Biztonság

A rendszerrel kapcsolatos hibák, javítások, sebezhetőség, rendszervédelem
Avatar
S-kami
Adminisztrátor
Hozzászólások: 1089
Csatlakozott: 2014.04.16. 12:54
Kapcsolat:

Re: Biztonság

Hozzászólás Szerző: S-kami »

Nem feltétlenül.
Van látogatónk amúgy is és elég komoly az érdeklődés.
capture14165.png
capture14165.png (74.8 KiB) Megtekintve 6082 alkalommal
Amúgy érdekesség képpen Tuvalu szigetéről is van töltögetőnk.
Hihetetlen, de egészen addig nem is ismertem, amíg meg nem láttam a statisztikában, a magyar letöltések között.
Egy kis infó:
http://hu.wikipedia.org/wiki/Tuvalu
Puppy linux ! Mert megérdemlem !
Gyertek fel a csetre ! Katt ide a csevegéshez: https://discord.gg/9pm6rTfG5s

kros54
Adminisztrátor
Hozzászólások: 410
Csatlakozott: 2014.06.17. 07:01
Kapcsolat:

Re: Biztonság

Hozzászólás Szerző: kros54 »

Pici segítséget kérek.
A sulipuppy3, a sulipuppy2.3 verziók bash-javítása szükséges-e?
Az sp3 a retro-precise 542, míg a sp2.3 a lupu525 alapokból építkezett.
Ezen kívül más, hasonló javításra van-e szükség, s ha igen, akkor az mi?

NTamas
Hozzászólások: 1872
Csatlakozott: 2014.06.19. 13:36

Re: Biztonság

Hozzászólás Szerző: NTamas »

Egy kis visszatekintés, mert nem árthat:

A Bash (Bourne again shell) számos UNIX és Linux-disztribúció része (de megtalálható az OS X-ben is) és az egyik legtöbbször használt komponense az operációs rendszereknek, amellyel számtalan szoftver kerül kapcsolatba. A Red Hat kutatói egy olyan biztonsági problémát találtak, amelyet kihasználni banálisan egyszerű, a következményei pedig egyelőre fel sem mérhetők. A cég által publikált blogbejegyzés alapján a hiba forrását az jelenti, hogy megadhatók olyan környezeti változók, amelyeket a Bash kódként futtat le, és ezt minden esetben megteszi, amikor a shellt adott környezetből meghívják. A változóknak a neve egyáltalán nem is fontos, bármi lehet, ha a tartalmuk "megfelelő", akkor ezeket a kódokat a Bash le fogja futtatni.

Kép

A Bash maga is tartalmaz függvényeket, ezeket pedig környezeti változókban is el lehet helyezni - amennyiben a függvény ilyen definícióját kód követi, azt a shell le fogja futtatni. A Heartbleed néven elhíresült OpenSSL-hibához hasonlóan az igazi problémát itt is az jelenti, hogy szinte lehetetlen felmérni, milyen szoftverek lépnek kapcsolatba a Bash-sel. A shell sérülékenysége egyszerűen javítható, de nem lehet egyelőre tudni, ezzel milyen más, a Bash-sel kapcsolatba lépő szoftverek működését zavarjuk meg. Emellett az is gondot jelent, hogy nem lehet megmondani, a 22 éve létező sérülékenységet kihasználta-e valaki az adott rendszeren -- ha a Basht használó szoftver nem logol(t), a támadásnak nem lesz nyoma.

A sérülékenység ugyanis az 1.13 verziónál került be a szoftverbe és a 4.3-ig minden változat tartalmazza azt. A NIST besorolása szerint a CVE-2104-6271 számú sérülékenység a legmagasabb, 10-es fokozatú a veszélyességi skálán, tekintettel a Bash széles körű elterjedtségére, valamint a hiba egyszerű, felhasználói azonosítás nélküli távoli kihasználhatóságára. A tetszőleges kódfuttatás révén a támadók adatokhoz férhetnek hozzá vagy módosíthatják azokat, illetve például leállíthatnak szolgáltatásokat. A sebezhetőség kihasználásának, ahogy a Heartbleed esetén, a Shellshock esetén sincs semmilyen nyoma.

