thus spoke lubomiersky in 'hm asi neviem nakonfigurovat vsftpd alebo co' :: Something smarter than us is going to emerge


node:	thus spoke lubomiersky in 'hm asi neviem nakonfigurovat vsftpd alebo co'
template:	4
parent:	thus spoke next in 'hm asi neviem nakonfigurovat vsftpd alebo co'
owner:	lubomier.sk
viewed by:
created:	18.05.2005 - 15:37:48

cwbe coordinatez:
101
63540
63542
2109677
63692
1634106
1634148
1634152
1634174
1634189
1634270
1634437
1635436
1636219
1637061
1637112
1637225

ABSOLUT
KYBERIA

permissions
you:	r,
system:	public
net:	yes

samozrejme ze da sa aj na workstejsne najst pripad ked nemusi byt zly dalsi level security politiky, kazdopadne v beznej praxy a pre bezneho uzivatela je to vacsinou nepotrebne a zlozite.

osetrit browser/mail moze byt uzitocne ked vyjde fajny exploit na ff ako pred tyzdnom/dvomi, mailom mi ale este stale neprisiel linuxacky virus ;-)

s ssh security nemam moc skusenosti, ale mam pocit bezpecia ked sa autorizujem cez public/private kluce. kazdopadne sa rad poucim o moznych bezpecnostnych problemoch s ssh...

000001010006354000063542021096770006369201634106016341480163415201634174016341890163427001634437016354360163621901637061016371120163722501637238

ech. ved prave _beznemu_ uzivatelovi, ktory nema ponatie o security, to treba nastavit. aby sa mu nahodou nieco nestalo, ked bude bug vo FFoxe. a nastavit to treba vopred, nie az ked je bug odhaleny. vtedy uz je neskoro.

a so ssh si to vobec nepochopil. tam nejde o autorizovanie sa a kluce.
tam tiez ide o to, ze keby bola v ssh klientovi chyba vyuzitelna vzdialene, aby vzdialena strana nemohla napachat paseku. ked proste ssh moze zapisovat len do jedneho konkretneho suboru, tak si utocnik holt ten backdoor nenauploaduje.

je to zlozite nastavit, ale s dobrym nastavenim bude pouzivanie transparentne.

00000101000635400006354202109677000636920163410601634148016341520163417401634189016342700163443701635436016362190163706101637112016372250163723801637448

sam si ale napisal, ze to (sice zatial) nepouzivas ;-) je to urcite vyborna vec na hranicne servre, ale opakujem ze na bezne pouzivanie je s tym zbytocne velka mrdacka.. to si radsej urobim dobre backupy :)

no a ked sa najde chybka v selinxe? tak co? grsec este nad to? ;-))

0000010100063540000635420210967700063692016341060163414801634152016341740163418901634270016344370163543601636219016370610163711201637225016372380163744801637491

co ti pomoze backup, ked niekto cez tvoj komp hackne jebanku? :)

a este raz pomaly - ja nevravim, ze to je lahke nastavit. ja len vravim, ze to vyznam ma. pre kazdy proces, ktory prijima unstrusted data zo siete (cim nevravim, ze pre ine procesy nie).
a nastavit to staci pochopitelne raz.

000001010006354000063542021096770006369201634106016341480163415201634174016341890163427001634437016354360163621901637061016371120163722501637238016374480163749101637512

BTW, NSA zacala vyvijat SELinux pre to, aby ho mohli nasadit na svojich workstationach. Aby nemuseli mat typci na stole 2-3 pocitace, kazdy s inou urovnou autorizacie, ale mohli sediet za jednym a plnenie podmienok na autorizaciu by sa riesilo vhodnou konfiguraciou.

00000101000635400006354202109677000636920163410601634148016341520163417401634189016342700163443701635436016362190163706101637112016372250163723801637448016374910163751201637690

no, spolieham sa na snort ;-)

typci z NSA vedia co a ako ;)

0000010100063540000635420210967700063692016341060163414801634152016341740163418901634270016344370163543601636219016370610163711201637225016372380163744801637491016375120163769001637923

medzi zalogovanim pruseru a zabranenim pruseru je velmi velky a zasadny rozdiel....

000001010006354000063542021096770006369201634106016341480163415201634174016341890163427001634437016354360163621901637061016371120163722501637238016374480163749101637512016376900163792301638888

njn..