și cum o fi mai bine?
dacă-mi fac io cafeinternet cu macuri
nu e bine să le pun pe guest?
și nu e bine ca utilizatorul care vine după tine, să nu vadă ce ai făcut tu?
și niciunul dintre ei să nu-mi strice setările?
mie parcă așa mi-ar conveni…
apropos de treaba asta, va dau un exemplu concret: in piata victoriei exista un internet cafe orange in care sunt (aproape) numai macuri, destul de noi de altfel (iMac Intel Core 2 Duo 24”, cu Leo/Winblows pe ele). acolo baietii care se ocupa de retea daca nu le lasa logate by default in contul de admin, te lasa sa intri in el oricum, dupa reboot o fi bine, o fi rau? oricine iti poate compromite reteaua locala, sau lansa atacuri din ea in afara… iar apoi se naste intrebarea, de pe ce IP s-a logat cutare nu stiu unde? personal, consider ca securitatea informatica nu e o joaca, si - pt mine cel putzin - faptul ca vorbim despre o retea de 20 de calculatoare intr-un internet cafe sau de 200 de servere intr-o corporatie, e relativa - problema de fond e aceeasi. un user ignorant (o blonda, sa zicem) iti poate compromite sistemul, chiar daca nu isi propune asta, cu atat mai mult o persoana priceputa si rau intentionata. eu zic ca e mai intelept sa te asiguri dinainte ca nu vor aparea probleme (sau cat mai putine), indiferent ca lucrezi ca admin pt o companie sau vorbim de micul tau lan de acasa - problema de fond e aceeasi. (by the way, nu cunosc nici un sysadmin serios care sa isi faca treaba calumea la birou si sa fie indiferent fatza de reteaua de acasa - vi-l dau exemplu pe sergiu, care foloseste un comp dedicat cu openbsd, pe post de gateway - iar aia sunt de-a dreptul paranoici in materie de securitate )
Daniel, primul tau post se referea la bug-ul lui Guest, si nu la tehnicile folosite de fiecare pentru securitate.
Sa fiu sincer ma lasa rece ce face Orange in acel Internet Cafe, este problema lor si nu a noastra .
Daca este sa vorbim de securitate, cati utilizatori de pe acest forum crezi si-au activat EFI password si FileVault, mai ales pentru portabile care se fura/uita/etc ... ( A.G. Weinberger a ramas fara laptop, toate datele de pe el fiind compromise pentru ca nu cred ca este criptat, HDD-ul backup era in rucsac, fiind si acesta furat ) ?
toți cei care știu cum se face și cei care țin la datele lor, folosesc sisteme de protecție…
open firmware password e una din primele protecții pe care le folosesc eu
dar aici nu vorbeam de rata de pierdere/furare a laptopurilor, ci de permisiunile userului GUEST de a bulversa un sistem
Daniel, primul tau post se referea la bug-ul lui Guest, si nu la tehnicile folosite de fiecare pentru securitate.
Sa fiu sincer ma lasa rece ce face Orange in acel Internet Cafe, este problema lor si nu a noastra .
Daca este sa vorbim de securitate, cati utilizatori de pe acest forum crezi si-au activat EFI password si FileVault, mai ales pentru portabile care se fura/uita/etc ... ( A.G. Weinberger a ramas fara laptop, toate datele de pe el fiind compromise pentru ca nu cred ca este criptat, HDD-ul backup era in rucsac, fiind si acesta furat ) ?
in primul rand precizez ca eu continuam ideea inceputa de dacuburebista cu un exemplu concret, nu incercam sa deviez de la subiect in al doilea, legat de openfirmware password si filevault encryption, in principiu sunt binevenite! neajunsurile acestor setari ar fi ca daca parolezi firmware-ul, nu o sa mai poti buta in single user mode, ca sa faci un filesystem check de rutina, de care mai ai nevoie uneori, iar incriptarea hardurilor prin filevault scade mult performanta… daca folosirea unor acestor tehnologii pt a spori securitatea nu ar avea si aceste efecte mai utin dezirabile, le-as folosi pe ambele fara discutie (legat de scule furate, ce sa zic… o masura de securitate elementare presupune… mai multa atentie?! )
Eu folosesc acest user guest pentru o anumita parte din rude ( in principal pentru unu singur ), care intra pe tot felul de site-uri si pot confirma ca nu ramane nimic din ce salveaza; ba mai mult, exista si un log in care poti sa vezi pe unde a navigat.
Eu folosesc acest user guest pentru o anumita parte din rude ( in principal pentru unu singur ), care intra pe tot felul de site-uri si pot confirma ca nu ramane nimic din ce salveaza; ba mai mult, exista si un log in care poti sa vezi pe unde a navigat.
In plus, ce spune baiatu’ asta aici http://thelameleopard.wordpress.com/2007/11/07/taking-a-closer-look-at-leopards-guest-account/ ( You can’t browse the full filesystem from the Simple Finder anymore, but using Safari and file:// URLs or simply by selecting Open… from the File menu ) nu deschide decat aplicatiile permise de catre admin, iar userul guest normal ca are acces de read la anumite fisiere din sistem, dar nimic mai mult .
