Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Re: Linuxissa vakava tietoturvaongelma
31 views
Skip to first unread message
Tapio Väättänen
Feb 16, 2022, 2:31:40 AM2/16/22
to
On 2022-02-07, Ari Saastamoinen <oh3mq...@hyper.fi> wrote:
> "TJT2" <truth....@holocaust.is.invalid> writes:
>
>> Kummallista, aikoinaan jotkut väittivät että Linuxissa ei ole mitään
>> tietoturvaongelmia, ei tarvita viruksientorjuntaa eikä muita vastaavia
>> ohjelmia, toisin kuin windows-koneissa. Ja Amigassakin oli aikoinaan
>
> Väittäähän voi vaikka mitä, mutta ei noi WIndows NT:n perilliset enää
> teknisesti sen huonompia olleet kuin Linuxikaan. Itse asiassa niissä on
> jopa paljon monipuolisempi ACL-systeemi kuin peruslinuxissa (Joku
> SELinux pätsi (Vai onkos toi jo nykyään vakiona mukana
> vanillakernelissä?) tuo kyllä Linuxin puolellekin tuota monipuolisuutta)
Mitä se ACL nyt ihan oikeasti tuo sellaista, jolle on jotain oleellista
käyttöä. Muutenkin olen eri mieltä väitteestäsi. Linux nimenomaan on
todistanut olevansa teknissti ylivoimainen NT-perillisiin verrattuna.
Tämän todistaa käyttö palvelimissa, joissa Windows on pudonnut kelkasta
käytännössä kokonaan. Toki Windows pyörii valtavassa määrässä palvelimia
myös pilvessä, mutta en nyt tänä päivänä näkisi mitään muuta syytä siihen,
kuin aikansa eläneet käytännöt.
> Aluksi LInuxia suojeli lähinnä se, että sitä käytettiin sen verran
> vähän, että matojen tekeminen siihen ei ollut kauhean mielenkiintoista,
> kun leviämispotentiaali oli paljon huonompi kuin Windowsien keskuudessa.
> (Vähän kuin oikeissa taudeissa vaikuttava laumaimmuniteetti)
No mikä sitä nyt suojaa? Entä maccia?
> Ja toinen ero oli käyttökulttuurissa kun aikoinaan Windowsia käytettiin
> pääsääntöisesti niin, että se käyttäjä oli aina myös pääkäyttäjän
> oikeudet, niin ei siinä käyttiksessä olevat hienot ACL-systeemin paljoa
> päässeet suojaamaan.
Eikä paljoa pääse hienot ACL-systeemit suojaamaan nytkään.
Follarit .sotiin
--
sip:t...@tav.iki.fi http://tav.iki.fi
"Writing a new OS only for the 386 in 1991 gets you your second 'F' for
this term." -- Prof. Andrew S. Tanenbaum
> "TJT2" <truth....@holocaust.is.invalid> writes:
>
>> Kummallista, aikoinaan jotkut väittivät että Linuxissa ei ole mitään
>> tietoturvaongelmia, ei tarvita viruksientorjuntaa eikä muita vastaavia
>> ohjelmia, toisin kuin windows-koneissa. Ja Amigassakin oli aikoinaan
>
> Väittäähän voi vaikka mitä, mutta ei noi WIndows NT:n perilliset enää
> teknisesti sen huonompia olleet kuin Linuxikaan. Itse asiassa niissä on
> jopa paljon monipuolisempi ACL-systeemi kuin peruslinuxissa (Joku
> SELinux pätsi (Vai onkos toi jo nykyään vakiona mukana
> vanillakernelissä?) tuo kyllä Linuxin puolellekin tuota monipuolisuutta)
Mitä se ACL nyt ihan oikeasti tuo sellaista, jolle on jotain oleellista
käyttöä. Muutenkin olen eri mieltä väitteestäsi. Linux nimenomaan on
todistanut olevansa teknissti ylivoimainen NT-perillisiin verrattuna.
Tämän todistaa käyttö palvelimissa, joissa Windows on pudonnut kelkasta
käytännössä kokonaan. Toki Windows pyörii valtavassa määrässä palvelimia
myös pilvessä, mutta en nyt tänä päivänä näkisi mitään muuta syytä siihen,
kuin aikansa eläneet käytännöt.
