Artykuły, felietony, recenzje, testy i analizy
Ostatnia aktualizacja: 2 kwietnia 2024, 11:09
Nasz portal stale się rozwija. Powstaje coraz to więcej i więcej artykułów i tutoriali.
Pojawiają się u nas również Wasze ciekawe artykuły.
Specjalnie dla Was postanowiliśmy stworzyć takie miejsce (dział), w którym każdy będzie mógł rozwinąć skrzydła, pisząc na wybrany przez siebie temat, przy okazji sprawdzając się i wypromowując jako autor.
Gorąco zachęcamy do aktywnego tworzenia własnych artykułów, felietonów, bądź recenzji zawierających Wasze spostrzeżenia poparte trafnymi rozwiązaniami.
Dołącz do grupy osób piszących na naszym portalu – jest to idealne miejsce dla Ciebie.
Zgłoś nam mailem chęć napisania artykułu podając jego temat.
Najciekawsze zostaną opublikowane.
Pisz i promuj się u nas.
Zapraszamy
Wyróżnione artykuły naszych czytelników:
- Donieck Linux Mint – postaw na prywatność i bezpieczeństwo
- Daniel Sławek Karpiński Czego pragnie linuksiarz od NetBSD?
- Albedo 0.64 SLIMBOOK
- Albedo 0.64 Zarządzanie smartfonem w komputerze
- Filip Balicki Przegląd systemu operacyjnego Elementary OS
- Grzegorz Urbański Jak stworzyć serwerownię w małej firmie?
- Filip Balicki Ubuntu 20.04 vs Ubuntu 18.04
- Albedo 0.64 MX Live USB Maker
- Albedo 0.64 MX Linux – Po prostu działa
- Albedo 0.64 Bezpieczeństwo w Linuksie – fakty i mity cz.4
- Albedo 0.64 Recenzja SparkyLinux 6 XFCE
- Albedo 0.64 Bezpieczeństwo w Linuksie – fakty i mity cz.3
- Daniel Sławek Karpiński Ubuntu Touch
- Albedo 0.64 LXDE – Krótki przewodnik
- Albedo 0.64 D.I.Y. – Compton Composite Manager
- Albedo 0.64 Prognoza pogody na panelu LXDE i nie tylko
- Albedo 0.64 Zgrywanie, kodowanie, tagowanie – edycja plików audio
- Albedo 0.64 Nasz przyjaciel terminal
- Albedo 0.64 Grafika z PPA
- Albedo 0.64 Repozytoria PPA – Ubuntu i pochodne
- Albedo 0.64 LXDE, XFCE, MATE – trzy sposoby na GNOME-Shell
- Albedo 0.64 XBMC – odtwarzanie strumieniowe polskich serwisów
- Siamer Linux jako alternatywa dla MS Windows w zastosowaniu przedsiębiorstw
- Albedo 0.64 Jaki Linux? Jak wybrać system na początek?
- Wojciech Banaszak Linux zamiast Windows
- Sebastarzak „Piractwo w sieci” czy legalny „Pingwin”
- Albedo 0.64 Bezpieczeństwo w Linuksie – fakty i mity
- Sovtware 16 Rzeczy które warto zainstalować i zrobić na świeżym systemie Ubuntu 12.04
- Albedo 0.64 Wstępna konfiguracja Lubuntu 12.04 LTS
- Albedo 0.64 Wstępna konfiguracja Linux Mint Debian Edition 201204 Xfce
- Albedo 0.64 Internet mobilny GSM 3G – modemy USB w Linuksie
- Format c Wykorzystanie Ubuntu Server jako router sieciowy
- Mariusz Kołacz Trwałe usuwanie plików i katalogów w Linuksie
- MoroS Gentoo Linux – dystrybucja dla wymagających
- Rejke Scribus
Wpisy firmowe gościnne:
- Networking online vs offline. Zalety i wady obu metod
- Jaki serwer wybrać, żeby nie przepłacić, o czym pamiętać?
- Robotyzacja procesów biznesowych – kto powinien się nią zainteresować?
- Jakiego MacBooka wybrać? Air czy Pro?
- Narzędzia do tworzenia testów i ankiet online dla uczniów
- Recenzja Movavi Video Editor – kompleksowe spojrzenie na popularne oprogramowanie
- Karta graficzna RTX 4080 – czy warto zainwestować w kartę z najwyższej półki?
- Jak przechowywać dane z usługami cloud storage?
- Wielki powrót złośliwego oprogramowania dla Linuxa
- Parametry serwera VPS. Na co zwrócić uwagę?
