come ci si difende su linux? (e distribuzioni)

[Ico Bellungi]

mica mi avevate detto che su Linux ( se non installi altre cose ) a differenza di Windows , praticamente nulla comunica con l'esterno ?

No, è diverso. Se non vuoi che nulla comunichi con l'esterno, stacca il cavo di rete e tieni il PC offline. Chiaro che ci sono connessioni esterne, altrimenti non potresti nemmeno navigare.
La differenza con Win e che su una macchina Win appena installata ci sono mille programmi che aprono connessioni in uscita (e qualcuna in entrata) di continuo senza che tu l'abbia chiesto, su Linux no. Come dicevo qualche pagina fa, prova ad usare Wireshark col browser chiuso prima su Win e poi su Linux... a volte ci metterai un po' a capire chi sta effettuando delle connessioni, poi scopri che è qualche programma tipo Windows Media Player che fa multicast a caso.
Un'altra cosa sono i processi server: se ti installi un server FTP è ovvio che questo debba stare in ascolto, se no a cosa serve. Chiaro che se hai un processo che permette una connessione remota deve esserci almeno una porta aperta. Su Ubuntu di default è tutto chiuso, su altre distribuzione hai ssh aperto, ma non è un problema per la sicurezza, primo perchè non ci sono vulnerabilità note che permettono di bucare un server ssh aggiornato, secondo perchè sei comunque dietro il firewall del router, e dubito che ci sia un hacker uzbeko nella tua rete locale che ti sta facendo un bruteforce da una settimana per cercare di scoprire la tua password

- - - Updated - - -

Se vuoi controllare come vengono effettuati in genere i tentativi di attacco in rete e non hai mai amministrato un server disponibile verso l'esterno (e mi sa che non l'hai mai amministrato, altrimenti saresti più abituato a tentativi di intrusione), creati un honeypot e alza il più possibile il livello di logging.
I primi tempi che giocavo con Linux, era il 2005, avevo aperto un server FTP (con vsftpd) a casa e l'avevo nattato per essere raggiungibile da fuori (avevo un IP pubblico fisso con un provider siciliano chiamato Cheapnet) e dopo un paio di giorni ho controllato il log del server: decine di migliaia di tentativi di accesso da IP cinesi, indonesiani e da tutto il pianeta, tutti falliti. In genere provavano ad entrare con Administrator, quelli che ci provavano con root erano 1/10 del totale.
Ovviamente si trattava di bot e non di hacker uzbeki in carne ed ossa che digitavano Administrator mille volte.

Ecco, non fare come me che si fa l'honeypot a casa senza nemmeno sapere cosa sia un honeypot, compra un VPS per 5-6 euro al mese se vuoi fare delle prove.
Se invece vuoi giocare al piccolo hacker e vedere cosa c'è di aperto in giro, gioca con Shodan, ma occhio a non fare portscan o roba simile dal tuo indirizzo di casa 'ché altrimenti gli SWAT a casa te li ritrovi davvero

 

[Hobet]

No però il concetto più sw più rischi è giusto. Li disisntallerei volentieri . SE non si destabilizza il sistema . Alla fine si potrà trovare il nome del pacchetto e fare apt-get --purge remove o solo remove . Non no servono tutti quelli di xubuntu .
alla fine basta un corrispettivo di Office , un editor di immagini semplice . Un browser , la posta e poco altro. Altro di più specifico si vedrà strada facendo . Non scarico nulla da torrent o simili neanche su W ( al massimo lo facevo 5 anni fa su un netbook di cui mi fregava poco)

- - - Updated - - -

No ma aspetta @Uruma ma dove ho scritto che uso Linux perchè ho paura di prender un virus ?!

Non era riferito direttamente a te, ma a tutti gli utenti che pensano che passando a linux la loro vita sarà immune ai virus, mi basta un repository infetto a mandare all'aria tutto, non sempre la gente usa gli ufficiali apposta. Ma come ho detto prima non è il sistema il problema è l'utente. Con tutte le problematiche che si possono riscontrare in windows, non ho mai beccato un virus e guarda caso non uso neanche antivirus, chissà perchè?

Forse perchè non scarico software o giochi craccati a manetta o forse perchè invece di scaricarmi ccleaner da softonic vado direttamente sui siti ufficiali o forse perchè prima di cliccare come un beota "avanti avanti ok", leggo un pò cosa c'è scritto o magari perchè non urlo la mia mail sul web.