> Aluksi LInuxia suojeli lähinnä se, että sitä käytettiin sen verran
> vähän, että matojen tekeminen siihen ei ollut kauhean mielenkiintoista,
> kun leviämispotentiaali oli paljon huonompi kuin Windowsien keskuudessa.
> (Vähän kuin oikeissa taudeissa vaikuttava laumaimmuniteetti)
No mikä sitä nyt suojaa? Entä maccia?
> Ja toinen ero oli käyttökulttuurissa kun aikoinaan Windowsia käytettiin
> pääsääntöisesti niin, että se käyttäjä oli aina myös pääkäyttäjän
> oikeudet, niin ei siinä käyttiksessä olevat hienot ACL-systeemin paljoa
> päässeet suojaamaan.
Eikä paljoa pääse hienot ACL-systeemit suojaamaan nytkään.
Follarit .sotiin
--
sip:t...@tav.iki.fi http://tav.iki.fi
"Writing a new OS only for the 386 in 1991 gets you your second 'F' for
this term." -- Prof. Andrew S. Tanenbaum
Ari Saastamoinen
Feb 16, 2022, 4:33:54 AM2/16/22
to
Tapio Väättänen <t...@iki.fi> writes:
> Mitä se ACL nyt ihan oikeasti tuo sellaista, jolle on jotain oleellista
> käyttöä. Muutenkin olen eri mieltä väitteestäsi. Linux nimenomaan on
Esim. sellainen peristeisistä POSIX-permissioneista puuttuu, jota olen
> Mitä se ACL nyt ihan oikeasti tuo sellaista, jolle on jotain oleellista
> käyttöä. Muutenkin olen eri mieltä väitteestäsi. Linux nimenomaan on
useammankin kerran kaivannut on se, että pystyisin sanomaan, että
käyttäjät X,Y ja Z pystyvät kirjoittamaan hakemistoon AAA siten, että
niitä tiedostoja pystyvät nuo kaikki myös lukemaan/muokkaamaan vaikka
tiedoston luojan umaskissa olisi groupin bitit estettynä.
Ja sama toisin päin. Juuri konffasin yhteen koneeseen niin, että yksi
käyttäjä ei pääse lukemaan yhden hakemiston tiedostoja, vaikka koneen
kaikki muut käyttäjät pystyvät. (No tämän toki olisi saanut tehtyä
niin, että lisää koneen kaikki muut käyttäjät johonkin gruuppiin ja
sitten laittaa ko. hakemiston ryhmäksi tämän, mutta setfacl:lla toi kävi
paljon näppärämmin)
Ja sekin on oikein hyödyllistä, että prosessille voi antaa oikeuden
esim. luoda alaporttien soketteja ilman, että sillä on kaikkia rootin
oikeuksia.
jne.. Noi on todella monipuoliset nykyään, ja NT:n perillisissä ne on
olleet laajat jo paljon pitempään kuin linuxissa.
> No mikä sitä nyt suojaa? Entä maccia?
niitä mikään sen enempää suojaa kuin Windowsiakaan (Paitsi ehkä se, että
keskimäärin Linuxkäyttäjät lienevät keskimääräistä valistuneempia
käyttäjiä, ja suurin syy haittiksiin on nykyään käyttäjä, joka surutta
vain painaa aina OK-nappia kun matonen kysyy, että saanko tartuttaa
tämän koneen - ehkä eri sanoilla ;)
--
Arzka oh3mqu+...@hyper.fi - En halua follareita mailina
* Edellinen sigu oli aika paska jostain viime vuosituhannelta *
Tapio Vaattanen
Feb 16, 2022, 3:49:24 PM2/16/22
to
On 2022-02-16, Ari Saastamoinen <oh3mq...@hyper.fi> wrote:
> Tapio Väättänen <t...@iki.fi> writes:
>
>> Mitä se ACL nyt ihan oikeasti tuo sellaista, jolle on jotain oleellista
>> käyttöä. Muutenkin olen eri mieltä väitteestäsi. Linux nimenomaan on
>
> Esim. sellainen peristeisistä POSIX-permissioneista puuttuu, jota olen
> useammankin kerran kaivannut on se, että pystyisin sanomaan, että
> käyttäjät X,Y ja Z pystyvät kirjoittamaan hakemistoon AAA siten, että
> niitä tiedostoja pystyvät nuo kaikki myös lukemaan/muokkaamaan vaikka
> tiedoston luojan umaskissa olisi groupin bitit estettynä.
