forum.opennet.ru - "Что нужно настроить в Ubuntu для безопасности после установки?" (24)

"Что нужно настроить в Ubuntu для безопасности после установки?"

Форум Открытые системы на рабочей станции (Сеть / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Что нужно настроить в Ubuntu для безопасности после установки?"	+1 +/–
Сообщение от Виктор78 (?), 25-Мрт-21, 20:36
Здравствуйте. Поставил на компьютер Lubuntu 18.04. К интернету подключается через PPPoE (роутера у меня нет, т.к. единственный компьютер + на телефоне интернетом практически не пользуюсь, потому не нужен). Вопрос. Что нужно настроить для безопасности после установки (и нужно ли)? Никаких фтп и прочих серверов не устанавливал. Использую в основном офисные приложения, браузер, почтовый клиент, аудио и видео плееры.
Ответить \| Правка \| Cообщить модератору

Оглавление

Если быть очень кратким Настроить автообновление Уязвимость может быть в любой , And (??), 22:26 , 25-Мрт-21, (1) +1

sudo netstat -antpu 124 grep LISTEN code tcp 0 0 127 0 0 53 53 , Аноним (6), 09:37 , 28-Мрт-21, (6)

Уязвимость может быть другая Но ход мысли верный Из браузера с веб страницы мож, And (??), 21:20 , 01-Апр-21, (11)

а когда требуются права суперпользователя использовать su или переключаться, нап, Аноним (6), 10:53 , 28-Мрт-21, (8)

Зачем под рутом Под учёткой, у которой есть sudo, And (??), 21:20 , 01-Апр-21, (12)

Почему в советах нет 1 Шифрование всего если есть дуалбут 2 Настройки сетевого, Аноним (10), 13:50 , 29-Мрт-21, (10)

Пункт второй в советах есть Шифрование Не совсем оно шифрование всего Но bo, And (??), 21:24 , 01-Апр-21, (13)

й системы Имеют смысл , And (??), 21:25 , 01-Апр-21, (14)

Itegrity при доступе это системные настройки Делаются руками во время установки, Аноним (22), 11:31 , 08-Апр-21, (22)

Поясните для чайника чем опасно работать под учеткой с sudo ведь чтобы совершит, Аноним (-), 22:58 , 01-Апр-21, (16)

Посмотрите про ключ -K у sudo sudo помнит кеширует данное разрешение на некоторо, And (??), 13:42 , 02-Апр-21, (18)

здесь надо сделать оговорку, что любое sudo в контексте того терминала и даже к, Аноним (19), 16:02 , 02-Апр-21, (19)

Да, например После правки какой-то системной информации, переключиться на друго, And (??), 18:01 , 02-Апр-21, (20)

в выводе sudo ss -tunap постоянно присутствует эта запись code Netid State , Аноним (19), 10:37 , 02-Апр-21, (17)

Нужно держать свою систему постоянно обновлённой и в самом актуальном состоянии , Сейд (ok), 22:29 , 25-Мрт-21, (2)

Только важно не впадать в крайность, не попасть в зависимость от сроков поддержк, And (??), 10:10 , 27-Мрт-21, (5)

Без формулирования модели угроз слово безопасность не имеет смысла , Аноним (3), 15:47 , 26-Мрт-21, (3)

В данном случае угроза находится между клавиатурой и стулом , муу (?), 22:31 , 26-Мрт-21, (4)
Термин модель угроз придумали маркетологи, чтобы впаривать лохам не сертифицир, Аноним (10), 13:42 , 29-Мрт-21, (9)

Нормальный термин Надо понимать, к чему есть смысл готовиться, а к чему нет, чт, Аноним (15), 22:43 , 01-Апр-21, (15)

ИТ безопасность честнее и правильнее характеризовать прейскурантом цен Список, Аноним (22), 11:27 , 08-Апр-21, (21)

Вы вообще можете без перевода темы к подсчету чужих денег Откуда эта меркантиль, Аноним (3), 21:09 , 10-Апр-21, (23)

поменять права доступа к домашним каталогам на 750 или даже 700, с Ubuntu 21 04 , Аноним (6), 10:40 , 28-Мрт-21, (7)
Есть вот такой ответ - https www cisecurity org cis-benchmarks Но умоешься пОт, Аноним (24), 18:49 , 26-Июн-21, (24)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от And (??), 25-Мрт-21, 22:26 +1 +/–

