Sikkerhed - Ubuntu VS. Windows

[Spotten]

Hej.

Jeg sad og snakkede med en kammerat forleden omkring hvad der er mest sikkert af dvs. desktop systemer, og efter at have påpeget risikoen ved at man kun har en administrativ konto i Windows man bruger til alt, har man et kendt sikkerhedsproblem, hvor han så siger han har set der er en direkte åben "dør" i f.eks Ubuntu server udgaven, og det har jeg lidt svært ved at tro på da den vel er mere sikker end desktop udgaven, eller er det alt efter hvad man sætter den op til?

Er den usikker når man bare laver en ren installation uden at foretage yderligere?

Hvordan med Ubuntu desktop sikkerhed, det er jo som alle jo ved open source, gør dette ikke ens system mere sårbart?

På Forhånd tak.

[buddig]

Ubuntu er bare meget mere sikkert.
Hans påstand om at han har set en åben dør i serverudgaven, er ikke et problem,
hvis han ikke fortæller det, eller selv går ind gennem den og laver ballade.
Hvis - eller når han fortæller det, bliver den lukket.
Alle ved at Windows ikke er sikkert uden antivirus software og dem, der ikke kender andre systemer,
tror at alt er lige så usikkert.
Man kan bruge lang tid, til at få en Windows tilhænger til at tænke over, hvordan han kan inficere en
Ubuntu Live CD med virus.
Henning

[Ivan]

Alle ved også at køer tygger drøv mens de sidder og hygger sig i træerne.

[buddig]

Alle ved også at køer tygger drøv mens de sidder og hygger sig i træerne.

Og det gør de, mens træerne vokser ind i himlen.
Henning

[Jimmyfj]

En åben dør i Ubuntu Server Edition?

Hans påstand er ikke bevist på nogen måde fra hans side. Enhver vil jo kunne påstå at Ubuntu er åbent som Hjallerup Marked. Men så længe denne påstand ikke er bevist af vedkommende må den jo antages for at være grebet ud af luften som et billigt forsvar.

Fakta er, at Ubuntu Server Edition, lige som Ubuntu Desktop Edition er bygget op omkring AppArmor/SELinux. Ubuntu er rent faktisk den eneste distro hvor denne integration er lykkes fuldt ud. Der ER jo en grund til at Ubuntu endnu ikke er blevet hacket, (jeg har i hvert fald ikke hørt det skulle være lykkes ved div. konkurrencer).

Så hvis du gerne vil sætte makkeren der på en opgave, så bed ham hacke Ubuntu Server/Desktop. Tager han imod udfordringen skal du nok ikke regne med at se ham igen de første 1 mia. år.

Om Ubuntu er mere sårbar fordi det er FOSS? Nej, det mener jeg ikke. Jo flere øjne der ser, jo hurtigere bliver eventuelle fejl rettet. "White-hat-hackers" er jo da stadig i meget stort overtal.

[Spotten]

Ubuntu er bare meget mere sikkert.
Hans påstand om at han har set en åben dør i serverudgaven, er ikke et problem,
hvis han ikke fortæller det, eller selv går ind gennem den og laver ballade.
Hvis - eller når han fortæller det, bliver den lukket.
Alle ved at Windows ikke er sikkert uden antivirus software og dem, der ikke kender andre systemer,
tror at alt er lige så usikkert.
Man kan bruge lang tid, til at få en Windows tilhænger til at tænke over, hvordan han kan inficere en
Ubuntu Live CD med virus.
Henning

Tror bare det er en Windows mand der ikke vil indrømme det er til grin at bruge penge på Windows når han ser hvor godt Ubuntu klare sig i forskellige situationer som han selv har måtte betale DADLER for at bruge, f.eks server udgaven til Windows, den er jo ikke ligefrem helt billig!

Måske bare en som har ondt et bestemt sted!

[Spotten]

En åben dør i Ubuntu Server Edition?

Hans påstand er ikke bevist på nogen måde fra hans side. Enhver vil jo kunne påstå at Ubuntu er åbent som Hjallerup Marked. Men så længe denne påstand ikke er bevist af vedkommende må den jo antages for at være grebet ud af luften som et billigt forsvar.