Tämä on tietysti totta, mutta alkaa olla pilvipalvelujen aikaan täysin
> Tapio Väättänen <t...@iki.fi> writes:
>
>> Mitä se ACL nyt ihan oikeasti tuo sellaista, jolle on jotain oleellista
>> käyttöä. Muutenkin olen eri mieltä väitteestäsi. Linux nimenomaan on
>
> Esim. sellainen peristeisistä POSIX-permissioneista puuttuu, jota olen
> useammankin kerran kaivannut on se, että pystyisin sanomaan, että
> käyttäjät X,Y ja Z pystyvät kirjoittamaan hakemistoon AAA siten, että
> niitä tiedostoja pystyvät nuo kaikki myös lukemaan/muokkaamaan vaikka
> tiedoston luojan umaskissa olisi groupin bitit estettynä.
merkityksetöntä. Ja kyllähän Linuxiin on ACL ollut saatavilla jo 20
vuotta, joten ei se nyt ihan uusi asia ole sielläkään.
Kokeilepa: man getfacl
En tiedä kuinka pitkälle ajassa taaksepäin pitää mennä, ettei tuo tulisi
vakiona mukaan:
$ getfacl test.txt
# file: test.txt
# owner: tav
# group: tav
user::rw-
group::rw-
other::r--
$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 16.04.4 LTS
Release: 16.04
Codename: xenial
>> No mikä sitä nyt suojaa? Entä maccia?
>
> No on Linux edelleenkin melko marginaalikäyttis desktopeissa. Mutta ei
> niitä mikään sen enempää suojaa kuin Windowsiakaan (Paitsi ehkä se, että
> keskimäärin Linuxkäyttäjät lienevät keskimääräistä valistuneempia
> käyttäjiä, ja suurin syy haittiksiin on nykyään käyttäjä, joka surutta
> vain painaa aina OK-nappia kun matonen kysyy, että saanko tartuttaa
> tämän koneen - ehkä eri sanoilla ;)
ohjelmisto, joten se, että käyttö on vähäistä desktopilla ei riitä
syyksi enää mihinkään.
The Internet is *full* - go away! -- Gert Doering
Ari Saastamoinen
Feb 16, 2022, 6:07:59 PM2/16/22
to
Tapio Vaattanen <t...@iki.fi> writes:
> Tämä on tietysti totta, mutta alkaa olla pilvipalvelujen aikaan täysin
> merkityksetöntä.
Yritätkö sanoa, että organisaatiot ei enää tarvitse omia palvelinkoneita
> Tämä on tietysti totta, mutta alkaa olla pilvipalvelujen aikaan täysin
> merkityksetöntä.
(ja niiden ACL:iä), koska pilvipalvelut?
> Ja kyllähän Linuxiin on ACL ollut saatavilla jo 20
> vuotta, joten ei se nyt ihan uusi asia ole sielläkään.
Ja alunperin väitteeni oli siitä, että vaikka pidänkin (palvelimissa)
LInuxista enemmän kuin WIndowseista, niin ei WinNT (ja sen perilliset)
teknisesti sen huonompia olleet kuin Linuxitkaan (Niitä vain usein
käytettiin väärin/huonommin), ja että NT:ssä oli esim. hyvät ja
monipuoliset ACL:t paljon ennen Linuxia - NT on ilmeisesti julkaistu
1993.
> Kokeilepa: man getfacl
On toi tuttu. Siinä pois klippaamassasi kappaleessa mainitsin
muistaakseni itsekin setfacl:n
>> No on Linux edelleenkin melko marginaalikäyttis desktopeissa. Mutta ei
>> niitä mikään sen enempää suojaa kuin Windowsiakaan (Paitsi ehkä se, että
>> keskimäärin Linuxkäyttäjät lienevät keskimääräistä valistuneempia
>> käyttäjiä, ja suurin syy haittiksiin on nykyään käyttäjä, joka surutta
>> vain painaa aina OK-nappia kun matonen kysyy, että saanko tartuttaa
>> tämän koneen - ehkä eri sanoilla ;)
>
> Minusta tämä juna meni jo. Linux on maailman kaikkien aikojen käytetyin
> ohjelmisto, joten se, että käyttö on vähäistä desktopilla ei riitä
> syyksi enää mihinkään.
ja sesktop-Linux ja palvelin-linux on ympäristönä kuitenkin sen verran
kaukana toisistaan, että ei taida kauheasti olla sellaisia matosia,
jotka on targetoitu samanaikaisesti noille kaikille. Kännyköihin
ainakin on matosia välillä jopa niinkin pahoja epidemioita, että niistä
on jopa tullut viranomaisilta varoituksia.