- Ranking serwerów NAS – te rzeczy warto wiedzieć!
- Premiera nowego najmocniejszego procesora AMD – 7950X3D
- Jakie są najlepsze szkła hartowane na telefon dla osób aktywnych?
- Zalety korzystania z komputera iMac w pracy
- Gdzie kupić najtańszy laptop?
- Składane smartfony Samsunga – jak z ich wydajnością?
- Dlaczego bezpieczeństwo na każdym etapie tworzenia aplikacji stało się kluczowe dla twórców i konsumentów
- Czy lepiej wybrać telefon na kartę czy abonament?
- Jak wybrać klawiaturę komputerową? Rodzaje, różnice, ceny
- Czy zestaw internet i telewizja to rozwiązanie dla Ciebie?
- Przejście naziemnej telewizji cyfrowej na standard DVB-T2/HEVC – jaki tuner wybrać?
- Usługi IT dla firm – administracja IT i kompleksowa obsługa informatyczna
- Zastosowanie VPN w systemach Linux
- Surfshark VPN dla Linux
- VPS z Windows czy Linux? Co wybrać?
- Wybór podzespołów serwerowych, czyli jak zbudować wydajną maszynę?
- Robotyzacja procesów biznesowych w przedsiębiorstwie. Dlaczego warto zastosować sztuczną inteligencję?
- Laptopy
- Gdzie szukać młodych talentów z branży IT?
- Rozlicz PIT 2021 w systemie Linux. Sprawdź, czy na pewno wiesz, jak to zrobić.
- Jak korzystać z aplikacji Windows na Linuxie?
- Jak zabezpieczyć swój sprzęt w domu/firmie – rozwiązania UPS
- Skuteczne metody pozycjonowania stron
- Profesjonalny hosting
- Elementy świadczenia usług kolokacji serwerów
Wybrane artykuły Linuxiarzy:
- Test Lenovo ThinkPad T440 z ekranem dotykowym oraz SparkyLinux
- SparkyLinux – polski system operacyjny
- Czy to koniec CentOS-a?
- Nie wspieraj hakera
- Konwersja filmów z kaset VHS
- GhostBSD – drugie podejście
- GhostBSD – pierwsze wrażenie i pierwsza porażka
- Technologia LightScribe w Linuksie
- PC-BSD – pierwsze (i ostatnie) wrażenia
- Stary iMac (i jeszcze) może
- Evolve OS i Budgie Desktop
- SparkyLinux – jak to jest zrobione
- DesktopBSD – co w trawie piszczy
- SparkyLinux CLI – poznaj moc konsoli
- Doudoulinux w rękach dziecka
- Fedora Games
- linuX-Gamers na niepogodę
Click to rate this post!
[Total: 5 Average: 3.4]
Niniejszym ślę kolejny artykuł dla ludzi do opublikowania, z cyklu 'Bezpieczeństwo’.
Hash Police, czyli szyfrowanie danych, z 'wkładką’ – generowanie haseł i ich przechowywanie.
Od razu konkrety, bo przecież taka informacja-pomoc się liczy.
Moją uwagę przykuł ostatnio SiriKali – mhogomchungu.github.io/sirikali/
To, co czyni go wyjątkowym, to brak kontenerów o stałym rozmiarze. Po prostu tworząc katalog/plik zaszyfrowany, zajmujemy tylko taką przestrzeń, ile nam potrzeba – wielkość katalogu/pliku.
Narzędzie umożliwia nam działanie bez sudo (bez root).
Inna zaleta, to graficzny interfejs.
Wada – oczywiście nie po polsku.
Z grubsza wygląda to tak. Tworzymy wolumen, gdzie będziemy wrzucać dane do szyfrowania (Create Volume).
System plików – możliwe do wyboru tylko te, jakie są zainstalowane w systemie operacyjnym. Po jego wyborze wyskoczy okienko, w którym podajemy nazwę (Volume Name) i ścieżkę dla kontenera.
Następnie wybieramy metodę autoryzacji. Domyślne ustawienia są z hasłem, jednak można wygenerować inne, jak również skorzystać z gotowych dostępnych kluczy.
Dalej podajemy hasło. Tu w opcjach (Options) właśnie możemy wykorzystać jego trzecią zaletę – szyfrowanie nazw plików. To bardzo przydatne jeśli mamy ważne dokumenty. Np. zamias nazwy pliku 'Pismo z urzędu’ będzie widniało 'Bryw43GIT5r,RjSRNMgO,xy’.
