Podstawowe zabezpieczenie stacji roboczych Linux Debian

[Jacek Jaworski]

Cześć!
Na potrzeby prywatne i zawodowe opracowałem instrukcję jak w podstawowym zakresie zabezpieczyć system Debian (i pochodne).

Instrukcja jest bezpłatna dostępna pod tym linkiem:
http://energokod.prv.pl/Podstawowe%20zabezpieczenie%20stacji%20roboczych%20Linux%20Debian.pdf

Zachęcam do lektury.
Zapraszam do dyskusji jak ją jeszcze uzupełnić lub poprawić.

Pozdro i szacun!
Energo Koder

[Mateusz Viste]

Nie wczytywałem się, pobieżnie tylko rzuciłem okiem na spis treści.
Rzucił mi się w twarz rozdział "sprawdź swoje hasła". A przecież
prawidłowo skonfigurowany system nie powinien *w ogóle* pozwalać na
jakiekolwiek logowanie po haśle, bo te są z definicji podatne na brute
force.

Brakuje też wzmianki o najzwyczajniejszym w świeci sprawdzeniu
nasłuchujących portów i ew. wyłączeniu niepotrzebnych usług lub
przestawieniu ich na nasłuch po localhost - a to przecież podstawa.

Fajnie byłoby też wspomnieć o ntp, które domyślnie otwiera UDP/123 -
przez co jest łatwo wykrywalne i podatne na różnego rodzaju ataki,
opartych głównie o amplifikację ruchu. Istnieją fajne alternatywy NTP
'client-only', jeśli dobrze kojarzę to jedna z lepszych jest w paczce
openntpd.

Mateusz

[Grzegorz Dobrosielski]

W dniu 09.09.2020 o 18:12, Jacek Jaworski pisze:

Może jeszcze wyłączyć moduły kernela ipv6 (o ile niewykorzystywane)
wtedy sshd_config ustawić:
- ListenAddress 0.0.0.0
- AddressFamily inet

np. jeszcze:
- IgnoreRhosts yes
- HostbasedAuthentication no

Teraz coś z kernela:
# włączenie execshield
kernel.exec-shield=1
kernel.randomize_va_space=1

# włączenie IP spoofing protection
net.ipv4.conf.all.rp_filter=1

# zablokowanie IP source routing
net.ipv4.conf.all.accept_source_route=0

# ignorowanie rozgłoszeń broadcasts
net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.icmp_ignore_bogus_error_messages=1

# logowanie fałszowanych pakietów
net.ipv4.conf.all.log_martians = 1

Sprawdzenie 'esek' np.:
find / -type f \( -perm -4000 -o -perm -2000 \) -print 2>/dev/null |
xargs ls -la

Sparwdzenie plikow bez wlasciciela lub grupy:
find / -xdev \( -nouser -o -nogroup \) -print

Pozdrawiam,
Grzech

[Grzegorz Dobrosielski]

W dniu 09.09.2020 o 18:12, Jacek Jaworski pisze:

I jeszcze jedno - przeglądarki: może zamiast Firefox-a lepiej byłoby
używać Waterfox-a?

Pozdrawiam,
Grzech

[Roman Tyczka]

W dniu 09.09.2020 o 21:34, Grzegorz Dobrosielski pisze:

> I jeszcze jedno - przeglądarki: może zamiast Firefox-a lepiej byłoby
> używać Waterfox-a?

Lub Brave.

--
pzdr
Roman

[pioruns]

On 09/09/2020 21:45, Roman Tyczka wrote:

> Lub Brave.

Yhy..
https://en.wikipedia.org/wiki/Brave_(web_browser)#Critical_reception

--
pozdrawiam, pioruns
_,.-'~'-.,__,.-'~'-.,__,.-'~'-.,__,.
Registered Linux User #454644

[Pawel]

W dniu 09.09.2020 o 22:45, Roman Tyczka pisze:

Taki maly offtopic.
Odnosnie twoich poprzednich watkow Roman. Nie wiem, czy zerkales pozniej
na swoje watki, ale znalazlem rozbudowany menedzer schowka - CopyQ.
Chyba spelnia wszystkie twoje wymagania.

[Jozef Stanin]

W dniu 09.09.2020 o 22:45, Roman Tyczka pisze:

Ja używam SRWare Iron zamiast Chromium. Polecam.

--
Bo my jesteśmy dziś mniej pazerni
Roślinożerni, roślinożerni
Nam polędwica, ani schab
Nie smakuje tak jak szczaw

(Zenon Laskowik, „Z tyłu sklepu”, 1980 r.)

[Kaczin]

W dniu 10.09.2020 o 00:32, Jozef Stanin pisze:

> Ja używam SRWare Iron zamiast Chromium. Polecam.
>

Dlaczego?

--
Kaczin

[Marcin Debowski]

On 2020-09-09, Jacek Jaworski <jawors...@adres.pl> wrote:
> Cześć!
> Na potrzeby prywatne i zawodowe opracowałem instrukcję jak w podstawowym zakresie zabezpieczyć system Debian (i pochodne).
>
> Instrukcja jest bezpłatna dostępna pod tym linkiem:
> http://energokod.prv.pl/Podstawowe%20zabezpieczenie%20stacji%20roboczych%20Linux%20Debian.pdf

Duży jakby nacisk na poprawność haseł a jednocześnie sporo info na
poziomie administracji systemu. MZ jak sie ktoś w taka administracje
chce bawić to wydaje się dziwne, aby nie wiedział co to jest mocne hasło
i potrzebował jakiś narzędzi do weryfikacji. To może się przydać do
weryfikowania haseł przypadkowych użytkowników, ale nie własnego.

Poza tym razi:
Może komuś z rozpędu przyszła by ochota na instalację
popularnego Thunderbirda z paczki Snap? Jest to niemądre, bo on się
będzie co chwilęaktualizował, a wraz z podbiciem nr wersji (nawet po
zmianie numerka nakońcu) Thunderbird żąda ponownej konfiguracji od zera.

Niemądre? Lepszego okreslenia nie było? Tym bardziej, że dalej:

Programy z dostępem do sieci takie jak Chromium, Thunderbird, Slack
należało byuruchamiać zawsze w piaskownicy. Gdyż w przeciwnym wypadku
mają pełen dostępdo zawartości kat. domowego. Jest to złe, bo nie
wiadomo co właściwie one z tymrobią. Wydaje się, że ten problem
rozwiązuje Snap, Firejail i AppArmor.


Zaostrz prawa dostępu do katalogów użytkowników.
sudo chmod 700 /home/*

sudo chmod -R o-rwx,g-rwx /home

--
Marcin

[Jacek Jaworski]

Dzięki za merytoryczną odpowiedź!

> Może jeszcze wyłączyć moduły kernela ipv6 (o ile niewykorzystywane)
> wtedy sshd_config ustawić:
> - ListenAddress 0.0.0.0

Wyłączanie IPv6 wydaje się nieperspektywiczne...

> - AddressFamily inet
>
> np. jeszcze:
> - IgnoreRhosts yes
> - HostbasedAuthentication no
>

To dodam.


Jak byś podał gdzie dodawać opcje kernela to dodałbym to zalecenie. Dodałbym też w historii zmian info o twoim autorstwie rozdziału o opcjach kernela.

[Dominik Ałaszewski]

Dnia 09.09.2020 Jacek Jaworski <jawors...@adres.pl> napisał/a:

> Zapraszam do dyskusji jak ją jeszcze uzupełnić lub poprawić.

Ale to bardziej prywatne, bardziej zawodowe?

Niektóre porady (jak zastąpienie Chrome Chromium) niezbyt
poprawiają bezpieczeństwo (raczej prywatność),
brak informacji, że część serwisów może nie współpracować
(DRM), info o potencjalnych problemach jest tylko przy javascript.

Inne uwagi:

- jeśli już zaostrzamy SSH, to wypadałoby napisać
o logowaniu kluczem

- brak podstawowej sprawy: należy do różnych serwisów
używać różnych haseł, najlepiej używać menadżera haseł.
Co z tego, że mamy super mocne hasło, jak to samo jest
w serwisie X, który go przechowuje w plain text otwartym
na świat? :-)

- brak równie podstawowej sprawy: podkreślenie
regularnej aktualizacji oprogramowania

- może nie tak ściśle związane z bezpieczeństwem,
ale podkreślenie regularnego wykonywania
(i weryfikacji) backupów

--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile…" (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP
Pisząc na priv zmień domenę na gmail.

[Jozef Stanin]

W dniu 10.09.2020 o 00:50, Kaczin pisze:

> W dniu 10.09.2020 o 00:32, Jozef Stanin pisze:
>
>> Ja używam SRWare Iron zamiast Chromium. Polecam.
>>
>
> Dlaczego?
>

Wystarczy sięgnąć do wiki

W przeglądarce Iron usunięto następujące funkcje: Client-ID (nadawanie
unikalnego identyfikatora użytkownikowi), Timestamp (przechowywanie
dokładnej daty instalacji), podpowiedzi wyszukiwania, alternatywne
strony błędów, raportowanie błędów, RLZ-Tracking (przesyłanie
zaszyfrowanej daty pobrania aplikacji), Google Updater oraz URL-Tracker.

Strona przeglądarki https://www.srware.net/iron/

Polecam z tego względu, że nie każda strona www chciała współpracować
np. z Firefoxem. Było tak z PKO BP.
Obciążenie procka dużo mniejsze na SRWare Iron niż FF.
Posiada wbudowany adblocker, który nie jest wykrywany przez strony
internetowe.

[Grzegorz Dobrosielski]

W dniu 10.09.2020 o 06:43, Jacek Jaworski pisze:

> Dzięki za merytoryczną odpowiedź!
>
>> Może jeszcze wyłączyć moduły kernela ipv6 (o ile niewykorzystywane)
>> wtedy sshd_config ustawić:
>> - ListenAddress 0.0.0.0
>
> Wyłączanie IPv6 wydaje się nieperspektywiczne...

Być może, ale w pk-cie nr 3, podajesz tylko reguły dla ip4. Brak reguł
dla ipv6.

> Jak byś podał gdzie dodawać opcje kernela to dodałbym to zalecenie. Dodałbym też w historii zmian info o twoim autorstwie rozdziału o opcjach kernela.

Na autorstwie mi nie zależy. Zmiany wykonujesz w pliku /etc/sysctl.conf
lub katalogu: /etc/sysctl.d/ tworząc plik.

