Cateva setari simple legate de securitate:

E o iluzie sa crezi ca doar pt ca folosesti Linux sau UNIX, esti mai protejat decat pe Windows. Un sistem bun configurat prost e mai expus decat un sistem mediocru configurat cum trebuie.

Un prim pas in aceasta directie este configurarea zidului de foc din sistem (iptables), lucru care se poate realiza cu ajutorul unui frontend (GUI), din care pe Linux exista destule.

In exemplul de fata o sa folosim “firestarter”, pt ca e usor de folosit si bine integrat in Gnome.

Pt. instalare se poate folosi una din metodele mentionate anterior, iar configurarea e destul de intutiva, asa incat nu voi bate moneda pe asta, e.g.:

apt-get install firestarter

Dupa instalare vom avea in meniu un shortcut etc.

Un aspect important e faptul de a seta firewall-ul in asa fel incat sa porneasca automat la startup. Interfata grafica prevede o astfel de optiune, doar ca nu functioneaza, daca am instalat aplicatia ca user obisnuit. De ce? Pt. ca modificarea iptables cere drepturi de root, iar cand pornim sistemul, acesta nu ne poate cere in timp ce buteaza nici parola de root, nici de sudo (daca vom porni firestarter dupa ce ne-am logat, o va face).

In acest caz va trebui sa mai spunem o data sistemului sa porneasca acea aplicatie, la un mod pe care nu il mai poate ignora - lucru care se face editand ca root un fisier special pt servicii si programe suplimentare (dincolo de cele necesare functionarii sistemului):

vim /etc/rc.local

in care adaugam inca un rand, la urma:

/etc/init.d/firestarter start

pt a rula scriptul care porneste zidul de foc la startup.

Faptul ca acesta este “up and running”, poate fi verificat in mai multe moduri:

- la butare, vom vedea serviciile care pornesc, din care ultimul va fi “firestarter” (debian porneste in verbose mode by default, nu foloseste splash screens, brizbizuri si alte pasmanterii) - ceva de genul, “starting firestarter… ok”

- ne logam intr-o consola virtuala sau intr-o fereastra de terminal ca root si rulam comanda:

iptables -nvL

care va afisa regulile active din firewall (daca serviciul nu a pornit cum trebuie, output-ul nu va avea mai mult de trei-patru randuri - adica afiseaza rubricile, but no rules).

Putem folosi si comanda

/etc/init.d/firestarter status

pt a verifica daca aplicatia ruleaza in background sau nu.

Cum spuneam, firestarter permite diverse setari, cum ar fi blocarea serviciilor ce tin de protoclul ICMP etc. (Eu de exemplu blochez tot, cu exceptia “pong” - ca sa raspunda la ping, daca vreau sa verific conexiunea la net - si “redirect” - altfel anumite pagini, continut flash etc. nu se vor incarca, daca zidul nu permite redirectionarea.)

Ma rog, aceste setari le decide fiecare user in parte, bagandu-si nasul in “preferences”.

Asta ar fi primul si cam cel mai important pas, dincolo de faptul ca un UNIX/Linux nu te lasa sa rulezi un executabil (care poate fi virus) fara drepturi de root/admin (cam la asta se rezuma ideea de “secure by design”).

Se pot instala si aplicatii anti-virus/rootkit etc. - poate in alt post si despre asta.

HP officially endorses Debian GNU/Linux.

Ma uitam de curand pe pagina de documentatie HP, cautand ceva legat de HP-UX, si am dat si peste cateva linkuri legate de Linux.

Mai mult decat atat, nu era vorba doar de RedHat si SUSE, versiuni comerciale deja general acceptate, ci si de Debian, un proiect nonprofit.

““Debian GNU/Linux is unique. It is among the most complex of the Linux distributions because of its flexibility in providing distributions for other hardware architectures and operating system kernels. It also standardizes software packaging on all these hardware platforms and kernels while deliberately presenting the least amount of upstream source code management and code customization. Both the upstream source code maintainers and the users of code from a particular source are often most familiar with the defaults provided for their code. Therefore, there are few surprises when installing a Debian Linux software package. It generally just works the way the programmer intended and works identically on different hardware platforms and under different kernels. So while Debian provides maximum flexibility and a minimal approach to software management, it does provide a means for collecting useful information from a user when a software package is installed.”

http://docs.hp.com/en/495992-001/495992-001.pdf

Alt filmuletz De data asta e vorba de Debian, deci linkul cred ca poate intra si aici

http://www.youtube.com/watch?v=DRbBPLTKiik

Conferinta e o prezentare generala a proiectului, tinuta de unul din cei mai vechi developeri Debian,

Bdale Garbee, care se ocupa de Linux si OpenSource la HP.

Omul subliniaza printre altele politica riguroasa a proiectului Debian cu privire la softuri, securitate si stabilitate,

importanta faptului de a avea in sistem un software manager si alte lucruri asemanatoare.

