennuksen jälkeen. Ihan mielenkiintoista luettavaa.

Mitä sillä väliä vaikka kaikki portit olisi auki,jos ei ole yhtää palvelua käynnissä. Jos koneeseen haluaa päästä sisälle pitää olla joku palvelu mitä hyödyntää. Palomuurisoftakin voi olla haavuttuvainen ja sisältää tietoturvariskin, jonka avulla voi päästä koneeseen sisälle.

https://grc.com hyvä paikka koneen porttien skannaukseen.

iptables on ohjelma jolla kernelin palomuuria säädetään. On hieman hankala vasta-alkajalle. En pitäisi sitä mitenkään helppona. Helpompaa on käyttää ADSL-purkin palomuuria, joka on myös vaikeampi ohittaa.

Toki jos joku palvelu on päällä jo porttiskannauksella selvittää ohjelman nimen ja versionumeron. Jos ohjelmalla tunnettu aukko, niin murtautuminen on mahdollista. Tällöin polumuurista on hyötyä. Mutta jos pelkkä nettisalain käytössä ei sen näkyminen ole suurikaan riski jos päivitykset ajantasalla. Linuxin tietoturvaongelmat liittyvät suurin palvelinohjelmistoihin ei taviksen nettisurffailuun.