Fedora 32 SSH, wirusy, zdalny dostęp ?

[Ciekawy Linuxa]

Witajcie

Zainstalowałem sobie Fedorę i od jakiegoś czasu korzystam, użytkowo jest super i teraz chciałbym trochę pod kątem bezpieczeństwa poznać ten system. Jstem bardzo początkującym w tej kwestii proszę o zrozumienie jeśli pytania są zbyt banalne dla niektórych czytających.

Czy Fedora 32 ma standardowo włączony zdalny dostęp przez SSH i można zdalnie się do niej zalogować znając hasło admina ? Jak to sprawdzić i ewentualnie zablokować ?

Czy standardowo zainstalowana Fedora Workstation daje możliwość jakiegokolwiek zdalnego zalogowania się lub ataku i uzyskania nienadzorowanego dostępu bez fizycznego kontaktu z komputerem na którym jest zainstalowana ?

Chodzi mi generalnie o to, że jeśli mam komputer w prywatnym mieszkaniu bez fizycznego dostępu osób trzecich to czy mimo wszystko są jakieś metody aby zdalnie go zaatakować gdy nie mam na nim udostępnionych usług? Jedynie sprawdzanie poczty elektronicznej i kilka standardowych programów z repozytorium Fedory.

Wirusy komputerowe

Szukałem i zdania są podzielone, że konstrukcja systemów Linux jest taka, że bez wpisania hasła administratora nawet jakby coś przyszło na pocztę e-mail to nic nie zdziała. Niektórzy piszą że słyszeli o wirusach na Linuxa ale nikt ich nie widział i ten temat też mnie ciekawi. Czy warto obciążać system dodatkowym oprogramowaniem antywirusowym ?

Dajcie znać co myślicie w tych kwestiach :)

 

 

[tomcio]

W dniu 16.09.2020 o 09:44, Ciekawy Linuxa napisał:

Czy Fedora 32 ma standardowo włączony zdalny dostęp przez SSH

Sprawdzisz to komendą

sudo systemctl status sshd

 

W dniu 16.09.2020 o 09:44, Ciekawy Linuxa napisał:

Wirusy komputerowe

Sprawa jest skomplikowana i prosta zarazem Jeśli się trafi na wirus, który korzysta z luki 0-day, to nie potrzebuje żadnych uprawnień do zainfekowania komputera (przez to rozumiem cały system plików, nie tylko $HOME), choć i tak trzeba je uruchomić np. z konsoli, przez kliknięcie, czy nawet bardziej abstrakcyjnie przez napisany samodzielnie skrypt próbujący automatycznie uruchomić wszystko, co pobierzesz . Tylko że takie luki są, przynajmniej w Linuxie, łatane niemal natychmiast, zwykle w ciągu kilku godzin od wykrycia odpowiednia łatka trafia do wszystkich dystrybucji, a informacja o luce pojawia się po opublikowaniu łatki i to zwykle bez szczegółów – na wszelki wypadek, żeby nikt nie próbował jej wcześniej wykorzystać. Pozostałe wirusy nie mają możliwości zainfekowania komputera, dopóki ich nie uruchomisz – jeśli są uruchamiane z poziomu zwykłego użytkownika, to mogą namieszać w katalogu domowym użytkownika (takie zaszyfrowanie plików, czy nawet usunięcie to dla nich pestka) resztę zostawią w spokoju. Gorzej gdy uruchomisz je z uprawnieniami roota. Inną kwestią jest to, że choć na Linuxa można znaleźć jakieś wirusy to jest ich znacznie mniej niż na Windowsa, Androida czy nawet Maca.

Dużo bardziej obawiałbym się wszelkiej maści internetowych oszustów i fałszywych stron internetowych próbujących wyłudzić wrażliwe dane – to metoda niezależna od systemu i bazująca na ludzkiej naiwności. No i wydaje mi się, że jest dużo popularniejsza niż klasyczne wirusy na Linuxa.

