Archives

Ubuntu pe laptopul personal… o mică discuție despre securitate.

Probabil toți am auzit cel puțin o dată – “Nu există viruși în Linux” sau că “Linux e cel mai sigur sistem de operare”.

Las la o parte discuția despre distribuții și faptul că Linux e până la urmă doar kernelul sau orice altă discuție legată de care distribuție este “mai bună”. Ceea ce vreau să aduc în discuție este securitatea în Ubuntu (aceasta este distribuția pe care-mi petrec cel mai mult timp și despre care pot vorbi cât de cât în cunoștință de cauză). Iar dacă tot se cheamă că sunt “propagandist” (ca să citez un amic), iată câteva sfaturi despre securitatea mașinii personale.

Comparativ cu oricare versiune a sistemelor de operare Windows, Ubuntu oferă o mult mai bună securitate, chiar și fără ca utilizatorul să intervină în vreun fel. Dar, chiar și Chuck Norris dacă ar sta cu chiloții la nivelul gleznelor și aplecat să citească de pe chiștoace în parcul Operei s-ar putea să aibă vizitatori… așa că, mai ales în vremurile acestea când majoritatea datelor importante (proiecte, documente, emailuri) stau pe mașini portabile și conectarea la rețele mobile gratuite devine un lucru din ce în ce mai uzual, cred că e un moment bun să aduc în discuție câteva recomandări de bun simț (nu inventez apa caldă, au fost toate enunțate până acuma însă… repetiția e mama învățăturii…).

Folosiți parole “adevărate”.

O parolă ca “123456”, chiar dacă îi pui și numele sau prenumele ca prefix/sufix este o parolă vulnerabilă. Folosește pentru fiecare utilizator configurat o parolă cât mai complicată. Numele melodiei sau formației preferate (înlocuind litere cu numere și/sau semne speciale) poate fi o parolă bună (ex. [email protected] sau orice altă combinație pe modelul ăsta poate da ceva bătăi de cap unui vizitator nepoftit care încearcă să se conecteze la calculatorul tău). Nu uita că odată ce ai oferit acces fizic la tastatură, orice parolă este inutilă, indiferent cât de complicată este ea.

SSH pe orice alt port decât cel standard.

Dacă ai nevoie să ții un server de SSH pornit pentru a oferi acces de la distanță pe laptopul tău, asigurăte că modifici portul de conectare. Folosește porturi din gama superioară, porturi care nu sunt în intervalul scanat de obicei de către programele care caută automat vulnerabilități. Folosirea unui port ca 21347 reduce cel puțin cu 80% numărul de încercări de conectare pe SSH.

Nu țineți terminale deschise ca root.

root este nivelul de securitate cel mai ridicat. Cine are în mână contul de root poate face orice pe mașina cu pricina. În Ubuntu, conectarea ca root se poate face (și ăsta e un lucru bun în opinia mea) doar după ce te-ai logat cu un alt utilizator, folosind sudo. În cazul în care ai de făcut instalări/configurări/reconfigurări, folosește pe cât posibil sudo. Dacă totuși sunt lucruri care nu pot fi făcute cu sudo și este necesară utilizarea unei console cu utilizatorul root, asigură-te că nu lași alte persoane să-ți butoneze laptopul.

Instalează actualizările de sistem.

Ubuntu este un sistem în care comunitatea este foarte importantă. În fiecare moment, utilizatorii care identifică bug-uri sau au probleme raportează acete lucruri iar dezvoltatorii încearcă să fixeze problemele. În acest mod, problemele, vulnerabilitățile etc. ajung să fie fixate de multe ori înainte ca tu să te lovești sau să afli de ele. Un sistem actualizat este mult mai sigur.

Instalează un antivirus.

Deși probabilitatea infectării cu un virus “de Linux” este redusă, în momentul în care schimbi informații cu alți utilizatori, un antivirus este necesar. Scanează fișierele pe care le primești, chiar dacă teoretic nu-ți pot face rău. Nu e frumos să dai mai departe viruși.
ClamAV sau oricare antivirus open-source sau gratuit e ok

Nu rula comenzi copy/paste dacă nu știi ce fac.

Sunt nenumărate site-uri și bloguri unde oamenii oferă soluții sau arată cum se pot face mai ușor, mai simplu, mai eficient lucruri direct din consolă. Deși marea majoritate pot fi bine intenționați, unii pot greși și pune comenzi greșite. Nu-ți dorești să-ți ștergi toate fișierele (de exemplu) pentru că cel care a scris linia cu pricina conține din greșeală un “rm” (cu opțiunile de rigoare).