Fakta er, at Ubuntu Server Edition, lige som Ubuntu Desktop Edition er bygget op omkring AppArmor/SELinux. Ubuntu er rent faktisk den eneste distro hvor denne integration er lykkes fuldt ud. Der ER jo en grund til at Ubuntu endnu ikke er blevet hacket, (jeg har i hvert fald ikke hørt det skulle være lykkes ved div. konkurrencer).

Så hvis du gerne vil sætte makkeren der på en opgave, så bed ham hacke Ubuntu Server/Desktop. Tager han imod udfordringen skal du nok ikke regne med at se ham igen de første 1 mia. år.

Om Ubuntu er mere sårbar fordi det er FOSS? Nej, det mener jeg ikke. Jo flere øjne der ser, jo hurtigere bliver eventuelle fejl rettet. "White-hat-hackers" er jo da stadig i meget stort overtal.

Er SElinux ikke en firewall? Mener nemlig at have set andre rundt omkring omtale det som et OS, altså et styresystem, men så vidt jeg har hørt er det blot en firewall, men det vil så sige at denne er indbygget i Ubuntu, fordi de tråde jeg har set hvor folk har holdt de konkurrencer du omtaler med hacking af forskellige systemer, mener jeg heller ikke de fik brudt ind i Ubuntu, men samtlige Windows systemer blev så vidt jeg husker brudt, mener de havde 30 min til det.

Jeg tænker også ligesom du, at jo flere der kender koderne bag systemet, jo flere kan også være med til at påpege eventuelle fejl, så det gør det jo mere sikkert jo længere det kører, hvor man tit hører om folk med Windows og dvs antivirusprogrammer/firewalls installeret, stadig får mystiske ting ind, måske af de standardoprettede brugere der findes i systemet når man laver en frisk installation, som så vidt jeg ved er til MS support, så de kan tilgå din maskine for at hjælpe dig via remote, som udnyttes i stor stil så vidt jeg har informeret mig.

Det er ikke fordi det siger mig en skide at gøre livet surt for andre, tværtimod vil jeg blot gerne vide om der skal installeres ting på ens Ubuntu udover Ubuntu som gør det endnu mere sikkert, men som jeg forstår på dit svar, så er dette slet ikke nødvendigt.

Hvad hvis man har en hjemmeside, eller / og en FTP server / SSL osv. på ens Ubuntu maskine, skal man da installere yderligere for at sikre disse åbne programmer ikke misbruges?

Jeg mener at have set folk forsøge at tilgå min SSH udefra, men dette sker kun hvis programmet er installeret.

[Jimmyfj]

Nej. SELinux er IKKE en firewall (det er IPTables).

SELinux står for Security Enhanced Linux:

http://en.wikipedia.org/wiki/Security-Enhanced_Linux

Som det fremgår af den wiki jeg linker til, så er SELinux udviklet af det amerikanske NSA (National Security Agency) og blev merged i kernel 2.6.0-test3 i august 2003.

For nemheds skyld får du også lige et link om apparmor:

http://en.wikipedia.org/wiki/AppArmor

[Jimmyfj]

En åben dør i Ubuntu Server Edition?

Hans påstand er ikke bevist på nogen måde fra hans side. Enhver vil jo kunne påstå at Ubuntu er åbent som Hjallerup Marked. Men så længe denne påstand ikke er bevist af vedkommende må den jo antages for at være grebet ud af luften som et billigt forsvar.

Fakta er, at Ubuntu Server Edition, lige som Ubuntu Desktop Edition er bygget op omkring AppArmor/SELinux. Ubuntu er rent faktisk den eneste distro hvor denne integration er lykkes fuldt ud. Der ER jo en grund til at Ubuntu endnu ikke er blevet hacket, (jeg har i hvert fald ikke hørt det skulle være lykkes ved div. konkurrencer).

Så hvis du gerne vil sætte makkeren der på en opgave, så bed ham hacke Ubuntu Server/Desktop. Tager han imod udfordringen skal du nok ikke regne med at se ham igen de første 1 mia. år.