Dalej mamy listę do wyboru – algorytm szyfrowania.
Pozostaje tylko już OK i Utwórz (Create).
Używając różnych metod szyfrowania możemy tworzyć wiele napędów. Będą one widniały w głównym oknie.
Dane szyfrujemy 'w locie’, czyli w czasie rzeczywistym. Aby to zrobić klikamy prawym przyciskiem na dany wpis w oknie głównym (co utworzyliśmy), po czym z kontekstu wybieramy Open Folder. Przenosimy się w ten sposób do menedźera plików, a tutaj już działamy jak z innymi plikami, np. przeciągamy pliki.
Po całej operacji odmontowujemy dla bezpieczeństwa dany wolumen (p.p. > Unmount). Wszystkie – Unmount All.
Ponowne uruchomienie tego narzędzia w celu korzystania z zaszyfrowanego wolumenu wymaga kliknięcia Mount Volume. Tu w widoku Thunar wybieramy napęd. Podajemy oczywiście hasło (-ła).
Warto wspomnieć, że podobnie jak np. VeraCrypt czy TrueCrypt, SiriKali działa w tle po zwykłym zamknięciu (Close). W zasobniku systemowym mamy niebieską ikonkę. Z menu możemy tu wybrać Otwórz/Zamknij (Show/Hide). Można na stałe się 'wylogować’, jeśli nie pracujemy z danymi zaszyfrowanymi magazynami.
Konkludując, prosta, szybka i efektywna aplikacja z jedyną wadą – język nie ojczysty. Alternatywa dla Cryptomator (ten PL). Warto tu wspomnieć, że szyfrować można też za pomocą np. 7zip tworząc archiwum.
Drugie godne polecenia narzędzie – tym razem w wierszu poleceń – ze względu na swą prostotę, to Age (github.com/FiloSottile/age).
Zatem, generujemy klucz: $ age-keygen -o age-key.text
Szyfrujemy plik: $ age –encrypt -i age-key.text -o plik.age ./plik
Powstaje tak zaszyfrowany plik.age
Aby go odszyfrować: $ age –decrypt -i age-key.text -o plik plik.age
Metoda wykorzystująca hasło: $ age –passphrase -o plik.age plik
Pyta o hasło, jak nie, to sam wygeneruje.
Deszyfrowanie: $ age –decrypt -o plik plik.age
Bezpieczeństwo oczywiście zależy od nas – jak przechowujemy hasło i klucz.
Nie sposób nie wspomnieć przy okazji o generatorach haseł przydatnych do w/w. Oczywiście najlepiej jak są po polsku i w szacie graficznej, np. KeePass, który jest jednocześnie generatorem haseł. Pod Linux mamy wiele generatorów do użycia w terminalu.
PWGen to jeden z nich (sourceforge.net/projects/pwgen-win/). Skromne, bo 8-znakowe ciągi, ale z możliwością modyfikacji opcjami:
–no-numerals (-0) wyklucza cyfry
–no-ambiguous (-B) wyklucza wpływ błędu
–no-capitalize (-A) wyklucza duże litery
–no-vowels (-v) wyklucza pomyłki znaków
Tu uwaga, powyższe wykluczenia przekładają się na osłabienie hasła.
Poprawą bezpieczeństwa powyższej procedury może być dodanie opcji –secure (-s).
