Debian Lenny / haittaohjelma ?

ko. koneessa on ollut asennettuna debian lenny jo useita kuukausia, mutta epämääräinen itsestään sammuilu alkoi alle viikko sitten.

Eli kyllä tässä täytyy epäillä jotyin inux -haittaohjelmaa.

Miksi muuten kone alkaisi sammuilla itsekseen, kun samalla kläyttöjärjestelmällä (lenny) tätäei ole tapahtunut aiemmin, vaan se on uusi ilmiö.

Eikö linuxissa ole mitään vastaavaa kuin windowsin system file checker ?

Tuon pitäisi siis osata tarkistaa md5 -summat debianin palvelimelta, mutta toimia itse esim. knoppixiin buutattuna.

Ja siis knoppix 5.3.1.een, sillä 6 -sarjan knoppixit on rikki, niissä ei netti (eikä muukaan lähiverkko) toimi.

pulma ! kirjoitti:

ko. koneessa on ollut asennettuna debian lenny jo useita kuukausia, mutta epämääräinen itsestään sammuilu alkoi alle viikko sitten.

Eli kyllä tässä täytyy epäillä jotyin inux -haittaohjelmaa.

Miksi muuten kone alkaisi sammuilla itsekseen, kun samalla kläyttöjärjestelmällä (lenny) tätäei ole tapahtunut aiemmin, vaan se on uusi ilmiö.

Eikö linuxissa ole mitään vastaavaa kuin windowsin system file checker ?

Tuon pitäisi siis osata tarkistaa md5 -summat debianin palvelimelta, mutta toimia itse esim. knoppixiin buutattuna.

Ja siis knoppix 5.3.1.een, sillä 6 -sarjan knoppixit on rikki, niissä ei netti (eikä muukaan lähiverkko) toimi.

Lue lisää

Minullakin iski keväällä pakastimeen haittaohjelma ja se sammui eikä lähtenyt enää käyntiin. Rikki se ei ole koska on toiminut moitteettomasti 20 vuotta.

pulma ! kirjoitti:

ko. koneessa on ollut asennettuna debian lenny jo useita kuukausia, mutta epämääräinen itsestään sammuilu alkoi alle viikko sitten.

Eli kyllä tässä täytyy epäillä jotyin inux -haittaohjelmaa.

Miksi muuten kone alkaisi sammuilla itsekseen, kun samalla kläyttöjärjestelmällä (lenny) tätäei ole tapahtunut aiemmin, vaan se on uusi ilmiö.

Eikö linuxissa ole mitään vastaavaa kuin windowsin system file checker ?

Tuon pitäisi siis osata tarkistaa md5 -summat debianin palvelimelta, mutta toimia itse esim. knoppixiin buutattuna.

Ja siis knoppix 5.3.1.een, sillä 6 -sarjan knoppixit on rikki, niissä ei netti (eikä muukaan lähiverkko) toimi.

Lue lisää

Tuliko kernelipäivitystä ennen sammuilua? Entä oletko huolehtinut päivityksistä muuten?

M-Kar kirjoitti:

Tuliko kernelipäivitystä ennen sammuilua? Entä oletko huolehtinut päivityksistä muuten?

Debian Lenny -asennusta ei ole päivitetty mitenkään, ei kerneliä eikä muuten.

Erinäisiä paketteja on asennettu debianin oimista pakettilähteistä, muttei niitäkään pitkään aikaan.

Kone on ennen kesäkuun 2010 alkua toiminut moitteettomasti Lennyllä.

Ensimmäisen kerran kesäkuun 2010 lopussa virta napsahti poikki yllättäen.

Epäilin ensimmäisenä CPU -tuulettimeen ja jäähdytyssiiliin kertynyttä pölyä, joten puhdistin sen.

Linuxilla kone sammui tämänkin jälkeen yllättäen, ei siis mitään varoitustekstejä, tosin muistan kuulleeni emolevyltä jonkun epämääräisen piippauksen n. vuorokautta ennen 1. sammumiskertaa.

Emolevyyn suoraan yhdistetystä piipperikaiuttimesta siis, EI siis pc -kaiuttimista, jotka taas on kytketty äänikorttiin.

Kun kone oli linuxilla sammunut jo 2. kerran yllättäen, kokeilin pelata dualbuutattavana olevan windowsin alaisuudessa Space Cadet -flipperiä, koska se tunnetusti pitää CPU -käyttöasteen 100%:ssa koko pelin ajan. Windowsin järjestelmähallinnan mukaan 50%, mutta koneessa on AMD tuplaydinprosessori, ja toista ydintä peli kuormittaa 100%, toista taas 0%, tästä lukema 50%

Seuraavaksi kokeilin BIOSista monitoritoimintoa, joka näyttää CPU -lämpötilan (n. 48-49 Celsiusta).

Sitten buuttaus linuxiin, lähiverkkokaapeli irrotettuna.

Kone pääsi KDE:n työpöydälle asti, mutta vahingossa hiiren oikeaan nappiin osunut klikkaus -> virta välittömästi poikki, ilman mitään ennakkovaroitusta.

Jos käyttäjä ei ole tehnyt pitkään aikaan mitään muutoksia ja kone toimii moitteettomasti windowsilla, eikö windowsin moitteeton toiminta kerro sen, ettei kyseessä ole laitevika. Jos olisi, eikö laitevika haittaisi ihan samalla tavalla käyttöjärjestelmästä riippumatta?

Koska siis mitään uutta kernelversiota ei ole asennettu, tästä epäily haittaohjelmasta.

Linuxia moni pitää windowsia turvallisempana, koska käyttäjä ja root on erotettu 2 eri käyttäjätiliksi...

Mutta kyllähän linuxin voi käskeä sammuttamaan koneen normaalikäyttäjän oikeuksin KDE:n sammuta -toiminnolla.

Mihin tämä muuten perustuu? Onko shutdown -ohjelma tai joku sen vastine tai edustaskripti setuid root -oikeuksin varustettu ?