Comunque, riguardo ad arch un utente ha scritto che è per manettoni. Arch ci smanetti per configurarlo 2-3 giorni ma poi basta se vuoi un sistema stabile stai apposto con un sistema che veramente te lo senti tuo perchè sai da capo a piedi cosa ci hai messo dentro. Se poi uno si scarica i testing a manetta allora se le cerca, se una cosa funziona non vedo il motivo di aggiornare molti changelog sono inutili, e i software non devono essere per forza aggiornati se già funzionano, uno aggiorna quando nei changelog vede una falla o un bug corretto.

P.s.: Che poi che senso ha avere un pc ultra protetto se hai un modem che si può fallare in 5 minuti?:lol:

 

[Il cecchino Jackson]

tutti i processi server che aprono porte accessibili dall'esterno: SSH VNC RDP FTP HTTP (Apache ecc...) NFS, SMB/CIFS insomma qualunque processo server.
Per controllare quali porte sul tuo pc sono in ascolto usa nmap o zenmap, che è il suo frontend grafico, dandogli come IP 127.0.0.1.

Ah, ovviamente se il tuo router casalingo ha un firewall le porte aperte saranno accessibili solo da dentro casa tua, a meno che tu non le abbia nattate o a meno che tu non abbia messo quel PC in DMZ

fatto.tutto quello che dirò lo ho dedotto googolando,non so nulla o quasi di mio. prego(se si ha tempo) correggere le inesattezze

pare ci siano 2 porte aperte. alla prima associa xubuntu.ilmioproviderinternet (in ssl-date trova errore script execution failded) e a questa porta capisco che è associato qualcosa che c'entra con la posta. è qualcosa che per esempio può usare thunderbird? cmq deve essere una cosa di default di linux visto che ha un gestore di email preinstallato xubuntu.

e poi ce ne è un'altra: che capisco serva per servizi di stampa per pc a distanza.già di default penso.perchè io non ho install nulla. credo di aver capito (correggi se sbaglio) che su questa porta faccia un test, e riscontra potenziale rischio che appunto è quello che quelcuno possa agganciare il traffico da questa porta metterci dentro files malevoli.
poi scrive robots.txt : 1 disallowed entry (anche questo ho googolato l'unica cosa che ho trovato e capito è che sti robots sono usati per scandagliare indirizzi email e fare spam..insomma credo sia un comando per testare la mia porta? o no ?.


in ogni caso se quello che ho capito si avvicina un minimo alla realtà, deduco che almeno la seconda porta non mi serva e voglio chiuderla
grazie

- - - Updated - - -

No, è diverso. Se non vuoi che nulla comunichi con l'esterno, stacca il cavo di rete e tieni il PC offline. Chiaro che ci sono connessioni esterne, altrimenti non potresti nemmeno navigare.
La differenza con Win e che su una macchina Win appena installata ci sono mille programmi che aprono connessioni in uscita (e qualcuna in entrata) di continuo senza che tu l'abbia chiesto, su Linux no. Come dicevo qualche pagina fa, prova ad usare Wireshark col browser chiuso prima su Win e poi su Linux... a volte ci metterai un po' a capire chi sta effettuando delle connessioni, poi scopri che è qualche programma tipo Windows Media Player che fa multicast a caso.
Un'altra cosa sono i processi server: se ti installi un server FTP è ovvio che questo debba stare in ascolto, se no a cosa serve. Chiaro che se hai un processo che permette una connessione remota deve esserci almeno una porta aperta. Su Ubuntu di default è tutto chiuso, su altre distribuzione hai ssh aperto, ma non è un problema per la sicurezza, primo perchè non ci sono vulnerabilità note che permettono di bucare un server ssh aggiornato, secondo perchè sei comunque dietro il firewall del router, e dubito che ci sia un hacker uzbeko nella tua rete locale che ti sta facendo un bruteforce da una settimana per cercare di scoprire la tua password

- - - Updated - - -

Se vuoi controllare come vengono effettuati in genere i tentativi di attacco in rete e non hai mai amministrato un server disponibile verso l'esterno (e mi sa che non l'hai mai amministrato, altrimenti saresti più abituato a tentativi di intrusione), creati un honeypot e alza il più possibile il livello di logging.
I primi tempi che giocavo con Linux, era il 2005, avevo aperto un server FTP (con vsftpd) a casa e l'avevo nattato per essere raggiungibile da fuori (avevo un IP pubblico fisso con un provider siciliano chiamato Cheapnet) e dopo un paio di giorni ho controllato il log del server: decine di migliaia di tentativi di accesso da IP cinesi, indonesiani e da tutto il pianeta, tutti falliti. In genere provavano ad entrare con Administrator, quelli che ci provavano con root erano 1/10 del totale.
Ovviamente si trattava di bot e non di hacker uzbeki in carne ed ossa che digitavano Administrator mille volte.