Mă scuzați că intervin cu un ușor off, dar, dacă aveți plăcerea să ne ajutați și pe noi (sîntem șase ascultători acasă... :D), voi care vă pricepeți la… din astea, poate puneți, cînd vă lămuriți, un tutorial despre cum e mai bine să ne configurăm toate conturile (fie de admin, fie de guest), astfel încît să fim decent de protejați (căci nu cred că există protecție 100%) și nici să nu se deterioreze performanța sistemului cu mult… (zicea cineva că encriptarea cu FileVault fură mult din performanțe…)
În general problema securității trebuie abordată cu grijă și seriozitate, dar realist. Întrebați-vă de 10 ori dacă chiar aveți nevoie de FileVault, de exemplu.
——-
@szlaeyer
Servici
Multinationala ( vazare date, produse software, servicii de vanzari si marketing pentru industria farmaceutica, baza de date cu toti farmacistii/doctorii/etc… din spitale/cabinete ) cu ~100 buc M$ ( suntem doar 2 utilizatori care avem home OSX ), calcati de catre audit securitate trimis de catre clienti ( vine International ) sau intern de la firma mama.
- acces cu exteriorul doar pentru http si ftp prin Webwasher ( http://www.securecomputing.com/index.cfm?skey=22&lang=en )
- criptare Laptopuri
- diviziile IT/baza de date/dezvoltare, sunt separate fizic de celelalte birouri folosind acces pe baza de cartela magnetica doar pentru utilizatorii acelui birou
- dep. baza de date fara acces Internet
- parole minim 8 caractere, cu 3 din 4 ( litera mica, litera mare, cifra, caracter special ), nu permite folosirea datelor personale ( nume, prenume, adresa, etc ... ), se schimba la 40 de zile ( daca nu o faci cand iti cere se blocheaza contul ), rata de repetare pentru o parola este 24.
- utilizatorii sunt standard user ( cu mici exceptii )
- etc ...
Acasa.
MB
- activat EFI password
- utilizatorii sunt standard user ( doar 2 )
- un singur cont de admin
- activat ( doar cand este nevoie ) cont Guest
- setare permisiuni pentru un director nou creat ( default este everyone read )
- testat Filevault inlocuit cu TrueCrypt ( containere diferite pentru documente servici/personale vizibile si din M$ si din OSX )
- antivirus
- activata optiunea de cerere parola pentru schimbare preferinte ( cat si alte lucruri de pe acolo )
- backup pe 2 HDD externe ( unu cu TimeMachine, unu cu iBackup-selectiv )
- ce nu am facut ( dar este in studiu ), posibilitatea ca un HDD de backup sa-l ascund pe undeva prin casa in cazul in care ( Doamne Fereste ) sunt calcat de catre musafiri nepoftiti, pentru a nu pierde in primul rand fisierele personale.
- citirea ( si chiar testarea/implemetarea ) documentului atasat de Tudor.
- si inca 2 mini-documente http://images.apple.com/macosx/pdf/MacOSX_Leopard_Security_TB.pdf , http://www.sophos.com/security/technical-papers/mac-data-theft.pdf.
EEEPC 701
- M$ XP, aplicat template de securitate NSA ( un pic customizat de catre mine )
- folosit doar pentru printserver ( http://www.macuser.ro/index.php/forums/viewthread/17648/ ), aplicatii update iPAQ 614c si Blackberry, download torrent si alte lucruri care necesita M$ native.
——-
Astept cartonas galben/rosu/, pauza forum, etc… de la Administrator pentru mult off.
Parca e totusi bine ca am deviat putin de la subiect si ne-am aprins pe alocuri - uite cate informatii schimbam.
Acum ca sa revin, sigur ca voi veti dreptate, dar eu privesc putin altfel, dupa cum spuneam si intr-un post anterior (de pe pagina #1). Sa ma explic: stiu ca Guestul in OS X este creat pt musafiri & related, dar eu de ex. nu as da MBPul meu unui..student venit in vizita sau unui coleg de serviciu bazat doar pe masurile de securitate ale acestui tip de cont. Evident ca daca cineva doreste sa-ti sparga ‘securitatea’ si iti vrea raul reuseste pana la urma (mai ales cu masina fizic in posesia lui), dar parca totusi ar trebui reparate unele lucruri la acest tip de cont? Nu zic ca este o mare bresa de securitate, dar eu as vrea sa nu poti face nimic din acest tip de cont - sa nu poti instala cronuri, sa nu poti controla BT, schimba conexiunea wireless, browsa HDD-ul etc.
Oricum eu il tin OFF..
Daca ma insel, ma inclin si accept orice comentariu - schimbul de opinii este mereu benefic.
Parca e totusi bine ca am deviat putin de la subiect si ne-am aprins pe alocuri - uite cate informatii schimbam.