Jos ei, niin miten normaalikäyttäjällä voi olla mahdollisuus sammuttaa kone ohjelmallisesti ?


Tämä siis tarkoittaa, että jos joku haluaa tehdä haittaohjelman linuxiin, joka sammuttaa koneen, niin voi hyödyntää samaa mekanismia jota KDE tarjoaa normaalikäyttäjän oikeuksin käytettäväksi.

Jos jollain on ideoita, miten estää normaalikäyttäjältä koneen softasammutus, kertokaa toki (ja ehkä samalla määrätä, että yritys sammuttaa kone normaalikäyttäjän oikeuksin ajaa jonkun omatekoisen ohjelmaan, joka esim. mosettaa koneen piipperikaiuttimella jonkun tunnistettavissa olevan merkin
-> mahdollinen haittaohjelma paljastuu ainakin olemassaolevaksi.

Onko muuten ohjelmasta käsin jotenkin luettavissa, mikä toinen ohjelma ko. ohjelman käynnisti ?

Toinen hyödyllinen työkalu tosiaan olisi skanneri, joka lukee jokaisen debianin hyväksymän ajettavan binäärin tai -so -kirjaston md5 -summan (tai sha1:n) debianin palvelimelta ja käy oman koneen vastaavat
tiedostot läpi ja hälyttää eron havaitessaan.

Tällainen turvaskanneri pitää olla ajettavissa knoppix 5.1.1:llä tekstitilassa tai 3.3.1:llä (myös GUI on ok, jos knoppix 5.3.1).

Onko tällaista turvaskanneria jostain saatavissa ?

lenny_ei_toimi kirjoitti:

Debian Lenny -asennusta ei ole päivitetty mitenkään, ei kerneliä eikä muuten.

Erinäisiä paketteja on asennettu debianin oimista pakettilähteistä, muttei niitäkään pitkään aikaan.

Kone on ennen kesäkuun 2010 alkua toiminut moitteettomasti Lennyllä.

Ensimmäisen kerran kesäkuun 2010 lopussa virta napsahti poikki yllättäen.

Epäilin ensimmäisenä CPU -tuulettimeen ja jäähdytyssiiliin kertynyttä pölyä, joten puhdistin sen.

Linuxilla kone sammui tämänkin jälkeen yllättäen, ei siis mitään varoitustekstejä, tosin muistan kuulleeni emolevyltä jonkun epämääräisen piippauksen n. vuorokautta ennen 1. sammumiskertaa.

Emolevyyn suoraan yhdistetystä piipperikaiuttimesta siis, EI siis pc -kaiuttimista, jotka taas on kytketty äänikorttiin.

Kun kone oli linuxilla sammunut jo 2. kerran yllättäen, kokeilin pelata dualbuutattavana olevan windowsin alaisuudessa Space Cadet -flipperiä, koska se tunnetusti pitää CPU -käyttöasteen 100%:ssa koko pelin ajan. Windowsin järjestelmähallinnan mukaan 50%, mutta koneessa on AMD tuplaydinprosessori, ja toista ydintä peli kuormittaa 100%, toista taas 0%, tästä lukema 50%

Seuraavaksi kokeilin BIOSista monitoritoimintoa, joka näyttää CPU -lämpötilan (n. 48-49 Celsiusta).

Sitten buuttaus linuxiin, lähiverkkokaapeli irrotettuna.

Kone pääsi KDE:n työpöydälle asti, mutta vahingossa hiiren oikeaan nappiin osunut klikkaus -> virta välittömästi poikki, ilman mitään ennakkovaroitusta.

Jos käyttäjä ei ole tehnyt pitkään aikaan mitään muutoksia ja kone toimii moitteettomasti windowsilla, eikö windowsin moitteeton toiminta kerro sen, ettei kyseessä ole laitevika. Jos olisi, eikö laitevika haittaisi ihan samalla tavalla käyttöjärjestelmästä riippumatta?

Koska siis mitään uutta kernelversiota ei ole asennettu, tästä epäily haittaohjelmasta.

Linuxia moni pitää windowsia turvallisempana, koska käyttäjä ja root on erotettu 2 eri käyttäjätiliksi...

Mutta kyllähän linuxin voi käskeä sammuttamaan koneen normaalikäyttäjän oikeuksin KDE:n sammuta -toiminnolla.

Mihin tämä muuten perustuu? Onko shutdown -ohjelma tai joku sen vastine tai edustaskripti setuid root -oikeuksin varustettu ?

Jos ei, niin miten normaalikäyttäjällä voi olla mahdollisuus sammuttaa kone ohjelmallisesti ?


Tämä siis tarkoittaa, että jos joku haluaa tehdä haittaohjelman linuxiin, joka sammuttaa koneen, niin voi hyödyntää samaa mekanismia jota KDE tarjoaa normaalikäyttäjän oikeuksin käytettäväksi.

Jos jollain on ideoita, miten estää normaalikäyttäjältä koneen softasammutus, kertokaa toki (ja ehkä samalla määrätä, että yritys sammuttaa kone normaalikäyttäjän oikeuksin ajaa jonkun omatekoisen ohjelmaan, joka esim. mosettaa koneen piipperikaiuttimella jonkun tunnistettavissa olevan merkin
-> mahdollinen haittaohjelma paljastuu ainakin olemassaolevaksi.

Onko muuten ohjelmasta käsin jotenkin luettavissa, mikä toinen ohjelma ko. ohjelman käynnisti ?

Toinen hyödyllinen työkalu tosiaan olisi skanneri, joka lukee jokaisen debianin hyväksymän ajettavan binäärin tai -so -kirjaston md5 -summan (tai sha1:n) debianin palvelimelta ja käy oman koneen vastaavat
tiedostot läpi ja hälyttää eron havaitessaan.

Tällainen turvaskanneri pitää olla ajettavissa knoppix 5.1.1:llä tekstitilassa tai 3.3.1:llä (myös GUI on ok, jos knoppix 5.3.1).