Tapio Vaattanen
Feb 16, 2022, 10:49:19 PM2/16/22
to
On 2022-02-16, Ari Saastamoinen <oh3mq...@hyper.fi> wrote:
> Tapio Vaattanen <t...@iki.fi> writes:
>
>> Tämä on tietysti totta, mutta alkaa olla pilvipalvelujen aikaan täysin
>> merkityksetöntä.
>
> Yritätkö sanoa, että organisaatiot ei enää tarvitse omia palvelinkoneita
> (ja niiden ACL:iä), koska pilvipalvelut?
En, vaan sanon, että ACL on ollut Linuxissa 20 vuotta ja en ole
>
>> Tämä on tietysti totta, mutta alkaa olla pilvipalvelujen aikaan täysin
>> merkityksetöntä.
>
> Yritätkö sanoa, että organisaatiot ei enää tarvitse omia palvelinkoneita
> (ja niiden ACL:iä), koska pilvipalvelut?
törmännyt Linuxiin ilman ACL:ää ainakaan kahdeksaan vuoteen. Sen
lisäksi, tiedostot tallennetaan pilveen, tiedostopalvelimille jne, joissa
kaikissa sijainnista huolimatta on ACL ja sitäkin moninaisemmat
ominaisuudet, joten ACL ei ole mitenkään oleellinen asia.
Yritän kyllä myös sanoa, että aika harva organisaatio tarvitsee enää
sellaisia palvelinkoneita, kuin vielä 90-luvulla. Pilvi on joko private,
public tai hybrid. Pienten yritysten ei kannata palvelimia tiloihinsa
hankkia ja isoillakin palvelimet on jo pilvessä, vaikka olisikin pääosin
omissa tiloissa. OpenShift jne...
>> vuotta, joten ei se nyt ihan uusi asia ole sielläkään.
>
> Joo. Pikaisella googletuksella sanoisin, että vuodesta 2002.
>
> Ja alunperin väitteeni oli siitä, että vaikka pidänkin (palvelimissa)
> LInuxista enemmän kuin WIndowseista, niin ei WinNT (ja sen perilliset)
> teknisesti sen huonompia olleet kuin Linuxitkaan (Niitä vain usein
> käytettiin väärin/huonommin), ja että NT:ssä oli esim. hyvät ja
> monipuoliset ACL:t paljon ennen Linuxia - NT on ilmeisesti julkaistu
> 1993.
tiedostonhallintaa. Ei sen enempää.
>> Kokeilepa: man getfacl
>
> On toi tuttu. Siinä pois klippaamassasi kappaleessa mainitsin
> muistaakseni itsekin setfacl:n
vaikka se tulee päädistroissa oletuksena mukana. Mainitsit muistaakseni
SELinuxin, joka ei ole mikään vaatimus ACL:lle, eikä 2016 Ubuntussa
mitään SELinuxia olekaan.
Eikä vaikka tässäkään:
which setfacl
/usr/bin/setfacl
$ lsb_release -a
LSB Version: :base-4.0-amd64:base-4.0-noarch:core-4.0-amd64:core-4.0-noarch
Distributor ID: AmazonAMI
Description: Amazon Linux AMI release 2018.03
Release: 2018.03
Codename: n/a
>>> No on Linux edelleenkin melko marginaalikäyttis desktopeissa. Mutta ei
>>> niitä mikään sen enempää suojaa kuin Windowsiakaan (Paitsi ehkä se, että
>>> keskimäärin Linuxkäyttäjät lienevät keskimääräistä valistuneempia
>>> käyttäjiä, ja suurin syy haittiksiin on nykyään käyttäjä, joka surutta
>>> vain painaa aina OK-nappia kun matonen kysyy, että saanko tartuttaa
>>> tämän koneen - ehkä eri sanoilla ;)
>>
>> Minusta tämä juna meni jo. Linux on maailman kaikkien aikojen käytetyin
>> ohjelmisto, joten se, että käyttö on vähäistä desktopilla ei riitä
>> syyksi enää mihinkään.