Ecco, non fare come me che si fa l'honeypot a casa senza nemmeno sapere cosa sia un honeypot, compra un VPS per 5-6 euro al mese se vuoi fare delle prove.
Se invece vuoi giocare al piccolo hacker e vedere cosa c'è di aperto in giro, gioca con Shodan, ma occhio a non fare portscan o roba simile dal tuo indirizzo di casa 'ché altrimenti gli SWAT a casa te li ritrovi davvero

grazie.
ho scrittp "praticamente", ovviamente so (ma è l'unica cosa che so,ho scritto nel primp post che so a malapena accendere un pc) che il browser deve accedere

- - - Updated - - -

N
Ovviamente si trattava di bot e non di hacker uzbeki in carne ed ossa che digitavano Administrator mille volte.

ma per curiosità cosa cambia? questi bot non scandagliano l'internet per trovare falle,segnalarle e segnalarle a qualcuno ?

non so se si capisce,ma io non penso che qualcuno tenti di bucare il mio pc. penso a qualcosa a mo di mail con virus: arrivano a caso a tutti, mica bersagliano qualcuno in particolare

- - - Updated - - -

e non di hacker uzbeki in carne ed ossa che digitavano Administrator mille volte.

oppure, se prendi un keylogger, o quello dell'altro gg era un file corrotto che geneerava traffico all'esterno,comunicherà in qualche modo. quindi la necessità di controllare ogni tanto il traffico
o semplicemtne sperimento per curiosità

- - - Updated - - -

ok ho chiuso le porte. ora vediamo che succede

- - - Updated - - -

ehi ho chiuso, ho fatto scan e la trova di nuovo aperta!

 

[Utente cancellato 110428]

@Ico Bellungi Che distribuzione usi come main?

 

[Il cecchino Jackson]

ehi ho trovato questo su ubuntu italia

Anche altri tipi di malware (rootkit, spyware, worm, etc...) sono talmente rari (e in alcuni casi inesistenti) che potreste passare una vita intera a fare scansioni sul proprio pc senza trovarne alcuno. Tra l'altro non è assolutamente automatico essere infettati, ma anzi serve spesso il volontario intervento dell'utente per "installarli", visto che senza la password di amministrazione sono impotenti. ;)

è vero il grassetto? come mai???

- - - Updated - - -

cmq la cosa di wireshark l'avevo sentita eh. e poi mi fido. ma per curiosità più tardi o domani provo

- - - Updated - - -

gurda non riesco a farlo partire. mi fido ovviamente come già detto. al massimo mi guardo un video su youtube

- - - Updated - - -

eccolo qui https://www.youtube.com/watch?v=dbqprYDCqAw

- - - Updated - - -

ehi ho trovato questo su ubuntu italia



è vero il grassetto? come mai???

- - - Updated - - -

ah vabbè intenderà tipo l'account admin di W o quello di apple

- - - Updated - - -

potevi dirmelo che mi stavo connettendo con il localhost :P ahahaha

- - - Updated - - -

mi hanno spiegato tutto già cmq

127.0.0.1 è il localhost

cito il file before.rules, che ha la precedenza su qualsiasi regola imposterai nell'immediato presente o futuro:

allow all on loopback
​

Quelle non sono connessioni verso l'esterno e non verranno mai bloccate da qualsiasi regola andrai a creare.
cups ad esempio ti serve per stampare.
Se chiudi le porte, le chiudi per evitare che arrivino connessioni dall'esterno o che ne partano verso l'esterno, non per bloccare servizi che girano all'interno del PC.

Non saprei se nelle loro guide (quali?) hai letto che ufw usa un proprio file iptables sysctl, quindi se vuoi usare quello di sistema devi dirglielo e non puoi farlo tramite comandi ma devi mettere mano direttamente ai file di configurazione, come devi eliminare regole che sono preimpostate per fare da router (es: assegnare indirizzi) o ti predispongono a fare da server UPnP nella rete (e manco gli è venuto in mente di crearla usando --src-type LOCAL, visto che dove ho bisogno di fare da server DLNA ne creo una mia più pulita e sicura), ufw è preconfigurato per rispondere alle richieste sulla rete locale (rispondere, RETURN) e quindi al di fuori del PC, anche questa è una regola che non è impostabile tramite comandi ufw ma devi agire a mano sui sui file di configurazione.

cups sul 127.0.0.1 c'è l'ho pure io perché ho installato il server di stampa, ma è una connessione interna, un servizio locale, i test devi farli sull'interfaccia di rete esterna, non su quella di loopback (localhost), dove è normale che devono girare i servizi installati e avere la propria porta in ascolto (invisibile dall'esterno).

p.s.: le porte non si chiudono, si nascondono.