W dniu 16.09.2020 o 09:44, Ciekawy Linuxa napisał:

Czy warto obciążać system dodatkowym oprogramowaniem antywirusowym ?

Ja nie korzystam, nigdy się nie zetknąłem z żadnym wirusem zarówno na Linuxie jak i Windowsie. Za to na oszustwa internetowe już się natknąłem (na szczęście rozpoznałem je i ominąłem szerokim łukiem ) – tutaj niestety najsłabszym ogniwem jest człowiek, trzeba być ostrożnym podczas korzystania z internetu.

Do końca nigdy nie da się zabezpieczyć – hasła można wykradać nawet przy pomocy mikrofonu – ryzyko można minimalizować, jednak jakiś jego poziom trzeba będzie zaakceptować. To tak samo jak z przechodzeniem przez ulicę, nieostrożny się nie rozejrzy, ostrożny się rozejrzy przed przejściem, jednak obaj muszą mieć z tyłu głowy, że jakiś pirat drogowy i tak może ich potrącić.

[Ciekawy Linuxa]

Dziękuję za odpowiedź, sprawdziłem i domyślnie wygląda na to że SSH jest wyłączone.

Mam jeszcze pytanie o domyślnego użytkownika tworzonego w Fedorze. Z tego co widzę, to każdą instalację i tak muszę wpisać hasło aby coś dodać lub zmienić czyli to konto domyślnie jest chyba traktowane jako standardowy użytkownik z ograniczeniami.

Czy mimo wszystko powinienem utworzyć drugiego użytkownika - standardowego ? Czy ten nowo utworzony użytkownik będzie miał mniejsze uprawnienia niż ten podstawowy użytkownik, którego zakładam podczas instalacji systemu ?  Jest jakaś różnica między nimi jeszcze ?

[tomcio]

Przy instalacji systemu tworzone jest konto root oraz zwykłego użytkownika, który ma dostęp do wyższych uprawnień przez sudo. To, że musisz podać hasło, aby cokolwiek zmienić w systemie jest oczywiste, to standardowy użytkownik, norma w Linuxie, można utworzyć użytkownika, który niezależnie ile będzie próbował nie będzie w stanie nic zmienić w systemie (oczywiście poza swoim katalogiem domowym) – taki byt nazwałbym dopiero użytkownikiem z ograniczeniami. Jeśli nie chcesz podawać na każdym kroku hasła, to jedynym wyjściem jest konto root – szczerze odradzam, wystarczy jedna drobna pomyłka i system jest uwalony.

Nie musisz tworzyć nowego użytkownika, możesz zmienić uprawnienia i przynależność do grup aktualnego – od tego zależy co dany użytkownik może a czego nie. W ten sposób możesz np. odebrać mu prawa do wykonywania polecenia sudo, czy łączenia się z siecią. Polecam poczytać o tym w sieci, jest sporo dobrych artykułów na ten temat.

[SeeM]

Na domowym komputerze tworzenie użytkowników do różnych celów nie jest konieczne. I tak wszystkie dane są Twoje, więc nie ma problemu, że masz do nich dostęp. Problemy zaczynają się uruchamiając aplikacje jako Ty, więc mają dostęp do całego katalogu domowego: Firefox (oraz jego wtyczki), Libre Office, vlc, itp... Z jednej strony muszą mieć dostęp, żeby zapisać plik w katalogu Dokumenty, czy Pobrane i odtwarzać filmy z dysku sieciowego. Z drugiej strony jest presja, żeby w ten czy inny sposób je ograniczyć. Dlatego jest selinux, toolbox, flatpack, snap oraz przeróżne inne kontenery. Najwyraźniej żyjemy w świecie, w którym oprogramowanie jest na wrogie (lub ich twórcy) i trzeba tego pilnować na każdym kroku.

Jest zupełnie inaczej, jeżeli udostępniasz coś na świat: masz zewnętrzna IP, otwierasz jakieś porty typu 22, 80, 443, 1194 i dajesz to ludziom do używania. Wtedy trzeba uważać oraz izolować poszczególne usługi, żeby włamanie na jedną nie otworzyło tym samym pozostałych.

[Ciekawy Linuxa]

Kontenery to bardzo dobry pomysł muszę sobie to przetestować. Jeśli schowek między nimi można jakoś wygodnie skonfigurować to jest jakaś sensowna opcja aby pocztę sprawdzać w kontenerze i w razie potrzeby przenosić tylko do niej załączniki z głównego systemu !

[Ciekawy Linuxa]

W dniu 18.09.2020 o 19:09, tomcio napisał:

Przy instalacji systemu tworzone jest konto root oraz zwykłego użytkownika, który ma dostęp do wyższych uprawnień przez sudo. To, że musisz podać hasło, aby cokolwiek zmienić w systemie jest oczywiste, to standardowy użytkownik, norma w Linuxie, można utworzyć użytkownika, który niezależnie ile będzie próbował nie będzie w stanie nic zmienić w systemie (oczywiście poza swoim katalogiem domowym) – taki byt nazwałbym dopiero użytkownikiem z ograniczeniami. Jeśli nie chcesz podawać na każdym kroku hasła, to jedynym wyjściem jest konto root – szczerze odradzam, wystarczy jedna drobna pomyłka i system jest uwalony.

Nie musisz tworzyć nowego użytkownika, możesz zmienić uprawnienia i przynależność do grup aktualnego – od tego zależy co dany użytkownik może a czego nie. W ten sposób możesz np. odebrać mu prawa do wykonywania polecenia sudo, czy łączenia się z siecią. Polecam poczytać o tym w sieci, jest sporo dobrych artykułów na ten temat.

A czy jest jakaś aplikacja, która powiadamiałaby na bieżąco o próbach zdalnego logowania, skanowania portów lub komunikowania się przez niestandardowe porty na zasadzie wyskakującego powiadomienia podobnie jak przychodzi wiadomość mailowa ? albo z opcją powiadomienia na maila o takich próbach i atakach z zewnątrz ? Coś możecie polecić ?

[SeeM]

W dniu 25.09.2020 o 11:36, Ciekawy Linuxa napisał:

A czy jest jakaś aplikacja, która powiadamiałaby na bieżąco o próbach zdalnego logowania, skanowania portów lub komunikowania się przez niestandardowe porty na zasadzie wyskakującego powiadomienia podobnie jak przychodzi wiadomość mailowa ? albo z opcją powiadomienia na maila o takich próbach i atakach z zewnątrz ? Coś możecie polecić ?

Nie nadążyłbyś tego czytać. Nie tyle potrzebujesz takiej aplikacji na swój komputer, co na swój router, który jest codziennie bombardowany przez skanery szukające podatności. Część z nich wyłapie i zablokuje twój ISP, części nie wyłapie, albo nie wyłapie ich od razu.. Musisz albo mieć router z możliwością uruchamiania tcpdump (bardzo przyzwoite narzędzie do analizowania ruchu), albo kupić jakiś malutki komputerek z płytą micro-atx i możliwością włożenia karty sieciowej (będziesz potrzebował dwóch portów ethernet). Zapytaj swojego ISP, czy zamiast routera może ci wysłać zwykły modem, albo czy można ów router ustawić w tryb bridge i tym samym wystawić taki komputerek na internet.

Do wyłapywania automatów próbujących się zalogować służy program fail2ban. Można skonfigurować go w ten sposób, żeby czytał logi ssh oraz podobnych, szukał w nich powtarzających się, nieudanych prób logowania i blokował adres IP, który próbuje się połączyć. Prawie wszyscy tego używają, zarówno na małych serwerkach, jak i w dużych centrach danych.