Tehát, ha az általad megadott rendszerekben a leírásban is említett Bash verziók az 1.3-as verziószámnál magasabbak,
Code:
# bash -version
úgy szükséges a javítást meglépni.

puppy 4.12-höz:-javított -patched- verziók-
bash-3.0.19.pet
Code:
# bash -version
GNU bash, version 3.00.19(1)-release (i486-pc-linux-gnu)
Copyright (C) 2004 Free Software Foundation, Inc.
# foo='() { echo not patched; }' bash -c foo
bash: foo: command not found
bash-3.0.20.pet
bash-3.0.22-i486.pet for Wary/Racy 5.5

bash-4.1.13-2.pet
bash-4.1.17.pet. - Slacko 32bit
bash-4.2.53-slacko14.0.pet
bash-4.2.53-wheezy.pet

A Puppy Carolina 1.2-höz az új patch 028 miatt ezek az újabb -updated to bash-4.3.30-1- fájlok:
bash-4.3.30-1.pet
bash_DOC-4.3.30-1.pet
bash_NLS-4.3.30-1.pet

bash-4.3.30-1-i486-dpup487.pet for dpup 487
bash_DOC-4.3.30-1-i486-dpup487.pet
bash_NLS-4.3.30-1-i486-dpup487.pet
dpup487 pet was also reported to work with these puppy versions:
Precise 5.6
Precise 5.7.1
OV Precise 5.8
puppy 4.3.2,
slacko 5.3.3,
lucid 5.2.5
lucid 5.2.8
Upup Raring 3.9.9.2
Sulu 002
wary/racy

Kép

Frisbee-1.3 Now Available

Ha már javítasz, akkor ne feledd az Open SSL hibátis javítani bennük. Meg a POODLe hibát is.Szerintem ezeket sem árt meglépned...

azami
Hozzászólások: 1014
Csatlakozott: 2014.06.20. 20:25

Re: Biztonság

Hozzászólás Szerző: azami »

Tegnap olvastam egy cikket itt: http://www.origo.hu/techbazis/20150204- ... l#comments
Nem rendelkezem olyan email címmel amivel hozzá lehetne szólni.(készíteni meg nem akarok van elég :D )
Ha valaki közülünk igen, kérem hívja fel a figyelmüket a kis közösségünkre, annak okán hogy a Puppy alkalmas egy saját, jól összeállított rendszer kialakítására, remastert készítve, és kiírva CD/DVD-re a fenti (És több hasonló) probléma elkerülhető.
UI: Na meg van egy Pulink is ;) :D

kzprog
Hozzászólások: 98
Csatlakozott: 2014.07.05. 16:51

Re: Biztonság

Hozzászólás Szerző: kzprog »

Nem biztos, hogy a linux védett! Ha valaki wine-t használ lehet, hogy megfertőződhet! Szóval csak óvatosan az önbizalommal!
A remaster nem véd meg az adatok elvesztésétől! Ebben az esetben nem a rendszer, hanem a saját fájljaink ( képek, zenék, ebook-ok, dokumentumok, stb.) elvesztése (végleges átkódolás) fenyeget!

NTamas
Hozzászólások: 1872
Csatlakozott: 2014.06.19. 13:36

Re: Biztonság

Hozzászólás Szerző: NTamas »

Ha már a biztonságnál tartunk, akkor ez mi a fene???

Kép

A QupZilla folyamatosan ilyenekkel szórakoztat...

azami
Hozzászólások: 1014
Csatlakozott: 2014.06.20. 20:25

Re: Biztonság

Hozzászólás Szerző: azami »

Kzprog!
Én egy jól összeállított remaster, cd/dvd-ről történő használatra gondoltam mentés nélkül.
Persze teljes biztonság nincs de sokat javíthat ha a "fő" rendszert csak akkor használom amikor tényleg fontos, a többit egy ilyen megoldással el lehet érni.
Illetve a virtuális gépek használata is viszonylagos biztonságot teremt...

NTamas
Hozzászólások: 1872
Csatlakozott: 2014.06.19. 13:36

Re: Biztonság

Hozzászólás Szerző: NTamas »

...Persze teljes biztonság nincs de sokat javíthat ha a "fő" rendszert csak akkor használom amikor tényleg fontos...

