On 11 Nov 2014 08:40 +0100, from anders.wallenqu...@kreawit.se (Anders Wallenquist): > Vari ligger rädslan för intrång? En brandvägg innebär i huvudsak att > stänga portar. Det är först när du installerar tjänster på din > maskin som du utsätter dig för "risker" som en brandvägg kan råda > bot på, så länge du installerar väldefinierade tjänster från Debians > repository så har du en god nivå på vardagssäkerhet. Debian > installerar få tjänster i onödan och inga bakdörrar som du är > drabbad av utanför Linux-världen.
Det har ju funnits problem på lägre nivå än enskilda tjänsteimplementationer eller enskilda protokoll. http://www.cvedetails.com/vulnerability-list/vendor_id-33/product_id-47/cvssscoremin-9/cvssscoremax-/Linux-Linux-Kernel.html Där finns en hel hög med buggar i Linuxkärnan med Authentication "Not required", Access "Remote" och åtminstone några stycken med Gained access level "Admin". Finns helt säkert andra motsvarande sidor, jag googlade på "linux remote exploit" och ovanstående var en av de träffar som hamnade högst upp i listan. > En stor källa till sårbarheter är webbläsaren och plugins som t ex > Flash. En annan är installation av främmande programvara utanför > Debians repositories. Visst är dessa realistiska angreppsvägar efter installation, men ingendera är speciellt trolig som något problem under installationen, och du kan se till att all programvara är helt uppdaterad innan du börjar använda systemet till något annat än just att installera det grundläggande operativsystemet och applikationer. Ja, risken att man råkar ut för något under installationen är hyfsat liten. Men varför ska man ta en risk som med relativt små medel kan undvikas? Varför kan Debians installationsmedia _inte_ ha en grundläggande uppsättning brandväggsregler i iptables som standard? Vilket skulle problemet vara för en normal användare om det gjordes, och kanske kunde stängas av med en bootparameter de få gånger som det verkligen behöver göras (medvetet val från användaren/administratören)? Jag håller med om mycket av det du säger att det finns annat också att ha koll på, men förstår inte varför det skulle göra att en enkel brandväggskonfiguration (ordnat av bootskripten) i Debians installationsmiljö skulle göra aktiv skada. I de fall du säger (inga sårbarheter finns i miljön) så skulle ju nyttan i stort sett vara noll, och finns det sårbarheter som kan utnyttjas men som inte är allmänt kända i de programvaror som används under Debianinstallationen (inklusive Linuxkärnan) så minskar man markant angreppsytan för en yttre angripare. Tillför en bootparameter typ `firewall=accept-all` för att avaktivera brandväggen om det av någon anledning behövs. På vilket sätt är det en nackdel anser du? -- Michael Kjörling • https://michael.kjorling.se • mich...@kjorling.se OpenPGP B501AC6429EF4514 https://michael.kjorling.se/public-keys/pgp “People who think they know everything really annoy those of us who know we don’t.” (Bjarne Stroustrup) -- To UNSUBSCRIBE, email to debian-user-swedish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20141111083808.gb22...@yeono.kjorling.se