Citește cu atenție linia, copiaz-o într-un editor text pentru a te asigura că sintaxa e ok și face ceea ce te aștepți și doar după aceea rulează acea comandă.

Folosește un firewall.

Instalează-ți o aplicație de firewall (o interfață grafică eventual). Firestarter sau Gufw te pot scăpa de multe dureri de cap.

Ai grijă ce surse folosești pentru aplicații.

Asigură-te că aplicațiile pe care le instalezi provin din surse de încredere. Chiar dacă pare un PPA ok, aruncă un ochi în ce se mai află acolo. Altfel poți risca să instalezi pachete care-ți pot da peste cap sistemul.

Folosește o aplicație ca Wireshark.

Dacă ai cel mai mic dubiu că se întâmplă ceva ciudat în rețeaua în care ești pornește un Wireshark (sau orice aplicație similară care ți se pare a fi ok). Așa poți vedea ce trafic se desfășoară prin plăcile tale de rețea.

Folosește conturi separate pentru utilizatori

Dacă pe laptopul tău lucrează și nevasta, copilul, mătușa Tamara, etc. fă-le câte un cont separat. Așa te asiguri că sistemul tău nu va fi pus în pericol din greșeală iar eventualele probleme cauzate de comenzi greșite se vor limita la contul sub care vor fi rulate.

Cam astea-s lucrurile care-mi vin în cap în acest moment… Orice alte recomandări sunt binevenite.

Avem Ubuntu 12.04 Precise Pangolin – de unde-l putem descărca

De ieri din jurul prânzului avem parte de Ubuntu 12.04 LTS. Noutatea majoră (din punctul meu de vedere) este prelungirea de la 3 la 5 ani a suportului pentru versiunea de desktop.

Cum imediat după ce a fost publicat oficial site-ul Ubuntu a fost luat cu asalt, m-am gândit că e utilă o enumerare a metodelor alternative de descărcare.

În primul rând Ubuntu 12.04 poate fi descărcat folosind un client de torrente folosind unul din torrentele :

Când scriu acest post, acestea oferă o viteză decentă de descărcare.

În cazul în care nu aveţi un client de torrente şi/sau nu puteţi descărca, puteţi descărca prin http/ftp sau rsync de la oricare din adresele prezentate în lista oficială de mirror-uri, listă pe care o puteţi găsi aici.

Din această listă am extras serverele din România astfel:

 Server Protocol Viteză
UPC Romania http ftp 1 Gbps
Agency ARNIEC/RoEduNet http ftp rsync 1 Gbps
xServers Hosting – Romania http ftp rsync 1 Gbps
ArLUG (Arad Linux Users Group) http ftp 10 Mbps

Succes la descărcare.

29 de zile rămase până la lansarea Ubuntu Precise Pangolin (12.04 LTS)

Numărătoarea inversă a început! Versiunea 12.04 – Precise Pangolin va fi lansată curând şi fiind o versiune LTS, va fi una alături de care voi petrece mult, mult timp.

Pentru cei care doresc să afişeze contorul zilelor rămase până la lansare pe site-ul Ubuntu se găsesc trei variante (una mai faină ca cealaltă) ale contorului.

Sper ca acest contor să fie afişat de cât mai mulţi oameni şi bineînţeles, versiunea 12.04 să fie folosită măcar de oamenii care au 10.04. 🙂

Instalarea sun-java6-jdk în Ubuntu 11.10

În Ubuntu 11.10, s-a renunţat la jdk-ul de Java 6 de la Sun şi s-a ales folosirea OpenJDK. Asta nu ar fi o problemă dacă OpenJDK ar furniza tot ceea ce oferea cel de la Sun. Partea bună este că (încă) jdk-ul de la Sun se află în depozitele de surse ale Lucid.