Onko tällaista turvaskanneria jostain saatavissa ?

Lue lisää

No asenna uusiksi sitten ja kato sammuileeko vielä. Päivityksistä pitää toki huolehtia.

lenny_ei_toimi kirjoitti:

Debian Lenny -asennusta ei ole päivitetty mitenkään, ei kerneliä eikä muuten.

Erinäisiä paketteja on asennettu debianin oimista pakettilähteistä, muttei niitäkään pitkään aikaan.

Kone on ennen kesäkuun 2010 alkua toiminut moitteettomasti Lennyllä.

Ensimmäisen kerran kesäkuun 2010 lopussa virta napsahti poikki yllättäen.

Epäilin ensimmäisenä CPU -tuulettimeen ja jäähdytyssiiliin kertynyttä pölyä, joten puhdistin sen.

Linuxilla kone sammui tämänkin jälkeen yllättäen, ei siis mitään varoitustekstejä, tosin muistan kuulleeni emolevyltä jonkun epämääräisen piippauksen n. vuorokautta ennen 1. sammumiskertaa.

Emolevyyn suoraan yhdistetystä piipperikaiuttimesta siis, EI siis pc -kaiuttimista, jotka taas on kytketty äänikorttiin.

Kun kone oli linuxilla sammunut jo 2. kerran yllättäen, kokeilin pelata dualbuutattavana olevan windowsin alaisuudessa Space Cadet -flipperiä, koska se tunnetusti pitää CPU -käyttöasteen 100%:ssa koko pelin ajan. Windowsin järjestelmähallinnan mukaan 50%, mutta koneessa on AMD tuplaydinprosessori, ja toista ydintä peli kuormittaa 100%, toista taas 0%, tästä lukema 50%

Seuraavaksi kokeilin BIOSista monitoritoimintoa, joka näyttää CPU -lämpötilan (n. 48-49 Celsiusta).

Sitten buuttaus linuxiin, lähiverkkokaapeli irrotettuna.

Kone pääsi KDE:n työpöydälle asti, mutta vahingossa hiiren oikeaan nappiin osunut klikkaus -> virta välittömästi poikki, ilman mitään ennakkovaroitusta.

Jos käyttäjä ei ole tehnyt pitkään aikaan mitään muutoksia ja kone toimii moitteettomasti windowsilla, eikö windowsin moitteeton toiminta kerro sen, ettei kyseessä ole laitevika. Jos olisi, eikö laitevika haittaisi ihan samalla tavalla käyttöjärjestelmästä riippumatta?

Koska siis mitään uutta kernelversiota ei ole asennettu, tästä epäily haittaohjelmasta.

Linuxia moni pitää windowsia turvallisempana, koska käyttäjä ja root on erotettu 2 eri käyttäjätiliksi...

Mutta kyllähän linuxin voi käskeä sammuttamaan koneen normaalikäyttäjän oikeuksin KDE:n sammuta -toiminnolla.

Mihin tämä muuten perustuu? Onko shutdown -ohjelma tai joku sen vastine tai edustaskripti setuid root -oikeuksin varustettu ?

Jos ei, niin miten normaalikäyttäjällä voi olla mahdollisuus sammuttaa kone ohjelmallisesti ?


Tämä siis tarkoittaa, että jos joku haluaa tehdä haittaohjelman linuxiin, joka sammuttaa koneen, niin voi hyödyntää samaa mekanismia jota KDE tarjoaa normaalikäyttäjän oikeuksin käytettäväksi.

Jos jollain on ideoita, miten estää normaalikäyttäjältä koneen softasammutus, kertokaa toki (ja ehkä samalla määrätä, että yritys sammuttaa kone normaalikäyttäjän oikeuksin ajaa jonkun omatekoisen ohjelmaan, joka esim. mosettaa koneen piipperikaiuttimella jonkun tunnistettavissa olevan merkin
-> mahdollinen haittaohjelma paljastuu ainakin olemassaolevaksi.

Onko muuten ohjelmasta käsin jotenkin luettavissa, mikä toinen ohjelma ko. ohjelman käynnisti ?

Toinen hyödyllinen työkalu tosiaan olisi skanneri, joka lukee jokaisen debianin hyväksymän ajettavan binäärin tai -so -kirjaston md5 -summan (tai sha1:n) debianin palvelimelta ja käy oman koneen vastaavat
tiedostot läpi ja hälyttää eron havaitessaan.

Tällainen turvaskanneri pitää olla ajettavissa knoppix 5.1.1:llä tekstitilassa tai 3.3.1:llä (myös GUI on ok, jos knoppix 5.3.1).

Onko tällaista turvaskanneria jostain saatavissa ?

Lue lisää

Vaikka kone toimisikin moitteettomasti Windowsissa niin se ei tarkoita sitä etteikö koneessa kuitenkin olisi jotain vikaa, joka ilmenee vain Linuxissa.

Sammuuko kone kuin virtanapista vääntäisi vai ajetaanko oikein kunnon sammutushomma läpi ennen virran katkeamista?

Ctrl-Alt-Del nappulan toiminta voidaan poistaa /etc/inittab tiedostosta. Sammutusoikeudelliset voidaan merkitä /etc/shutdown.allow tiedostoon.

Mikäli epäillään että koneeseen on saatu uitettua jotain niin yhteenkään ohjelmaan ei voi enää luottaa. Kaikenlainen tutkiskelu ei johda mihinkään. Haitalliset muutokset voidaan paikallistaa Tripwiren kaltaisilla ohjelmilla. Tällöin tunnisteet on pitänyt luoda aiemmin ja kone on käynnistettävä puhtaalta levyltä/tikulta. Haluamasi ohjelma ei huomaisi kaikkia muutoksia. Hyvä nyrkkisääntö onkin se että jos epäilee haittaohjelmaa niin asennetaan käyttöjärjestelmä uudestaan puhtaista lähteistä.

Linux-asennusta voidaan vahventaa myös käyttämällä Selinuxia. Helpointa on varmaankin asentaa Bastlle Linux (paketin nimi bastille).

