Jump to content
Ciekawy Linuxa

Fedora 32 SSH, wirusy, zdalny dostęp ?

Recommended Posts

Witajcie

Zainstalowałem sobie Fedorę i od jakiegoś czasu korzystam, użytkowo jest super i teraz chciałbym trochę pod kątem bezpieczeństwa poznać ten system. Jstem bardzo początkującym w tej kwestii proszę o zrozumienie jeśli pytania są zbyt banalne dla niektórych czytających.

Czy Fedora 32 ma standardowo włączony zdalny dostęp przez SSH i można zdalnie się do niej zalogować znając hasło admina ? Jak to sprawdzić i ewentualnie zablokować ?

Czy standardowo zainstalowana Fedora Workstation daje możliwość jakiegokolwiek zdalnego zalogowania się lub ataku i uzyskania nienadzorowanego dostępu bez fizycznego kontaktu z komputerem na którym jest zainstalowana ?

Chodzi mi generalnie o to, że jeśli mam komputer w prywatnym mieszkaniu bez fizycznego dostępu osób trzecich to czy mimo wszystko są jakieś metody aby zdalnie go zaatakować gdy nie mam na nim udostępnionych usług? Jedynie sprawdzanie poczty elektronicznej i kilka standardowych programów z repozytorium Fedory.

Wirusy komputerowe

Szukałem i zdania są podzielone, że konstrukcja systemów Linux jest taka, że bez wpisania hasła administratora nawet jakby coś przyszło na pocztę e-mail to nic nie zdziała. Niektórzy piszą że słyszeli o wirusach na Linuxa ale nikt ich nie widział i ten temat też mnie ciekawi. Czy warto obciążać system dodatkowym oprogramowaniem antywirusowym ?

Dajcie znać co myślicie w tych kwestiach :)

 

 

Share this post


Link to post
Share on other sites
W dniu 16.09.2020 o 09:44, Ciekawy Linuxa napisał:

Czy Fedora 32 ma standardowo włączony zdalny dostęp przez SSH

Sprawdzisz to komendą

sudo systemctl status sshd

 

W dniu 16.09.2020 o 09:44, Ciekawy Linuxa napisał:

Wirusy komputerowe

Sprawa jest skomplikowana i prosta zarazem :D Jeśli się trafi na wirus, który korzysta z luki 0-day, to nie potrzebuje żadnych uprawnień do zainfekowania komputera (przez to rozumiem cały system plików, nie tylko $HOME), choć i tak trzeba je uruchomić np. z konsoli, przez kliknięcie, czy nawet bardziej abstrakcyjnie przez napisany samodzielnie skrypt próbujący automatycznie uruchomić wszystko, co pobierzesz :P. Tylko że takie luki są, przynajmniej w Linuxie, łatane niemal natychmiast, zwykle w ciągu kilku godzin od wykrycia odpowiednia łatka trafia do wszystkich dystrybucji, a informacja o luce pojawia się po opublikowaniu łatki i to zwykle bez szczegółów – na wszelki wypadek, żeby nikt nie próbował jej wcześniej wykorzystać. Pozostałe wirusy nie mają możliwości zainfekowania komputera, dopóki ich nie uruchomisz – jeśli są uruchamiane z poziomu zwykłego użytkownika, to mogą namieszać w katalogu domowym użytkownika (takie zaszyfrowanie plików, czy nawet usunięcie to dla nich pestka) resztę zostawią w spokoju. Gorzej gdy uruchomisz je z uprawnieniami roota. Inną kwestią jest to, że choć na Linuxa można znaleźć jakieś wirusy to jest ich znacznie mniej niż na Windowsa, Androida czy nawet Maca.

Dużo bardziej obawiałbym się wszelkiej maści internetowych oszustów i fałszywych stron internetowych próbujących wyłudzić wrażliwe dane – to metoda niezależna od systemu i bazująca na ludzkiej naiwności. No i wydaje mi się, że jest dużo popularniejsza niż klasyczne wirusy na Linuxa.

W dniu 16.09.2020 o 09:44, Ciekawy Linuxa napisał:

Czy warto obciążać system dodatkowym oprogramowaniem antywirusowym ?

Ja nie korzystam, nigdy się nie zetknąłem z żadnym wirusem zarówno na Linuxie jak i Windowsie. Za to na oszustwa internetowe już się natknąłem (na szczęście rozpoznałem je i ominąłem szerokim łukiem :)) – tutaj niestety najsłabszym ogniwem jest człowiek, trzeba być ostrożnym podczas korzystania z internetu.

Do końca nigdy nie da się zabezpieczyć – hasła można wykradać nawet przy pomocy mikrofonu – ryzyko można minimalizować, jednak jakiś jego poziom trzeba będzie zaakceptować. To tak samo jak z przechodzeniem przez ulicę, nieostrożny się nie rozejrzy, ostrożny się rozejrzy przed przejściem, jednak obaj muszą mieć z tyłu głowy, że jakiś pirat drogowy i tak może ich potrącić.