–symbols (-y) dodaje minimum jeden znak specjalny
–numerals (-n) … jedną liczbę
–capitalize (-c) …jedną wielką literę
otp – oczywiście to 'debianowate’ (packages.debian.org/search?keywords=otp&searchon=names&suite=stable§ion=all)
Domyślnie generuje hasła z dużych liter. Opcje modyfikacji:
-c15 hasło 15 znakowe, literowe
-d15 hasło z samych liczb (tu 15)
-e15 hasło z liter łatwych w wymowie
-s4 występowanie myślników (domyślnie generuje 2 myślniki, jako podziałka między 4 znakami)
-n3 liczba generowanych kluczy
Diceware (packages.debian.org/search?keywords=diceware&searchon=names&suite=stable§ion=all)
Hasło generowane jest tutaj z 5 połączonych słów (domyślnie). Zaczyna się dużą literą. Opcje:
–no-caps hasło zaczyna się małą literą
–nnum '5′ liczba słów składająca się na hasło (tu 5)
–specials '3′ znaki specjalne (tu 3)
–d '$’ znak rozdzielający słowa (tu $)
xkcdpass (pypi.org/project/xkcdpass/
Domyślnie generuje ciągi znaków z prostych do zapamiętania słów (lista słów: eff.org/files/2016/07/18/eff_large_wordlist.txt)
Opcje:
–numwords=6 daje nam 6 słów w haśle
–min=12 minimalna długość hasła (tu 12)
–max=16 maxymalna długość hasła (tu 16)
–acrostic=SŁOWO to bardzo ciekawa opcja; możemy wybrać łatwe do zapamiętania słowo, np. krol (wówczas xkcdpass –acrostic=KROL), a słowa w haśle będą się zaczynać od liter z tego słowa, np. dajmy na to: Korek Robie Olkom Latem
–verbose pomiar bezpieczeństwa hasła
–interactive hasła są generowane do momentu wyboru-akceptacji któregoś z nich przez nas
Te w/w typowo linuxowe generatory są niestety nie po polsku. Poziom bezpieczeństwa – różny. Może bardziej nadają się do mniej ważnych danych. Jeśli nam zależy na wysokim poziomie bezpieczeństwa, to polecam mój poprzedni artykuł o hasłach – Nieszablonowe hasła, czyli „technika bez techniki”
Najlepszą praktyką, o czym wspominałem tam, jest posiadanie do każdej usługi innego hasła. Wiadomo, że trudno byłoby zapamiętać ich liczbę, stąd konieczność korzystania z menedźerów haseł. Mamy np. Bitwarden, ale nie tylko. Dobrym narzędziem jest też (i zarazem generatorem haseł) NitrokeyPro2, ale nie będę go tu opisywał, bo jest…płatny.
Myślę, że tyle wystarczy na dziś. Nie dajmy się zwariować. Narzędzi podobnych do w/w jest więcej. Wybierzmy coś dla siebie strategicznie, na dłuższy czas. Co najwyżej przy tworzeniu haseł dajmy upust fantazji, inwencji twórczej.
Z Panem Bogiem!
Nieskomplikowana zapora sieciowa – ufw
Ponieważ wiele ofiar kontroli umysłu w Polsce, zarówno ze STOPZET, jak i spoza Stowarzyszenia, zgłasza hakowanie ich komputerów, niniejszym materiałem wyjaśniono działanie prostego firewalla. Tak więc ten artykuł jest dedykowany tzw. TI, czyli pokrzywdzonym przestępczym procederem kontroli umysłu. Oczywiście miejmy nadzieję, że przyda się i innym.
Dużo info o tym zostało 'przerzuconych’, więc postaram sie jak najbardziej konkretnie. Pierwotnie ufw został stworzony dla Ubuntu, ale jest też dostępny dla innych Linuxów – pakiety ufw (launchpad.net/ufw; kod źródłowy code.launchpad.net/ufw; nakładka graficzna gufw.org). Po pobraniu archiwum wystarczy jako sudo: python3./setup.py install. Instaluje się kompleksowo, dla całego Linuxa. Będzie działać od razu po rozruchu po wydaniu polecenia do startowych skryptów /lib/ufw/ufw-init start. Np. w /etc/default/ufw musi być wiersz IPV6=yes. Oczywiście działa i na IPV4.
Po pobraniu programu spakowanego do archiwum zwykle wygląda to tak: tar xfvj ufw.tar.bz2. Dalej przechodzimy do katalogu z rozpakowanymi plikami i:
./configure
make
sudo make install.
Sprawdzenie czy zapora działa: sudo ufw status. Jeśli jest active, to ok. Jeśli nie (inactive): sudo ufw enable.
Tak też włączamy autosart zapory podczas rozruchu. Wyłączanie: sudo ufw disable.
Domyślne ustawienia blokują wszystkie przychodzące zapytania/żądania, co chroni nas przed atakami. Można to zilustrować poleceniami:
sudo ufw default deny incoming
sudo ufw default allow outgoing
(deny – blokuje, allow – otwiera, a aut – na końcu wiersza oznacza, że dotyczy połączeń wychodzących)
Cały ruch sieciowy możemy regulować. Opis nazw i usług znajdziemy w etc/services. Po poleceniu sudo ufw allow określamy pożądaną usługę, np.
sudo ufw allow ssh – umożliwienie połączenia z zewnątrz
sudo ufw allow http – umożliwienie dostępu przeglądarkom www (przez domyślny port 80 dla HTTP)
sudo ufw allow ftp – -//- (port 21 FTP)
Inne 'główne porty’ domyślne, to HTTPS – 443 oraz SSH – 22.