Aşa că se poate instala astfel:

Se adaugă depozitele de surse “partner” ale Lucid şi apoi se instalează sun-java6-jdk:

$ sudo add-apt-repository "deb http://archive.canonical.com/ lucid partner"</p>
$ sudo apt-get update</p>
$ sudo apt-get install sun-java6-jdk 

Dacă aţi avut (cum am avut şi eu) instalat iniţial OpenJDK este foarte probabil ca la compilarea pachetelor voastre să vă loviţi de următoarea eroare:

Unable to find a javac compiler; com.sun.tools.javac.Main is not on the classpath. Perhaps JAVA_HOME does not point to the JDK. It is currently set to "/usr/lib/jvm/java-6-openjdk/jre"

În cazul ăsta, trebuie actualizate căile către noul JDK

$ sudo update-alternatives --config java

şi se alege varianta care zice că “/usr/lib/jvm/java-6-sun/jre/bin/java”

În cazul meu, după asta am reuşit să compilez fără probleme aplicaţii Java care până la momentul cu pricina mi-au stricat starea mea de Zen de după vacanţă.

Cum poţi avea parte de ajutor atunci când foloseşti Linux

Mi-a fost dat să aflu că în România secolului XXI există companii de IT care se laudă c-ar face service şi mentenanţă dar care refuză să ofere aceste servicii firmelor care nu folosesc sisteme de operare Microsoft.

Motivul (cel puţin oficial) refuzului a fost “În Linux nu ai parte deloc de suport, iar specialiştii noştri nu vă recomandă să folosiţi astfel de sisteme de operare nesigure.” O idioţenie dar… se întâmplă.

Cei care au făcut asta nu merită să le amintesc aici numele, însă sunt unii dintre cei care-şi zic lideri de piaţă… probabil că de Piaţa Amzei.

Oricum, pentru cei care oferă serviciile sau pentru cei care au nevoie de acestea (şi parcă mai ales pentru aceştia din urmă) iaca o listă de metode de a obţine ajutor şi informaţii atunci când ai decis să foloseşti o distribuţie Linux şi constaţi că nu te descurci.

1 – Apasă F1

În marea majoritate a cazurilor, atunci când ai un desktop care rulează o distribuţie Linux, apăsarea tastei F1 va deschide o fereastră de ajutor. La fel ca-n Windows.

2 – Citeşte documentaţia.

Marea majoritate a aplicaţiilor vin cu instrucţiuni. În cazul în care primul punct de mai sus nu poate fi aplicat, caută pagina de documentaţie a aplicaţiei. Cu siguranţă există una. Ori pe internet (în site-uri de tip wiki în funcţie de distribuţia folosită), ori cu magica comandă “man”.

3 – Listele de email

Există nenumărate liste de discuţii structurate după localizarea geografică sau după tipul distribuţiei utilizate. Formulaţi cât mai bine întrebarea, adăugaţi cât mai multe detalii despre ce şi cum se întâmplă şi aşteptaţi. Cu siguranţă cineva vă va răspunde.

4 – Forumurile online

Fiecare distribuţie are şi un forum în care utilizatorii pot primi ajutor. Până şi aplicaţiile mai mari beneficiază de astfel de forumuri, dar, de multe ori acestea nu sunt foarte active.

5 – IRC-ul

IRC-ul nu a murit odată cu apariţia Hi5 sau Facebook.

Pe freenode (irc.freenode.net) există canale de discuţii dedicate. De exemplu, utilizatorii Ubuntu au #ubuntu (respectiv #ubuntu-ro) dar şi multe alte canale pe care pot găsi informaţii.

6 – Serviciile de suport comercial

Pentru majoritatea distribuţiilor mari, există varianta achiziţionării unui pachet de servicii de suport. Preţul este unul decent, iar comparând cu costul serviciilor de suport oferite de Microsoft (prin parteneri) este în unele cazuri cu aproape 50% mai ieftin. De exemplu, pentru a avea parte de un contract de suport la Ubuntu trebuie să plătiţi 105 dolari americani, pe când pachetul de suport pentru Windows 7 Home Edition este în jurul valorii de 199 dolari americani (costurile acestuia din urma pot varia în funcţie de compania prestatoare şi ţara în care se întâmplă).

Ca o concluzie… Dacă o firmă prestatoare de servicii de suport nu are habar de cele de mai sus, atunci cel care a investit banii în acea firmă trebuie să-şi concedieze rapid toţi angajaţii (în cazul în care are angajaţi). De asemenea, cei care vor să folosească sisteme de operare GNU/Linux trebuie să ştie că pot găsi ajutor atât gratuit cât şi plătit, important e să-l caute şi să fie atenţi.

Probabil că undeva în lista de mai sus ar fi trebuit să pun şi ajutorul pe care-l pate oferi prietenul găgâl.