Если быть очень кратким:
Настроить автообновление. Уязвимость может быть в любой части, связана как-то с обработкой/парсингом материалов из сети. Поэтому обновление всех компонент.
Работать под учёткой, у которой нет sudo.
Вероятно, выключить Snap. Деинсталлировать snapd. Связано с возможностью приноса неизвестных зависимостей третьей стороны через Snap. Он так устроен. Спекулятивное утверждение, но этот вектор атаки существует. В 20-й версии придётся уйти на Linux Mint, если жить без Snap.
Пристально относиться к установкам из сети. Предпочитать репозитории операционной системы. В браузере ограничивать скрипты, использовать adblockers, из числа доверенных.
Настроить: sudo ufw enable
В случае установки серверных сервисов читать про защиту каждого сервиса. Т.к. роутера нет, то фаервол отсутствует, а комьютер подключён прямо в интернет.
Посмотреть

sudo netstat -antpu | grep LISTEN

Проанализировать. Ненужное выкинуть. Нужное защитить.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #8, #10, #16, #17

2. Сообщение от Сейд (ok), 25-Мрт-21, 22:29 +/–

Нужно держать свою систему постоянно обновлённой и в самом актуальном состоянии (Lubuntu 20.10).

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

3. Сообщение от Аноним (3), 26-Мрт-21, 15:47 +/–

Без формулирования модели угроз слово "безопасность" не имеет смысла.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #9

4. Сообщение от муу (?), 26-Мрт-21, 22:31 +/–

> Без формулирования модели угроз слово "безопасность" не имеет смысла.
В данном случае угроза находится между клавиатурой и стулом )

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

5. Сообщение от And (??), 27-Мрт-21, 10:10 +/–

> Нужно держать свою систему постоянно обновлённой и в самом актуальном состоянии (Lubuntu
> 20.10).
Только важно не впадать в крайность, не попасть в зависимость от сроков поддержки и экспериментальных фич. 20.10 - релиз с коротким сроком поддержки, в таких внедряют новое. А вот 20.04 - LTS - Long Term Support - долгая поддержка. Для не айтишника LTS удобнее.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

6. Сообщение от Аноним (6), 28-Мрт-21, 09:37 +/–

$ sudo netstat -antpu | grep LISTEN

tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      995/systemd-resolve
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1021/cupsd
tcp6       0      0 ::1:631                 :::*                    LISTEN      1021/cupsd

Была тут новость про уязвимость в transmission с поочерёдной отдачей двух IP‑адресов: на первый запрос отдаётся реальный IP‑адрес сервера со страницей, а затем возвращается 127.0.0.1. Получается systemd‑resolve и cupsd тоже могут быть подвержены этой уязвимости, ну, и вообще всё, что принимает соединения, пусть даже только с локальных адресов?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #11

7. Сообщение от Аноним (6), 28-Мрт-21, 10:40 +/–

поменять права доступа к домашним каталогам на 750 или даже 700, с Ubuntu 21.04 для новых каталогов будет выставляться 750 (https://opennet.ru/54401-ubuntu )

Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (6), 28-Мрт-21, 10:53 +/–

> Работать под учёткой, у которой нет sudo.
а когда требуются права суперпользователя использовать su или переключаться, например, по Ctrl+Alt+F2 и заходить под рутом?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #12

9. Сообщение от Аноним (10), 29-Мрт-21, 13:42 +/–

> Без формулирования модели угроз слово "безопасность" не имеет смысла.
Термин "модель угроз" придумали маркетологи, чтобы впаривать лохам не сертифицированный продукт.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #15

10. Сообщение от Аноним (10), 29-Мрт-21, 13:50 +/–

Почему в советах нет:
1. Шифрование всего если есть дуалбут.
2. Настройки сетевого экрана.
3. Настройки Integrity для системы, хотя бы по запросу: AIDE, Tripwire, ...
4. Настройки антивирусника: обновление баз; сканирование при доступе /home, /tmp, /var/tmp; желательно расшифровывать и сканировать весь входящий трафик с интернетом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #13

11. Сообщение от And (??), 01-Апр-21, 21:20 +/–

Уязвимость может быть другая. Но ход мысли верный.
Из браузера с веб страницы можно было получить доступность локальных сетевых портов. Например. В последние пару лет.
Дальше - смотря для чего всё это настраивать. Читать, думать.
Эти слушают только локалхост - неплохо. Когда слушают 0.0.0.0 - гораздо хуже.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