Pt cine se intreaba de unde vin denumirile versiunilor Debian, ideea e ca unul din developerii principali de prin anii 90

era in acelasi timp angajat Pixar, si a obtinut dreptul de a da versiunilor numele pe care le stim deja din Toy Story:

Etch, Squeeze, Sarge, Potato, Lenny etc.

(Asta, ca sa nu se mai spuna ca nu are legatura cu Macul )

Legat de swap, despre care a fost vorba anterior, pe un client station e poate mai putin important, dar pe un server e altceva.

Mai mult decat atat, partitiile swap pot fi setate intr-un sistem de tip RAID, asa incat fiecare partitie/hard dedicat(a) sa foloseasca propriul bus etc.

Aceasta setare asemanatoare unui RAID 0 arata cam asa in /etc/fstab:

/dev/sda2     none   swap   sw,pri=3     0     0
/dev/sdb2     none   swap   sw,pri=3     0     0
/dev/sdc2     none   swap   sw,pri=3     0     0

pe care sistemul le va folosi in paralel, eficienta la r/w crescand astfel de cateva ori.

numai pe submarin nu a rulat linux pana acum, in rest de toate

http://www.cuauv.org/node/1849

Bună seara. Am decis totuși să mă “complic”, ca să folosesc expresia dv. și am instalat Debian 5.0.3 (PPC) în locul lui Ubuntu. Am procedat astfel fiindcă Ubuntu nu-mi dădea impresia de “nativ”, dacă înțelegeți ce vreau să spun, dar Debian îmi dă această impresie, se comporta și arată excelent (am luat varianta cu KDE, am înțteles că celelalte variante nu aveau interfață grafică).
Instalarea a fost într-adevăr ceva mai complexă decât în Ubuntu, dar bazându-mă pe ceea ce am învățat de la dv. și de la alții, m-am descurcat. De exemplu, după instalare, inițial serverul X nu a vrut să pornească, dădea o eroare, dar cu comanda dpkg-reconfigure xserver-xorg s-a rezolvat și pot spune că n-am avut problema din Ubuntu cu rezoluția și poziția geometrică a imaginii.
Dar n-am reușit la fel de bine în privința Internetului, nu știu cum să-l fac să pornească. Mai precis, am un abonament Vodafone Mobile Connect cu modem Huawei E220, conectat pe USB. Se pare că Debian îl recunoaște ca modem, văd asta la mesajele de inițializare, dar după aceea, nimic. Am încercat să rulez kppp, ca root, din Terminal, dar îmi dă un mesaj de eroare, cum că nu se poate conecta la serverul X.
Am căutat și pe Internet, de unde am înțeles că se poate face ce vreau cu ajutorul programului wvdial, configurat prin wvdial.conf. Problema e că nu îl am instalat în Debian și cum nu am Internet pe Debian (doar pe Mac), nu-l pot instala.  Aș putea oricând să reinstalez Ubuntu, dar mi se pare un păcat să nu-i mai acord o șansă lui Debian, merge de altfel foarte bine pe Mac, aproape ca OS X. Dacă există și o altă cale de a avea Internet pe Debian, ar fi excelent, rămân pe Debian, altfel va trebui să renunț la el, din nefericire.
Ce se poate face?

Darian - 25 Octombrie 2009 06:01 PM

Bună seara. Am decis totuși să mă “complic”, ca să folosesc expresia dv. și am instalat Debian 5.0.3 (PPC) în locul lui Ubuntu. Am procedat astfel fiindcă Ubuntu nu-mi dădea impresia de “nativ”, dacă înțelegeți ce vreau să spun, dar Debian îmi dă această impresie, se comporta și arată excelent (am luat varianta cu KDE, am înțteles că celelalte variante nu aveau interfață grafică).
Instalarea a fost într-adevăr ceva mai complexă decât în Ubuntu, dar bazându-mă pe ceea ce am învățat de la dv. și de la alții, m-am descurcat. De exemplu, după instalare, inițial serverul X nu a vrut să pornească, dădea o eroare, dar cu comanda dpkg-reconfigure xserver-xorg s-a rezolvat și pot spune că n-am avut problema din Ubuntu cu rezoluția și poziția geometrică a imaginii.
Dar n-am reușit la fel de bine în privința Internetului, nu știu cum să-l fac să pornească. Mai precis, am un abonament Vodafone Mobile Connect cu modem Huawei E220, conectat pe USB. Se pare că Debian îl recunoaște ca modem, văd asta la mesajele de inițializare, dar după aceea, nimic. Am încercat să rulez kppp, ca root, din Terminal, dar îmi dă un mesaj de eroare, cum că nu se poate conecta la serverul X.
Am căutat și pe Internet, de unde am înțeles că se poate face ce vreau cu ajutorul programului wvdial, configurat prin wvdial.conf. Problema e că nu îl am instalat în Debian și cum nu am Internet pe Debian (doar pe Mac), nu-l pot instala.  Aș putea oricând să reinstalez Ubuntu, dar mi se pare un păcat să nu-i mai acord o șansă lui Debian, merge de altfel foarte bine pe Mac, aproape ca OS X. Dacă există și o altă cale de a avea Internet pe Debian, ar fi excelent, rămân pe Debian, altfel va trebui să renunț la el, din nefericire.
Ce se poate face?

Eu ți-am zis să nu te complici, dar nah, nu ai ascultat. Nu-i nimic, cei care vor să învețe niciodată nu ascultă. E-adevărat, în general Debian este o distribuție mai curată, mai stabilă și mai performantă decât Ubuntu. Atât discurile cu Gnome cât și cele cu Xfce vin cu interfață grafică. Chestia e că poți alege tu la instalare un “minimal install”, dupa care alegi ce GUI preferi și îl tragi din repos/aptitude. Doar că aici ai o problemă la nivel de kernel. Ubuntu e bazat pe Debian (Sid, nu ramura stabilă), folosește un kernel mai nou și are optimizări pt desktop pe care nu le găsești pe Debian. Nu e imposibil, dar e prea complicat să încerci să faci să mearga acel modem wireless pe Debian din linia de comandă. Deci cam asta e treaba - ai de ales. Dacă te poți conecta la net prin cablu ethernet, poți rămâne pe Debian. Dacă nu, Ubuntu sau Fedora. Oricum, Debian e mai indicat ca server. Ai putea instala Fedora, dar cu ăla o să ai alte belele…

Am înțeles. Prin urmare, va trebui să renunț la Debian, nu mă pot conecta prin ethernet la Internet, fiindcă nu am așa ceva. Chiar îmi pare rău, voiam într-adevăr să învăț, eu sunt mai curios din fire, dar asta e, poate altă dată. Mi-ar fi plăcut să lucrez pe Debian.

Dacă tot te-ai pus pe învățat și testat distribuții noi, ai putea încerca și Fedora. Cred că, dintre versiunile de Linux pe desktop, are cam cel mai bun suport pt PPC. Ziceam că o să dai de alte belele, în sensul ca Fedora/RedHat folosește pachete RPM, nu DEB, și o să ai de învățat altă serie de lucruri/comenzi. Dar nu strică. De regulă au softuri foarte noi. Atât de noi, încât nu se recomandă ultima versiune apărută - eventual cea anterioară, care are deja updates etc. Pe Fedora netul tău va merge sigur. Fedora se instalează cel mai ușor și mai rapid dintre cele trei (compresii speciale la ISO). În ce privește performanța, va trebui să dezactivezi multe din serviciile care rulează de pomană în background, altfel o să ai aceeași senzație, ca pe Ubuntu. De asemenea, e de preferat Fedora cu Gnome/Xfce/FluxBox/WindowMaker, pt ca versiunea nouă de KDE (adică 4) mănâncă o groază de resurse.

Am să încerc și Fedora. Pot lua numai primul CD de install? Adică are tot ce trebuie ca să mă conectez la Internet? Nu pot lua varianta DVD, la viteza mea ar dura câteva zile. Dacă primul CD de install are tot ce trebuie, nu mă deranjează să învăț lucruri/comenzi noi. Apropo de asta, Fedora nu are ceva similar cu Synaptic din Ubuntu, care să se ocupe de tot (instalare programe, actualizări, dependențe, remove, etc)?

Darian - 25 Octombrie 2009 08:05 PM

Am să încerc și Fedora. Pot lua numai primul CD de install? Adică are tot ce trebuie ca să mă conectez la Internet? Nu pot lua varianta DVD, la viteza mea ar dura câteva zile. Dacă primul CD de install are tot ce trebuie, nu mă deranjează să învăț lucruri/comenzi noi. Apropo de asta, Fedora nu are ceva similar cu Synaptic din Ubuntu, care să se ocupe de tot (instalare programe, actualizări, dependențe, remove, etc)?

1. Comentariile astea țin deja de subiectul dedicat Fedorei, va trebui să ne mutăm dincolo.

2. Asta e buba - ăștia nu mai fac Live CDs pt PPC. Nenorociții…  Și nici oglinzi ftp locale pt PPC nu avem. Ideal ar fi DVDul de instalare, pt Fedora 11 (care a apărut de ceva vreme, deci e ok). Ultimul Live CD pt PPC pe care l-am folosit de la Fedora era versiunea 8, cred. Poate reușești să descarci DVDul de altundeva - netcafe, serviciu etc. Nu cred că e suficient primul, nu mai rețin sigur, dar CentOS (versiunea gratuită de RedHat) cerea parcă mai multe CDuri, așa că nu te risca… Altă variantă ar fi NetInstall, dar și pentru ăla îți trebuie conexiune ca lumea.

3. Evident că are și Fedora un Package Manager, e chiar foarte mișto (YUM - Yellowdog Updater Modified). Btw, ăla din Debian se cheamă  APT, Synaptic e doar un frontend. Dar sunt un pic alte comenzi, atunci când va trebui să lucrezi cu terminalul (în loc de apt-get install/remove, vei avea yum install/remove, rpm -i etc.).