Ez a lényeg, azzal a kitétellel, hogy netezni csak egy elszeparált gépről érdemes!
Elszeparált gépen azt értem:
1. olcsó, ennélfogva valószínűleg egy használt, de teljesen üzemképes gépet értek ezalatt, amiben pl. nincs is merevlemez!!!
A netezős, rádióhallgatós, videó-nézős, netes játékos gép csak optikai meghajtóról fut, a memóriában, optikai egység hiányában ez kiváltható usb-kulccsal, vagy sd kártyaolvasóval is, lényeg, nincs merevlemez, nics arra írás-mentés, minden tevékenység a gép fizikai memóriájában megy végbe, a rendszer a cd-dvd-ről tölt be, vagy usb-sd meghajtóról, és arra nem is ír vissza.
2. ha mégis szükséges a visszaírás, mentés file miatt pl. akkor azt egy, az oprendszer melletti, másik partícióra tegye, - az usb-sd kártyát is lehet többfelé partícionálni - ekkor az ilyen Locker típusú fertőzések csak a mentésfilét teszik tönkre, amiből esetleg van másik mentésed, máshol, biztonságban, illetve magát az usb-sd-meghajtón lévő Puppyt -sfs- titkosíthatja, teheti tönkre, amiből ugye szintén van tartalék, eredeti mentés, tehát, ha egy ilyen memóriából futtatott Puppy-val böngészel, játszol, netezel, filmet-rádiót nézel-hallgatsz, jobb esetben minimalizálni tudod a Locker féle károkozók hatását. Megszüntetni nem fogod tudni, hiszen a fertőzésekből újabb, és újabb verziók fognak megjelenni, amik esetleg már magát az usb-kulcsot, és az sd kártyát is tönkre tehetik, akár fizikailag is, magyarul teljes biztonságot megközelítő megoldás csak az írásvédett tárolóról történő indítás, a gép fizikai memóriájában való futtatás, arra semmilyen formában nem visszaírás rendszere lehet, ezt jelenleg csak az optikai cd-dvd lemez (illetve a Puli rendszer!)tudja biztosítani - az egyszer írható verziók! - a rajta megfelelően összeállított Puppy-val, amiben feltétlen helye van legalább egy vírukergetőnek is, ami a Live Puppy betöltődése után a netről frissíti az aktuális adatbázisát.
3. Természetesen ehhez a Live módhoz már elég nagyméretű fizikai memória kell, hogy legyen a gépben, ebből a szempontból a régi 512MB-1GB rammal bíró gépek élből elbuknak, ugyanis ennyi memóriába a Puppy, meg a böngésző, és a betöltött programok már nem férnek el, + ne feledd el, hogy ilyenkor, a teljesen memóriából való biztonságos futtatáskor nincs swap-file! sem, tehát a fizikai memória gyorsan elfogyhat, főleg, ha olyan böngészőt használsz, -Firefox, Crome - ami alaposan belassíthat, és ugye a böngésző cache is a memóriába kerül, -erre utaltam az előbb - és ugye az ember néha letöltene is valamit a netről, tehát egy írható, elszeparált, és csak a Live rendszer által írható tároló ilyenkor mindenképp szükséges. Már , ha egyáltalán le akarsz tölteni valamit is, de ez megy ugye eleve hozzátartozik a netes tevékenységhez. Tehát, ha ilyenkor, -ahogy Kzprog is írta - a letöltéskor, vagy önmagában már a letöltendő anyagban jelen van netán a károkozó, akkor bajban lehetsz. Mérsékelhető ez, ha a Live rendszerből tudsz egy fájl ellenőrzést indítani, netről frissített adatbázissal, de kérdéses, hogy a víruskergetőd egyáltalán észlelni fogja e a régi, netán újabb, netán módosult-mutálódott fertőzőket, amik a legváltozatosabb helyen előfordulhatnak, legyen az akár egy levélmelléklet, amit óvatlanul megnyit valaki, vagy egy megbuherált akármilyen állomány, és a Linux rendszer sincs már annyira biztonságban, hiszen arra is módosítható a windows-ra kitalált fertőzés, persze kérdés, mikor fog ez bekövetkezni. De a fertőzés trendet elnézve ez nagyon is várható kategória lesz a jövőben, tehát a Linux, mint biztonságos rendszer csak addig létezik, amíg meg nem jelennek rá a célzott fertőzések, amik akár a Linux futtatását is lehetetlenné teszik.

A mai megoldások ismeretében a leginkább biztonságosnak mondható megoldásnak ma az tűnik, ha egy elszeparált -merevlemez nélküli- gépről való optikai meghajtóról indított egyszer - a készítésekor - írható Live rendszerről történik a böngészés. Ekkor, ha valami be is jut a memóriába, nincs hova menjen, fertőzzön, hisz a gépben nincs merevlemez, az optikai egységben futó egyszer írható médiára nem tud rákerülni, csak a futó rendszert tudja megbénítani, de ez újraindítással elvileg, és gyakorlatilag kivédhető. De ekkor ugye értelemszerűen a letöltésről le kell mondani. Elvileg így biztonságban vagy, ma még.
Ha mindenképp kell a letöltés, mert ugye ez ma még követelmény, akkor olyan Live rendszert kell, hogy használj, ami tartalmaz megfelelő képességű védelmi szoftvert, amit a Live használatakor a netről frissíthetsz, így a memóriában a friss, frissített adatbázis van jelen, - már, ha elfér benne, (fizikai memóriaméret!!!) - továbbá biztonságos, felcsatolható tárolót kell használj, de nem szabad elfelejteni azt a fontos tényt, amit már be is bizonyítottak, hogy az usb-s és az sd kártyás tárolók igen könnyen tönkre tehetőek, akár már a letöltés közben is, szóval egy letöltött állomány egy tárolón már akár potencionális veszélyforrás is lehet, ezt nem szabad elfelejteni!!!