Zob. przykład:
https://webinsider.pl/linux-debian-wylaczanie-ipv6/

Pozdrawiam,
Grzech

[Jacek Maciejewski]

Dnia Thu, 10 Sep 2020 00:32:49 +0200, Jozef Stanin napisał(a):

> SRWare Iron

Zassałem dla wypróbowania, deb się zainstalował ale jedyne co mogę
uruchomić to okno konfiguratora kilku parametrów. To jest samodzielna
przeglądarka czy jakiś dodatek do chromium?
--
Jacek
-I hate haters-

[Jacek Jaworski]

> # włączenie IP spoofing protection
> net.ipv4.conf.all.rp_filter=1
>
> # zablokowanie IP source routing
> net.ipv4.conf.all.accept_source_route=0
>
> # ignorowanie rozgłoszeń broadcasts
> net.ipv4.icmp_echo_ignore_broadcasts=1
> net.ipv4.icmp_ignore_bogus_error_messages=1
>
> # logowanie fałszowanych pakietów
> net.ipv4.conf.all.log_martians = 1

Czy do kompletu należy dodać takie same wpisy zamieniając 4 z 6?

[Jacek Jaworski]

> Sprawdzenie 'esek' np.:
> find / -type f \( -perm -4000 -o -perm -2000 \) -print 2>/dev/null |
> xargs ls -la

Jak po lecenie:
$ sudo find / -type f \( -perm -4000 -o -perm -2000 \) -print0 2>/dev/null | xargs -0 -ixxx ls -l xxx

Zwraca to co poniżej, to czy to normalne? Czy powinienem się martwić?
I w ogóle co z tym powinienem zrobić?

-rwsr-xr-x 1 root root 43088 mar 5 2020 /snap/core18/1885/bin/mount
-rwsr-xr-x 1 root root 64424 cze 28 2019 /snap/core18/1885/bin/ping
-rwsr-xr-x 1 root root 44664 mar 22 2019 /snap/core18/1885/bin/su
-rwsr-xr-x 1 root root 26696 mar 5 2020 /snap/core18/1885/bin/umount
-rwxr-sr-x 1 root shadow 34816 lut 27 2019 /snap/core18/1885/sbin/pam_extrausers_chkpwd
-rwxr-sr-x 1 root shadow 34816 lut 27 2019 /snap/core18/1885/sbin/unix_chkpwd
-rwxr-sr-x 1 root shadow 71816 mar 22 2019 /snap/core18/1885/usr/bin/chage
-rwsr-xr-x 1 root root 76496 mar 22 2019 /snap/core18/1885/usr/bin/chfn
-rwsr-xr-x 1 root root 44528 mar 22 2019 /snap/core18/1885/usr/bin/chsh
-rwxr-sr-x 1 root shadow 22808 mar 22 2019 /snap/core18/1885/usr/bin/expiry
-rwsr-xr-x 1 root root 75824 mar 22 2019 /snap/core18/1885/usr/bin/gpasswd
-rwsr-xr-x 1 root root 40344 mar 22 2019 /snap/core18/1885/usr/bin/newgrp
-rwsr-xr-x 1 root root 59640 mar 22 2019 /snap/core18/1885/usr/bin/passwd
-rwxr-sr-x 1 root crontab 362640 mar 4 2019 /snap/core18/1885/usr/bin/ssh-agent
-rwsr-xr-x 1 root root 149080 sty 31 2020 /snap/core18/1885/usr/bin/sudo
-rwxr-sr-x 1 root tty 30800 mar 5 2020 /snap/core18/1885/usr/bin/wall
-rwsr-xr-- 1 root systemd-resolve 42992 cze 11 20:25 /snap/core18/1885/usr/lib/dbus-1.0/dbus-daemon-launch-helper
-rwsr-xr-x 1 root root 436552 mar 4 2019 /snap/core18/1885/usr/lib/openssh/ssh-keysign
-r-sr-xr-x 1 root root 333952 wrz 9 07:22 /snap/chromium/1298/usr/lib/chromium-browser/chrome-sandbox
-rwsr-xr-x 1 root root 110792 lip 29 11:20 /snap/snapd/8790/usr/lib/snapd/snap-confine
-rwsr-xr-x 1 root root 44784 maj 28 08:37 /usr/bin/newgrp
-rwsr-xr-x 1 root root 31032 sie 16 2019 /usr/bin/pkexec
-rwsr-xr-x 1 root root 53040 maj 28 08:37 /usr/bin/chsh
-rwxr-sr-x 1 root ssh 350504 maj 29 09:37 /usr/bin/ssh-agent
-rwsr-xr-x 1 root root 67816 kwi 2 17:29 /usr/bin/su
-rwsr-xr-x 1 root root 88464 maj 28 08:37 /usr/bin/gpasswd
-rwsr-xr-x 1 root root 85064 maj 28 08:37 /usr/bin/chfn
-rwsr-xr-x 1 root root 68208 maj 28 08:37 /usr/bin/passwd
-rwsr-xr-x 1 root root 39144 kwi 2 17:29 /usr/bin/umount
-rwsr-xr-x 1 root root 166056 lip 15 02:17 /usr/bin/sudo
-rwxr-sr-x 1 root tty 35048 kwi 2 17:29 /usr/bin/wall
-rwxr-sr-x 1 root tty 14488 mar 30 11:26 /usr/bin/bsd-write
-rwxr-sr-x 1 root shadow 84512 maj 28 08:37 /usr/bin/chage
-rwxr-sr-x 1 root mlocate 47344 lip 17 2019 /usr/bin/mlocate
-rwxr-sr-x 1 root shadow 31312 maj 28 08:37 /usr/bin/expiry
-rwxr-sr-x 1 root crontab 43720 lut 13 2020 /usr/bin/crontab
-rwsr-xr-x 1 root root 39144 mar 7 2020 /usr/bin/fusermount
-rwsr-xr-x 1 root root 55528 kwi 2 17:29 /usr/bin/mount
-rwsr-xr-x 1 root root 130152 lip 10 15:59 /usr/lib/snapd/snap-confine
-rwsr-sr-x 1 root root 14488 wrz 4 15:34 /usr/lib/xorg/Xorg.wrap
-rwsr-xr-x 1 root root 473576 maj 29 09:37 /usr/lib/openssh/ssh-keysign
-rwsr-xr-- 1 root messagebus 51344 cze 11 20:22 /usr/lib/dbus-1.0/dbus-daemon-launch-helper
-rwsr-xr-x 1 root root 14488 lip 8 2019 /usr/lib/eject/dmcrypt-get-device
-rwsr-xr-x 1 root root 22840 sie 16 2019 /usr/lib/policykit-1/polkit-agent-helper-1
-rwxr-sr-x 1 root tty 14640 sty 29 2020 /usr/lib/mc/cons.saver
-rwxr-sr-x 1 root shadow 43160 lip 22 01:30 /usr/sbin/unix_chkpwd
-rwsr-xr-- 1 root dip 395144 lip 23 14:39 /usr/sbin/pppd
-rwxr-sr-x 1 root shadow 43168 lip 22 01:30 /usr/sbin/pam_extrausers_chkpwd

[Jacek Jaworski]

> Sparwdzenie plikow bez wlasciciela lub grupy:
> find / -xdev \( -nouser -o -nogroup \) -print

Czy poniższe wyniki powinny mnie martwić?

$ sudo find / -xdev \( -nouser -o -nogroup \) -print
/var/cache/private/fwupdmgr
/var/cache/private/fwupdmgr/fwupd
/var/cache/private/fwupdmgr/fwupd/lvfs-metadata.xml.gz.asc
/var/cache/private/fwupdmgr/fwupd/lvfs-metadata.xml.gz

[Jacek Jaworski]

> Nie wczytywałem się, pobieżnie tylko rzuciłem okiem na spis treści.
> Rzucił mi się w twarz rozdział "sprawdź swoje hasła". A przecież
> prawidłowo skonfigurowany system nie powinien *w ogóle* pozwalać na
> jakiekolwiek logowanie po haśle, bo te są z definicji podatne na brute
> force.

Dla użytkowników domowych i w małych firmach podstawą są jednak hasła.
Przygotowywana instrukcja jest adresowana również do użytkowników mało kompetentnych.
Dla nich spr. hasła programem jest czymś b. dobrym.
Ja też miałem hasło które cracklib-check skrytykował jako hasło słownikowe. Mimo, że wcale nie było krótkie ani jedno wyrazowe.

> Brakuje też wzmianki o najzwyczajniejszym w świeci sprawdzeniu
> nasłuchujących portów i ew. wyłączeniu niepotrzebnych usług lub
> przestawieniu ich na nasłuch po localhost - a to przecież podstawa.

OK! Czy takie polecenie diagnostyczne jest wystarczające?
netstat -a | head -n $(($(netstat -a | grep -sn 'Active UNIX domain sockets (servers and established)' | cut -f1 -d:) - 2))

Jednak z uwagi na grupę docelową nie będę omawiał sposobów rekonfiguracji demonów sieciowych.
Zakładam, że użytkownik co najwyżej to zgłosi.
W firmie czuwanie nad tą sprawą to raczej sprawa administratora.

> Fajnie byłoby też wspomnieć o ntp, które domyślnie otwiera UDP/123 -
> przez co jest łatwo wykrywalne i podatne na różnego rodzaju ataki,
> opartych głównie o amplifikację ruchu. Istnieją fajne alternatywy NTP
> 'client-only', jeśli dobrze kojarzę to jedna z lepszych jest w paczce
> openntpd.

Na Kubuntu nie widzę nasłuchu tego demona.

[Jacek Jaworski]

> Ja używam SRWare Iron zamiast Chromium. Polecam.

Może bym spróbował, ale ściąganie w tempie 50kB/s przez 18 min. to przesada.

[Mateusz Viste]

2020-09-10 o 11:02 -0700, Jacek Jaworski napisał:
> Dla użytkowników domowych i w małych firmach podstawą są jednak hasła.

I to jest zło. A miałem wrażenie, że przygotowywany dokument miał jakieś
ambicje dydaktyczne. :)

> OK! Czy takie polecenie diagnostyczne jest wystarczające?
> netstat -a | head -n $(($(netstat -a | grep -sn 'Active UNIX domain
> sockets (servers and established)' | cut -f1 -d:) - 2))

netstat? W 2020 r. wystarczy tak: ss -lptun
Nie trzeba nawet być rootem.

> > Fajnie byłoby też wspomnieć o ntp, które domyślnie otwiera UDP/123
> > - przez co jest łatwo wykrywalne i podatne na różnego rodzaju
> > ataki, opartych głównie o amplifikację ruchu. Istnieją fajne
> > alternatywy NTP 'client-only', jeśli dobrze kojarzę to jedna z
> > lepszych jest w paczce openntpd.
>
> Na Kubuntu nie widzę nasłuchu tego demona.

Google podpowiada, że Ubuntu używa do tego systemd: "Ubuntu by
default uses timedatectl / timesyncd to synchronize time"

Nawet nie wiedziałem, że systemd już i za to się zabrał. Świat się
kończy.


Mateusz

[Jacek Jaworski]

> > Zapraszam do dyskusji jak ją jeszcze uzupełnić lub poprawić.
> Ale to bardziej prywatne, bardziej zawodowe?