- - - Updated - - -

ma vedete che la gente se li fa i problemi??!!
Internet Banking e sicurezza ? Forum Ubuntu-it

live per le operazioni bancarie. qua sembro un idiota io

 

[Ico Bellungi]

@Ico Bellungi Che distribuzione usi come main?

Ubuntu Mate sul PC del lavoro, che è quello davanti al quale passo più tempo. A casa un po' tutte a rotazione, diciamo che i sistemi operativi mi durano meno delle fidanzate.
Fissi ho un altro Ubuntu Mate sul portatilino che uso per suonare e Debian testing su quello che uso per scaricare e come media center.
Poi nel corso degli anni ho accumulato mille catorci che la gente mi porta "guarda se può servirti" e che poi dopo qualche mese regalo a qualcuno a cui serve un portatile o un fisso del 1911. In molti casi sono così vecchi da non essere più regalabili e ci gioco io ogni tanto

 

[signore del tempo]

ehi ho trovato questo su ubuntu italia



è vero il grassetto? come mai???

No che non è vero: un semplicissimo "rm -rf * 2> /dev/null &" cancellerebbe tutti i file che può; quelli della tua ~ sarebbero sicuri a scomparire. Per quelli invece essenziali al sistema (/etc, /usr ecc.) servono permessi superiori. Il problema è sempre come ci arrivi quello script al tuo elaboratore​!

qua sembro un idiota io

Nessuno ti ha classificato come tale. Cerca -per quanto mi riguarda- di argomentarti su quanto ti viene suggerito al fine di evitare di ripetere le stesse cose: ci risparmiamo tempo noi e tu.

 

[Il cecchino Jackson]

Esiste un modo semplice ( con semplice intendo un solo commando tipo quello per visualizzare i blocchi in ingresso di ufw) per vedere in tempo reale EVENTUALI connessioni in uscita dal mio xubuntu ? grazie in anticipo


senza installare wireshark


ah non porte aperte , proprio cosa o chi sta uscendo ( a meno che una porta sia per forza associabile a una sola cosa. Ma non credo che un hacker ti scriva " ehi io entro ed esco di qua")

- - - Updated - - -

Tipo ieri volevo per curiosità fare una passata di adwcleaner su un PC su cui ho Norton.
adwcleaner ha da poco una nuova versione quindi Norton lo bloccava perchè non lo riconosceva come sicuro. E mi segnalava hhe tentava una connessione verso l'esterno attraverso una certa porta .

Questa cosa non è possibile vederla linux senza un av installato ? Grazie

- - - Updated - - -

Non era riferito direttamente a te, ma a tutti gli utenti che pensano che passando a linux la loro vita sarà immune ai virus, mi basta un repository infetto a mandare all'aria tutto, non sempre la gente usa gli ufficiali apposta. Ma come ho detto prima non è il sistema il problema è l'utente. Con tutte le problematiche che si possono riscontrare in windows, non ho mai beccato un virus e guarda caso non uso neanche antivirus, chissà perchè?

Forse perchè non scarico software o giochi craccati a manetta o forse perchè invece di scaricarmi ccleaner da softonic vado direttamente sui siti ufficiali o forse perchè prima di cliccare come un beota "avanti avanti ok", leggo un pò cosa c'è scritto o magari perchè non urlo la mia mail sul web.

Comunque, riguardo ad arch un utente ha scritto che è per manettoni. Arch ci smanetti per configurarlo 2-3 giorni ma poi basta se vuoi un sistema stabile stai apposto con un sistema che veramente te lo senti tuo perchè sai da capo a piedi cosa ci hai messo dentro. Se poi uno si scarica i testing a manetta allora se le cerca, se una cosa funziona non vedo il motivo di aggiornare molti changelog sono inutili, e i software non devono essere per forza aggiornati se già funzionano, uno aggiorna quando nei changelog vede una falla o un bug corretto.

P.s.: Che poi che senso ha avere un pc ultra protetto se hai un modem che si può fallare in 5 minuti?:lol:

ma se un giorno volessi provare un po' sto arch giusto per( ovviamente seguendo guide perchè da solo non sarei capace) , su una live persistente , quanti GB mi servono sulla live ?

