[about me] [blog] [papers] [links] ~~~ [odnośniki] [artykuły] [blog] [o mnie]

Jak zadać pytanie i zadbać o swoje bezpieczeństwo

Zadajesz pytanie. To dobrze. Pamiętaj tylko, że informacje o Tobie zawarte w tych pytaniach mogą byc użyte przez kogoś, kto wcale nie chce Ci pomóc. Ten dokument (HOWTO) pokazuje główne zasady, jakimi należy się kierować, aby zameiścić wystarczająco dużo danych, ale jednocześnie zadbać o swoje bezpieczeństwo w sieci.

Nie będę się tutaj zajmować formułowaniem pytania tak, żeby było dobre (czyli pokazywało gdzie jest problem i jakie rozwiązania zostały już wypróbowane). Są na ten temat liczne oproacowania. Możesz przejrzeć to (po angielsku): How To Ask a Question albo na przykład Jak mądrze zadawać pytania (po polsku).

Oto moje zalecenia:

1. Nie ufaj do końca odpowiedziom, które dostajesz
2. Nigdy nie publikuj swoich haseł
3. Nie publikuj informacji osobistych (PIN do bankomatu, numery seryjne itd.)
4. Nie dawaj zdalnego dostępu do swojego komputera osobie, którą znasz kilka minut
5. Nie ujawniaj swoojego prawdziwego, globalnego adresu IP czy nazwy komputera
6. Uaktualniaj swój system

Zapewnienie sobie bezpieczeństwa to nie jest prosta sprawa. Kiedy jesteś w sieci, nie wiesz kto siedzi po drugiej stronie. Nie wiesz także kto czyta Twoje pytania i na nie odpowiada. Dlatego pierwsza zasada to:

Nie ufaj do końca odpowiedziom, które dostajesz

Skąd wiesz, czy polecenie, które ma pomóc tak naprawdę nie usunie wszystkich plików z Twojego dysku? Sprawdź je. To proste. Po prostu uruchom (w systemach z rodziny Unix)

man nazwa_polecenia

Zobaczysz wtedy co ono robi. Jeśli opis jest dłuższy możesz także przewinąć ekran i sprawdzić wszystkie opcje.

Zaczęłam od odpowiedzi, ale więcej powinno się powiedzieć o pytaniach i ich doprecyzowywaniu.

Nie wiesz kto czyta Twoje posty. Zazwyczaj są one też dostępne przez wyszukiwarki. Dlatego

Nigdy nie publikuj swoich haseł

Hasło nie jest konieczne do rozwiązania problemu. Mogę tak napisać, bo nigdy nie spotkałam się z taką sytuacją. Jeśli jakieś polecenie wymaga hasła, wydaj je samodzielnie. I znowu, pamiętaj o pierwszej zasadzie.

Nie publikuj informacji osobistych (PIN do bankomatu, numery seryjne itd.)

Było to już mówione wielokrotnie. I ciągle trzeba powtarzać.

Nie dawaj zdalnego dostępu do swojego komputera osobie, którą znasz kilka minut

Ktoś może Cię poprosić od o zdalny dostęp do Twojego komputera, żeby szybciej rozwiązać problem (na przykład przez SSH). Nie zgadzaj się na to jeśli naprawdę dobrze nie znasz tej osoby. Większość zrobi to co mówi: pomoże Ci. Ale nie masz pewności.

Jest jeszcze kilka innych rzecz, które nie powinny być ujawniane, szczególnie w przypadku pracy w sieci i pytań związanych z sieciowymi problemami.

Nie ujawniaj swojego prawdziwego, globalnego adresu IP czy nazwy komputera

Jeśli zadajesz pytanie, to oznacza to zazwyczaj, że masz problem. To z kolei — że Twój komputer nie jest zabezpieczony tak dobrze jak by mógł być. Nie dawaj takiego adresu potencjalnemu atakującemu. Jeśli publikujesz wyniki poleceń route czy ifconfig, usuń wszystkie dane, które mogą Cię identyfikować. Zamień adres globalny na prywatny.

Zmień nazwę swojej domeny na coś podobnego do "example.com" (domena zarezerwowana do użycia w dokumentacji i podobnych przypadkach).

Tą zasadę należy zastosować także przy wysyłaniu skryptu ściany ogniowej (w przypadku iptables) i wielu innych sytuacjach.

Uaktualniaj swój system

Kiedy piszesz Mam problem z programem (tu nazwa) wersja (jakaś wersja)... kiedy ta jakaś wersja jest dobrze znana z posiadania masy dziur, nie jest dobrze. Szczególnie jeśli jednocześnie ujawnisz swój adres IP.

Podsumowując: nie wiesz, kto czyta to co piszesz. Dlatego nie ujawniaj swoich haseł i innych informacji wrażliwych, adresów IP oraz nazwy domeny. Przed uruchomieniem nieznanego polecenia (lub programu) sprawdź co ono robi.

Przykłady

A teraz kilka przykładów. Pokażę co zmienić w wynikach niektórych popularnych poleceń, żeby się chronić.

Przykład 1:

Nie wiesz jak skonfigurować domyślną bramę. Zadajesz pytanie. W odpowiedzi dostajesz między innymi polecenie

route add default eth0

Nie wiesz co ono robi, więc sprawdzasz czy to to, o co Ci chodzi. Uruchamiasz

man route

i otrzymujesz stronę podręcznika polecenia route. Dostajesz coś podobnego do

route - pokazuje / obsługuje tablicę trasowania protokołu IP

Jest dobrze. Modyfikacja tablicy trasowania (routingu) to to o co chodzi.

Przykład 2:

Żeby rozwiązać Twoj problem poproszono Cię o pokazanie wyników działania route oraz ifconfig. Jak powinny one wyglądać pokazuję poniżej:

ifconfig eth0
eth0      Link encap:Ethernet  HWaddr XX:XX:XX:XX:XX:XX
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3754 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3855 errors:0 dropped:0 overruns:0 carrier:0
          collisions:1 txqueuelen:100
          RX bytes:2687451 (2.5 Mb)  TX bytes:502075 (490.3 Kb)
          Interrupt:11 Base address:0x3800

Zmienione wartości oznaczyłam kolorem. HWaddr to unikalny adres Twojej karty sieciowej. Nie jest dobreym pomysłem go pokazywać. Drugie pole to adres IP interfejsu eth0. 192.168.1.1 pochodzi z trzeciego zakresu adresów prywatnych.

route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
localnet        *               255.255.255.0   U     0      0        0 eth0
default         mojabrama       0.0.0.0         UG    0      0        0 ppp0

W tym przypadku zmieniłam adres domyślnej bramy.

[about me] [blog] [papers] [links] ~~~ [odnośniki] [artykuły] [blog] [o mnie]
Copyright © 2005 Mara