Podobne działania tyczą się również aplikacji. Ich listę sprawdzamy: sudo ufw app list. Np. niestandardowe reguły dla systemu CUPS – drukowanie: sudo ufw allow 'CUPS’. Tu należy pamiętać o wzięciu ich w cudzysłów.
W katalogu /etc/ufw/applications.d/ znajdują się grupy profili aplikacji. Możemy sprawdzić dla jakich usług ufw utrzymuje profile aplikacji: sudo ufw app list.
Aby określić port, np. ssh, po którym automatycznie zostaną określone reguły TCP/UDP: sudo ufw allow 22.
Reguły tylko dla określonego protokołu, np. TCP: sudo ufw allow 22/tcp.
Dla innych przykładowych portów, dla połaczeń przychodzących: sudo ufw allow 8081/tcp.
Reguły są uruchamiane po restarcie systemu. Znajdują się one w /etc/ufw/user.rules (IPv4), /etc/ufw/user6.rules (IPv6).
Dla własnej ochrony należy je załadować: sudo ufw reload.
Warto tu przywołać/wyjaśnić kilka opcji, np. sudo ufw deny out http – blokuje ruch wychodzący na porcie 80.
Dla połączeń przychodzących zamiast out uzywamy in.; reject – ignoruje próby dostępu i powiadamia nadawcę o próbach nawiązania połączenia; comment – można zapisać sobie notatkę do reguł. Pamiętajmy, że każda reguła dotyczy wszystkich interfejsów. Żeby dotyczyła jednego po in czy out podajemy jej nazwę.
Jeżeli chcemy umożliwić dostęp przez ssh do naszego systemu dla konkretnych hostów, wydajemy wpierw polecenia: sudo ufw deny ssh, sudo ufw delete allow ssh. Zdefiniowane przez nas reguły wyświetlimy: sudo ufw status verbose. Znając numery sekwencyjne (sudo ufw status numbered) możemy kasować określone reguły, np. regułę mającą numer 3: sudo ufw delete 3. I teraz żeby host np. o numerze IP 192.168.1.105 miał do nas dostęp: sudo ufw allow from 192.168.1.105. Dodając na końcu any port 22 zezwolimy tylko przez ssh. Adekwatnie używamy deny do blokowania.
Kiedy ktoś nas atakuje wysyła liczne żądania w krótkim czasie, co przeciąża daną usługę. Coś jak atak DDoS. Ufw może wykryć to i zablokować. Np. dla usługi ssh: sudo ufw limit ssh.
Jeżeli gubimy się wśród reguł, które stworzyliśmy możemy je zresetować i od nowa tworzyć: sudo ufw reset.
Jeżeli nie wiemy jakie aplikacje są uruchomione, a np. nie powinny być i nasłuchują na danym porcie TCP/UDP: sudo ufw show listening.
Wszystkie wpisy w pliku dziennika są w /var/log/ufw.log. Możemy utworzyć plik dziennika wydając polecenie: sudo ufw logging on.
Warto wspomnieć, że mamy w ufw funkcę routingu IP (forwording – przekazywanie żądań z jednego interfejsu na drugi). Robimy to poleceniem: sudo ufw route allow in one interfejs1 out on interfejs2.
Powyższe dotyczyło działań w terminalu. Oczywiście, że lepiej mieć nakładkę graficzną Gufw. Instalujemy ją (w zależności od wersji Linuxa) poleceniem:
sudo apt install gufw
sudo apt-get install gufw
sudo aptitude install gufw
sudo yum install gufw
sudo dnf install gufw
sudo zypper in …
…?
Okienkowo jest o Niebo lepiej, a jeszcze lepiej jakby było po Polsku.
Pamiętajmy, aby sprawdzać zaporę sieciową, otwarte porty. Pakiety są 'standardowo akceptowalne’, co naraża nas na niebezpieczeństwo. Apropos stan portów pozwalają sprawdzić polecenia/narzędzia:
lsof
netstat
Nmap
ss (następca netstat)
Na koniec warto polecić zainteresowanie sie zaporą ogniową firewalld.org/. No i oczywiście jakiś dobry antywirus jeżeli nas atakują i okazuje się, że standardowe zabezpieczenia zapakowane do danej dystrybucji wymiękają.
Nieszablonowe hasła, czyli „technika bez techniki”
W kolejnym artykule z cyklu 'Bezpieczeństwo’ chciałbym poruszyć temat haseł. Oczywiście nie będę tu opisywał generatorów haseł itd. (może następnym razem). Skupię się raczej na ich sile, ocenie sugestii, w końcu na indywidualnym bezpieczeństwie każdego szyfrującego.