12. Сообщение от And (??), 01-Апр-21, 21:20 +/–

Зачем под рутом. Под учёткой, у которой есть sudo

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

13. Сообщение от And (??), 01-Апр-21, 21:24 +/–

Пункт второй в советах есть.
Шифрование... Не совсем оно шифрование всего. Но /boot можно настроить шифрованным, но это требует до установки и во время установки врупашную плотно поработать. Убунта в этом месте слаба.
Интегрити, антивирус - не совсем настройки само

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #14

14. Сообщение от And (??), 01-Апр-21, 21:25 +/–

й системы. Имеют смысл.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #22

15. Сообщение от Аноним (15), 01-Апр-21, 22:43 +/–

Нормальный термин.
Надо понимать, к чему есть смысл готовиться, а к чему нет, чтобы не тратить время и ресурсы впустую.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #21

16. Сообщение от Аноним (-), 01-Апр-21, 22:58 +/–

> Работать под учёткой, у которой нет sudo.
Поясните для чайника чем опасно работать под учеткой с sudo? ведь чтобы совершить действие надо все-равно ввести пароль. в чем разница между этим и тем чтобы перейти в другую учетку и там ввести пароль? Неужели админы, у которых основная работа связана с настройкой компов/серверов работают под учеткой без sudo?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #18

17. Сообщение от Аноним (19), 02-Апр-21, 10:37 +/–

в выводе "sudo ss -tunap" постоянно присутствует эта запись:

Netid   State     Recv-Q     Send-Q           Local Address:Port            Peer Address:Port
udp     UNCONN    0          0                      0.0.0.0:68                   0.0.0.0:*        users:(("dhclient",pid=8365,fd=6))

требуются ли ограничения в фаерволе для dhclient (клиент используется)?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

18. Сообщение от And (??), 02-Апр-21, 13:42 +/–

> Поясните для чайника чем опасно работать под учеткой с sudo? ведь чтобы
> совершить действие надо все-равно ввести пароль. в чем разница между этим
> и тем чтобы перейти в другую учетку и там ввести пароль?
Посмотрите про ключ -K у sudo.
sudo помнит кеширует данное разрешение на некоторое время.
Можно сделать в скрипте sudo /bin/true первый раз и затем некоторое время любое sudo не попросит пароля. Дальше вопрос того что делают на этой машине или чего не делают. Например, запущенная сборка какого-либо пакета от имени рута может навести порядок в системе так, как не хотелось бы.
Могут быть нюансы работы под камерами, нюансы ввода паролей "не туда". Нюансы поведения.
В соседнем постинге верно указали - сначала надо определять от чего защищаться. А так если, без конкретики, то общие неконкретные рекомендации.
> Неужели админы, у которых основная работа связана с настройкой компов/серверов работают
> под учеткой без sudo?
Смотря какие и на каких рабочих станциях. Шуточное прозвище "админ локалхоста" в том, что рабочих станций (компьютеров) может быть несколько, у каждой разное назначений. Зависит от работы и окружения. Разгильдяев тоже много, спасает принцип Неуловимого Джо - кому он нужен.
Для домашних применений можно освоить Vagrant (или попророще VirtualBox) и браузер в докере от имени ограниченной учётки. Это позволяет избегать запуска напрямую, изолировать какие-то одноразовые эксперименты или ненужный софт/сайты. Запускать пинесённое снаружи внутри изоляции.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #19

19. Сообщение от Аноним (19), 02-Апр-21, 16:02 +/–

> Можно сделать в скрипте sudo /bin/true первый раз и затем некоторое время любое sudo не попросит пароля.
здесь надо сделать оговорку, что любое sudo в контексте того терминала (и даже конкретной вкладки терминала), в котором был запущен этот скрипт, но в чём проблема-то? В том, что я могу, например, выполнить "sudo apt-get update" и тут же в этом же терминале случайно или намеренно запустить некий скрипт или программу, которые смогут выполнить что-нибудь с повышенными привилегиями?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #20

20. Сообщение от And (??), 02-Апр-21, 18:01 +/–

Да, например. После правки какой-то системной информации, переключиться на другое и запустить совсем др. вещь, но в контексте с sudo доступным без пароля. Изредка встречаются нестандартные, непрофессиональные подходы в скриптах. Редко бывает, но это возможный вектор. Трудно предсказать мысли, реализованные в пакетах из Pip от модностриженного слишком молодого питониста-бигдатиста с свежевыжатым соком. А там бывает и компиляция кода - т.е. что угодно может оказаться.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

21. Сообщение от Аноним (22), 08-Апр-21, 11:27 +/–

> чтобы не тратить время и ресурсы впустую.
ИТ безопасность честнее и правильнее характеризовать "прейскурантом цен". Список угроз с ценной защиты. Так покупатель не обманут и купит, то что считает ему надо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #23

22. Сообщение от Аноним (22), 08-Апр-21, 11:31 +/–

Itegrity при доступе это системные настройки. Делаются руками во время установки или инсталером если он умеет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

23. Сообщение от Аноним (3), 10-Апр-21, 21:09 +/–

Вы вообще можете без перевода темы к подсчету чужих денег? Откуда эта меркантильность? Отчаянная, унизительная нищета постоянно давит на мозг?
Термин имеет смысл даже если вы всё сами делаете для себя и никаких денег не платите.
У вас есть ограниченный ресурс - ваше время.
Нужно выстроить приоритеты, то есть понять, где скорее всего будут ломать и прикрывать прежде всего это. В силу сложности систем вы не можете сделать систему полностью неуязвимой (не факт, что это возможно даже за бесконечное время).
Вот эта система приоритетов - это и есть модель угроз.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

24. Сообщение от Аноним (24), 26-Июн-21, 18:49 +/–

Есть вот такой ответ - https://www.cisecurity.org/cis-benchmarks/
Но умоешься пОтом. :)
Совет - если делать, то россыпью скриптов. Один скрипт на один пункт документа, по папочкам разложить по главам. Учесть, что пока все скрипты пробегут в системе, другие механизмы могут начать дёргать настраиваемую функциональность.
Применять Дебиан рекомендацию скриптования: использовать в заголовке скрипта 'set -xe'
Без авто-тестов проделанная работа не имеет очень большого смысла. Документ меняется, работа устаревает со временем, без тестов поддерживать нереально.
Прикинуть применимость idempotent - скрипты не должны второй раз настраивать уже настроенное. Это сложно. Не всегда уместно. Поднимет выше уровень скриптов. Но тесты важнее.
Можно для последователей закоммитить в публичный Гит.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от And (??), 25-Мрт-21, 22:26	+1 +/–
Если быть очень кратким: Настроить автообновление. Уязвимость может быть в любой части, связана как-то с обработкой/парсингом материалов из сети. Поэтому обновление всех компонент. Работать под учёткой, у которой нет sudo. Вероятно, выключить Snap. Деинсталлировать snapd. Связано с возможностью приноса неизвестных зависимостей третьей стороны через Snap. Он так устроен. Спекулятивное утверждение, но этот вектор атаки существует. В 20-й версии придётся уйти на Linux Mint, если жить без Snap. Пристально относиться к установкам из сети. Предпочитать репозитории операционной системы. В браузере ограничивать скрипты, использовать adblockers, из числа доверенных. Настроить: sudo ufw enable В случае установки серверных сервисов читать про защиту каждого сервиса. Т.к. роутера нет, то фаервол отсутствует, а комьютер подключён прямо в интернет. Посмотреть sudo netstat -antpu \| grep LISTEN Проанализировать. Ненужное выкинуть. Нужное защитить.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #6, #8, #10, #16, #17

2. Сообщение от Сейд (ok), 25-Мрт-21, 22:29	+/–
Нужно держать свою систему постоянно обновлённой и в самом актуальном состоянии (Lubuntu 20.10).
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #5

3. Сообщение от Аноним (3), 26-Мрт-21, 15:47	+/–
Без формулирования модели угроз слово "безопасность" не имеет смысла.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4, #9

4. Сообщение от муу (?), 26-Мрт-21, 22:31	+/–
> Без формулирования модели угроз слово "безопасность" не имеет смысла. В данном случае угроза находится между клавиатурой и стулом )
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

5. Сообщение от And (??), 27-Мрт-21, 10:10	+/–
> Нужно держать свою систему постоянно обновлённой и в самом актуальном состоянии (Lubuntu > 20.10). Только важно не впадать в крайность, не попасть в зависимость от сроков поддержки и экспериментальных фич. 20.10 - релиз с коротким сроком поддержки, в таких внедряют новое. А вот 20.04 - LTS - Long Term Support - долгая поддержка. Для не айтишника LTS удобнее.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