Protejează-ți fișierele criptându-le cu ccrypt

Într-o lume din ce în ce mai mobilă, ajungem să ne stocăm fișierele pe diferite medii, începând de la memorii USB până la servicii de stocare online ca Ubuntu One. Și cum suntem “educați” de către americani să nu ne mai gândim noi la securitatea datelor și să-i lăsăm pe alții să gândească în locul nostru… apar din ce în ce mai des cazuri de “scurgeri” de informație total aiurea, încât rămâi cu gura căscată întrebându-te ce-a fost în capul celui care a “pierdut” informația.

Așa că, începând de la fișierele de pe laptop, cele de pe stick-urile USB sau cele pe care le țin online prin diverse locuri, toate stau de ceva vreme criptate. Tot căutând metode și aplicații de criptare (mai mult la modul fun… nu sunt nici chiar atât de paranoic pe de o parte și-s suficient de conștient că orice algoritm poate fi spart, pe de altă parte) m-am oprit pentru moment la ccrypt.

ccrypt este o aplicație cu sursă liberă, scrisă de Peter Selinger, cu ajutorul căreia se pot cripta și decripta fișiere și stream-uri. Această aplicație a fost scrisă cu scopul de a înlocui vechea aplicație crypt, aplicație de bază a UNIX, dar despre care în cursul timpului s-a tot spus că are algoritmii de criptare destul de slabi.

ccrypt se poate instala din depozitele de bază Ubuntu cu comanda:

$ sudo apt-get install ccrypt

Odată instalat, pentru criptarea se face astfel:

$ ccrypt fisier_de_criptat.txt

 

Rezultatul va fi un fișier cu același nume dar cu extensia .cpt.

Conținutul fișierului astfel criptat arată astfel:

Pentru a citi conținutul unui fișier direct în consolă (fără a mai crea un fișier care să rămână pe disc din greșeală) puteți folosi ccat.

$ ccat fisier_de_criptat.txt.cpt

Pentru a decripta fișierul, comanda este ccdecrypt:

$ ccdecrypt fisier_de_criptat.txt.cpt

Întotdeauna este recomandabil să folosiți parole complexe formate din combinații între litere, incluzând majuscule, cifre și eventual semne de punctuație, având grijă să nu le uitați prea curând 🙂

Pagina proiectului ccrypt, unde puetți găsi mai multe detalii despre aplicație și modul de folosire este: ccrypt.sourceforge.net

Sistem de irigare controlată a grădinii bazat pe Ubuntu

Din categoria “Ce mai putem face cu computerele vechi din pod”, astăzi am aflat despre o idee interesantă.

Am descoperit pe instructables un exemplu despre cum se poate controla un sistem de irigare automată cu ajutorul câtorva cunoștințe de electronică, un computer vechi, un sistem de operare Ubuntu și puțin timp liber 🙂

În articolul cu pricina se arată cum stropitul grădinii poate fi programat din crontab cu ajutorul unei aplicații C (parcon), aceasta trimițând comenzile pe portul paralel către relee electrice.

Celor care vor dori să reproducă montajul cu componentele de la noi, le recomand (în cazul în care nu știu încă) platforma Arduino pentru construirea montajelor electronice. Informații despre Arduino și despre posibilitatea achiziționării de plăci și componente de test pentru Arduino în România puteți găsi în cadrul proiectului încearcă.softwareliber.ro.

Taie elanul spamerilor cu mod_defensible

Urmărind activitatea serverelor pe care-mi petrec timpul, am sesizat în ultimele două luni o creștere de vreo 25% a volumului de încercări (presupun scriptate) de a găsi instalări ale WordPress, PhpMyAdmin și pagini cu formulare pe site-urile găzduite local. Nu m-a tentat să-mi bat prea tare capul cu întrebarea logică “Cum mama lor s-au prins așa repede că a apărut un nou domeniu de s-au și pus să-l scaneze?”, dar, m-am apucat să caut o metodă de a le mai tăia din elan acestor vizitatori nedoriți. Ca o paranteză – încep să cred că asta e jobul unor oameni și nu neapărat o mișcare automatizată întrucât, de exemplu scripturile de la “w00tw00t” sau “w00tw00t.at.blackhats.romanian.anti-sec:)” sunt rulate de pe multe ip-uri din China (probabil proxy), în mod special între orele 9 și 17 – GMT + 8 (ceea ce pică ca o mănușă pe CST – China Standard Time).Paranteză închisă.