>
> Juu viimeistään Androidien kautta se on käytetyin, mutta Android-linux
> ja sesktop-Linux ja palvelin-linux on ympäristönä kuitenkin sen verran
> kaukana toisistaan, että ei taida kauheasti olla sellaisia matosia,
> jotka on targetoitu samanaikaisesti noille kaikille. Kännyköihin
> ainakin on matosia välillä jopa niinkin pahoja epidemioita, että niistä
> on jopa tullut viranomaisilta varoituksia.
haavoittuvuutta perusteltiin levinneisyydellä. MacOS, Linux, ChromeOS,
Android jne. ovat edelleen paljon paremmin suojassa viruksilta kuin
Windows.
Virussoftatkin Macissä ja Linuxissa tarkistaa vain Windows-viruksia,
jottei vahingossa levittäisi niitä eteenpäin. En tiedä voiko Maccia
sanoa marginaalikäyttikseksi. Jossain 90-luvun alussa puntit oli tasan
Windowsin kanssa, mutta toki samassa tilanteessa ei olla vielä
lähelläkään. Windowsin osuus desktopeissa näyttäisi nykyisin olevan
75,5%
https://gs.statcounter.com/os-market-share/desktop/worldwide
"Microsoft innovate! Give me a fucking break." -- Larry Ellison
Ari Saastamoinen
Feb 17, 2022, 3:25:47 AM2/17/22
to
Tapio Vaattanen <t...@iki.fi> writes:
> Paljon on vettä virrannut Vantaanjoessa niistä ajoista, kun Windowsin
> haavoittuvuutta perusteltiin levinneisyydellä. MacOS, Linux, ChromeOS,
> Android jne. ovat edelleen paljon paremmin suojassa viruksilta kuin
> Windows.
Juu, on totta, että Windowseille on enempi matoepidemioita, mutta ei
> Paljon on vettä virrannut Vantaanjoessa niistä ajoista, kun Windowsin
> haavoittuvuutta perusteltiin levinneisyydellä. MacOS, Linux, ChromeOS,
> Android jne. ovat edelleen paljon paremmin suojassa viruksilta kuin
> Windows.
siihen mitään varsinaista teknistä syytä ole, vaan vika on pääasiassa
huonommissa käyttäjissä.
Vai osaatko nimetä jotain seikkoja, joka Windowsissa olisi teknisesti
merkittävästi huonommin kuin Linuxissa.
Tapio Vaattanen
Feb 17, 2022, 4:14:51 AM2/17/22
to
On 2022-02-17, Ari Saastamoinen <oh3mq...@hyper.fi> wrote:
> Tapio Vaattanen <t...@iki.fi> writes:
>
>> Paljon on vettä virrannut Vantaanjoessa niistä ajoista, kun Windowsin
>> haavoittuvuutta perusteltiin levinneisyydellä. MacOS, Linux, ChromeOS,
>> Android jne. ovat edelleen paljon paremmin suojassa viruksilta kuin
>> Windows.
>
> Juu, on totta, että Windowseille on enempi matoepidemioita, mutta ei
> siihen mitään varsinaista teknistä syytä ole, vaan vika on pääasiassa
> huonommissa käyttäjissä.
Tätä en kyllä edelleenkään purematta niele.
> Tapio Vaattanen <t...@iki.fi> writes:
>
>> Paljon on vettä virrannut Vantaanjoessa niistä ajoista, kun Windowsin
>> haavoittuvuutta perusteltiin levinneisyydellä. MacOS, Linux, ChromeOS,
>> Android jne. ovat edelleen paljon paremmin suojassa viruksilta kuin
>> Windows.
>
> Juu, on totta, että Windowseille on enempi matoepidemioita, mutta ei
> siihen mitään varsinaista teknistä syytä ole, vaan vika on pääasiassa
> huonommissa käyttäjissä.
> Vai osaatko nimetä jotain seikkoja, joka Windowsissa olisi teknisesti
> merkittävästi huonommin kuin Linuxissa.
joskus 2004 tienoilla Windowsia ei voinut edes asentaa verkossa ilman
palomuureja. Se siis kuunteli heti jotain portteja jo asennusvaiheessa
ja asennus oli mahdoton tehdä. Nykyisinhän tuollaista ei tapahdu, koska
on NATit ja palomuurit aina, mutta aiemmin tällaisia suojia ei tarvittu.