6. Сообщение от Аноним (6), 28-Мрт-21, 09:37	+/–
$ sudo netstat -antpu \| grep LISTEN tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 995/systemd-resolve tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1021/cupsd tcp6 0 0 ::1:631 :::* LISTEN 1021/cupsd Была тут новость про уязвимость в transmission с поочерёдной отдачей двух IP‑адресов: на первый запрос отдаётся реальный IP‑адрес сервера со страницей, а затем возвращается 127.0.0.1. Получается systemd‑resolve и cupsd тоже могут быть подвержены этой уязвимости, ну, и вообще всё, что принимает соединения, пусть даже только с локальных адресов?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #11

7. Сообщение от Аноним (6), 28-Мрт-21, 10:40	+/–
поменять права доступа к домашним каталогам на 750 или даже 700, с Ubuntu 21.04 для новых каталогов будет выставляться 750 (https://opennet.ru/54401-ubuntu )
Ответить \| Правка \| Наверх \| Cообщить модератору

8. Сообщение от Аноним (6), 28-Мрт-21, 10:53	+/–
> Работать под учёткой, у которой нет sudo. а когда требуются права суперпользователя использовать su или переключаться, например, по Ctrl+Alt+F2 и заходить под рутом?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #12

9. Сообщение от Аноним (10), 29-Мрт-21, 13:42	+/–
> Без формулирования модели угроз слово "безопасность" не имеет смысла. Термин "модель угроз" придумали маркетологи, чтобы впаривать лохам не сертифицированный продукт.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #15

10. Сообщение от Аноним (10), 29-Мрт-21, 13:50	+/–
Почему в советах нет: 1. Шифрование всего если есть дуалбут. 2. Настройки сетевого экрана. 3. Настройки Integrity для системы, хотя бы по запросу: AIDE, Tripwire, ... 4. Настройки антивирусника: обновление баз; сканирование при доступе /home, /tmp, /var/tmp; желательно расшифровывать и сканировать весь входящий трафик с интернетом.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #13

11. Сообщение от And (??), 01-Апр-21, 21:20	+/–
Уязвимость может быть другая. Но ход мысли верный. Из браузера с веб страницы можно было получить доступность локальных сетевых портов. Например. В последние пару лет. Дальше - смотря для чего всё это настраивать. Читать, думать. Эти слушают только локалхост - неплохо. Когда слушают 0.0.0.0 - гораздо хуже.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

12. Сообщение от And (??), 01-Апр-21, 21:20	+/–
Зачем под рутом. Под учёткой, у которой есть sudo
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

13. Сообщение от And (??), 01-Апр-21, 21:24	+/–
Пункт второй в советах есть. Шифрование... Не совсем оно шифрование всего. Но /boot можно настроить шифрованным, но это требует до установки и во время установки врупашную плотно поработать. Убунта в этом месте слаба. Интегрити, антивирус - не совсем настройки само
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #14

14. Сообщение от And (??), 01-Апр-21, 21:25	+/–
й системы. Имеют смысл.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #22

15. Сообщение от Аноним (15), 01-Апр-21, 22:43	+/–
Нормальный термин. Надо понимать, к чему есть смысл готовиться, а к чему нет, чтобы не тратить время и ресурсы впустую.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #21

16. Сообщение от Аноним (-), 01-Апр-21, 22:58	+/–
> Работать под учёткой, у которой нет sudo. Поясните для чайника чем опасно работать под учеткой с sudo? ведь чтобы совершить действие надо все-равно ввести пароль. в чем разница между этим и тем чтобы перейти в другую учетку и там ввести пароль? Неужели админы, у которых основная работа связана с настройкой компов/серверов работают под учеткой без sudo?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #18

17. Сообщение от Аноним (19), 02-Апр-21, 10:37	+/–
в выводе "sudo ss -tunap" постоянно присутствует эта запись: Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port udp UNCONN 0 0 0.0.0.0:68 0.0.0.0:* users:(("dhclient",pid=8365,fd=6)) требуются ли ограничения в фаерволе для dhclient (клиент используется)?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