Inspiracją do podjęcia tej tematyki, oprócz samego zainteresowania bezpieczeństwem, ochroną, stała się rozmowa z bratanicą. Na pytanie co macie teraz na informatyce, usłyszałem odp., że zakładaliśmy maila. Oczywiście google mail (jakby innych nie było), 12 znaków itd. Pomyślałem, no nie, w prostej linii 'hodowanie’ sobie prostych do zhakowania społeczności.
Przechodząc do meritum. Na początek warto przejrzeć, przed tworzeniem hasła (zwłaszcza do bardzo ważnych baz danych, plików itp.) gotowe słowniki haseł. Np. w Kali Linux rockyou.txt, inne słowniki, znacznie obszerniejsze, dostępne w sieci, bądź te zawierające najbardziej popularne hasła – żeby ich nie powielać, czy te 'złamane’ dostępne na stronie CERT Polska.
Przy generowaniu hasła przez programy-generatory haseł unikać należy przestarzałych algorytmów (np. SHA) czy szyfrowania WEP.
Tworząc hasło nie uwzględniajmy w nim żadnych info, które łatwo z nami powiązać. Znaki mają być jak najbardziej losowe i jak najbardziej różne.
Według E.Snowdena, bohatera międzynarodowego, który pokazał jak bardzo ludzie są prześladowani przez 'system’, dobre hasło powinno zawierać frazy długie i takie, że je zapamiętamy. Oczywiście wielkie litery, cyfry. Np. jeżeli lubimy jeść lody i zawsze bierzemy 3 gałki, to np. nasze hasło mogłoby wyglądać następująco: LubieLodymalinowe3kulki. Wszystko ładnie, pięknie, tylko jeżeli ktoś, komu zależy na dobraniu się do nas, wie, że znamy powyższe wytyczne i nas śledzi, zarówno w życiu – w realu, jak i w mediach społecznościowych itp., to może się okazać, że pewne wydarzenia/informacje mogą zostać powiązane, wzięte pod uwagę przy generowaniu hasła – słownika haseł w celu zhakowania nas.
Tu mała dygresja. Nie oznacza powyższe, że jesteśmy przestępcami. Przykład: pamiętamy jak zarejestrowano nasze nr tel. w celu rzekomo szalejącego terroryzmu, czyli zakładając, że wszyscy możemy być w przyszłości potencjalnymi terrorystami. Podobnie z nielegalnymi nakazami noszenia szmat na twarzy, że niby wszyscy jestesmy potencjalnymi nosicielami wykreowanego davida-19.
Tu warto wspomnieć, że są na świecie tzw. technologie kontroli umysłu, zarówno oparte o mikroczipy, wszelkie elektrody sczytujace, jak i w oparciu o skanowania – biometria, rezonanse, które mogą przechwycić takie hasło, wprost z naszego umysłu. I nie są to żarty, albowiem w Polsce, jak i na całym świecie, są pokrzywdzeni tym procederem. Również wiele publikacji, w których bezpośrednio się to opisuje. Póki co nie są te sprawy 'roztrzaskane’, bo wiadomo kto w nich siedzi (…), zwłaszcza po dzisiejszych czasach. Tak więc ratunkiem tutaj byłoby hasło raz utworzone, wygenerowane, najlepiej poza miejscem dotychczas przez nas uczęszczanym. Takie hasło przy logowaniu można wklejać np. na zasadzie kopiuj – wklej (przechowywanie np. na pendrv, nie w przeglądarce, systemie, generatorze haseł), żeby go nie cytować wielokrotnie w myślach.
Ciekawe zalecenia znajdziemy na wspomnianej wyżej stronie CERT. W skrócie: min 12 znaków, min 5 słów, zasada pełnych zdań. I tak po krótce trzy przykłady:
1) Coś na wzór cytatu, ale nie cytat – jego łatwo zgadnąć, np. WlazlKostekNaMostekIStuka
2) ZielonyParkingDla3malychSamolotów; scena opisywana powinna zawierać element nierealistyczny, abstrakcyjny.
Inny: 2CzerwoneRoweryJedzaNalesniki
3) Słowa z kilku języków, np. DwaBialeLatająceSophisticatedKroliki; tu nie zadziała metoda słownikowa, bo zwykle tam są wygenerowane hasła – gotowce w jednym języku.