W równym stopniu prywatne i zawodowe. Choć czas jaki przeznaczyłem na tworzenie tej instrukcji wskazywał by na to że jednak jest to prywatne przedsięwzięcie.

> Niektóre porady (jak zastąpienie Chrome Chromium) niezbyt
> poprawiają bezpieczeństwo (raczej prywatność),
> brak informacji, że część serwisów może nie współpracować
> (DRM), info o potencjalnych problemach jest tylko przy javascript.

Nie zauważyłem innych problemów niż JS. W sumie DRM kojarzy mi się z ochroną plików audio i video przed kopiowaniem.
Mógłbyś rozwinąć temat?

> Inne uwagi:
>
> - jeśli już zaostrzamy SSH, to wypadałoby napisać
> o logowaniu kluczem

Używam na co dzień klucza. Jednak jakie ma to znaczenie w kontekście bezpieczeństwa?

> - brak podstawowej sprawy: należy do różnych serwisów
> używać różnych haseł, najlepiej używać menadżera haseł.
> Co z tego, że mamy super mocne hasło, jak to samo jest
> w serwisie X, który go przechowuje w plain text otwartym
> na świat? :-)

To jest jakby oczywiste i pozostawiam to użytkownikom.
W brew pozorom nie będę za nich myśłał.

> - brak równie podstawowej sprawy: podkreślenie
> regularnej aktualizacji oprogramowania

To przypominają menadżery pulpitów.
Jednak doświadczenia nie są jednoznacznie pozytywne.
Np. po aktualizacji Grobu z początku sierpnia 2020 - systemy ze starymi Bios-ami przestały startować.

> - może nie tak ściśle związane z bezpieczeństwem,
> ale podkreślenie regularnego wykonywania
> (i weryfikacji) backupów

Ja sobie robię kopie zapasowe jednak w firmie nie ma to znaczenia, bo mamy serwery na których trzymamy dane.
Tak więc jest to problem na poziomie administratora sieci a nie użytkowników.

[Jacek Jaworski]

czwartek, 10 września 2020 o 20:24:44 UTC+2 Mateusz Viste napisał(a):
> 2020-09-10 o 11:02 -0700, Jacek Jaworski napisał:
> > Dla użytkowników domowych i w małych firmach podstawą są jednak hasła.
> I to jest zło. A miałem wrażenie, że przygotowywany dokument miał jakieś
> ambicje dydaktyczne. :)

OK! Może uzupełniłbyś tą lukę i zaproponował treść akapitu na ten temat?

> > OK! Czy takie polecenie diagnostyczne jest wystarczające?
> > netstat -a | head -n $(($(netstat -a | grep -sn 'Active UNIX domain
> > sockets (servers and established)' | cut -f1 -d:) - 2))
> netstat? W 2020 r. wystarczy tak: ss -lptun
> Nie trzeba nawet być rootem.

$ netstat -a | head -n $(($(netstat -a | grep -sn 'Active UNIX domain sockets (servers and established)' | cut -f1 -d:) - 2))|wc -l
24
$ ss -lptun|wc -l
18

Co Ty na to?

[Jozef Stanin]

W dniu 10.09.2020 o 18:48, Jacek Maciejewski pisze:

Ja instalowałem to przy istniejącej już w systemie Lubuntu 18.04
przeglądarce chromium. Instalator zapytał tylko czy ma pobrać zakładki z
chromium i tyle. W menu startowym doszło mi dwie pozycje SRWare Iron
oraz SRWare Iron Config and Backup.
Może Uruchomiłeś tą drugą pozycję?
Wszystko wskazuje, że jest to samodzielna przeglądarka.

Został mi w menu wpis Chromium ale jak go użyję to uruchamia mi się
SRWare Iron.

[Pawel]

W dniu 10.09.2020 o 20:02, Jacek Jaworski pisze:

>> Nie wczytywałem się, pobieżnie tylko rzuciłem okiem na spis treści.
>> Rzucił mi się w twarz rozdział "sprawdź swoje hasła". A przecież
>> prawidłowo skonfigurowany system nie powinien *w ogóle* pozwalać na
>> jakiekolwiek logowanie po haśle, bo te są z definicji podatne na brute
>> force.
>
> Dla użytkowników domowych i w małych firmach podstawą są jednak hasła.
> Przygotowywana instrukcja jest adresowana również do użytkowników mało kompetentnych.
> Dla nich spr. hasła programem jest czymś b. dobrym.
> Ja też miałem hasło które cracklib-check skrytykował jako hasło słownikowe. Mimo, że wcale nie było krótkie ani jedno wyrazowe.
>

Osobiscie, jesli jest taka mozliwosc, to bym uzywal kluczy, jak i hasel.
Jak jedno wycieknie, to jest drugie zabezpieczenie. Ja tak mam na
domowym serwerze.

>> Brakuje też wzmianki o najzwyczajniejszym w świeci sprawdzeniu
>> nasłuchujących portów i ew. wyłączeniu niepotrzebnych usług lub
>> przestawieniu ich na nasłuch po localhost - a to przecież podstawa.
>
> OK! Czy takie polecenie diagnostyczne jest wystarczające?
> netstat -a | head -n $(($(netstat -a | grep -sn 'Active UNIX domain sockets (servers and established)' | cut -f1 -d:) - 2))
>
> Jednak z uwagi na grupę docelową nie będę omawiał sposobów rekonfiguracji demonów sieciowych.
> Zakładam, że użytkownik co najwyżej to zgłosi.
> W firmie czuwanie nad tą sprawą to raczej sprawa administratora.
>
>> Fajnie byłoby też wspomnieć o ntp, które domyślnie otwiera UDP/123 -
>> przez co jest łatwo wykrywalne i podatne na różnego rodzaju ataki,
>> opartych głównie o amplifikację ruchu. Istnieją fajne alternatywy NTP
>> 'client-only', jeśli dobrze kojarzę to jedna z lepszych jest w paczce
>> openntpd.
>
> Na Kubuntu nie widzę nasłuchu tego demona.
>

Nie wiem, czy to jest sprawka Ubuntu, czy systemd, ale czesc uslug ktore
nasluchuja, widoczna jest dopiero jak sie wybierze IPv6 w netstat. Mi np
Apache pokazuje, ze nasluchuje tylko na IPv6, a IPv6 nie uzywam.

Sprobuj np czegos takiego
netstat -l -n -6 -4 -p -v

[Dominik Ałaszewski]

Dnia 10.09.2020 Jacek Jaworski <jawors...@adres.pl> napisał/a:

>> Ale to bardziej prywatne, bardziej zawodowe?
>
> W równym stopniu prywatne i zawodowe. Choć czas jaki przeznaczyłem na tworzenie tej instrukcji wskazywał by na to że jednak jest to prywatne przedsięwzięcie.

Może nie wyraziłem się wystarczająco jasno, ale chodzi o grupę
docelową tego przedsięwzięcia, odbiorców wskazanego dokumentu,
zwanych pieszczotliwie "targetem". To mają być admini firmowi,
userzy firmowi, czy userzy domowi?

> Nie zauważyłem innych problemów niż JS. W sumie DRM kojarzy mi się z ochroną plików audio i video przed kopiowaniem.
> Mógłbyś rozwinąć temat?

Na ten przykład Netfliksa na Chromium od ręki nie obejrzysz.
Ponoć można doistalować biblioteki DRM, ale się w to nie bawiłem.

> Używam na co dzień klucza. Jednak jakie ma to znaczenie w kontekście bezpieczeństwa?

Poważnie, piszesz poradnik na temat bezpieczeństwa i pytasz,
jakie znaczenie w kontekście bezpieczeństwa ma używanie klucza?

Przeczytaj np
https://zaufanatrzeciastrona.pl/post/ktos-przez-5-miesiecy-podsluchiwal-hasla-uzytkownikow-centrum-obliczeniowego-uw/

> To jest jakby oczywiste i pozostawiam to użytkownikom.
> W brew pozorom nie będę za nich myśłał.

Wbrew pozorom jednak za nich myślisz każąc wybierać
mocne hasło, co jest równie oczywiste.
Może bądź konsekwentny? ;-)

>> - brak równie podstawowej sprawy: podkreślenie
>> regularnej aktualizacji oprogramowania
>
> To przypominają menadżery pulpitów.
> Jednak doświadczenia nie są jednoznacznie pozytywne.

Oczywiście. Ale doświadczenia z brakiem aktualizacji
często są jednoznacznie negatywne :-)

> Ja sobie robię kopie zapasowe jednak w firmie nie ma to znaczenia, bo mamy serwery na których trzymamy dane.
> Tak więc jest to problem na poziomie administratora sieci a nie użytkowników.

I tu wracamy do pytania o target. Bo jeśli jest nim user korpo,
to admin i procedury myślą za niego. Jeśli admin korpo, to jakby
nie na jego poziomie (no, chyba że to "garść porad dla
początkującego admina"). A jeśli user domowy, to powinno się
też podkreślić sprawy, które wydają się autorowi oczywiste.

[Mateusz Viste]

2020-09-10 o 11:37 -0700, Jacek Jaworski napisał:
> czwartek, 10 września 2020 o 20:24:44 UTC+2 Mateusz Viste napisał(a):
> > 2020-09-10 o 11:02 -0700, Jacek Jaworski napisał:
> > > Dla użytkowników domowych i w małych firmach podstawą są jednak
> > > hasła.
> > I to jest zło. A miałem wrażenie, że przygotowywany dokument miał
> > jakieś ambicje dydaktyczne. :)
>
> OK! Może uzupełniłbyś tą lukę i zaproponował treść akapitu na ten
> temat?

Dziękuję, postoję.

> $ netstat -a | head -n $(($(netstat -a | grep -sn 'Active UNIX domain
> sockets (servers and established)' | cut -f1 -d:) - 2))|wc -l 24
> $ ss -lptun|wc -l
> 18
>
> Co Ty na to?

Ja na to, że powinieneś zainteresować się zawartością wyników, a nie
tylko liczbą wierszy. Ponadto, "aktywny" socket to zupełnie nie to
samo, co socket nasłuchujący.

Mateusz

[Jacek Maciejewski]

Dnia Thu, 10 Sep 2020 21:04:03 +0200, Jozef Stanin napisał(a):

> W menu startowym doszło mi dwie pozycje SRWare Iron
> oraz SRWare Iron Config and Backup.

No a ja mam w menu 1 pozycję. Trzeba będzie pokombinować.

[Dominik Ałaszewski]

Dnia 10.09.2020 Pawel <ppf9@USUN_TOpoczta.fm> napisał/a:

> Osobiscie, jesli jest taka mozliwosc, to bym uzywal kluczy, jak i hasel.
> Jak jedno wycieknie, to jest drugie zabezpieczenie. Ja tak mam na
> domowym serwerze.