18. Сообщение от And (??), 02-Апр-21, 13:42	+/–
> Поясните для чайника чем опасно работать под учеткой с sudo? ведь чтобы > совершить действие надо все-равно ввести пароль. в чем разница между этим > и тем чтобы перейти в другую учетку и там ввести пароль? Посмотрите про ключ -K у sudo. sudo помнит кеширует данное разрешение на некоторое время. Можно сделать в скрипте sudo /bin/true первый раз и затем некоторое время любое sudo не попросит пароля. Дальше вопрос того что делают на этой машине или чего не делают. Например, запущенная сборка какого-либо пакета от имени рута может навести порядок в системе так, как не хотелось бы. Могут быть нюансы работы под камерами, нюансы ввода паролей "не туда". Нюансы поведения. В соседнем постинге верно указали - сначала надо определять от чего защищаться. А так если, без конкретики, то общие неконкретные рекомендации. > Неужели админы, у которых основная работа связана с настройкой компов/серверов работают > под учеткой без sudo? Смотря какие и на каких рабочих станциях. Шуточное прозвище "админ локалхоста" в том, что рабочих станций (компьютеров) может быть несколько, у каждой разное назначений. Зависит от работы и окружения. Разгильдяев тоже много, спасает принцип Неуловимого Джо - кому он нужен. Для домашних применений можно освоить Vagrant (или попророще VirtualBox) и браузер в докере от имени ограниченной учётки. Это позволяет избегать запуска напрямую, изолировать какие-то одноразовые эксперименты или ненужный софт/сайты. Запускать пинесённое снаружи внутри изоляции.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16 Ответы: #19

19. Сообщение от Аноним (19), 02-Апр-21, 16:02	+/–
> Можно сделать в скрипте sudo /bin/true первый раз и затем некоторое время любое sudo не попросит пароля. здесь надо сделать оговорку, что любое sudo в контексте того терминала (и даже конкретной вкладки терминала), в котором был запущен этот скрипт, но в чём проблема-то? В том, что я могу, например, выполнить "sudo apt-get update" и тут же в этом же терминале случайно или намеренно запустить некий скрипт или программу, которые смогут выполнить что-нибудь с повышенными привилегиями?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #20

20. Сообщение от And (??), 02-Апр-21, 18:01	+/–
Да, например. После правки какой-то системной информации, переключиться на другое и запустить совсем др. вещь, но в контексте с sudo доступным без пароля. Изредка встречаются нестандартные, непрофессиональные подходы в скриптах. Редко бывает, но это возможный вектор. Трудно предсказать мысли, реализованные в пакетах из Pip от модностриженного слишком молодого питониста-бигдатиста с свежевыжатым соком. А там бывает и компиляция кода - т.е. что угодно может оказаться.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19

21. Сообщение от Аноним (22), 08-Апр-21, 11:27	+/–
> чтобы не тратить время и ресурсы впустую. ИТ безопасность честнее и правильнее характеризовать "прейскурантом цен". Список угроз с ценной защиты. Так покупатель не обманут и купит, то что считает ему надо.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #23

22. Сообщение от Аноним (22), 08-Апр-21, 11:31	+/–
Itegrity при доступе это системные настройки. Делаются руками во время установки или инсталером если он умеет.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14

23. Сообщение от Аноним (3), 10-Апр-21, 21:09	+/–
Вы вообще можете без перевода темы к подсчету чужих денег? Откуда эта меркантильность? Отчаянная, унизительная нищета постоянно давит на мозг? Термин имеет смысл даже если вы всё сами делаете для себя и никаких денег не платите. У вас есть ограниченный ресурс - ваше время. Нужно выстроить приоритеты, то есть понять, где скорее всего будут ломать и прикрывать прежде всего это. В силу сложности систем вы не можете сделать систему полностью неуязвимой (не факт, что это возможно даже за бесконечное время). Вот эта система приоритетов - это и есть модель угроз.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

24. Сообщение от Аноним (24), 26-Июн-21, 18:49	+/–
Есть вот такой ответ - https://www.cisecurity.org/cis-benchmarks/ Но умоешься пОтом. :) Совет - если делать, то россыпью скриптов. Один скрипт на один пункт документа, по папочкам разложить по главам. Учесть, что пока все скрипты пробегут в системе, другие механизмы могут начать дёргать настраиваемую функциональность. Применять Дебиан рекомендацию скриптования: использовать в заголовке скрипта 'set -xe' Без авто-тестов проделанная работа не имеет очень большого смысла. Документ меняется, работа устаревает со временем, без тестов поддерживать нереально. Прикинуть применимость idempotent - скрипты не должны второй раз настраивать уже настроенное. Это сложно. Не всегда уместно. Поднимет выше уровень скриптов. Но тесты важнее. Можно для последователей закоммитить в публичный Гит.
Ответить \| Правка \| Наверх \| Cообщить модератору