Jednak po już ujawnionych tu sugestiach takie hasła stają się mniej nieprzewidywalne, a i kto wie czy juz nie tworzą po tym słowników na w/w okoliczności. Albo bardziej wyrafinowanie myśląc – czy gromadząc adresy tych, co zapoznali sie z tymi info na stronie www, majac 'potrzebę’ włamania się do ich Cloud/zaszyfrowanych plików/systemu itd., nie decryptuje się według tych metod\zaleceń. A nóż może się kieruje tymi zasadami?
Pomimo powyższych wywodów myślowych trzeba przyznać, że zarówno Pan Snowden, jak i CERT, dają dobre wskazówki.
Reasumując, termin bezpieczne hasło dla każdego winien indywidualnie oznaczać co innego. Trzeba je dostosować do sytuacji, stopnia ważności danych. Ważne by być – jak w życiu – nieprzewidywalnym. Według mnie powinno zawierać min 16 znaków, małe i duże litery, pogrubione/kursywa, cyfry, znaki specjalne, całkowicie nie być kojarzone z nami. Np. jakieś jedyne wydarzenie w życiu, które zaobserwowalismy, utkwiło nam w myślach (może lepiej nie w zw. z w/w), poprzeplatane według powyższych wytycznych. Taki łatwiejszy dla nas do zapamiętania 'format hex’.
Jak mawiał Bruce Lee „Bądź jak woda przyjacielu…”
W kwestii problemów/awarii zgłaszanych przez Linuxiarzy
1.Sprawdźmy dokumentację problemowej aplikacji – na www, bądź w menu Pomoc. Jeśli, zwłaszcza poczatkujący, nie rozumieją wielu z konkretnych jej zapisów, sprawdźmy w wyszukiwarce czy ktoś z czymś podobnym się zderzył, ewentualnie zapytajmy jak to rozumieć.
2.Wszelkie informacje techniczne dla jak najlepszego zobrazowania zaistniałego problemu: w menu Pomoc, wszelkie przydatne polecenia, programy listujące parametry etc.
W Windows to np. Inormacja o systemie, MemTest, GPU-Z, CPU-Z, Hwmonitor, Speccy, CrystalDiskInfo itp. Niektóre działają pod pingwinem. Polecenia – Linux:
lshw [-version | -help | -X]
W formie pliku html: sudo lshw -html > lshw_plik.html
Jeśli chcemy w formacie xml: odpowiednio jw. zmieniając .html na .xml
Plik tekstowy, w skrócie: lshw -short > lshw_short.txt
sudo lshw -class memory> lshw_memory.txt lub sudo lshw -class memory -short > lshw_s_memory.txt
sudo lshw -businfo > lshw_bus.txt – z info o magistralach
ifconfig – interfejsy sieciowe
lscpu
hwinfo -h
hwinfo –memory
ide
itd.
lsb_relase – info jaka dystrybucja
uname -m – architektura systemu
uname -a – info o jądrze
lsblk
$ lsblk /dev/sd?
free -h – pamięć (opcje -m, -g)
lspci
cat/proc/cpuinfo
dmesg | grep cpu – dziennik jądra
mem
…
df – dyski, w kB i %
vrms – niewolne oprogramowanie
tree – wyświetlanie katalogu urządzeń zewnętrznych
W pliku core można znaleźć info do analizy, co np. było przyczyną zawieszenia procesu, dlaczego dany program padł, np. gdb -c core
3.Czy używamy sprzętu/aplikacji w wirtualnych maszynach, na fizycznym urządzeniu, live, w wolumenie – kontenerze
4.Maximum precyzji przy opisie zdarzenia + ewentualnie zrzut ekranu błędu.
Oczywiście pamiętajmy o zrzutach ekranu jak się nie da do pliku zapisać (można w pliku zrzuty zapisać), ctrl+c i ctrl+v.
To co może wynosić Linuksa na wyżyny, to bezpieczeństwo, polonizacja, kompletny dedykowany pakiet, automatyzowanie procesów.
Pomimo większego rzekomo bezpieczeństwa niż Win, warto mieć któryś z programów, np.: Rkhunter, Lynis, Chrootkit, LMD, ClamAV, KasperskyTDSSKiller.
Warto tu wspomnieć, iż niektóre ślady, np. polecenie inet, podobno pochodza z… DARPA. A to USA agencja wojskowa, niestety sądząc po m.in. przez nich opracowywanych technologiach kontroli umysłu, o czym informuje np. Stow. STOPZET, lepiej nieco uważać. To, że nie hakuje nas sąsiad, a urzędnik, to nie oznacza, że jesteśmy bezpieczni. Dzik w lesie, a warchlak w chlewiku – to i tak wszystko świnie.
