Oto moje zalecenia:
- Nie ufaj do końca odpowiedziom, które dostajesz
- Nigdy nie publikuj swoich haseł
- Nie publikuj informacji osobistych (PIN do bankomatu, numery seryjne itd.)
- Nie dawaj zdalnego dostępu do swojego komputera osobie, którą znasz kilka minut
- Nie ujawniaj swoojego prawdziwego, globalnego adresu IP czy nazwy komputera
- Uaktualniaj swój system
Zapewnienie sobie bezpieczeństwa to nie jest prosta sprawa. Kiedy jesteś w sieci, nie wiesz kto siedzi po drugiej stronie. Nie wiesz także kto czyta Twoje pytania i na nie odpowiada. Dlatego pierwsza zasada to:
Nie ufaj do końca odpowiedziom, które dostajesz
Skąd wiesz, czy polecenie, które ma pomóc tak naprawdę nie usunie wszystkich plików z Twojego dysku? Sprawdź je. To proste. Po prostu uruchom (w systemach z rodziny Unix)
man nazwa_polecenia
Zobaczysz wtedy co ono robi. Jeśli opis jest dłuższy możesz także przewinąć ekran i sprawdzić wszystkie opcje.
Zaczęłam od odpowiedzi, ale więcej powinno się powiedzieć o pytaniach i ich doprecyzowywaniu.
Nie wiesz kto czyta Twoje posty. Zazwyczaj są one też dostępne przez wyszukiwarki. Dlatego
Nigdy nie publikuj swoich haseł
Hasło nie jest konieczne do rozwiązania problemu. Mogę tak napisać, bo nigdy nie spotkałam się z taką sytuacją. Jeśli jakieś polecenie wymaga hasła, wydaj je samodzielnie. I znowu, pamiętaj o pierwszej zasadzie.
Nie publikuj informacji osobistych (PIN do bankomatu, numery seryjne itd.)
Było to już mówione wielokrotnie. I ciągle trzeba powtarzać.
Nie dawaj zdalnego dostępu do swojego komputera osobie, którą znasz kilka minut
Ktoś może Cię poprosić od o zdalny dostęp do Twojego komputera, żeby szybciej rozwiązać problem (na przykład przez SSH). Nie zgadzaj się na to jeśli naprawdę dobrze nie znasz tej osoby. Większość zrobi to co mówi: pomoże Ci. Ale nie masz pewności.
Jest jeszcze kilka innych rzecz, które nie powinny być ujawniane, szczególnie w przypadku pracy w sieci i pytań związanych z sieciowymi problemami.
Nie ujawniaj swojego prawdziwego, globalnego adresu IP czy nazwy komputera
Co to jest adres prywatny? To adres, który jest poprawny tylko w Twojej własnej sieci i nie jest dostępny z zewnątrz. Są trzy główne zakresy tych adresów:
10.0.0.0 do 10.255.255.255
172.16.0.0 do 172.31.255.255
192.168.0.0 do 192.168.255.255
Jeśli zwykły adres Twojego komputera leży w jednym z tych zakresów, nie musisz go zamieniać.
Jeśli zadajesz pytanie, to oznacza to zazwyczaj, że masz problem. To z kolei — że Twój komputer nie jest zabezpieczony tak dobrze jak by mógł być. Nie dawaj takiego adresu potencjalnemu atakującemu. Jeśli publikujesz wyniki poleceń route czy ifconfig, usuń wszystkie dane, które mogą Cię identyfikować. Zamień adres globalny na prywatny.
Zmień nazwę swojej domeny na coś podobnego do "example.com" (domena zarezerwowana do użycia w dokumentacji i podobnych przypadkach).
Tą zasadę należy zastosować także przy wysyłaniu skryptu ściany ogniowej (w przypadku iptables) i wielu innych sytuacjach.
Uaktualniaj swój system
Kiedy piszesz Mam problem z programem (tu nazwa) wersja (jakaś wersja)... kiedy ta jakaś wersja jest dobrze znana z posiadania masy dziur, nie jest dobrze. Szczególnie jeśli jednocześnie ujawnisz swój adres IP.
Podsumowując: nie wiesz, kto czyta to co piszesz. Dlatego nie ujawniaj swoich haseł i innych informacji wrażliwych, adresów IP oraz nazwy domeny. Przed uruchomieniem nieznanego polecenia (lub programu) sprawdź co ono robi.
Przykłady
A teraz kilka przykładów. Pokażę co zmienić w wynikach niektórych popularnych poleceń, żeby się chronić.
Przykład 1:
Nie wiesz jak skonfigurować domyślną bramę. Zadajesz pytanie. W odpowiedzi dostajesz między innymi polecenie
route add default eth0
Nie wiesz co ono robi, więc sprawdzasz czy to to, o co Ci chodzi. Uruchamiasz
man route
i otrzymujesz stronę podręcznika polecenia route. Dostajesz coś podobnego do
route - pokazuje / obsługuje tablicę trasowania protokołu IP
Jest dobrze. Modyfikacja tablicy trasowania (routingu) to to o co chodzi.
Przykład 2:
Żeby rozwiązać Twoj problem poproszono Cię o pokazanie wyników działania route oraz ifconfig. Jak powinny one wyglądać pokazuję poniżej:
ifconfig eth0 eth0 Link encap:Ethernet HWaddr XX:XX:XX:XX:XX:XX inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:3754 errors:0 dropped:0 overruns:0 frame:0 TX packets:3855 errors:0 dropped:0 overruns:0 carrier:0 collisions:1 txqueuelen:100 RX bytes:2687451 (2.5 Mb) TX bytes:502075 (490.3 Kb) Interrupt:11 Base address:0x3800
Zmienione wartości oznaczyłam kolorem. HWaddr to unikalny adres Twojej karty sieciowej. Nie jest dobreym pomysłem go pokazywać. Drugie pole to adres IP interfejsu eth0. 192.168.1.1 pochodzi z trzeciego zakresu adresów prywatnych.
route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface localnet * 255.255.255.0 U 0 0 0 eth0 default mojabrama 0.0.0.0 UG 0 0 0 ppp0
W tym przypadku zmieniłam adres domyślnej bramy.