"Predpokladem preci je aby se do sytemu vubec nedostal SW ktery produkuje nechteny odchozi provoz (coz mimo jine vylucuje pouzivani i naprosto holych widli). A tomu nema zamezit FW, ale trebas antivir."
a kdyz se tam dostane??
Nj, ale nejsou u toho ty prekrasny okynka "OK/Storno" a tlacitka "next", "next", "next", ... :D.
Navic je clovek vetsinou pripraven o tu zabavu, kdy se "neco nejak nastavilo samo" (a blbe), pripadne samovolne mizeni konfigurace a podobne. Nemluve o hrdinskych cinech konanych pri hledani "kam ono to vlastne tuhle blbost uklada ?".
Linux je takova nuda, konfigurace je vzdy v /etc (a pokud nahodou ne, tak staci man xyz).
Jiste, pokud jste profik, kterej se widlema zabejva, tak nejspis jo. A pokud jsou ty widle jenom na praci (tedy neprohlizi se na nich net), tak muzou byt bezpecny.
Ale pocitac beznych uzivatelu jsou na tom spatne. A u naseho serveru dokonce svevolne mizi ikonky z control panelu, tak nevim ;-)
Moc me vzdycky pobavi, kdyz nekdo vyklada, jak je Linux pracne nastavitelnej. Firewall jsem nastudoval z tutorialu od Johanky, okopiroval jeni nastaveni a bylo. Cely to trvalo asi 20 minut... A od ty doby to nastaveni jenom kopiruju na novy pocitace :-)
Zdravim, tohle me zajima, uz existuje nejaky funkcni aplikacni firewall na tomto reseni? Dokaze rozeznat symlink pojmenovany (se stejnou skupinou a uzivatelem - tohle si totiz lama do pocitace pusti uplne v pohode) stejne jako uzivatelskou aplikaci? Diky za informaci
Trosku fantazirujete, takovejch widli je. Pravda za hw firewallem. Mam tu i SW firewall pro pripad ze jsem na GPRS s tim ze ho mam nastaven "rucne" stylem iptables/ipfw tj ze jsem na zacatek dal propousteci pravidla (predevsim zakaz vse INCOMING), povolil prichozi veci (DNS jen z nasich NS serveru - pouzivame vlastni), nejake PPTP veci a zbytek je nemylosldne omezen. Pak to chce pozastavovat sdileni ve sluzbach, odzdilet vse vcetne tiskaren a x desitek hodin system dotahovat dotahovat. Mam tady WinXP uz temer dva roky. Obcas vytahnu tu 2,5 z ntbk kdyz kopiruji fotky a na druhem kompu to projizdim vsim moznym a zatim, klep klep.
K prvnimu odstavci, iptables to samozrejme umi rozpoznat a nejen aplikaci, ale treba i pod jakym uzivatelem ci skupinou bezi. Pomoci targetu ULOG jednoduse vytvorite aplikace ktere na vas vyhodi okenko s zadosti o povoleni, stejne jako ty ve Windows. A to ani nehovorim o dalsich pokrocilejsich targetech jako je layer-7 filtering ci QoS v userspacu.
Iptables je FW, ne odchytavac aplikaci. A k cemu je FW odchytavajici aplikace pokud veskere aplikace bezi pod admin uzivatelem a mohou si naprosto regulerne FW shodit, pripadne si samy povolit pristup ?
Navic tento pristup je naprosto zcestny, nac zakazovat odchozi provoz ? Predpokladem preci je aby se do sytemu vubec nedostal SW ktery produkuje nechteny odchozi provoz (coz mimo jine vylucuje pouzivani i naprosto holych widli). A tomu nema zamezit FW, ale trebas antivir.
AFAIK iptables neumi rozpoznat aplikaci, ktera komunikuje. A to dulezitejsi -- uzivatele iptables veri svemu systemu, nepotrebuji omezovat soft zevnitr.
Widlaci jo. Jednou jsem nechal pres noc pusteny w2k s firewallem a antivirem a nakonec jsem je musel opravovat z Linuxu (clamav nasel nejaky zviratka v c:/winnt/system32, ktery pri bootu zasekly avg, takze neslo nabootovat widle).
Nicmene mi neni jasny, kdyz se podivam na tristni vysledky http://www.firewallleaktester.com/tests.htm, ze cely tenhle clanek nemel jeden odstavec:
Pokud vas firewall vubec neco zachyti, je to pouze neschopnosti hackera. Je jedina sance -- ze bude hacker hodnej a nebude nam chtit smazat data a ukrast cislo kreditky.
Docela se desim okamziku, kdy i lidi na widlich budou chtit pouzivat PKI. Zatim jsem nevidel nezdiskreditovany widle.