Om Ubuntu er mere sårbar fordi det er FOSS? Nej, det mener jeg ikke. Jo flere øjne der ser, jo hurtigere bliver eventuelle fejl rettet. "White-hat-hackers" er jo da stadig i meget stort overtal.

Er SElinux ikke en firewall? Mener nemlig at have set andre rundt omkring omtale det som et OS, altså et styresystem, men så vidt jeg har hørt er det blot en firewall, men det vil så sige at denne er indbygget i Ubuntu, fordi de tråde jeg har set hvor folk har holdt de konkurrencer du omtaler med hacking af forskellige systemer, mener jeg heller ikke de fik brudt ind i Ubuntu, men samtlige Windows systemer blev så vidt jeg husker brudt, mener de havde 30 min til det.

Jeg tænker også ligesom du, at jo flere der kender koderne bag systemet, jo flere kan også være med til at påpege eventuelle fejl, så det gør det jo mere sikkert jo længere det kører, hvor man tit hører om folk med Windows og dvs antivirusprogrammer/firewalls installeret, stadig får mystiske ting ind, måske af de standardoprettede brugere der findes i systemet når man laver en frisk installation, som så vidt jeg ved er til MS support, så de kan tilgå din maskine for at hjælpe dig via remote, som udnyttes i stor stil så vidt jeg har informeret mig.

Det er ikke fordi det siger mig en skide at gøre livet surt for andre, tværtimod vil jeg blot gerne vide om der skal installeres ting på ens Ubuntu udover Ubuntu som gør det endnu mere sikkert, men som jeg forstår på dit svar, så er dette slet ikke nødvendigt.

Hvad hvis man har en hjemmeside, eller / og en FTP server / SSL osv. på ens Ubuntu maskine, skal man da installere yderligere for at sikre disse åbne programmer ikke misbruges?

Jeg mener at have set folk forsøge at tilgå min SSH udefra, men dette sker kun hvis programmet er installeret.

Puha, det var mange spørgsmål. Men oppe fra og ned:

SELinux er ikke en firewall, og det er ikke et OS i sig selv. SELinux er en række udvidelser til Linux-kernen, som primært sikrer MAC, Mandatory Access Control. Systemet er udviklet af NSA, som du kan se ved at læse wiki'en om SELinux. Og nej, du skal ikke installere ekstra ting, da SELinux for alvor blev integreret i Linux Kernel 2.6.x

Jeg tror ikke, at den defaulte admin-konto på en clean Windows-install er tænkt til det formål, at MS skulle kunne tilgå din Win-Box med support. Den funktion ligger som en del af MSN Messenger og Remote Access.

Hvis du har en hjemmeside, så er det Apache-serveren du skal ind og stille sikkerhed på, ikke dit underliggende Linux-system. På samme vis ved FTP, her bør du vælge en FTP-server som er let at administrere, og let at sikre.
På mit eget system bruger jeg VSFTPD på min stationære Pc, som jeg bruger hver dag. Under VSFTPD laver jeg en form for "sandkasse", som mine brugere leger i. D.v.s. "mine brugere" er så meget sagt. Jeg har EN fast FTP-bruger og alt jeg deler på FTP bliver lagt i den brugers mappe. Bruger kan bevæge sig nedad i træet, men ikke højere op end til /ftpb. Over mappen /ftpb er no-mans-land for denne bruger. Så svaret er, at sætter du web- og ftp-server rigtigt op vil sikkerheden også være i top.

[Spotten]

Ja, hvis man ikke spørger så får man heller ikke noget svar jo!

Men mange tak for den detaljerede forklaring, jeg kan se jeg har en del at lære endnu, men det må jeg jo tage når den tid kommer!

Plejer bare at sætte en FTP op og se om den virker, virker den så plejer jeg ikke at gøre yderligere ved dette.

Så vidt jeg husker brugte jeg gadminftpdpro sidst jeg rodede med det, men er ikke 100% sikker på navnet.

Men ud fra det du skriver kan jeg se ham min kammerat med påstanden om sikkerheden i Ubuntu skulle være ringe, ikke helt hænger sammen.

[lath]

Nej. SELinux er IKKE en firewall (det er IPTables).