Căutând să reduc numărul acestor vizitatori nedoriți am descoperit (nu doar apa caldă și că roata-i rotundă) – mod_defensible (destul de bătrân dar foarte util). mod_defensible este un modul pentru serverele Apache 2.x care blochează accesul spamerilor folosind serverele DNSBL. Astfel, înainte de a-i fi afișată pagina cerută, fiecărui vizitator îi va fi verificată adresa IP în unul sau mai multe servere DNSBL. Dacă adresa este prezentă în acestea, vizitatorul cu pricina se va trezi cu o minunată eroare 403 în fața ochilor și cam aici i se termină vizita.

mod_defensible poate fi descărcat și instalat folosind sursele de pe site-ul proiectului julien.danjou.info dar este de asemenea prezent în depozitele de bază ale distribuțiilor majore.

Pentru cei (ca mine) care folosesc servere Ubuntu, procedura de instalare este următoarea (presupun că deja există un server Apache instalat și configurat):

# sudo apt-get install libapache2-mod-defensible libudns0 

Unde libapache2-mod-defensible va instala modulul în sine iar libudns0 va instala bibliotecile necesare pentru UDNS.

După ce se termină instalarea, în /etc/apache2/apache2.conf trebuie adăugate următoarele:

DnsblUse On
DnsblServers httpbl.abuse.ch sbl-xbl.spamhaus.org
DnsblNameserver 145.253.2.75

Adresa folosită pentru DnsblNameserver poate fi înlocuită cu adresa oricărui alt server DNS, inclusiv cel local (dacă există).

Mai rămâne acum doar ca acest modul să fie activat,

$ sudo a2enmod defensible 

Și restartat serverul Apache

$ sudo /etc/init.d/apache2 restart 

După mine, acest modul merge bine combinat cu mod_evasive și nu în ultimul rând cu fail2ban sau denyhosts.

Commodore 64 reloaded!

Vă mai aduceți aminte de Commodore, de jocurile pe 8 biți și nopțile pierdute în fața televizorului cu ochii beliți în “calculator” și de sunetele care însoțeau fiecare “încărcare”?
Dacă da, atunci am o veste bună 🙂 Cei de la Commodore se pregătesc să lanseze un nou model, pe numele său, (tot) Commodore 64.
Forma fizică a consolei, așezarea tastelor și culorile sunt aceleași ca la consola veche dar, deși de la distanță pare a fi o piesă de muzeu, noua consolă Commodore beneficiază de un procesor Atom Dual Core 525, de un chip grafic nVidia ION2, 2 GB de memorie DDR3 (expandabil la 4) și DVD R/W sau Bluray după preferință și buget.

Cei de la Commodore pregătesc și un sistem de operare propriu (Commodore OS 1.0), însă până ce acesta va fi gata, consolele sunt distribuite cu Ubuntu 10.04 LTS ca sistem de operare.

Iar pentru cei care au fost cuminți și și-au păstrat jocurile de pe consola cea veche, Commodore 64 va avea un emulator (sau mai bine zis o imagine completă) a sistemului pe 8 biți.

Sistemul de operare propriu și emulatoarele vor fi trimise prin poștă cumpărătorilor după ce acestea vor fi finalizate.

Prețurile consolelor pleacă de la 250 dolari americani și ajung până la 850 dolari.

 

Detalii mai multe puteți găsi pe site-ul Commodore.

 

Foto © Commodore

AMR 7 zile pentru Ubuntu 11.04 Natty Narwhal

Mai sunt doar șapte zile până la lansarea versiunii 11.04 (Natty Narwhal). O versiune care deja a stârnit foarte multe comentarii atât pro cât și contra, o versiune care va aduce câteva lucruri noi în Ubuntu. Cu Unity pentru interfața cu utilizatorul, cu LibreOffice 3.3.2 ca aplicație de bază office, Firefox 4.0 ca navigator standard, Shotwell 0.9.1 și multe alte lucruri noi, Natty promite mult. Să vedem ce va fi la săptămâna viitoare.

Cei care-s nerăbdători să testeze varianta beta pot intra aici pentru a descărca cea mai recentă variantă.

Eu aștept cu nerăbdare să-l testez… Recunosc, mă feresc să fac asta în primele două săptămâni după lansare pe calculatoarele pe care-mi desfășor activitatea zilnică însă cu siguranță îl voi instala din prima zi într-o mașină virtuală 🙂

© 2009-2019 Alex. Burlacu
%d bloggers like this: