Bezpieczeństwo poszczególnych dystrybucji


(Oahrxxsa) #1

Często przeglądam fora różnych dystrybucji Linuka i kiedyś spotkałem się ze stwierdzeniem, że Ubuntu bardzo poważnie podchodzi do kwestii bezpieczeństwa i decydując się na Minta to bezpieczeństwo się traci. O co włąściwie chodzi? o lepsze szybsze aktualizacje?o selinux który domyślnie jest w Ubuntu jeśli się nie mylę. Weźmy pod uwagę początkującego użytkownika który instaluje i korzysta nic nie zmieniając, ale ma aktualny system i mocne hasło roota i trochę rozsądku (instaluje programy z pewnych źródeł) przy takim schemacie Fedora która podobno zapewnia najwyższe bezpieczeństwo znacznie lepiej wypadnie od Ubuntu i Minta?

Jakie jest wasze zdanie na ten temat? i czy zabezpieczacie jakoś specjalnie swoje Linuksy czy raczej używacie domyślnych ustawień?


(saturno) #2

Odnośnie łatwych dystrybucji "bezpiecznych" prosto z pudełka zwróć uwagę na zaporę.

Instalujesz system i masz mieć zainstalowaną i uruchomioną zaporę więc myślisz spoko, a okazuje się że zapora owszem jest uruchomiona tyle, że w ogóle nieskonfigurowana i przepuszcza wszystko!


(Oahrxxsa) #3

Myśle, że wystarczy zainstalować ufw i włączyć. Domyślnie blokuje połaczenia przychodzące. Na desktop powinno wystarczyć

Jeszcze co do Fedory - nie instalowałem nigdy tego systemu (testowałem chwile z Live) ale myślę czy sobie nie postawić jako głowny system. Ludzie pozytywnie się wypowiadaja o tym systemie, Fedora uchodzi za bardzo bezpieczne distro już na starcie. Jedynie ze stabilnością bywają problemy, ale przecież nie muszę mieć najnowszej. Niech jakiś użytkownik Fedory wypowie się jak to jest z nią w rzeczywistości ...


(Frankfurterium) #4

Zwróć uwagę na to, że niby bezpieczne Ubuntu LTS jest budowane na bazie pakietów testowego Debiana. Wydania bieżące to również pakiety eksperymentalne i niestabilne.

Ale tak właściwie praktycznie każda dystrybucja daje ci poziom bezpieczeństwa większy niż dobrze zabezpieczone Windows. O mocne osłony powinny się starać firmy i urzędy, które trzymają nie wiadomo jak ważne dane, w nieco mniejszym stopniu prywatni ludzie stawiający ogólnodostępne serwery. Ciebie wirusy, trojany, spyware, toolbary i inne same z siebie się nie imają - po prostu nie wiedzą, jak się zachować w linuksowym ekosystemie; nie znajdują plików, które mają zainfekować. No chyba że faktycznie ważny z ciebie gość i ryzyko ataku crackera jednak istnieje.


(etam) #5

W openSUSE zapora sieciowa (iptables) jest domyślnie skonfigurowana tak, że blokuje wszystko. W YaST jest wygodny panel do jej konfiguracji.

Oprócz tego są dostępne SELinux i AppArmor, ale żadne z nich nie jest domyślnie instalowane.


(Oahrxxsa) #6

Chciałęm kiedyś zainstalować opensuse ale instalator wywalił bład i na tym sie skonczylo. Teraz siedze na Debianie Ubuntu, Mincie, Manjaro i Sabayonie i jestem zadowolony


(RubasznyRumcajs) #7

polemizowałbym.

Jak w takim Ubuntu mogę bezproblemowo (i bez czytania setek manuali) odpalić sobie jakąś aplikację w GUI sandboksie? Bo w Windowsie da sie toto zrobić stosunkowo łatwo (przy użyciu darmowych aplikacji). O włączaniu ASLR/DEPa i innych toto już nawet nie muszę mówić...

O tym że taki NM dorobil sie obslugi stref ("zones" jak sie toto tlumaczy?) kilka lat po wyjsciu win7 (nie wiem czy vista juz tego nie wspierala) toto juz nie musze pisac.

Ale tak- każdy obecnie wspierany linux jest out-of-the-box bezpieczniejszy niż niezabezpieczony Windows.

Natomiast do OP: domyślnie Ubuntu nie posiada SELinuksa włączonego. Trzeba doinstalować paczki, oraz zrestartować system.

Jeżeli ci jeszcze bardziej zależy na bezpieczeństwie, to użyj łatek GRSecurity.


(Oahrxxsa) #8

SELinux jest dobry dla speców którzy wiedzą co i jak skonfigurować. U zwykłęgo Jana Kowalskiego lepiej sprawdzi sie app armor

Ja osobiscie jakis wielkich zabezpieczeń nie stosuje. Ufw sobie włączyłęm nic w nim nie ruszając, wchodze na bezpieczne strony i instaluje programy z oficjalnego repo. Mysle ze wystarczy. Cracker jakby chciałs ie wlamac to i tak sie wlamie nawet na dobrze skonfigurowanego *BSD

W razie czego pretensji do siebie mieć nie bede bo podstawowe środki ostrożności zachowane, pozostaje miec nadzieje ze jakby cracker trafil na moj komp w sieci (odpukać) to sobie odpuści i weźmie sie za w ogole niezabezpieczony system

EDIT: Przeskanowałem właśnie system rkhunterem i miałem kilka ostrzeżeń np


(Chillout) #9

Przeskanuj Chkrootkit dla jasności.


(roobal) #10

Może zainteresuje Cię system http://www.qubes-os.org

Nie posiada SELinuksa, bo posiada AppArmor.


(nintyfan) #11

OpenSUSE wspiera strefy od wersji 10.0 .

Są trzy strefy chyba. Zdemilitaryzowana, zmilitaryzowana i domowa.


(etam) #12

Tylko, że je ustawia się na interfejsy sieciowe. Nie można zrobić tak, że jedna sieć wifi jest domowa, a inna nie.