SELinux står for Security Enhanced Linux:

http://en.wikipedia.org/wiki/Security-Enhanced_Linux

Som det fremgår af den wiki jeg linker til, så er SELinux udviklet af det amerikanske NSA (National Security Agency) og blev merged i kernel 2.6.0-test3 i august 2003.

For nemheds skyld får du også lige et link om apparmor:

http://en.wikipedia.org/wiki/AppArmor

IPtables er så heller ikke en firewall, det er en meget udbredt misforståelse.

Firewallen i Linux styresystemer findes kun i kernen, så IPTables er kun et af de mange programmer der er til administration af firewallen inde i (Linux) kernen.

/Lars

[lath]

Ja, hvis man ikke spørger så får man heller ikke noget svar jo!

Men mange tak for den detaljerede forklaring, jeg kan se jeg har en del at lære endnu, men det må jeg jo tage når den tid kommer!

Plejer bare at sætte en FTP op og se om den virker, virker den så plejer jeg ikke at gøre yderligere ved dette.

Så vidt jeg husker brugte jeg gadminftpdpro sidst jeg rodede med det, men er ikke 100% sikker på navnet.

Men ud fra det du skriver kan jeg se ham min kammerat med påstanden om sikkerheden i Ubuntu skulle være ringe, ikke helt hænger sammen.

Apropos FTP (File Transfer Protocol, gå over til at bruge SFTP (SSH File Transfter Protocol), der er betydeligt mere sikkert:
Du kan læse mere om de forskellige protokoller her og deres sikkerhedsfeatures eller mangel på samme (engelsksproget): http://www.informit.com/guides/content.aspx?g=security&seqNum=346

/Lars

[Kurt Christensen]

det undrer mig der er så mange sikkerhedsopdateringer når nu linux er så sikkert?

[lath]

det undrer mig der er så mange sikkerhedsopdateringer når nu linux er så sikkert?

Du skal vende den 180 grader om.
Linux er netop så sikkert fordi der automatisk kommer opdateringer til hele systemet og alle programmer.

Mennesker er dovne af natur og hvis alle brugere var superbruger ville de vide hvordan de holder deres styresystem og alle programmer opdateret.

Der er så også dem der ikke ved hvordan de skal gøre det. Det er et stort problem på Windows.

Ikke underligt er det software der utrætteligt er bedst til at holde software helt opdateret.

Ulig mennesker er software ikke doven, og tænker det kan vi bare gøre i morgen, eller glemmer at gøre det, eller får ikke rigtig tid til at finde ud af om en bestemt version af noget software som er installeret har fået sikkerhedshuller (igen) - slag uddeles til kodeaberne ved Adobe - her der tænkes der specielt på Flashplayer og Acrobat Reader - PDF filer.

Af de grunde er software rent faktisk bedst til automatisk holde alting tip-top opdateret.

Sikkerhedsopdateringer kommer fordi det er mennesker der laver software, og mennesker laver fejl - jo mere komplekst det er jo flere fejl, og tro mig, et styresystem med alle dets programmer er meget komplekst.

Nogle er så bare meget dårligere til at lave software (Adobe og Microsoft), end andre.

/Lars

[NickyThomassen]

det undrer mig der er så mange sikkerhedsopdateringer når nu linux er så sikkert?

Du skal vende den 180 grader om.
Linux er netop så sikkert fordi der automatisk kommer opdateringer til hele systemet og alle programmer.

Og det er også værd at bemærke, at ikke alle opdateringer er sikkerhedsopdateringer

Grænsen imellem en opdatering der løser et irriterende problem med brugergrænsefladen, og så rent faktisk lukker et hul, kan være ret flydende. Men en fair del af opdateringerne i Ubuntu er netop den slags, og så skal man også huske på at Ubuntu får relativt mange opdateringer i forhold til fx Debian, af den simple grund softwaren i Ubuntu ikke er lige så veltestet som i Debian, når det bliver inkluderet i softwarearkiverne.

Debian and Ubuntu both use .DEB-formatted packages. In fact, Ubuntu's packages come from the Debian Unstable repository for most releases, and from the Debian Testing repository for long term releases

http://www.datamation.com/osrc/article.php/3890111/Debian-vs-Ubuntu-Contrasting-Philosophies.htm