Acum ca sa revin, sigur ca voi veti dreptate, dar eu privesc putin altfel, dupa cum spuneam si intr-un post anterior (de pe pagina #1). Sa ma explic: stiu ca Guestul in OS X este creat pt musafiri & related, dar eu de ex. nu as da MBPul meu unui..student venit in vizita sau unui coleg de serviciu bazat doar pe masurile de securitate ale acestui tip de cont. Evident ca daca cineva doreste sa-ti sparga ‘securitatea’ si iti vrea raul reuseste pana la urma (mai ales cu masina fizic in posesia lui), dar parca totusi ar trebui reparate unele lucruri la acest tip de cont? Nu zic ca este o mare bresa de securitate, dar eu as vrea sa nu poti face nimic din acest tip de cont - sa nu poti instala cronuri, sa nu poti controla BT, schimba conexiunea wireless, browsa HDD-ul etc.
Oricum eu il tin OFF..
Daca ma insel, ma inclin si accept orice comentariu - schimbul de opinii este mereu benefic.
In documentul atasat de Tudor se afla cateva tehnici de securitate, dar ce vrei tu se numeste administrator IT ( indiferent de OS-ul folosit ) si trebuie sapat pe net mai mult pentru customizarea unui cont; daca un user nu poate browsa HDD-ul, inseamna ca are deny pe acel HDD si este un pic cam greu sa se logheze ( are nevoie de read pe unele directoare system, are nevoie de write pe directoare temporare/home, etc… ).
păi e normal
un user GUEST e un user generic, NO NAME
un user definit, tre’ să poată facă ceea ce este în fișa postului
normal că fiecare are gradele de securizare și acces cuvenite
daca intamplator esti singurul “computer savvy guy” din randurile familiei, te poti autoincorona drept unic admin cu drepturi depline pe macurile pe care le detii un fel de dictatura benefica, sa zicem… la urma urmei nu le vrei decat binele, atat utilizatorilor, cat si sistemelor in uz… eu de regula am un cont de admin si un cont de guest pe sistem, atat (mai folosesc si contul de root, din linia de comanda). o precizare - prin guest nu ma refer la contul din leo, creat de apple by default - ala ar trebui sa ramana inactiv, pt ca e configurat anapoda. nu, creezi tu cu manutza ta un cont si il denumesti generic “guest” - apoi dezactivezi (sau ma rog, nu bifezi ) setarile de admin pt acest cont, si activezi parental controls, in care decizi clar la ce aplicatii vrei sa dai acces si la care nu (de regula ii las pe ai mei sa intre pe net, sa fol chatul, sa se uite la filme etc - deci chestii de baza - safari, adium, idvd, vlc, mplayer samd.) accesul la foldere/partitii/harduri poate fi la randu-i restrictionat, si ar trebui facut asa. de regula folosesc (cel putin) doua partitii - una pt sistem si inca una (sau mai multe) pt “storage”. in acest storage ai mai multe foldere cu muzica, filme, poze, chestii private etc. din contul de admin e f. simplu sa decizi cine are acces si cine nu la aceste directoare (din terminal e si mai simplu). deci cand se logheaza guestul meu, indiferent cine ar fi, nu are drepturi de scriere decat in folderul lui (daca editeaza vreun doc sa zicem), iar de instalat oricum nu poate instala nimic. cam asta ar fi, in linii mari, intr-un mediu noncorporatist, legat de useri. legat de net, e suficient daca ai un router cu firewall (care are un IP intern si unul extern), plus firewall activat pe fiecare comp in parte (cum spuneam in alt thread, pe tiger zidul de foc poate fi configurat in detaliu din system preferences, ceea ce nu mai poti face in leo - ce port e deschis/inchis daca sharuiesti documente in retea - afs, smb, ftp, http, ssh etc. - , stealth mode activ/inactiv samd)
o fi bine, o fi rau? oricine iti poate compromite reteaua locala, sau lansa atacuri din ea in afara… iar apoi se naste intrebarea, de pe ce IP s-a logat cutare nu stiu unde? 
personal, consider ca securitatea informatica nu e o joaca, si - pt mine cel putzin - faptul ca vorbim despre o retea de 20 de calculatoare intr-un internet cafe sau de 200 de servere intr-o corporatie, e relativa - problema de fond e aceeasi. un user ignorant (o blonda, sa zicem) iti poate compromite sistemul, chiar daca nu isi propune asta, cu atat mai mult o persoana priceputa si rau intentionata. eu zic ca e mai intelept sa te asiguri dinainte ca nu vor aparea probleme (sau cat mai putine), indiferent ca lucrezi ca admin pt o companie sau vorbim de micul tau lan de acasa - problema de fond e aceeasi. (by the way, nu cunosc nici un sysadmin serios care sa isi faca treaba calumea la birou si sa fie indiferent fatza de reteaua de acasa - vi-l dau exemplu pe sergiu, care foloseste un comp dedicat cu openbsd, pe post de gateway - iar aia sunt de-a dreptul paranoici in materie de securitate 
)