Chyba najpopularniejszy to ClamAV. Po krótce: instalacja sudo apt-get update, sudo apt-get install clamav – daemon (lub bez demona samo clamav), dalej skanowanie – clamscan:
całego systemu: sudo clamscan /
sudo clamscan -rv ~/ (można też zamiast rv: –remove –recursive)
Można też konkretny katalog: sudo clamscan –infected –r –v /home/Mój/Dokumenty
Bazę wirusów aktualizujemy: clam -freshclam. Warto jednak mimo wszystko mieć tryb graficzny, najlepiej w języku PL, czyli clamtk.
Gdyby ktoś stwierdził, że to nie to, odinstalowujemy: sudo apt-get remove clamav clamav – daemon.
Poza tym dla bezpieczeństwa wszelkie generatory haseł – pwgen, gpw, pwmake, otp, diceware, xkcdpass itp. Oczywiście najlepiej wybrać jeden, po polsku. Właśnie budując jakąś dystrybucję, np MXLinux, warto wbudować na stałe jedno takie narzędzie.
Również GPG – szyfrowanie asymetryczne należy wziąć pod uwagę. Oczywiście bardziej ono może dotyczyć plików, niżeli poczty, ale przyda się.
Np. gpg -c plik – szyfruje dany plik
gpg plik.gpg – deszyfruje
Także kompresja – zaszyfrowane archiwa, to dobry krok ku poprawie naszej ochrony. Np. gzip kompresuje nam archiwa *.gz, zaś tar archiwizuje *.tar. Do szyfrowania w Linux jest także dm-crypt, Age, SiriKali, Nitrokey Pro 2 – kryptografia. Graficzne – 7zip, IzArc.
Dalej mamy zapory ogniowe – ufw, firewall, firewalld, itp. Lepiej zostawić chyba te ustawienia domyślnie. Generalnie powinny być ustawione -skonfigurowane, aby nas chronić.
Warto też, czego nie ma w innych systemach, uruchamiać np. dwie sesje, np. tty2 i tty3. W razie np. zawieszenia się tty2 przechodzimy do tty3 – ctrl+alt+F3. Potem wystarczy użyć polecenia ps (wszystkie procesy) lub top (najważniejsze procesy), zidentyfikować problematyczny proces-aplikację, po czym użyć kill, aby ją zakończyć.
Powrót do tty2 – ctrl+alt+F2. Jak nie da rady nic zdziałać można zamknąć system – shutdown. Np. gdy serwer się zawiesił: ctrl+alt+F2, naprawiamy i powrót do trybu graficznego ctrl+alt+F7.
No i oczywiście kopie zapasowe: Rclone, Restic itd. Robić je raczej na lokalnym sprzęcie, pendrv, DVD. W chmurze to zawsze u 'kogoś’. Mieć pieniądze w kieszeni, a na koncie – to zasadnicza różnica, zwłaszcza jeśli wszystko pójdzie w złym kierunku, czyli likwidacji realnej gotówki.
Warto też czasem kasować historię cat /dev/null. Czyszczenie historii bieżacej sesji: history -c. Historia jest w ~/.bash_history. Wszystkie polecenia powłoki bash są w
$HOME./bash_history, a roota /root/.bash_history. Inne to polecenie shred do czyszczenia historii poleceń w terminalu: sudo shred -zu /home/nazwa_użytkownika/.bash_history. Tym poleceniem można też bezpowrotnie usunąć pliki, np. shred -zu plik.txt. Można dodać jeszcze parametr -v żeby obserwować cały proces, ilość wykonanych operacji w terminalu (z – nadpisanie zerami, u – dealokacja).
No i internet, dodatki do przeglądarek, np. HTTP Everywhere, Secure Login, Anonsurf.
Także warto tu wspomnieć o programach do wykrywania włamań – Snort, Suricota.
Uff, to tyle na razie co mi do głowy zaświtało, wyczerpano chyba znamiona przestępstwa darmowego przekazywania wiedzy w tym temacie. Istotne są zawsze konkrety, zwłaszcza w dzisiejszym świecie – „za dużo dobrego zabije i złego”. Może coś więcej o ochronie w Debianopochodnych by napisał jakiś fachman, jako kontynuację, poszerzenie powyższego. Jak Linux będzie parł do polonizacji, prostoty, wszechfunkcjonalności,automatyzacji, formy graficznej aplikacji, darmowego dzielenia się wiedzą/umiejętnościami (dodajmy dobrowolnego i świadomego), to w mig zaora inne korposystemy.
Ku chwale Wolnej Ojczyzny!