protsku sanoi:
Naksu: kannattaisiko kotikäyttäjien siirtyä mielestäsi linuxiin tavallisessa nettisurffailussa ja käyttää windowsia ainoastaan siihen pelien pelaamiseen? Toisin sanoen, kuinka hyvällä tasolla on mielestäsi sellaisten perusdistrojen kuin Mandraken ja Fedoran tietoturva jos käyttää uusinta versiota? Tulisiko kotikäyttäjän päivittää linuxinsa vähintään kerran viikossa sitä mukaa kun linuxin tietoturva-aukkoja havaitaan vai riittääkö uuden distron asentaminen 2 kertaa vuodessa?
Kiitos ja kumarrus ammattilaisen näkökulmasta jo etukäteen!
Itselläni ei ole kokemusta kuin gentoosta, debianista, redhatistä, fedorasta ja slackwaresta. Täytyy sanoa, että en todellakaan muista mitä redhatissä ja fedorassa yms. pyörii tuollaisen perusasennuksen jälkeen kun itse käytän custom-asennusta ja redhatin kickstartia asentamaan uudet koneet suoraan valmiiksi tehdystä imagesta (vähän kuin wintoosan RIS).
Mutta mutta, jos valitsee tuon minimalistisen desktop-asennuksen, jossa on sitten just mozilla jne., niin aika pieni riski on tulla hakkeroiduksi. Tärkeintä on, että koneessa ei pyöri yhtäkään sovellusta, joka kuuntelisi jotain porttia. Nämä näkee komennolla (täytyy ajaa roottina):
netstat --listening -p
Tuon pitäisi tulostaa listan, joka omalla läppärilläni näyttää tältä:
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 *:ssh *:* LISTEN 3315/sshd
udp 0 0 *:bootpc *:* 3250/dhcpcd
Active UNIX domain sockets (only servers)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ACC ] STREAM LISTENING 4664 3519/X /tmp/.X11-unix/X0
Tuo kertoo, että koneeni kuuntelee ssh-porttia ja tuo alempi sitä, että käytän DHCP:tä (bootpc). Ainoastaan "Active Internet connections" puolesta kannattaa olla kiinnostunut, "Active UNIX domain sockets" on vain koneen sisäistä kommunikaatiota varten. Käytännössä sinulla ei pitäisi olla yhtäkään ohjelmaa tuossa ylemmässä rivissä, koska tuskin tarvitset esim. ssh:lla etäkäyttöä koneellesi. "PID/Program name"-sarakkeesta näet ohjelman nimen joka kuuntelee kyseistä porttia. Löydät luultavasti tuon kyseisen ohjelman nimen esim. redhatin "setup"-työkalun "System services" alavalikosta. Tuolta sitten etsit vastaavan ohjelman, poistat listasta, ja käynnistät koneen uudelleen. Sama toimii myös fedorassa.
Vähän vastaavat toimenpiteet voi myös tehdä wintoosassa poistamalla turhat servicet, mutta wintoosassa ei ole mahdollista poistaa paljoakaan, koska muuten kone lakkaa toimimasta.
Mutta jos saat kaikki nuo turhat roskat linuxistasi pois, niin koneeseen on käytännössä mahdoton murtautua. Eli voit hyvin ajaa vuoden samaa linuxia eikä sille tarvitse tehdä mitään. Tietysti weppiselaimia yms. on hyvä välillä päivitellä, mutta muuten on aika minimaaliset riskit, että saat tehtyä jotain pahaa. Tärkeintä on tietysti, että ei _ikinä_ käytä konetta roottina vaan jollain tavallisella käyttäjätunnuksella. Ei myöskään kannata ajaa mitään binäärimuodossa netistä haettua softaa ellei luota sivuun. Ohjelmat kannattaa aina asentaa redhatin virallisen rpm:n kautta.