Azt sem szabad figyelmen kívül hagyni, hogy rengeteg használható gép van még közkézen, amiben esetleg a merevlemez már hibás, - ez mondjuk Live rendszerhez amúgy sem kell! - de a nagyobb gond az lehet, hogy a cd-dvd egység is hibás, vagy netán már az sincs ezekben a gépekben. Továbbá, mivel régi gépeket említettünk, szorosan idetartozik az usb (esetleges sd kártya)kezelés mikéntje is. Képes e a gép natívan, tehát a bios-ból mindenféle segédbűvészet nélkül az usb-kulcsra másolt Live Puppy rendszert bebootolni, és futtatni, ha erre nem képes, de tud usb-ről valamilyen formában bebootolni, akkor annak a formának megfelelő módon elő kell készíteni az usb kulcsot-sd kártyát majd ezután másolni rá a Puppy rendszert, és a megfelelő módon futtatni azt.
Szerencsére -ahogy Te is írtad már fentebb - van nekünk egy gjuhász által létrehozott kiváló megoldásunk, ami ugye alapvetően usb-s használatra készült, és ami a legfontosabb, a rendszer képes magának az usb kulcsnak a gépből kihúzása után is működni, mivel a rendszeralapvetően a memóriában fut. És a rendszer úgy van létrehozva, hogy elvileg-gyakorlatilag képes érzékelni, hogy valami a rendszerfiléket támadja, módosítani akarja. A nagy kérdés itt az, hogy ez mennyire véd meg a Crypto-Locker féle fertőzésektől, abban az esetben, ha a gépben marad az usb kulcs.
Ha az usb kulcs a Puli betöltése után és a netkapcsolat előtt el van távolítva a gépből, akkor a gjuhász rendszere gyakorlatilag egyenértékű a egyszer írható optikai lemezről futtatott Live Puppyval, azzal a nagy előnnyel, hogy a Puli rendszer felépítéséből adódóan jelezni tudja az online támadás-fertőzés miatti fájlmódosulást, ha jól értettem meg a Puli rendszer lényegét.

Így a biztonságos netezésre -letöltés nélküli netezés - feltett kérdésedre a fentieket figyelembe véve az optikai Live cd-dvd, illetve a gjuhász féle Puli rendszer usb-ről betöltve, majd utána usb-kulcs kihúzva a gépből, ajánlható./bocs a hosszú szövegért, tudom, hogy ezeket Te és a többiek is már csípőből tudjátok, de talán van még itt olyan újonc fórumtag, aki ezeket még így ilyen formában nem gondolta át, talán neki hasznos lehet a fenti, valóban hosszúra sikeredett áttekintés./

azami
Hozzászólások: 1014
Csatlakozott: 2014.06.20. 20:25

Re: Biztonság

Hozzászólás Szerző: azami »

Annyival egészíteném ki hogy a meghajtó parancsikonjai változnak ha fel van csatlakoztatva,(nem úgy mint Windows alatt )így látható ha valaki babrálni akarja! Ezért én ajánlom merevlemezzel ellátott gépre is!
És még annyit a nagyon kezdőknek hogy mai pupletek egyre jobban fel vannak szerelve a napi használthoz....

NTamas
Hozzászólások: 1872
Csatlakozott: 2014.06.19. 13:36

Re: Biztonság - FREAK - új SSL/TLS sebezhetőség

Hozzászólás Szerző: NTamas »

Azért kezd már tele lenni a hócipőm...

FREAK - új SSL/TLS sebezhetőség.-
( Forrás: trey | 2015. március 4., szerda - 13:43 HUP )

2015. március 3-án, kedden szakértők egy új SSL/TLS sebezhetőséget - a FREAK támadás - részleteit közölték. A sebezhetőség részleteiről számos helyen - Matt Green blogján, a The Washington Post cikkében, Ed Felten írásában - lehet olvasni.

További részletek itt.
Ellenőrző oldal:itt.

Utóirat:
Ezt most olvastam:

A Freemailt is érinti a most feltárt biztonsági hiba

Kiegészítés hozzá:
openssl-1.0.1l-wheezy.pet 22-Jan-2015 05:33 1.2M
openssl_DEV-1.0.1l-wheezy.pet 22-Jan-2015 05:34 1.5M

Válasz küldése

Vissza: “Biztonság, hibajavítások”