Mulla on ollut päivittämätön Red Hat verkossa vuodesta 2001. Se
oli alunperin Red Hat 6.2 (ei RHEL 6.2, numerot on mennyt ympäri), jonka
sitten päivittelin johonkin Fedoran versioon. Ainakaan 15 vuoteen
en ole päivittänyt siihen yhtään mitään. 20 vuotta netissä ilman,
että kukaan on tullut sisään. OpenBSD, joka sekin ilman päivityksiä, on
sekin ollut verkossa 2004 vuodesta alkaen.
Mutta pistäpä joku Windows XP verkkoon. Ilman käyttäjiä. Ihan vaan
killumaan verkkoon. Anna olla siellä ilman päivityksiä 10 vuotta.
Tee sama Windows 10:lle. Nämä mun koneet on sentään pyrötittänyt
sähköpostipalvelinta, VoiP-palvelinta, Apachea, ssh:ta, imapd:tä jne..
Niissä mun ei-Windows-palvelimissa on koko ajan ollut palveluita
näkyvissä ulos verkkoon. Toki sinne on sisään yritetty tuhansia ja taas
tuhansia kertoja.
Ei, en osaa sanoa mikä Windowsissa on teknisesti huonommin toteutettu,
mutta siitä olen varma, että Windows ei verkossa ilman päivityksiä
selviä vuottakaan, vaikka ei tekisi siellä mitään muuta kuin killuisi.
Ari Saastamoinen
Feb 17, 2022, 7:29:08 AM2/17/22
to
Tapio Vaattanen <t...@iki.fi> writes:
> En tunne Windowsia kunnolla, jos oikeastaan ollenkaan. Kuitenkin, vielä
> joskus 2004 tienoilla Windowsia ei voinut edes asentaa verkossa ilman
> palomuureja. Se siis kuunteli heti jotain portteja jo asennusvaiheessa
> ja asennus oli mahdoton tehdä. Nykyisinhän tuollaista ei tapahdu, koska
> on NATit ja palomuurit aina, mutta aiemmin tällaisia suojia ei tarvittu.
No toi on kyllä erona Linuxin ja Windowsin välillä, että Windows
> En tunne Windowsia kunnolla, jos oikeastaan ollenkaan. Kuitenkin, vielä
> joskus 2004 tienoilla Windowsia ei voinut edes asentaa verkossa ilman
> palomuureja. Se siis kuunteli heti jotain portteja jo asennusvaiheessa
> ja asennus oli mahdoton tehdä. Nykyisinhän tuollaista ei tapahdu, koska
> on NATit ja palomuurit aina, mutta aiemmin tällaisia suojia ei tarvittu.
asennuksen yhteydessä laittaa sinne kuuntelemaan vaikka mitä
härpäkkeitä, kun taas Linuxeissa halutut härpäkkeet pitää aina erikseen
lisätä. Tosin modernit Linuxdistrot on kyllä tuossa mennyt huonompaan
suuntaan.
Mutta se menee silti huonojen oletusasetusten ja huonon
käyttäjän(asentajan) piikkiin, jos sinne jättää kaikkea tarpeetonta
höhää ajoon.
> Mulla on ollut päivittämätön Red Hat verkossa vuodesta 2001. Se
> oli alunperin Red Hat 6.2 (ei RHEL 6.2, numerot on mennyt ympäri), jonka
> sitten päivittelin johonkin Fedoran versioon. Ainakaan 15 vuoteen
> en ole päivittänyt siihen yhtään mitään. 20 vuotta netissä ilman,
> että kukaan on tullut sisään. OpenBSD, joka sekin ilman päivityksiä, on
> sekin ollut verkossa 2004 vuodesta alkaen.
>
> Mutta pistäpä joku Windows XP verkkoon. Ilman käyttäjiä. Ihan vaan
> killumaan verkkoon. Anna olla siellä ilman päivityksiä 10 vuotta.
> Tee sama Windows 10:lle. Nämä mun koneet on sentään pyrötittänyt
> sähköpostipalvelinta, VoiP-palvelinta, Apachea, ssh:ta, imapd:tä jne..
> Niissä mun ei-Windows-palvelimissa on koko ajan ollut palveluita
> näkyvissä ulos verkkoon. Toki sinne on sisään yritetty tuhansia ja taas
> tuhansia kertoja.
imappiin. Mutta tuolloin saattoi sähköpostioletussoftana vielä olla se
aito ja alkuperäinen sendmail. Josta esim. noihin aikoihin kun koneesi
sanoit asentaneesi, vuonna 2003, raportoitiin 10/10 pisteytyksellä
luokiteltu turvallisuusaukko, jota hyödyntämällä koneeseen sai softaa
ajoon.
Tai jos oli Exim, niin siinä on vuosien varrella vähän väliä ollut
remote code execution -aukkoja, viimeisin paha aukko reilu vuosi sitten.
Tai esim. Apache-ohjelmistosta on vuonna 2021 raportoitu virhe joka
mahdollistaa saamaan koodia ajoon remotena (Tosin edellytti
konffaukselta paria asiaa)
No noi toki ovat erillisiä palvelinsoftia eivätkä itse Linuxia, mutta
niin mä pidän erillisenä palvelinsoftana esim. IIS-palvelinta
Windowsissa vaikka se (serveriversion) asennuksen mukana taitaakin
asentua oletuksena. Tai sitten noita pitää pitää samalla tavalla
kokonaisuutena kuin esim. Windowsia jossa on IIS ajossa.
Tapio Vaattanen
Feb 17, 2022, 10:19:58 AM2/17/22
to
On 2022-02-17, Ari Saastamoinen <oh3mq...@hyper.fi> wrote:
> Et kertonut, mitä softia käytiti esim. sähköpostiin, voippiin ja
> imappiin. Mutta tuolloin saattoi sähköpostioletussoftana vielä olla se
> aito ja alkuperäinen sendmail. Josta esim. noihin aikoihin kun koneesi
> sanoit asentaneesi, vuonna 2003, raportoitiin 10/10 pisteytyksellä
> luokiteltu turvallisuusaukko, jota hyödyntämällä koneeseen sai softaa
> ajoon.
Mulla on ollut ja on edelleen postfixia ja on sendmailiakin. Näitä
> imappiin. Mutta tuolloin saattoi sähköpostioletussoftana vielä olla se
> aito ja alkuperäinen sendmail. Josta esim. noihin aikoihin kun koneesi
> sanoit asentaneesi, vuonna 2003, raportoitiin 10/10 pisteytyksellä
> luokiteltu turvallisuusaukko, jota hyödyntämällä koneeseen sai softaa
> ajoon.
turvallisuusaukkojahan aina löytyy. Mutta kun niitä pitää myös pystyä
hyödyntämään. Pelkän aukon olemassaolo ei vielä tarkoita, että se olisi
käytettävissä kaikissa koneissa kaikissa olosuhteissa.
Mikähän tämä 2003 10/10 aukko oli? 2001 muistan ssh:ssa olleen aukon.
Mä ylläpidin tuolloin HP-UX:eja, joihin käänsin itse OpenSSH:n. Olin
lähdössä viikonlkopuksi pois, ja jostain syystä päivitin SSH:n just
ennen lähtöä. Kun tulin takaisin töihin, niin epävirallista Linux-boxia
ei oltu päivitetty ja siihn tultiin sisään. Se ei ollut mun hallinnassa.
Mitään muuta laaejmapaa aukkoa, joka olisi hyödynnettävissä laajemmin en
tuon jälkeen muista.
> Tai jos oli Exim, niin siinä on vuosien varrella vähän väliä ollut
> remote code execution -aukkoja, viimeisin paha aukko reilu vuosi sitten.
mutta vaikka on aukko sendmailissa, niin ei se silti tarkoita, että se
olisi kaikissa sendmail-koneissa hyödynnettävissä.
> Tai esim. Apache-ohjelmistosta on vuonna 2021 raportoitu virhe joka
> mahdollistaa saamaan koodia ajoon remotena (Tosin edellytti
> konffaukselta paria asiaa)
pitäisi pystyä hyödyntämään. OpenBSD:n Apachessa on chroot ollut ainakin
vuodesta 2004, josta saakka itse olen sitä käyttänyt.
> No noi toki ovat erillisiä palvelinsoftia eivätkä itse Linuxia, mutta
> niin mä pidän erillisenä palvelinsoftana esim. IIS-palvelinta
> Windowsissa vaikka se (serveriversion) asennuksen mukana taitaakin
> asentua oletuksena. Tai sitten noita pitää pitää samalla tavalla
> kokonaisuutena kuin esim. Windowsia jossa on IIS ajossa.
graafista destoppia, eikä se ole aukkoja avannut.
"pico?!? What kind of person uses pico?" -- Hackles at November 28 ,2001
http://hackles.org/cgi-bin/archives.pl?request=93
0 new messages