Oczywiście. Jak ktoś się włamie do domu przez słabo
zabezpieczone drzwi kuchenne, to jest drugie zabezpieczenie
w postaci frontowych drzwi antywłamaniowych. Czy jakoś tak.

[Mateusz Viste]

2020-09-11 o 07:38 GMT, Dominik Ałaszewski napisał:
> Dnia 10.09.2020 Pawel <ppf9@USUN_TOpoczta.fm> napisał/a:
>
> > Osobiscie, jesli jest taka mozliwosc, to bym uzywal kluczy, jak i
> > hasel. Jak jedno wycieknie, to jest drugie zabezpieczenie. Ja tak
> > mam na domowym serwerze.
>
> Oczywiście. Jak ktoś się włamie do domu przez słabo
> zabezpieczone drzwi kuchenne, to jest drugie zabezpieczenie
> w postaci frontowych drzwi antywłamaniowych. Czy jakoś tak.

Nie nie, Pawel raczej miał na myśli, że wymaga *zarówno* podania hasła,
jak i uwierzytelnienia kluczem. I czemu nie, tylko mam wątpliwości czy
tak się da z openssh. Da się? Możliwe też, że Pawel po prostu myli hasło
systemu z hasłem szyfrującym jego klucz prywatny, a to już zupełnie
inna para kaloszy.

Mateusz

[Dominik Ałaszewski]

Dnia 11.09.2020 Mateusz Viste <mat...@xyz.invalid> napisał/a:

> Nie nie, Pawel raczej miał na myśli, że wymaga *zarówno* podania hasła,
> jak i uwierzytelnienia kluczem. I czemu nie, tylko mam wątpliwości czy
> tak się da z openssh. Da się? Możliwe też, że Pawel po prostu myli hasło

A jeśli tak, to moja culpa- źle zrozumiałem.

Chyba się da, cytat z mana:

AuthenticationMethods

Specifies the authentication methods that must be successfully completed for a user to be granted access.
This option must be followed by one or more lists of comma-separated authentication method names, or by the
single string any to indicate the default behaviour of accepting any single authentication method. If the
default is overridden, then successful authentication requires completion of every method in at least one of
these lists.

For example, "publickey,password publickey,keyboard-interactive" would require the user to complete public
key authentication, followed by either password or keyboard interactive authentication. Only methods that
are next in one or more lists are offered at each stage, so for this example it would not be possible to at‐
tempt password or keyboard-interactive authentication before public key.

sshd z Debiana Bustera (1.7.9 chyba).

A hasło do klucza to oczywiście inna para kaloszy.

[Mateusz Viste]

2020-09-11 o 08:07 GMT, Dominik Ałaszewski napisał:
> Chyba się da, cytat z mana:
>

> AuthenticationMethods (...)

Fajne to. Raczej nigdy nie użyję, bo nie mam pamięci do haseł czy
innych pinów - niemniej fajne to. Jakiś czas temu czytałem o
multifactor auth w ssh, ale trzeba było do tego jakieś cyrki odprawiać
w postaci hackowania kodu opensshd czy też spinania go z jakąś googlową
biblioteką. Jeśli dziś da się to zrobić z palca, to naprawdę super.

Mateusz

[goo-...@ciach.net]

Da się. Nie pamiętam szczegółów, ale zajęło to nie więcej, niż 5 minut.

[Jarosław Sokołowski]

Pan Mateusz Viste napisał:

>> AuthenticationMethods (...)
>
> Fajne to. Raczej nigdy nie użyję, bo nie mam pamięci do haseł czy
> innych pinów

[...] Więc inspektor szlaku wezwał maszynistę do kancelarii i mówi:
,,Na szesnastym torze jest lokomotywa numer 4268. Ja wiem, że pan nie ma
dobrej pamięci do liczb, a gdy się panu jaką liczbę wypisze na kartce,
to pan kartkę gubi. Skoro więc ma pan taką słabą pamięć do liczb, to
proszę uważać, a ja panu dowiodę, że to bardzo łatwo zapamiętać sobie
jakąkolwiek liczbę. Patrz pan: lokomotywa, którą ma pan odstawić do
Łysej nad Łabą, ma numer 4268. Więc baczność: pierwsza liczba --
czwórka, druga -- dwójka. Możesz pan już zapamiętać 42, to jest dwa
razy dwa, o ile bierze się rzecz od dwójki, albo też mamy 4 podzielone
przez 2, równa się dwom i znowuż masz pan 4 i 2 obok siebie. A teraz,
tylko nic się pan nie bój, ile to będzie dwa razy cztery? Osiem,
nieprawdaż? Więc wbij pan sobie w pamięć, że ósemka z tej liczby jest
ostatnią w szeregu. Gdy więc pan już wie, że pierwsza liczba jest 4,
potem idzie 2, a czwarta jest 8, to i trzecią zapamiętać nietrudno,
jeśli się sprytnie zabrać do rzeczy. Strasznie to proste, bo chodzi o
6. Pierwsza 4, druga 2, czyli że razem 6. Murowane i pewne, że tej
szóstki z trzeciego miejsca zapomnieć nie można. I oto masz pan liczbę
4268 utkwioną w głowie na zawsze. Albo też może pan dojść do tych
samych wyników w sposób jeszcze prostszy...''

Feldfebel przestał palić i wytrzeszczył oczy na Szwejka.

-- Kappe ab! -- zamruczał pod nosem a Szwejk z wielką powagą mówił
dalej:

-- Więc zaczął mu objaśniać ten łatwiejszy sposób, żeby numer
lokomotywy 4268 nie wyleciał z pamięci. Gdy się od 8 odejmuje 2,
zostaje 6. A więc już masz 68. Sześć mniej dwa równa się cztery, jest
więc i czwórka, czyli 4 -- 68, a gdy się wstawi na drugie miejsce
dwójkę, to się ma całą liczbę: 4268. Można tę rzecz zrobić jeszcze
łatwiej, przy pomocy mnożenia i dzielenia a rezultat jest taki sam.
Pamiętaj pan tylko tyle, że dwa razy 42 równa się 84. Rok ma dwanaście
miesięcy. Odliczamy więc dwanaście od 84 i pozostaje 72, od tego
odliczamy jeszcze 12 miesięcy, mamy 60. Szóstka jest już murowana a
zero odrzucamy. Wiemy już 42, 68, 4. Kiedyśmy już skreślili zero, to
skreślimy i tę czwórkę na końcu i znowuż ogromnie jasno i wyraźnie
otrzymujemy 4268, czyli numer lokomotywy, którą trzeba odstawić do
Łysej nad Łabą. A z dzieleniem sprawa też jest nietrudna. Wyliczam
sobie koeficjent według taryfy celnej. Czy panu słabo, panie
feldfebel? Jeśli pan chce, to mogę zacząć od general de charge.
Fertig! Hoch an! Feuer! E, do pioruna! Pan kapitan nie powinien był
wysyłać nas na takie ostre słońce. Trzeba lecieć po nosze.

Przywołany lekarz stwierdził porażenie słoneczne albo też ostre
zapalenie opon mózgowych.

Kiedy feldfebel odzyskał przytomność, Szwejk, stojąc nad nim, rzekł:

-- Muszę to panu dokończyć. Czy pan myśli, panie feldfebel, że ten
maszynista sobie to zapamiętał? Wszystko pomieszał i poplątał, i
pomnożył przez trzy, ponieważ przypomniał sobie o Trójcy Bożej. [...]

--
Jarek

[Mateusz Viste]

2020-09-11 o 11:50 +0200, Jarosław Sokołowski napisał:
> to jest dwa razy dwa, o ile bierze się rzecz od dwójki, albo też mamy
> 4 podzielone przez 2, równa się dwom i znowuż masz pan 4 i 2 obok

> siebie. (...)

Jakbym siebie słyszał, za każdym razem przed bankomatem. A kart kilka,
PINów tyleż, więc i algorytmy różne... Ale przy bankomacie jeszcze jest
dobrze: jest czas się spokojnie zastanowić, przemnożyć, wycałkować,
przesunąć liczby i PIN gotowy. Gorzej w sklepie - dochodzi element
stresu i może być problem.

Mateusz

[Jarosław Sokołowski]

Pan Mateusz Viste napisał:

>> to jest dwa razy dwa, o ile bierze się rzecz od dwójki, albo też mamy
>> 4 podzielone przez 2, równa się dwom i znowuż masz pan 4 i 2 obok
>> siebie. (...)
>
> Jakbym siebie słyszał, za każdym razem przed bankomatem. A kart kilka,
> PINów tyleż, więc i algorytmy różne... Ale przy bankomacie jeszcze jest
> dobrze: jest czas się spokojnie zastanowić, przemnożyć, wycałkować,
> przesunąć liczby i PIN gotowy. Gorzej w sklepie - dochodzi element
> stresu i może być problem.

Za to w sklepie jest cień, więc porażenie słoneczne nie grozi.

Jarek

--
Mo i nie znalazł tej lokomotywy, która zapewne jeszcze ciągle stoi na torze 16.

[Mateusz Viste]

2020-09-11 o 12:05 +0200, Jarosław Sokołowski napisał:
> Pan Mateusz Viste napisał:
>
> >> to jest dwa razy dwa, o ile bierze się rzecz od dwójki, albo też
> >> mamy 4 podzielone przez 2, równa się dwom i znowuż masz pan 4 i 2
> >> obok siebie. (...)
> >
> > Jakbym siebie słyszał, za każdym razem przed bankomatem. A kart
> > kilka, PINów tyleż, więc i algorytmy różne... Ale przy bankomacie
> > jeszcze jest dobrze: jest czas się spokojnie zastanowić,
> > przemnożyć, wycałkować, przesunąć liczby i PIN gotowy. Gorzej w
> > sklepie - dochodzi element stresu i może być problem.
>
> Za to w sklepie jest cień, więc porażenie słoneczne nie grozi.

Przy bankomacie też nie grozi - u nas bankomaty są zawsze w banku.

Mateusz

[Pawel]

W dniu 11.09.2020 o 08:08, Dominik Ałaszewski pisze:

>> Używam na co dzień klucza. Jednak jakie ma to znaczenie w kontekście bezpieczeństwa?
>
> Poważnie, piszesz poradnik na temat bezpieczeństwa i pytasz,
> jakie znaczenie w kontekście bezpieczeństwa ma używanie klucza?

Ale czemu sie dziwisz? Ja widzialem lepsze kwiatki. X lat temu w jednej
firmie caly dzial IT mial hasla slownikowe, tylko jak sie okazalo, ja
jedyny mialem tak pokrecone haslo ktorego nie mozna bylo z niczym
skojarzyc. Ludzie potem mieli ubaw ze mnie, ze takie haslo sobie ustawilem.

Inny przypadek. Kumpel uzywal jakiegos prostego hasla+cyferka na koncu,
ktora zwiekszal od czasu do czasu.

Ludzie nie przywiazuja wagi do hasel. Trzeba na nich wymusic uzywanie
trudnych hasel i innych metod zabezpieczenia.

[Pawel]

W dniu 10.09.2020 o 03:13, Marcin Debowski pisze:
> Duży jakby nacisk na poprawność haseł a jednocześnie sporo info na
> poziomie administracji systemu. MZ jak sie ktoś w taka administracje
> chce bawić to wydaje się dziwne, aby nie wiedział co to jest mocne hasło
Wez pod uwage, ze niektore systemy/programy uniemozliwiaja uzywanie
mocnych hasel. Spotkalem sie z takimi sytuacjami, ze haslo moglo sie
skladac tylko z liter i cyfr, a znaki typu podkreslnik juz nie przechodzily.



> Poza tym razi:
> Może komuś z rozpędu przyszła by ochota na instalację
> popularnego Thunderbirda z paczki Snap? Jest to niemądre, bo on się
> będzie co chwilęaktualizował, a wraz z podbiciem nr wersji (nawet po
> zmianie numerka nakońcu) Thunderbird żąda ponownej konfiguracji od zera.
>
Ja takze mam mieszane uczucia jesli chodzi o systemy typu snap. Uzywam
np notepadqq i uruchamia sie kilka sekund, jak jest zainstalowany ze
snapa chyba. Jak jest normalnie z deba zainstalowany, to wszystko jest ok.

>
> Zaostrz prawa dostępu do katalogów użytkowników.
> sudo chmod 700 /home/*
>
> sudo chmod -R o-rwx,g-rwx /home
>
Bede musial nad tym pomyslec, tylko pytanie, czy ja dasz takie
ustawienia, to nie bedzie sypalo bledami?
Podejrzewam, ze niektore programy bazuja na weryfikacji np grupy, albo
ogolnie jakis program wymaga full dostepu.

[Jarosław Sokołowski]

Myślałem, że u nas już jest tych banków za dużo. A gdyby tak jeszcze
do każdego bankomatu dobudować kolejny...

--
Jarek

[Jarosław Sokołowski]

Pan Pawel napisał:

> Ludzie nie przywiazuja wagi do hasel. Trzeba na nich wymusic
> uzywanie trudnych hasel

Przymus ten skutkuje to zapisaniem trudnego hasła na żółtej
karteczce przyklejonej do monitora.

--
Jarek

[Pawel]

W dniu 11.09.2020 o 09:44, Mateusz Viste pisze:

Mialem na mysli haslo do klucza.
Jak wycieknie klucz, to bez hasla nie dostanie sie. Jak wycieknie haslo,
to bez klucza tez sie nie dostanie.

[Pawel]

W dniu 11.09.2020 o 09:38, Dominik Ałaszewski pisze:

> Dnia 10.09.2020 Pawel <ppf9@USUN_TOpoczta.fm> napisał/a:
>
>> Osobiscie, jesli jest taka mozliwosc, to bym uzywal kluczy, jak i hasel.
>> Jak jedno wycieknie, to jest drugie zabezpieczenie. Ja tak mam na
>> domowym serwerze.
>
> Oczywiście. Jak ktoś się włamie do domu przez słabo
> zabezpieczone drzwi kuchenne, to jest drugie zabezpieczenie
> w postaci frontowych drzwi antywłamaniowych. Czy jakoś tak.
>

A co miales na mysli, mowiac o slabo zabezpieczonych drzwiach kuchennych?
Uzywam firewalla z listami IP ktore sa uwazane za niebezpieczne.
Pozmienialem porty uslug.
Wylaczylem/odinstalowalem zbedne uslugi i ograniczylem nasluchiwanie do
localhost jesli to mozliwe.
Gdzie sie da, uzywam szyfrowania.

Jeszcze sie zabezpieczylem na kilka innych sposobow.

Czy uwazasz to za slabo zabezpieczone drzwi kuchenne?

[Jozef Stanin]

W dniu 11.09.2020 o 12:44, Jarosław Sokołowski pisze:

Moja metoda to pierwsze litery wyrazów znanego wiersza lub piosenki do
tego pisane na klawiaturze linijka wyżej na prawo skos od litery
właściwej. Używać dużych liter jak przy normalnym zdaniu. Do tego
normalne znaki interpunkcyjne. Dodatkowo na początku lub końcu dodaję
ulubiony znak specjalny.
Po tym wszystkim na pewno nie pamiętam hasła tylko układ jak to zrobiłem
i do odtworzenia tylko na klawiaturze ale nie w pamięci.

[Dominik Ałaszewski]

Dnia 11.09.2020 Pawel <ppf9@USUN_TOpoczta.fm> napisał/a:

> A co miales na mysli, mowiac o slabo zabezpieczonych drzwiach kuchennych?

Zrozumiałem, że używasz uwierzytelniania hasłem (drzwi kuchenne)
oraz równolegle uwierzytelnienia kluczem (drzwi frontowe).

Natomiast jak się okazało, nie używasz uwierzytelniania
hasłem, tylko masz hasło do klucza prywatnego (bardzo
słusznie)- ale to jednak coś innego.

> Jeszcze sie zabezpieczylem na kilka innych sposobow.

Racz zauważyć, że nie wypominam Ci źle zabezpieczonego systemu,
tylko żartobliwie odnoszę się do faktu, że używanie
klucza nic nie da w przypadku wycieku hasła, jeśli samym
hasłem można się uwierzytelnić.

Można stosować obie metody _łącznie_ (np. najpierw klucz,
potem hasło- ale do konta systemu, nie do klucza!)- podałem
fragment manuala.

Oczywiście hasło do klucza prywatnego znacząco podnosi
bezpieczeństwo jego używania, jeśli tylko oczywiście
nie jest takie samo jak wszystkie inne hasła do fejsbuków ;-)

[Jarosław Sokołowski]

Pan Jozef Stanin napisał:

>>> Ludzie nie przywiazuja wagi do hasel. Trzeba na nich wymusic
>>> uzywanie trudnych hasel
>>
>> Przymus ten skutkuje to zapisaniem trudnego hasła na żółtej
>> karteczce przyklejonej do monitora.
>
> Moja metoda to pierwsze litery wyrazów znanego wiersza lub piosenki
> do tego pisane na klawiaturze linijka wyżej na prawo skos od litery
> właściwej. Używać dużych liter jak przy normalnym zdaniu. Do tego
> normalne znaki interpunkcyjne. Dodatkowo na początku lub końcu
> dodaję ulubiony znak specjalny.
> Po tym wszystkim na pewno nie pamiętam hasła tylko układ jak to
> zrobiłem i do odtworzenia tylko na klawiaturze ale nie w pamięci.

Czy z hasłem #BmjdmpR,rNp,asNstjs (lub jego mutacją) uda mi się
gdzieś zalogować?

--
Jarek

[Jozef Stanin]

W dniu 11.09.2020 o 13:31, Jarosław Sokołowski pisze:

Źle mnie zrozumiałeś; widzę to po literkach. Litery znajdujące się
powyżej spacji tj. z,x,c,v,b,n,m nie występują w mojej koncepcji, bo
zastąpione są s,d,f,g,h,j,k. Patrz litera powyżej i w prawo.
Za to litery z górnego rzędu q,w,e,r,t,t... zamieniane są na
2,3,4,5,6... lub z Shift na znaki specjalne @,#,$,%,^,&...
Wtedy na pewno masz szanse zalogować się wszędzie, bo masz małe i duże
litery, cyfry oraz znaki specjalne. Nie musisz też pisać, aż 20 znaków.
Wystarczy chyba połowa

[Roman Tyczka]

W dniu 09.09.2020 o 23:11, Pawel pisze:
> W dniu 09.09.2020 o 22:45, Roman Tyczka pisze:
>
> Taki maly offtopic.
> Odnosnie twoich poprzednich watkow Roman. Nie wiem, czy zerkales pozniej
> na swoje watki, ale znalazlem rozbudowany menedzer schowka - CopyQ.
> Chyba spelnia wszystkie twoje wymagania.

Tak, widziałem, dzięki, ale nie zdążyłem go jeszcze rozkminić do końca.
Udało mi się już opanować podpięcie pod mój skrót i pokazanie listy
zapamiętanych pozycji, wybór ich strzałkami i wklejenie po enterze - i
to działa tak ja bym chciał. Ale np. nie wiem czy się da zdefiniować
listę stałych pozycji, które byłyby dostępne zawsze do wyboru, np. numer
rachunku bankowego czy adres e-mail. Choć jeszcze nie poświęciłem na to
zbyt dużo czasu, a program dość zamotany w ustawieniach i niejasny dla
mnie do końca. Niemniej lepszy niż to co oferuje KDE.

--
pzdr
Roman

[Jarosław Sokołowski]

Pan Jozef Stanin napisał:

>>> Moja metoda to pierwsze litery wyrazów znanego wiersza lub piosenki
>>> do tego pisane na klawiaturze linijka wyżej na prawo skos od litery
>>> właściwej. Używać dużych liter jak przy normalnym zdaniu. Do tego
>>> normalne znaki interpunkcyjne. Dodatkowo na początku lub końcu
>>> dodaję ulubiony znak specjalny.
>>> Po tym wszystkim na pewno nie pamiętam hasła tylko układ jak to
>>> zrobiłem i do odtworzenia tylko na klawiaturze ale nie w pamięci.
>>
>> Czy z hasłem #BmjdmpR,rNp,asNstjs (lub jego mutacją) uda mi się
>> gdzieś zalogować?
>
> Źle mnie zrozumiałeś; widzę to po literkach. Litery znajdujące się
> powyżej spacji tj. z,x,c,v,b,n,m nie występują w mojej koncepcji, bo
> zastąpione są s,d,f,g,h,j,k. Patrz litera powyżej i w prawo.
> Za to litery z górnego rzędu q,w,e,r,t,t... zamieniane są na
> 2,3,4,5,6... lub z Shift na znaki specjalne @,#,$,%,^,&...
> Wtedy na pewno masz szanse zalogować się wszędzie, bo masz małe i duże
> litery, cyfry oraz znaki specjalne. Nie musisz też pisać, aż 20 znaków.
> Wystarczy chyba połowa

Dobrze zrozumiałem. Nie chodziło mi o stosowany "algorytm kryptograficzny",
tylko o źródło danych do niego.

Jarek

--
Dowódca, otrzymawszy tę depeszę, odszyfrowuje ją w sposób następujący.
Bierze "Die Sünden der Väter", otwiera książkę na stronicy 161 i szuka na
górze na przeciwległej stronicy, 160, słowa "Sache". Proszę panów, po raz
pierwszy słowo "Sache" znajdujemy na stronicy 160, jako kolejne słowo 52...

[Pawel]

W dniu 11.09.2020 o 17:57, Roman Tyczka pisze:

> W dniu 09.09.2020 o 23:11, Pawel pisze:
>> W dniu 09.09.2020 o 22:45, Roman Tyczka pisze:
>>
>> Taki maly offtopic.
>> Odnosnie twoich poprzednich watkow Roman. Nie wiem, czy zerkales
>> pozniej na swoje watki, ale znalazlem rozbudowany menedzer schowka -
>> CopyQ. Chyba spelnia wszystkie twoje wymagania.
>
> Tak, widziałem, dzięki, ale nie zdążyłem go jeszcze rozkminić do końca.
> Udało mi się już opanować podpięcie pod mój skrót i pokazanie listy
> zapamiętanych pozycji, wybór ich strzałkami i wklejenie po enterze - i
> to działa tak ja bym chciał. Ale np. nie wiem czy się da zdefiniować
> listę stałych pozycji, które byłyby dostępne zawsze do wyboru, np. numer
> rachunku bankowego czy adres e-mail. Choć jeszcze nie poświęciłem na to

Sprobuj uzyc opcji "Pin" i zakladek. To chyba powinno powinno zalatwic
wszystkie twoje potrzeby.

> zbyt dużo czasu, a program dość zamotany w ustawieniach i niejasny dla
> mnie do  końca. Niemniej lepszy niż to co oferuje KDE.

Nie da sie ukryc, ze ma wiecej funkcji niz odpowiednik z KDE. Uzywam od
kilku dni i jestem bardzo zadowolony.


A jak tam uzywanie Linuksa? Nie masz jakis wiekszych problemow?

[Jacek Jaworski]

Właśnie wrzuciłem nową wersję po 3 popołudniach tworzenia.
http://energokod.prv.pl/Podstawowe%20zabezpieczenie%20stacji%20roboczych%20Linux%20Debian.pdf
Dziękuję wszystkim co podjęli merytoryczną dyskusję!

[Marcin Debowski]

On 2020-09-11, Pawel <ppf9@USUN_TOpoczta.fm> wrote:
> W dniu 10.09.2020 o 03:13, Marcin Debowski pisze:
>> Duży jakby nacisk na poprawność haseł a jednocześnie sporo info na
>> poziomie administracji systemu. MZ jak sie ktoś w taka administracje
>> chce bawić to wydaje się dziwne, aby nie wiedział co to jest mocne hasło
> Wez pod uwage, ze niektore systemy/programy uniemozliwiaja uzywanie
> mocnych hasel. Spotkalem sie z takimi sytuacjami, ze haslo moglo sie
> skladac tylko z liter i cyfr, a znaki typu podkreslnik juz nie przechodzily.
>
>
>
>> Poza tym razi:
>> Może komuś z rozpędu przyszła by ochota na instalację
>> popularnego Thunderbirda z paczki Snap? Jest to niemądre, bo on się
>> będzie co chwilęaktualizował, a wraz z podbiciem nr wersji (nawet po
>> zmianie numerka nakońcu) Thunderbird żąda ponownej konfiguracji od zera.
>>
> Ja takze mam mieszane uczucia jesli chodzi o systemy typu snap. Uzywam
> np notepadqq i uruchamia sie kilka sekund, jak jest zainstalowany ze
> snapa chyba. Jak jest normalnie z deba zainstalowany, to wszystko jest ok.

Bardziej chodziło mi o formę i fakt, że wątkotwórca najpierw twierdzi, że coś jest
niemądre, a dalej to de facto poleca.

>> Zaostrz prawa dostępu do katalogów użytkowników.
>> sudo chmod 700 /home/*
>>
>> sudo chmod -R o-rwx,g-rwx /home
>>
> Bede musial nad tym pomyslec, tylko pytanie, czy ja dasz takie
> ustawienia, to nie bedzie sypalo bledami?
> Podejrzewam, ze niektore programy bazuja na weryfikacji np grupy, albo
> ogolnie jakis program wymaga full dostepu.

A tu dla odmiany zwróciłem uwagę, że chmod 700 /home/* to jest takie rzeźnickie
potraktowanie sprawy jakby ten katalog domowy był na jakimś fat16. Do tego
jeszcze osobliwie wybiórcze bo w taki sposób to /home/.* ma nadal poprzednie
atrybuty.

A czy będą sypały błędami...
Jak coś zapisuje nam do domowego bez praw root'a to pewnie tak, ale to chyba nie
za częsty przy standardowym użyciu przypadek.

--
Marcin

[dantes]

Dnia Wed, 9 Sep 2020 09:12:21 -0700 (PDT), Jacek Jaworski napisał(a):

> Cześć!
> Na potrzeby prywatne i zawodowe opracowałem instrukcję jak w podstawowym zakresie zabezpieczyć system Debian (i pochodne).
>
> Instrukcja jest bezpłatna dostępna pod tym linkiem:
> http://energokod.prv.pl/Podstawowe%20zabezpieczenie%20stacji%20roboczych%20Linux%20Debian.pdf
>
> Zachęcam do lektury.
> Zapraszam do dyskusji jak ją jeszcze uzupełnić lub poprawić.
>
> Pozdro i szacun!
> Energo Koder

Do kompletu dodaj jeszcze konfigurację jakiegoś VPN'a.

[Mateusz Viste]

2020-09-12 o 08:08 +0200, dantes napisał:
> Do kompletu dodaj jeszcze konfigurację jakiegoś VPN'a.

VPN od dawna jest démodé. Teraz warto byłoby wspomnieć o gnunet. Albo
od biedy chociaż o tor.

Mateusz

[Jacek Jaworski]

> > Do kompletu dodaj jeszcze konfigurację jakiegoś VPN'a.
> VPN od dawna jest démodé.

Z VPN nie mam doświadczenia. Po za tym VPN-y są chyba płatne... Nie było by to niczym złym gdyby miało to jakiś głębszy sens...

> Teraz warto byłoby wspomnieć o gnunet.

O tym nic nie wiem. Mógłbyś poda powody dla których warto tym się zainteresować?
Na stronie widać statusy "Alpha" więc dalekie od produkcyjnej jakości...
A moja instrukcja jest na dziś zarówno do użytku domowego jak i zawodowego.

> Albo od biedy chociaż o tor.

Z Tor-em mam doświaczenie.
Jednak ta przeglądarka nie obsługuje poleceń z linii komend przez co jest nie d
o użytku jako przeglądarka codziennego użytku.
Choć sama koncepcja jest fajna.
Po za tym najnowsza wersja nie instaluje się na moim Kubuntu 20.04. Próba uruchomienia kończy się błędem:
gpg.errors.BadSignatures: 110775B5D101FB36BC6C911BEB774491D9FF06E2: Klucz wygasł
oraz:
FileNotFoundError: [Errno 2] Nie ma takiego pliku ani katalogu: '/usr/bin/gpg2'

Btw. dziś najnowsza wersja (630) instrukcji jak zwykle pod adresem:
http://energokod.prv.pl/Podstawowe%20zabezpieczenie%20stacji%20roboczych%20Linux%20Debian.pdf

[Pawel]

W dniu 12.09.2020 o 12:38, Jacek Jaworski pisze:

>>> Do kompletu dodaj jeszcze konfigurację jakiegoś VPN'a.
>> VPN od dawna jest démodé.
>
> Z VPN nie mam doświadczenia. Po za tym VPN-y są chyba płatne... Nie było by to niczym złym gdyby miało to jakiś głębszy sens...
>

Poczytaj sobie o wireguard. Jest to modul w kernelu linuksowym. Jest to
dosc nowy dodatek, wiec trzeba pewnie zbudowac samemu kernela.

Konfiguracja tego wymaga doslownie kilku linii, plus ewentualna
konfiguracja firewalla i przekierowania ruchu. Jest program pod Androida
i Linuksa do konfiguracji. Nie wiem jak ma sie sprawa pod Windowsa, bo
nie uzywam.


https://www.wireguard.com/
https://www.wireguard.com/install/

[Jacek Jaworski]

[Jacek Jaworski]

Sorry za pustą wiadomość, ale przez pomyłkę kliknąłem wyślij.

sobota, 12 września 2020 o 15:31:51 UTC+2 Pawel napisał(a):

Jeśli dobrze rozumiem to zastosowania VPN są 2:
1. Łączenie różnych sieci lokalnych w jedną sieć.
2. Funkcja proxy (na tej samej zasadzie co p. 1. + dostęp do Internetu.
Mam rację?
Więc nasuwa się pytanie: po co coś takiego domowemu użytkownikowi? Lub pracownikowi firmy jednoodziałowej?
Co z wydajnością VPN?
W ogóle jak widzisz sensowną architekturę sieci z użyciem tego VPN?
Jakiemu dostawcy usługi VPN byś zaufał?
Przecież dla rządu on i tak musi trzymać logi przez kilka (3?) miesięcy...

[Mateusz Viste]

2020-09-12 o 07:40 -0700, Jacek Jaworski napisał:
> Jeśli dobrze rozumiem to zastosowania VPN są 2:
> 1. Łączenie różnych sieci lokalnych w jedną sieć.
> 2. Funkcja proxy (na tej samej zasadzie co p. 1. + dostęp do
> Internetu. Mam rację?
> Więc nasuwa się pytanie: po co coś takiego domowemu użytkownikowi?

VPN to nic innego jak tunelowanie szyfrowanego ruchu. Dlaczego to
robić, to już zależy od potrzeby. Można chcieć łączyć się z
domu z serwerami firmy w bezpieczny sposób, nie ryzykując wystawiania
tych serwerów w żaden publiczny sposób. Można też korzystać z VPN aby
tunelować swój ruch internetowy, coby ten wyglądał na pochodzący z
innego miejsca na świecie. Pracodawca może wymagać aby pracownicy
zawsze korzystali z VPN na służbowym komputerze, coby monitorować gdzie
się pracownicy łączą i co robią. Jeszcze pewnie kilka use casów można
wymyśleć.

> Jakiemu dostawcy usługi VPN byś zaufał?

Żadnemu. Pojęcie VPN i "zewnętrznego dostawcy" są ze sobą sprzeczne. A
przynajmniej powinny.

Mateusz

[Pawel]

W dniu 12.09.2020 o 16:40, Jacek Jaworski pisze:

> Sorry za pustą wiadomość, ale przez pomyłkę kliknąłem wyślij.
>
> sobota, 12 września 2020 o 15:31:51 UTC+2 Pawel napisał(a):
>> W dniu 12.09.2020 o 12:38, Jacek Jaworski pisze:
>>>>> Do kompletu dodaj jeszcze konfigurację jakiegoś VPN'a.
>>>> VPN od dawna jest démodé.
>>>
>>> Z VPN nie mam doświadczenia. Po za tym VPN-y są chyba płatne... Nie było by to niczym złym gdyby miało to jakiś głębszy sens...
>>>
>> Poczytaj sobie o wireguard. Jest to modul w kernelu linuksowym. Jest to
>> dosc nowy dodatek, wiec trzeba pewnie zbudowac samemu kernela.
>>
>> Konfiguracja tego wymaga doslownie kilku linii, plus ewentualna
>> konfiguracja firewalla i przekierowania ruchu. Jest program pod Androida
>> i Linuksa do konfiguracji. Nie wiem jak ma sie sprawa pod Windowsa, bo
>> nie uzywam.
>>
>>
>> https://www.wireguard.com/
>> https://www.wireguard.com/install/
>
> Jeśli dobrze rozumiem to zastosowania VPN są 2:
> 1. Łączenie różnych sieci lokalnych w jedną sieć.

Tak.
Mozna i to jest chyba najczestszy przypadek, uzywac VPNa do laczenia sie
z siecia firmowa lub lokalna w domu. Takie polaczenie jest szyfrowane,
wiec to co idzie miedzy twoim komputerem, a siecia lokalna jest szyfrowane.

> 2. Funkcja proxy (na tej samej zasadzie co p. 1. + dostęp do Internetu.
> Mam rację?

Tak. Z VPNa mozna korzystac jako z proxy, czyli caly ruch szedlby
tunelem i wychodzil na swiat tam, gdzie wychodzi koncowka VPNa.

> Więc nasuwa się pytanie: po co coś takiego domowemu użytkownikowi? Lub pracownikowi firmy jednoodziałowej?

Domowy uzytkownik:
Jesli nie maszz w domu nich uruchomionego, to VPN nie jest Ci potrzebny,
ale jak maasz cos w sieci lokalnej, to VPN jest przydatny.

Pracownik:
Tutaj jest znacznie wiecej plusow uzywania VPNa.

Nie musisz zabezpieczac wszystkich uslug ktore sa dostepne na zewnatrz.
Wystarczy, ze zabezpieczysz odpowiednio VPNa i masz problem z glowy.
Caly rych widziany jest jakby byl ruchem w sieci lokalnej.
Sa np uslugi, ktore nie umozliwiaja duzej konfiguracji zwiazanej z
bezpieczenstwem, wiec taka aplikacja miaalaby dostep tylko do LANu, a ty
laczac sie przez VPNa moglbys sie laczyc z ta aplikacja bedac widocznym
jak uzytkownik z LANu, a nie z Internetu.

Jak ustawisz na laptopie , zeby caly ruch szedl przez VPNa, to mozesz
ograniczyc zabezpieczenia na laptopie do minimum, a ustawic lepszy
firewall, czy tez antywirus na routerze ktory jest uzywany do wyjscia na
swiat. Minusem tego rozwiazania jest to, ze w przypadku wiekszej ilosci
userow, trzeba zaainwestowac w lepsze lacze.



> Co z wydajnością VPN?
Zerknij na ta strone
https://restoreprivacy.com/vpn/wireguard-vs-openvpn/
Punkt "2. Speed: OpenVPN vs WireGuard"
Z tego co czytalem, Wireguard jest dosc szybkim VPNem.

> W ogóle jak widzisz sensowną architekturę sieci z użyciem tego VPN?

Mozna ustawic jeden serwer VPN, ktory bedzie sluzyl jako posrednik
pomiedzy roznymi sieciami, ale z tego co czytalem gdzies, wireguard
umozliwia utworzenie sieci kazdy z kazdym.
Jaka architekture wybierzesz, to juz zalezy od potrzeb. Jak jest jeden
oddzial, to robisz jeden serwer VPN i cala reszta laczy sie przez ten
serwer. W przypadku wiekszej ilosci oddzialow, warto rozwazyc utworzenie
sieci "kazdy z kazdym"

> Jakiemu dostawcy usługi VPN byś zaufał?

A kto mowi o dostawcy? Wystarczy, ze bedziesz mial minimum jeden
komputer ze stalym IP na ktorym stawiasz serwer VPN i jestes sam dla
siebie dostawca VPNa. To jest zwykla usluga jak kazda inna.

> Przecież dla rządu on i tak musi trzymać logi przez kilka (3?) miesięcy...

A to trzeba trzymac jakies logi z prywatnej sieci?
Z tego co kojarze, to dostawca internetu musi trzymac jakies logi, ale
co ma policja do tego z jakimi stronami sie laczysz.

[Mateusz Viste]

2020-09-12 o 17:46 +0200, Pawel napisał:
> Domowy uzytkownik:
> Jesli nie maszz w domu nich uruchomionego, to VPN nie jest Ci
> potrzebny

Znam trzy przypadki domowych użytkowników, którzy korzystają z takiej
technologii nie hostując niczego:

1. oglądanie treści, które są niedostępne dla kraju użytkownika.
2. ogólnopojęte "piracenie", tj. torrenty itp - bezpieczniej robić to
na czyjeś konto.
3. potrzeba dostępu gdzieś z innego IP, np. dlatego, że domowe IP
użytkownika zostało zbanowane na jakimś forum.

Mateusz

[dantes]

Znam jeden:
1. bezpieczne logowanie do usług bankowych z np.: sieci hotelowych
Reszta mnie nie interesuje.

--
Najlepiej jeszcze z odpalonym VNC.

[Jacek Jaworski]

Z tego co piszecie o VPN, to wydaje mi się, że jedynie w przypadku zastosowań zawodowych jest on uzasadniony.
Jeśli tak, to wydaje się, że zamiast pisać o tym w instrukcji powinienem pogadać o tym z prezesem.

@Mateusz Viste

> Znam trzy przypadki domowych użytkowników, którzy korzystają z takiej
> technologii nie hostując niczego:

> 1. oglądanie treści, które są niedostępne dla kraju użytkownika.

To wydaje się sensowne, jednak wymaga płatnej usługi i to raczej w SZAP.

> 2. ogólnopojęte "piracenie", tj. torrenty itp - bezpieczniej robić to
> na czyjeś konto.

Tego nie zakładam, poza tym to słabe zabezpieczenie, bo taki zewnętrzny dostawca musi i tak wszystko logować.

> 3. potrzeba dostępu gdzieś z innego IP, np. dlatego, że domowe IP
> użytkownika zostało zbanowane na jakimś forum.

Nie wiem czy to prawda, ale chyba większość dostawców internetu w standardzie daje zmienne IP.


@dantes

Znam jeden:
1. bezpieczne logowanie do usług bankowych z np.: sieci hotelowych

Nie wiem jakim cudem może to być niebezpieczne jak wszystkie banki mają https?!?

[Mateusz Viste]

2020-09-13 o 03:03 -0700, Jacek Jaworski napisał:
> > 1. oglądanie treści, które są niedostępne dla kraju użytkownika.
>
> To wydaje się sensowne, jednak wymaga płatnej usługi i to raczej w
> SZAP.

Nie wymaga. Wystarczy kolega w Londynie czy innym Nowym Jorku.

> Tego nie zakładam, poza tym to słabe zabezpieczenie, bo taki
> zewnętrzny dostawca musi i tak wszystko logować.

Kwestia jurysdykcji - dostawcy z drugiego końca świata niekoniecznie
dotyczą Polskie przepisy w tej materii. Nie musi też mieć żadnego
obowiązku współpracy z Europejskimi organami ścigania.

> Znam jeden:
> 1. bezpieczne logowanie do usług bankowych z np.: sieci hotelowych
>
> Nie wiem jakim cudem może to być niebezpieczne jak wszystkie banki
> mają https?!?

https nie chroni przed przeźroczystym SSL proxy, a to była dość
popularna sprawa jakieś 10 lat temu - czy dalej jest to nie wiem,
bo zupełnie przestałem interesować się tematem.

Mateusz

[Kamil Jońca]

Jacek Jaworski <jawors...@adres.pl> writes:

> Z tego co piszecie o VPN, to wydaje mi się, że jedynie w przypadku zastosowań zawodowych jest on uzasadniony.
> Jeśli tak, to wydaje się, że zamiast pisać o tym w instrukcji powinienem pogadać o tym z prezesem.
>
> @Mateusz Viste
>> Znam trzy przypadki domowych użytkowników, którzy korzystają z takiej
>> technologii nie hostując niczego:
>
>> 1. oglądanie treści, które są niedostępne dla kraju użytkownika.
>
> To wydaje się sensowne, jednak wymaga płatnej usługi i to raczej w SZAP.

Nie. Blokady/zmiana warunków umowy (np. doliczanie różnych opłat) w
zależności od regionu są wcale nierzadkie i dotyczy różnych regionów.

>> 2. ogólnopojęte "piracenie", tj. torrenty itp - bezpieczniej robić to
>> na czyjeś konto.
>
> Tego nie zakładam, poza tym to słabe zabezpieczenie, bo taki zewnętrzny dostawca musi i tak wszystko logować.

No chyba że nie musi (bo jest w jakiejś Panamie)

>> 3. potrzeba dostępu gdzieś z innego IP, np. dlatego, że domowe IP
>> użytkownika zostało zbanowane na jakimś forum.
>
> Nie wiem czy to prawda, ale chyba większość dostawców internetu w standardzie daje zmienne IP.

Owszem, ale zwykle (o ile nie zmieniasz mac adresu) to dość długo możesz
mieć ten sam ip przypisany.[1]

>
> @dantes
>
> Znam jeden:
> 1. bezpieczne logowanie do usług bankowych z np.: sieci hotelowych
>
> Nie wiem jakim cudem może to być niebezpieczne jak wszystkie banki mają https?!?

W implementacjach https też zdarzają się błedy.
Co więcej SSL opiera się na zaufaniu, że CA (którego cert jest zaszyty w
przeglądarce) nie wyda certyfikatu "mbank.pl" komuś innemu niż
mbank. Powiedzmy, że do tego założenia trzeba podchodzić
ostrożnie. (kojarzy mi się nazwa DigiNotar)
[1] - sprawdzic czy nie neostrada.


--
http://wolnelektury.pl/wesprzyj/teraz/
If you're not part of the solution, you're part of the precipitate.

[Mateusz Viste]

Przypomniał mi sie kolejny znany mi przypadek:

4. ktoś przemieszczający się po świecie, kto nie chce, by za pomocą
jego aktywności w internecie ktoś inny mógł dowiedzieć się gdzie ten
ktoś przebywa i jakie miejsca odwiedza. Ten ktoś korzysta wówczas z VPN,
coby wszelkie jego działania pozornie pochodziły z lasku w Zielonce czy
tam innym Sulejówku.

Mateusz

[Marcin Debowski]

To jest kategoria anonimizacji IP. Czy to z powodu piracenia, czy dla
ukrycia lokalizacji, czy też po prostu nie wystawiania swojego IP na
widok publiczny.

Można chcieć ominąć lokalną czy inną infrastrukturę kontrolowaną przez
państwo czy pracodawce, czy dostawcę Internetu, niekoniecznie dlatego,
że coś blokują, a np. aby zapobiec gromadzeniu (skojarzeniu) danych.
Czyli ochrona prywatności.

--
Marcin

[Jarosław Sokołowski]

Pan Marcin Debowski napisał:

>> Przypomniał mi sie kolejny znany mi przypadek:
>>
>> 4. ktoś przemieszczający się po świecie, kto nie chce, by za pomocą
>> jego aktywności w internecie ktoś inny mógł dowiedzieć się gdzie ten
>> ktoś przebywa i jakie miejsca odwiedza. Ten ktoś korzysta wówczas z VPN,
>> coby wszelkie jego działania pozornie pochodziły z lasku w Zielonce czy
>> tam innym Sulejówku.
>
> To jest kategoria anonimizacji IP.

Odwrotnie -- personalizacji.

--
Jarek

[Marcin Debowski]

Dlaczego?

--
Marcin

[Jarosław Sokołowski]

Pan Marcin Debowski napisał:

>>>> Przypomniał mi sie kolejny znany mi przypadek:
>>>>
>>>> 4. ktoś przemieszczający się po świecie, kto nie chce, by za
>>>> pomocą jego aktywności w internecie ktoś inny mógł dowiedzieć
>>>> się gdzie ten ktoś przebywa i jakie miejsca odwiedza. Ten ktoś
>>>> korzysta wówczas z VPN, coby wszelkie jego działania pozornie
>>>> pochodziły z lasku w Zielonce czy tam innym Sulejówku.
>>> To jest kategoria anonimizacji IP.
>> Odwrotnie -- personalizacji.
>
> Dlaczego?

Próbuję wczuć się w opisanego przez Mateusza kogoś. Gdyby chciał
anonimizować, to powinien użyć "rozpraszacza adresacji", choćby
dynamicznej numeracji dostawcy internetowego. A jeszcze lepiej
wielu różnych dostawców, o co dzisiaj nietrudno. Mógłby nawet
używać wielu VPN prowadzących w różne miejsca i zmienić je co
chwilę. Ale korzysta ze stałego IP, więc prędzej czy później
zostanie z nim skojarzony i będzie w ten sposób rozpoznawalny.

Niektóre usługi sieciowe nie mają autentykacji. Do publicznego
serwera Usenetu każdy może wysłać dowolną wiadomość z dowolnymi
nagłówkami. W szczególności mogą to być nagłówki naśladujące
konstrukcję nagłówków innego użytkownika tego serwera. Osoba
podszywająca się jest nie do odróżnienia od oryginału. Jednej
linii nie da się podrobić -- "NNTP-Posting-Host". W przypadku
dynamicznych adresów to nie problem -- ofiara pisze z sieci
T-mobile, to ja też sobie kupię prepaid T-mobile. Stały adres
w NNTP-Posting-Host jest namiastką autentykacji/identyfikacji,
takiej wadomości nie da się stuprocentowo sfałszować.

--
Jarek

[Roman Tyczka]

W dniu 11.09.2020 o 19:52, Pawel pisze:

>> enterze - i to działa tak ja bym chciał. Ale np. nie wiem czy się da
>> zdefiniować listę stałych pozycji, które byłyby dostępne zawsze do
>> wyboru, np. numer rachunku bankowego czy adres e-mail. Choć jeszcze
>> nie poświęciłem na to
> Sprobuj uzyc opcji "Pin" i zakladek. To chyba powinno powinno zalatwic
> wszystkie twoje potrzeby.

Sprawdzę, dzięki!

>> zbyt dużo czasu, a program dość zamotany w ustawieniach i niejasny dla
>> mnie do  końca. Niemniej lepszy niż to co oferuje KDE.
> Nie da sie ukryc, ze ma wiecej funkcji niz odpowiednik z KDE. Uzywam od
> kilku dni i jestem bardzo zadowolony.

> A jak tam uzywanie Linuksa? Nie masz jakis wiekszych problemow?

Póki co wszystko działa, a ja nie grzebałem w nim za dużo, wiesz
...wakacje, wyjazdy, goście... a teraz już robię swoją robotę, więc też
mało samego Linuksa.

Ale ja tu jeszcze wrócę z pytaniami, na bank! ;-)

--
pzdr
Roman

[Jacek Maciejewski]

Dnia Fri, 11 Sep 2020 14:13:55 -0700 (PDT), Jacek Jaworski napisał(a):

> http://energokod.prv.pl/Podstawowe%20zabezpieczenie%20stacji%20roboczych%20Linux%20Debian.pdf

Błąd 404 :)
--
Jacek
-I hate haters-

[Jacek Jaworski]

> > http://energokod.prv.pl/Podstawowe%20zabezpieczenie%20stacji%20roboczych%20Linux%20Debian.pdf
>
> Błąd 404 :)

Tak! Zgadza się! Wczoraj strone skasowałem z uwagi na kompletny brak zainteresowania najważniejszymi tematami jakie tam prezentowałem (nowy system rządzenia, nowy system edukacji, nowy pomysł na rozwój osobisty). Jak polacy mają to w dupie, to ja w chwili nie zamierzam ich dręczyć.
Dziękuję. Dobranoc.

[Jacek Jaworski]

> Jacek
> -I hate haters-

Przy okazji: Spadaj windziarzu/lamerze/hejterze.

[Pawel]

W dniu 21.09.2020 o 21:45, Jacek Jaworski pisze:

Bez nerwow. Kazdy sie wypowiedzial na temat ktory jakos ogarnia, albo ma
cos do powiedzienia.

Chciales, zeby ludzie Ci pomogli, wiec pomogli na tyle na ile potrafili.
Czy chciales, zeby ludzie wciskali Ci jakies bujdy?

[Pawel]

W dniu 21.09.2020 o 21:51, Jacek Jaworski pisze:

>> Jacek
>> -I hate haters-
>
> Przy okazji: Spadaj windziarzu/lamerze/hejterze.
>

To juz mogles sobie odpuscic.

[Jacek Jaworski]

Dla zainteresowanych nowy adres tego dokumentu to:
https://gitlab.com/energokoder/podstawowe-zabezpieczenie-stacji-roboczych-linux-debian

[Pawel]

W dniu 01.10.2020 o 13:09, Jacek Jaworski pisze:

> Dla zainteresowanych nowy adres tego dokumentu to:
> https://gitlab.com/energokoder/podstawowe-zabezpieczenie-stacji-roboczych-linux-debian
>

Dzieki. Na pewno sie przyda. Jest tam kilka rzeczy o ktorych nie wiedzialem.

[Pawel]

W dniu 01.10.2020 o 13:41, Pawel pisze:

Jedna rzecz jaka moglbym zasugerowac. Sam tego nie robilem, ale podobno
ma to sens. Jak sie wrzuca do repo, to mozna by pomyslec o jakims
formacie txt. Jakby to mial ktos edytowac, to latwiej utrzymac porzadek.

Jest jakis format txt, ktory potem mozna przekonwertowac do roznych
formatow. To jest chyba latex. Nie wiem, czy da sie przekonwertowac odt
do latexa, ale mozna by o tym pomyslec.

[Jacek Jaworski]

To nie Latex tylko Markdown. Jednak nie będę zmieniał formatu, bo:
+ Uważam, że odt jest spoko. Nigdy nie miałem z nim problemów. Choć słyszałem, że Libre Office potrafił generować odt kompatybilne jedynie z wersją w jakiej był zapisywany.
+ Nie mam czasu na mataczenie.
+ I tak powinno się pisać na końcu listę zmian w dokumencie.
+ Plik binarny to żaden problem dla gitt-a.

Słowem tracimy diff, ale niewielkim kosztem.
I tak się nie spodziewam by ktoś zaproponował jakieś zmiany czy uzupełnienia....

[Jacek Jaworski]

Hej! Cześć! i Czołem!
A widzieli najnowszy Linux Magazine? Jak nie to pragnę poinformować, że jego tematem jest bezpieczeństwo.
Temu zagadnieniu są poświęcone 2 artykuły anonimowego autora.
Ja 6 lipca 2020 wysłałem taki list elektroniczny do redakcji:

> Dzień dobry!
>
> Mam gotowy materiał na artykuł dotyczący konfiguracji bezpieczeństwa na systemach Linux Debian i pochodnych (rodzina Ubuntu).
>
> Artykuł dotyczy najnowszych wersji dystrybucji: Debian 10 i Kubuntu 20.04.
>
> Artykuł załączyłem do tej wiadomości.
>
> Proszę o rozpatrzenie możliwości jego publikacji na łamach waszego magazynu.
>
>
> W kwestii mojej prenumeraty. Nie przedłużę jej. Natomiast firma xxxxxxxxxxx.xx (w jakiej obecnie pracuję) z mojej inicjatywy zamówiła roczną, papierową prenumeratę.
>
> Tak więc możecie być spokojni dalej będę Waszym czytelnikiem.
>
> Poza tym widzę (po numerze lipcowym), że trzymacie wysoki poziom artykułów.
>
>
> Pozdrawiam!
> Jacek Jaworski

List został bez odpowiedzi.
Nie twierdzę, że ktoś mnie plagiatuje, bo poziom merytoryczny tych 2 artykułów jest raczej mierny przy moim opracowaniu.
Jednak wyszło na jaw "Kto brat dla brata, kto szmata w śród szmat!".
Jak chcecie coś lepszego od tych anonimowych "porad" to zapraszam tu: https://gitlab.com/energokoder/podstawowe-zabezpieczenie-stacji-roboczych-linux-debian

Wszystkiego naj w Nowym Roku życzy
Enego Koder!

[Jacek Jaworski]

> Jednak wyszło na jaw "Kto brat dla brata, kto szmata w śród szmat!".

Wiem, że to mocne słowa, więc je krótko uzasadnię:
Gdy wysyłałem do Linux Magazine ten dokument (jaki tu linkuję) jeszcze nie był publicznie dostępny. Myślałem, że mogę trochę na nim zyskać sławy i pieniędzy.
Myliłem się. Dlatego po 2 miesiącach go opublikowałem.
W ten sposób okazałem się pomocnym "bratem dla brata Polaka".

Natomiast Linux Magazine spodobał się pomysł na artykuł, ba! nawet na temat przewodni numeru! Natomiast nie spodobało im się, kto do nich pisał.
Mi się wydaje, że to są rasiści. Bo nie spodobało im się moje polskie nazwisko.
Dlatego okazali się "szmatą w śród szmat" - obok szmat SZAPowskich, NAZIstowskich i SYJONicznych.

Sorry, ale takie są fakty!

[Jacek Jaworski]

> Jak chcecie coś lepszego od tych anonimowych "porad" to zapraszam tu: https://gitlab.com/energokoder/podstawowe-zabezpieczenie-stacji-roboczych-linux-debian

Nie aktualne!
> You need to sign in or sign up before continuing.
Kara musi być za brak poparcia i brak zajęcia stanowiska w sprawie ważnej dla społeczności!