Share this post


Link to post
Share on other sites

Dziękuję za odpowiedź, sprawdziłem i domyślnie wygląda na to że SSH jest wyłączone.

Mam jeszcze pytanie o domyślnego użytkownika tworzonego w Fedorze. Z tego co widzę, to każdą instalację i tak muszę wpisać hasło aby coś dodać lub zmienić czyli to konto domyślnie jest chyba traktowane jako standardowy użytkownik z ograniczeniami.

Czy mimo wszystko powinienem utworzyć drugiego użytkownika - standardowego ? Czy ten nowo utworzony użytkownik będzie miał mniejsze uprawnienia niż ten podstawowy użytkownik, którego zakładam podczas instalacji systemu ?  Jest jakaś różnica między nimi jeszcze ?

Share this post


Link to post
Share on other sites

Przy instalacji systemu tworzone jest konto root oraz zwykłego użytkownika, który ma dostęp do wyższych uprawnień przez sudo. To, że musisz podać hasło, aby cokolwiek zmienić w systemie jest oczywiste, to standardowy użytkownik, norma w Linuxie, można utworzyć użytkownika, który niezależnie ile będzie próbował nie będzie w stanie nic zmienić w systemie (oczywiście poza swoim katalogiem domowym) – taki byt nazwałbym dopiero użytkownikiem z ograniczeniami. Jeśli nie chcesz podawać na każdym kroku hasła, to jedynym wyjściem jest konto root – szczerze odradzam, wystarczy jedna drobna pomyłka i system jest uwalony.

Nie musisz tworzyć nowego użytkownika, możesz zmienić uprawnienia i przynależność do grup aktualnego – od tego zależy co dany użytkownik może a czego nie. W ten sposób możesz np. odebrać mu prawa do wykonywania polecenia sudo, czy łączenia się z siecią. Polecam poczytać o tym w sieci, jest sporo dobrych artykułów na ten temat.

Share this post


Link to post
Share on other sites

Na domowym komputerze tworzenie użytkowników do różnych celów nie jest konieczne. I tak wszystkie dane są Twoje, więc nie ma problemu, że masz do nich dostęp. Problemy zaczynają się uruchamiając aplikacje jako Ty, więc mają dostęp do całego katalogu domowego: Firefox (oraz jego wtyczki), Libre Office, vlc, itp... Z jednej strony muszą mieć dostęp, żeby zapisać plik w katalogu Dokumenty, czy Pobrane i odtwarzać filmy z dysku sieciowego. Z drugiej strony jest presja, żeby w ten czy inny sposób je ograniczyć. Dlatego jest selinux, toolbox, flatpack, snap oraz przeróżne inne kontenery. Najwyraźniej żyjemy w świecie, w którym oprogramowanie jest na wrogie :) (lub ich twórcy) i trzeba tego pilnować na każdym kroku.

Jest zupełnie inaczej, jeżeli udostępniasz coś na świat: masz zewnętrzna IP, otwierasz jakieś porty typu 22, 80, 443, 1194 i dajesz to ludziom do używania. Wtedy trzeba uważać oraz izolować poszczególne usługi, żeby włamanie na jedną nie otworzyło tym samym pozostałych.

Share this post


Link to post
Share on other sites

Kontenery to bardzo dobry pomysł :) muszę sobie to przetestować. Jeśli schowek między nimi można jakoś wygodnie skonfigurować to jest jakaś sensowna opcja aby pocztę sprawdzać w kontenerze i w razie potrzeby przenosić tylko do niej załączniki z głównego systemu ! :)

Share this post


Link to post
Share on other sites
W dniu 18.09.2020 o 19:09, tomcio napisał:

Przy instalacji systemu tworzone jest konto root oraz zwykłego użytkownika, który ma dostęp do wyższych uprawnień przez sudo. To, że musisz podać hasło, aby cokolwiek zmienić w systemie jest oczywiste, to standardowy użytkownik, norma w Linuxie, można utworzyć użytkownika, który niezależnie ile będzie próbował nie będzie w stanie nic zmienić w systemie (oczywiście poza swoim katalogiem domowym) – taki byt nazwałbym dopiero użytkownikiem z ograniczeniami. Jeśli nie chcesz podawać na każdym kroku hasła, to jedynym wyjściem jest konto root – szczerze odradzam, wystarczy jedna drobna pomyłka i system jest uwalony.

Nie musisz tworzyć nowego użytkownika, możesz zmienić uprawnienia i przynależność do grup aktualnego – od tego zależy co dany użytkownik może a czego nie. W ten sposób możesz np. odebrać mu prawa do wykonywania polecenia sudo, czy łączenia się z siecią. Polecam poczytać o tym w sieci, jest sporo dobrych artykułów na ten temat.

A czy jest jakaś aplikacja, która powiadamiałaby na bieżąco o próbach zdalnego logowania, skanowania portów lub komunikowania się przez niestandardowe porty na zasadzie wyskakującego powiadomienia podobnie jak przychodzi wiadomość mailowa ? albo z opcją powiadomienia na maila o takich próbach i atakach z zewnątrz ? Coś możecie polecić ?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...