 

[Hobet]

Esiste un modo semplice ( con semplice intendo un solo commando tipo quello per visualizzare i blocchi in ingresso di ufw) per vedere in tempo reale EVENTUALI connessioni in uscita dal mio xubuntu ? grazie in anticipo


senza installare wireshark


ah non porte aperte , proprio cosa o chi sta uscendo ( a meno che una porta sia per forza associabile a una sola cosa. Ma non credo che un hacker ti scriva " ehi io entro ed esco di qua")

- - - Updated - - -

Tipo ieri volevo per curiosità fare una passata di adwcleaner su un PC su cui ho Norton.
adwcleaner ha da poco una nuova versione quindi Norton lo bloccava perchè non lo riconosceva come sicuro. E mi segnalava hhe tentava una connessione verso l'esterno attraverso una certa porta .

Questa cosa non è possibile vederla linux senza un av installato ? Grazie

- - - Updated - - -




ma se un giorno volessi provare un po' sto arch giusto per( ovviamente seguendo guide perchè da solo non sarei capace) , su una live persistente , quanti GB mi servono sulla live ?

Prova iftop, ti mostra traffico e connessioni in entrata e uscita. Non è cosi macchinoso come shark ma è utile.

Arch è una distribuzione linux come le altre, l'unica difficoltà se cosi vogliamo chiamare è che te la devi costruire te da zero installa le cose che tu servono a fine settaggio saprai a memoria cosa c è dentro la tua distro. Se poi la vuoi tua tua tua vai di gentoo ma quella fa male alla psiche

Inviato dal mio GT-I9195 utilizzando Tapatalk

 

[signore del tempo]

Le connessioni in uscita? Che siano eventuali, mah, lo dubito dato che per essere connesso a questo sito devi instaurarne una (senza contare quelle ai siti collegati qui). Comunque, che tu sia interessato a quelle in ingresso o in uscita, usa ss.

 

[Il cecchino Jackson]

grazie! domani provo
(cmq come ho detto qualche post fa, mi è chiaro che il browser deve uscire,come mi immagine esca qualcosa se il so deve aggiornarsi...mi riferisco al fatto che mi è chiaro non ci siano di base tutte le connessioni che ha W,come dice Ico..e ovviamente mi riferisco anche a qualcosa di malvagio eventualmente finito sul mio pc di prova)

- - - Updated - - -

mi hanno insegnato anche questi comandi
sudo netstat -tulnp | grep tcp
sudo netstat -tulnp | grep udp

- - - Updated - - -

a me piacerebbe avere sul desktop sempre un riquadro che mostra cosa entra e cosa esce,tipo stare in una sala comandi/controllo

- - - Updated - - -

ragazzi sto andando in paranoia. qualcuno mi spiega perchè ho un server di posta installato in xubuntu?
gooolando se lo chiede altra gente pare

 

[xskah]

ragazzi sto andando in paranoia.

Sai cosa, se ti ostini a trattare linux come fosse windows, non ne verrai mai a capo

 

[Il cecchino Jackson]

apt-get --purge remove e via se ne è andato. meglio niente processi server e niente che non conosci o non ti serve nel pc come mi insegna @Uruma


ehi forse era lo warning "mail" di rkhunter

 

[xMIOx]

grazie! domani provo
(cmq come ho detto qualche post fa, mi è chiaro che il browser deve uscire,come mi immagine esca qualcosa se il so deve aggiornarsi...mi riferisco al fatto che mi è chiaro non ci siano di base tutte le connessioni che ha W,come dice Ico..e ovviamente mi riferisco anche a qualcosa di malvagio eventualmente finito sul mio pc di prova)

- - - Updated - - -

mi hanno insegnato anche questi comandi
sudo netstat -tulnp | grep tcp
sudo netstat -tulnp | grep udp

- - - Updated - - -

a me piacerebbe avere sul desktop sempre un riquadro che mostra cosa entra e cosa esce,tipo stare in una sala comandi/controllo

- - - Updated - - -

ragazzi sto andando in paranoia. qualcuno mi spiega perchè ho un server di posta installato in xubuntu?
gooolando se lo chiede altra gente pare

Puoi creare 2 account
- 1 ca@@eggio
- 1 privato

 

[xskah]

ehi forse era lo warning "mail" di rkhunter

Di solito rkhunter si installa se si ha il sospetto che il sistema sia stato infettato da qualche rootkit, per qualche file ambiguo, per quel che può valere, puoi usare VirusTotal