"Miten kone sammuu? Napsahtaako vain virrat poikki "

KYLLÄ

vai tuleeko näytölle jotain tekstiä?

EI mitään varoitustekstejä. Virta vain yhtäkkiä katkeaa.

Onko tehty muistitesti?

On, tosin heti ensimmäisen virtakatkon jälkeen. Ei löydettyjä ongelmia.

Lenny ei siis ENÄÄ koneessani toimi, mutta on aiemmin toiminut useita kuukausia.

Kone on hankittu 2007 ja siinä ajettiin pitkään KUbuntu 7.10 -käyttöjärjestelmää, debian -pohjainen käsittääkseni sekin. Ei silläkään ongelmia.

Knoppikseista taas:

5.1.1 toimii ongelmitta tekstitilassa, GUI -tila ei toimi (ei ole löytynyt toimivaa xorg.conf -tiedostoa knoppix 5.1.1:lle, eli 5.3.1:tä varten tehty xorg.conf ei toimi 5.1.1:n kanssa, lisäksi 5.1.1 ei tunnista emolle integroitua äänipiiriä)

5.3.1 toimii ongelmitta teksti- ja GUI -tilassa, knoppix 5.3.1 ei osannut itse luoda toimivaa xorg.conf -tiedostoa, mutta ahkeran netistä opiskelun jälkeen onnistuin luomaan knpooix 5.3.1:ssä toimivan
xorg.conf -tiedoston, jonka kopioin turvaan muistitikulle, eli 5.3.1:een buuttaus vaatii tätä:

1. Buuttaa knoppix normaalisti (mahd. fromhd tai tohd -optioilla) sekä noapic, pci=bios jne. "broken bios" -optioilla

2. kone yrittää mennä GUI -tilaan, mutta "out of range" - näyttö pimeäksi

3. CTRL-ALT-F2 ja kopioidaan muistitikulta xorg.conf knoppixin tekemän päälle

4. CTRL-ALT-F5 ja sitten Ctrl-Alt-Backspace -> killaa X:n ja uudelleenkäynnistää sen, nyt omalla xorg.confilla -> buuttaus GUI -tilaan onnistuu

Ja lopulta Knoppix 6.x.y:

Knoppixin 6 -sarjan versiolla en ole ikäinä saanut yhdenkään koneen lähiverkkoa / internetiä toimimaan.

Näinollen 5.3.1 on viimeinen järkevästi toimiva knoppix.

Lenny_ei_ENÄÄ_toimi kirjoitti:

"Miten kone sammuu? Napsahtaako vain virrat poikki "

KYLLÄ

vai tuleeko näytölle jotain tekstiä?

EI mitään varoitustekstejä. Virta vain yhtäkkiä katkeaa.

Onko tehty muistitesti?

On, tosin heti ensimmäisen virtakatkon jälkeen. Ei löydettyjä ongelmia.

Lenny ei siis ENÄÄ koneessani toimi, mutta on aiemmin toiminut useita kuukausia.

Kone on hankittu 2007 ja siinä ajettiin pitkään KUbuntu 7.10 -käyttöjärjestelmää, debian -pohjainen käsittääkseni sekin. Ei silläkään ongelmia.

Knoppikseista taas:

5.1.1 toimii ongelmitta tekstitilassa, GUI -tila ei toimi (ei ole löytynyt toimivaa xorg.conf -tiedostoa knoppix 5.1.1:lle, eli 5.3.1:tä varten tehty xorg.conf ei toimi 5.1.1:n kanssa, lisäksi 5.1.1 ei tunnista emolle integroitua äänipiiriä)

5.3.1 toimii ongelmitta teksti- ja GUI -tilassa, knoppix 5.3.1 ei osannut itse luoda toimivaa xorg.conf -tiedostoa, mutta ahkeran netistä opiskelun jälkeen onnistuin luomaan knpooix 5.3.1:ssä toimivan
xorg.conf -tiedoston, jonka kopioin turvaan muistitikulle, eli 5.3.1:een buuttaus vaatii tätä:

1. Buuttaa knoppix normaalisti (mahd. fromhd tai tohd -optioilla) sekä noapic, pci=bios jne. "broken bios" -optioilla

2. kone yrittää mennä GUI -tilaan, mutta "out of range" - näyttö pimeäksi

3. CTRL-ALT-F2 ja kopioidaan muistitikulta xorg.conf knoppixin tekemän päälle

4. CTRL-ALT-F5 ja sitten Ctrl-Alt-Backspace -> killaa X:n ja uudelleenkäynnistää sen, nyt omalla xorg.confilla -> buuttaus GUI -tilaan onnistuu

Ja lopulta Knoppix 6.x.y:

Knoppixin 6 -sarjan versiolla en ole ikäinä saanut yhdenkään koneen lähiverkkoa / internetiä toimimaan.

Näinollen 5.3.1 on viimeinen järkevästi toimiva knoppix.

Lue lisää

Tuollainen virran äkkinäinen katkeaminen kyllä saa epäilemään virtalähdettä. Minä ainakin kokeilisin toisella virtalähteellä.

Se että kone on aiemmin toiminut ei takaa sitä että se olisi vieläkin kunnossa. Kaikki voi mennä rikki. Aikoinaan minulla katkesi rautakanki, joka oli toiminut moitteetta 50 vuotta.

Tuo "out of range" on merkki siitä että näyttökortti tuottaa sellaista kuvaa, joka on näytön toiminta-alueen ulkopuolella. Ehkä näyttö ei osaa kertoa osaamistaan tai näyttökortti (ajuri) ei ymmärrä saamaansa tietoa. Sitten on pakko kertoa oikeat arvot xorg.conffissa.

"En usko että kyseessä on haittaohjelma, todennäköisimmin jokin ohjelmapäivitys on aiheuttanut oireet tai sitten olet onnistunut itse jotain kohkimaan rikki."

1. En todellakaan ole moneen kuukauteen tehnyt mitään päivityksiä !

2. En todellakaan ole moneen kuukauteen tehnyt mitään muitakaan muutoksia.

Mutta kun täällä niin monet jaksavat jankuttaa, ettei linuxiin muka voisi iskeä haittaohjelma, niin kysytäänpä:

Mikä merkitys apparmorilla on linuxin tietoturvalle, ja kuinka paljon koneeni tietoturvaa on heikentänyt se tosiasia, että apparmor ei ole ollut koneessani ollenkaan käytössä, syynä se, että jos apparmor on ladattu niin lasertulostin (= Canon LBP-660) ei toimi. ko. Canonin linuxajuri on siis jollain tavalla epäyhteensopiva apparmorin kanssa ja apparmorin lataaminen estää ko. tulostimen ajurin toiminnan.

Mikäli apparmorilla on tärkeä merkitys linuxin tietoturvalle, niin silloinhan sen lataamatta jättäminen avaa ovet haittaohjelmille, eikö ?

Onko olemassa jokin keino ladata apparmor, mutta laittaa tulostinajuri jonkunlaiselle poikkeuslistalle niin, ettei apparmor puutu tulostinajurin toimintaan ?

Ja jos on, edellyttääkö tietoturva ko. tulostinajurin osalta joitain muita toimenpiteitä jottei siitä muodostu haittaohjelman mentävää tietotuvareikää kun apparmor ei valvo sen toimintaa ?

lenny_sammuu_itsestä kirjoitti:

"En usko että kyseessä on haittaohjelma, todennäköisimmin jokin ohjelmapäivitys on aiheuttanut oireet tai sitten olet onnistunut itse jotain kohkimaan rikki."

1. En todellakaan ole moneen kuukauteen tehnyt mitään päivityksiä !

2. En todellakaan ole moneen kuukauteen tehnyt mitään muitakaan muutoksia.

Mutta kun täällä niin monet jaksavat jankuttaa, ettei linuxiin muka voisi iskeä haittaohjelma, niin kysytäänpä:

Mikä merkitys apparmorilla on linuxin tietoturvalle, ja kuinka paljon koneeni tietoturvaa on heikentänyt se tosiasia, että apparmor ei ole ollut koneessani ollenkaan käytössä, syynä se, että jos apparmor on ladattu niin lasertulostin (= Canon LBP-660) ei toimi. ko. Canonin linuxajuri on siis jollain tavalla epäyhteensopiva apparmorin kanssa ja apparmorin lataaminen estää ko. tulostimen ajurin toiminnan.

Mikäli apparmorilla on tärkeä merkitys linuxin tietoturvalle, niin silloinhan sen lataamatta jättäminen avaa ovet haittaohjelmille, eikö ?

Onko olemassa jokin keino ladata apparmor, mutta laittaa tulostinajuri jonkunlaiselle poikkeuslistalle niin, ettei apparmor puutu tulostinajurin toimintaan ?

Ja jos on, edellyttääkö tietoturva ko. tulostinajurin osalta joitain muita toimenpiteitä jottei siitä muodostu haittaohjelman mentävää tietotuvareikää kun apparmor ei valvo sen toimintaa ?

Lue lisää

Linuxissa on erittäin hyvä suoja viruksia vastaan ihan luonnostaan johtuen sen toimintaperiaatteista. Kyllä linuxiinkin saa viruksen mutta tämä edellyttää käyttäjältä omia toimia eli se pitää asentaa itse. Tärkein lähtökohta tietoturvalle onkin että toimitaan aina tavallisen käyttäjän oikeuksin eikä asennella ohjelmia tuntemattomista lähteistä, näin haittaohjelman riski on aivan minimaalinen.

Apparmorin merkitys on sama kuin SELinuxin eli sillä voidaan turvaominaisuuksia parantaa edelleen, ohjelmat ovat samankaltaisia mutta toimivat hieman eri periaatteella. Idea on kuitenkin se että ylläpitäjä voi ohjelmakohtaisesti säätää ohjelmien oikeuksia jolla tietoturvan taso paranee siis entisestään.

Ilmeisesti siis Apparmor rajoittaa tulostimesi toimintaa? En ole itse käyttänyt Apparmoria pitkiin aikoihin joten en muista tai tällä hetkellä edes tiedä miten sitä säädetään mutta ilmeisesti sinulta on jokin säätö jäänyt tekemättä tai sitten säätö on tehty väärin eikä tulostin siksi toimi.

"Mikäli apparmorilla on tärkeä merkitys linuxin tietoturvalle, niin silloinhan sen lataamatta jättäminen avaa ovet haittaohjelmille, eikö ? "

No siis ei, johtuu siitä linuxin toimintaperiaatteesta, asiat eivät tapahdu automaattisesti vaan edellyttävät käyttäjän toimia. Tämä on myös ilmeisesti suurin syy miksi windowsista linuxiin siirtyvä kokee linuxin hankalaksi kun asiat eivät menekään aina next-next tyylillä loppuun mutta se olennaisesti parantaa tietoturvaakin. Samoin kuin se ettei käyttäjä voi kirjoittaa kuin omaan kotihakemistoonsa. Sen sijaan ovet haittaohjelmille voi avata konfiguroimattomat verkkopalvelut eli tarjoat jotakin verkkopalvelua mutta se on turvaton syystä a tai b ja ja joku pääsee koneeseesi ja kykenee ujuttamaan sinne jonkin haittaohjelman. Yleensä kaikki turhat palvelut onkin syytä poistaa joskaan sellaisia ei debianin perusasennuksessa edes tule.

"Onko olemassa jokin keino ladata apparmor, mutta laittaa tulostinajuri jonkunlaiselle poikkeuslistalle niin, ettei apparmor puutu tulostinajurin toimintaan"

On, siitä juuri todennäköisimmin onkin kyse että et ole konffannut Apparmoria oikein. Sinun varmaankin kannattaisi perehtyä sen manuaaleihin paremmin, jo koko alkuperäinen kysymyksesi osoittaa ettet ole kovin syvällisesti perehtynyt SELinuxin tai Apparmorin toimintaan tai edes niiden tarkoitukseen. En tosin ole minäkään pariin vuoteen joten en pysty neuvomaan säätämisessä tutkimatta tämänhetkistä dokumentaatiota, ehkä joku muu osaa. Tavallisella työpöytäkäyttäjällä kun ei ole tarvettakaan näille korotetun turvan ohjelmille.

"Ja jos on, edellyttääkö tietoturva ko. tulostinajurin osalta joitain muita toimenpiteitä jottei siitä muodostu haittaohjelman mentävää tietotuvareikää kun apparmor ei valvo sen toimintaa ?"

Riippuu mistä ajuri on hankittu, jos se on debianin paketinhallinnasta voit sitä käyttää luottavaisin mielin mutta jos se on ladattu tuntemattomasta paikasta niin kukaan ei takaa siitä mitään. Toki jos se on canonin valmistama ja sen sivuilta peräisin niin riski on äärimmäisen pieni.

Miten tulostimen ajuri sitten tekisi tietoturvareiän? Etenkään jos se ei tarjoa verkkoon tulostuspalvelua eikä sinulla ole verkkoon muitakaan turvattomasti konfiguroituja palveluja niin vaikea kuvitella että joku jostain pääsisi koneeseesi ja voisi tuota ajuria hyödyntäen pistää haittaohjelman koneellesi.

Nämä ovat minun näkemykseni asiasta mutta minä en olekaan skitso tietoturvan suhteen ;)

lenny_sammuu_itsestä kirjoitti:

"En usko että kyseessä on haittaohjelma, todennäköisimmin jokin ohjelmapäivitys on aiheuttanut oireet tai sitten olet onnistunut itse jotain kohkimaan rikki."

1. En todellakaan ole moneen kuukauteen tehnyt mitään päivityksiä !

2. En todellakaan ole moneen kuukauteen tehnyt mitään muitakaan muutoksia.

Mutta kun täällä niin monet jaksavat jankuttaa, ettei linuxiin muka voisi iskeä haittaohjelma, niin kysytäänpä:

Mikä merkitys apparmorilla on linuxin tietoturvalle, ja kuinka paljon koneeni tietoturvaa on heikentänyt se tosiasia, että apparmor ei ole ollut koneessani ollenkaan käytössä, syynä se, että jos apparmor on ladattu niin lasertulostin (= Canon LBP-660) ei toimi. ko. Canonin linuxajuri on siis jollain tavalla epäyhteensopiva apparmorin kanssa ja apparmorin lataaminen estää ko. tulostimen ajurin toiminnan.

Mikäli apparmorilla on tärkeä merkitys linuxin tietoturvalle, niin silloinhan sen lataamatta jättäminen avaa ovet haittaohjelmille, eikö ?

Onko olemassa jokin keino ladata apparmor, mutta laittaa tulostinajuri jonkunlaiselle poikkeuslistalle niin, ettei apparmor puutu tulostinajurin toimintaan ?

Ja jos on, edellyttääkö tietoturva ko. tulostinajurin osalta joitain muita toimenpiteitä jottei siitä muodostu haittaohjelman mentävää tietotuvareikää kun apparmor ei valvo sen toimintaa ?

Lue lisää

Olet lähestynyt tietoturvaa väärästä päästä. Kaikkein tärkein on varmuuskopiot. Heti seuravana turvapäivitykset. Niitä on tänä vuonnakin tullut jo läjäpäin kuten Debianin sivulta näkyy
http://www.de.debian.org/security/2010/

Apparmor ja Selinux on sitten niitä viimeisiä hienosäätöjä. Tavallisessa kotitalouskoneessa en kumpaakaan viitsisi käyttää. Säätö ja ylläpito on hankalaa. Varsinkin Selinuxin. Varmaan huomasitkin että asia vaatii perehtymistä. Tulostimen toimimattomuus johtuu siitä ettei ole osattu tehdä säätöjä oikein.

Apparmor ja Selinux eivät kumpikaan ole Windowsissa käytössä olevien turvaohjelmien kaltaisia, jotka vahtivat etteivät ohjelmat te mitään sellaista mikä turvaohjelman mielestä on väärin tai ohjelmasta löytyy merkkijono, joka tiedetään olevan joku tunnettu haittaohjelma.

Molempien toiminta perustuu normaalia yksityiskohtaisempaan käyttöoikeuksien rajoittamiseen käsipelillä. Selinux on perinteisempää Unix-tyyliä kun taas Apparmor katsoo samaa asiaa toisesta suunnasta ja on samalle helpompi säätää.

Kannatta poistaa toistaiseksi koko Apparmor. Sitten on syytä tutustua lähemmin Linuxin käyttöoikeussysteemiin ja ohjelmien säätämiseen. Samoin pam ja tcpwrapper systeemeihin olisi syytä hyvä tutustua. Kun perusasiat ovat hyvin hallinnassa Apparmorinkin säätäminen ja ymmärtäminen on helpompaa. Ilman osaavaa konffausta Apparmorkin on melko turha lelu vaikka osaavissa käsissä onkin huomattavan voimallinen työkalu.

Ainoa heikko lenkki tietoturvan kannalta (sen perusteella mitä toisessa ketjussa kerroit?) on tuo debianiin asentamasi vanhan lasertulostimen (Canon LBP 660/460) ajuri:
http://www.openprinting.org/driver/lbp660/

Heikko lenkki siksi, että ajuria voi käyttää vain SUID-root -oikeuksin.
Mutta onko tuosta paikallisesti mitään uhkaa ellei tulostinta käytetä verkkotulostimena (jolloin olisi avattava ulospäin portti CUPSille)?

Liekö tuo syynä, että tuota tulostinajuria ei löydy yhdenkään linux-jakelun repoista, vaan se on itse haettava tältä sivulta ja asennettava itse?
http://www.boichat.ch/nicolas/lbp660/

No oletko katsonut niitä lokeja? Niitä voi tarkastella myös graafisesti "Sovellukset -> Järjestelmätyökalut -> Järjestelmäloki" ellei pääte innosta ja siellä voi myös suodattaa hakusanoilla. Sieltä saattaisi löytyä selitystä asialle jos viitsisi niitä tutkia. Katso "syslog" joka tulostaa reaaliajassa järjestelmän ilmoituksia, tuleeko siellä jotain erroria.

Mihinkään virukseen en siis edelleenkään usko vaan jokin asetus tms. on muuttunut jostain syystä jota emme tiedä ja aiheuttaa ongelmaa.

a) jos biosissa on haittaohjelma niin todennäköisesti se on tullut windowsin kautta mutta aika epätodennäköistä sekin.

b) kyllä voi kaataa koneen tuo ylikuumeneminen, ehdotan että tutkit lämpötilaa Nvidian omalla ohjelmalla että mikä on näytönohjaimen lämpö. Tosin GPU kestää rajuja lämpötiloja verrattuna CPU:hun joten sekin on vähän hataraa mutta kannattaa tsekata.

Myös ACPI on tunnettu ongelmapesäke linuxissa, johtuu ilmeisestikin siitä että eräs microsoft -niminen firma on ollut sitäkin päsmäämässä.

"Jos koneen buuttaa knoppixc-CD:llä ja vielä verkkokortin lähiverkkoliitin irroitettuna, ei haittaohjelmia pääse ajoon netistä eikä kiintolevyltä "

Mikä hemmetti sua vaivaa? Liiallinen windowsin käyttö vai? Veikkaan että ongelmasi on "windows-ajatusmalli" joka on riivannut kyllä meitä kaikkia jotka ovat windowsista linuxiin siirtyneet. Älä kuitenkaan nyt loukkaannu, ehkä jonakin päivänä ymmärrät etten tarkoita pahalla.

Koska debian ei ole mikään paska niin tuo nyt ei ole mikään ratkaisu. Huomattavasti parempi ratkaisu on etsiä ongelmiinsa ratkaisu, kyllä sellainen useinkin löytyy. Se vain saattaa vaatia hieman töitä. Mutta ilman vaivaa ei opi mitään.

exergy kirjoitti:

Koska debian ei ole mikään paska niin tuo nyt ei ole mikään ratkaisu. Huomattavasti parempi ratkaisu on etsiä ongelmiinsa ratkaisu, kyllä sellainen useinkin löytyy. Se vain saattaa vaatia hieman töitä. Mutta ilman vaivaa ei opi mitään.

Lue lisää

HALOO !

Yleensä konetta ei saa edes debianin komentokehotteeseen saakka kun kone sammuu kesken buuttauksen. Ja jos saisikin, niin ei niitä lokeja ehtisi tutkia, koska kone sammuisi ennen sitä !

Siispä ainoa keino jos noita lokeja haluaa tutkia, olisi hankkia jostakin SATA-USB -adapteri ja kytkeä ko. koneesta irrotettu kiintolevy vaikkapa kaverin koneeseen, ja buutata ko kone knoppix-CD.llä, sillä kaverilla tod. näk ei ole linuxia asennettuna, ainoastaan windows.

Ja siinäkään ei debianin komennot auta mitään, vaan täytyisi tietää tiedostonimet polkunimineen, mistä *tiedostosta* kiintolevyltä niitä lokeja voi tutkia, jos mistään.

Mitkään debian -komennot eivät auta mitään, koska kone joko sammuu ennen kuin niitä komentoja ehtii antaa tai viimeistään niitä ajettaessa.

Kokeilin vielä buutata knoppix CD:llä lähiverkkokaapeli irrotettuna (koneessa EI ole WLANia) ja vielä 2 -optiolla (=ei GUI -käyttöliittymää) ja sammui jälleen, joko ei edennyt edes komentotulkkiin saakka tai sammui heti komentokehotteesen päästyä.

Jos joku on vielä sitä mieltä, ettei koneessa ole BIOS -virusta/matoa/haittaohjelmaa, selittäkää sitten, miksi kone jopa vain tekstitilaan buutattaessa KNOPPIX-CD:ltä ja lähiverkkokaapeli irrotettuna, silti kone sammuu heti.

Pelkkä tekstitila ei näytönohjainta niin paljoa rasita, että se siitä ylikuumenisi.

Vertailun vuoksi: sama kone toimii windowsilla ilman mitään ongelmia, pelasin windowsilla ko. koneella 2 tuntia Space Cadet -flipperiä (CPU -kuorma koko pelin ajan 100% toisella ytimellä; tuplaydin-CPU), ja heti pelaamisen loputtua katsoin vielä n. tunnin videon VLC:n windows -versiolla, missään vaiheessa mitään ongelmia ei ilmaantunut.

Jos kyseessä on laitevika, niin aika outo vika, kun ei haittaa windowsin käyttöä mitenkään, mutta sammuttaa jopa puhtaalta CD:ltä buutatun KNOPPIXin kanssa koneen lähes heti, silti vaikka buutataan vain tekstitilaan ja verkkokaapeli irrotettuna.

Näillä perusteilla väitän, että kyseessä on BIOS -haittaohjelma, joka on nimenomaan suunniteltu estämään muiden käyttöjärjestelmien kuin windowsin käyttö.

Ja samaa konetta on siis käytetty yli 2 vuotta, lähes 2 v 6kk pelkästään linuxilla, ja ennen kesäkuuta 2010 kone toimi linuxilla oikein hyvin.

Kone_sammuu_Linuxill kirjoitti:

HALOO !

Yleensä konetta ei saa edes debianin komentokehotteeseen saakka kun kone sammuu kesken buuttauksen. Ja jos saisikin, niin ei niitä lokeja ehtisi tutkia, koska kone sammuisi ennen sitä !

Siispä ainoa keino jos noita lokeja haluaa tutkia, olisi hankkia jostakin SATA-USB -adapteri ja kytkeä ko. koneesta irrotettu kiintolevy vaikkapa kaverin koneeseen, ja buutata ko kone knoppix-CD.llä, sillä kaverilla tod. näk ei ole linuxia asennettuna, ainoastaan windows.

Ja siinäkään ei debianin komennot auta mitään, vaan täytyisi tietää tiedostonimet polkunimineen, mistä *tiedostosta* kiintolevyltä niitä lokeja voi tutkia, jos mistään.

Mitkään debian -komennot eivät auta mitään, koska kone joko sammuu ennen kuin niitä komentoja ehtii antaa tai viimeistään niitä ajettaessa.

Kokeilin vielä buutata knoppix CD:llä lähiverkkokaapeli irrotettuna (koneessa EI ole WLANia) ja vielä 2 -optiolla (=ei GUI -käyttöliittymää) ja sammui jälleen, joko ei edennyt edes komentotulkkiin saakka tai sammui heti komentokehotteesen päästyä.

Jos joku on vielä sitä mieltä, ettei koneessa ole BIOS -virusta/matoa/haittaohjelmaa, selittäkää sitten, miksi kone jopa vain tekstitilaan buutattaessa KNOPPIX-CD:ltä ja lähiverkkokaapeli irrotettuna, silti kone sammuu heti.

Pelkkä tekstitila ei näytönohjainta niin paljoa rasita, että se siitä ylikuumenisi.

Vertailun vuoksi: sama kone toimii windowsilla ilman mitään ongelmia, pelasin windowsilla ko. koneella 2 tuntia Space Cadet -flipperiä (CPU -kuorma koko pelin ajan 100% toisella ytimellä; tuplaydin-CPU), ja heti pelaamisen loputtua katsoin vielä n. tunnin videon VLC:n windows -versiolla, missään vaiheessa mitään ongelmia ei ilmaantunut.

Jos kyseessä on laitevika, niin aika outo vika, kun ei haittaa windowsin käyttöä mitenkään, mutta sammuttaa jopa puhtaalta CD:ltä buutatun KNOPPIXin kanssa koneen lähes heti, silti vaikka buutataan vain tekstitilaan ja verkkokaapeli irrotettuna.

Näillä perusteilla väitän, että kyseessä on BIOS -haittaohjelma, joka on nimenomaan suunniteltu estämään muiden käyttöjärjestelmien kuin windowsin käyttö.

Ja samaa konetta on siis käytetty yli 2 vuotta, lähes 2 v 6kk pelkästään linuxilla, ja ennen kesäkuuta 2010 kone toimi linuxilla oikein hyvin.

Lue lisää

Oletko päivittänyt muka biosin? Sinne ei mitään haittaohjelmia mene ellei päivityksen kanssa sitä sinne asenna.

Enpä osaa sanoa mikä kiikastaa mutta biosissa oleva virus se ei ole. Kiintolevyllä piilotteleva rootkit ei yleensä halua sammuttaa konetta vaan päinvastoin käynnistää sen.

Oletko vaihtanut jonkun osan joka voisi tuon aiheuttaa, siis ihan toimiva osa (windowsissa) mutta aiheuttaa jonkun komplikaation linuxissa?

Virushöpötyksiin en suostu ihan helpolla uskomaan.

Kone_sammuu_Linuxill kirjoitti:

HALOO !

Yleensä konetta ei saa edes debianin komentokehotteeseen saakka kun kone sammuu kesken buuttauksen. Ja jos saisikin, niin ei niitä lokeja ehtisi tutkia, koska kone sammuisi ennen sitä !

Siispä ainoa keino jos noita lokeja haluaa tutkia, olisi hankkia jostakin SATA-USB -adapteri ja kytkeä ko. koneesta irrotettu kiintolevy vaikkapa kaverin koneeseen, ja buutata ko kone knoppix-CD.llä, sillä kaverilla tod. näk ei ole linuxia asennettuna, ainoastaan windows.

Ja siinäkään ei debianin komennot auta mitään, vaan täytyisi tietää tiedostonimet polkunimineen, mistä *tiedostosta* kiintolevyltä niitä lokeja voi tutkia, jos mistään.

Mitkään debian -komennot eivät auta mitään, koska kone joko sammuu ennen kuin niitä komentoja ehtii antaa tai viimeistään niitä ajettaessa.

Kokeilin vielä buutata knoppix CD:llä lähiverkkokaapeli irrotettuna (koneessa EI ole WLANia) ja vielä 2 -optiolla (=ei GUI -käyttöliittymää) ja sammui jälleen, joko ei edennyt edes komentotulkkiin saakka tai sammui heti komentokehotteesen päästyä.

Jos joku on vielä sitä mieltä, ettei koneessa ole BIOS -virusta/matoa/haittaohjelmaa, selittäkää sitten, miksi kone jopa vain tekstitilaan buutattaessa KNOPPIX-CD:ltä ja lähiverkkokaapeli irrotettuna, silti kone sammuu heti.

Pelkkä tekstitila ei näytönohjainta niin paljoa rasita, että se siitä ylikuumenisi.

Vertailun vuoksi: sama kone toimii windowsilla ilman mitään ongelmia, pelasin windowsilla ko. koneella 2 tuntia Space Cadet -flipperiä (CPU -kuorma koko pelin ajan 100% toisella ytimellä; tuplaydin-CPU), ja heti pelaamisen loputtua katsoin vielä n. tunnin videon VLC:n windows -versiolla, missään vaiheessa mitään ongelmia ei ilmaantunut.

Jos kyseessä on laitevika, niin aika outo vika, kun ei haittaa windowsin käyttöä mitenkään, mutta sammuttaa jopa puhtaalta CD:ltä buutatun KNOPPIXin kanssa koneen lähes heti, silti vaikka buutataan vain tekstitilaan ja verkkokaapeli irrotettuna.

Näillä perusteilla väitän, että kyseessä on BIOS -haittaohjelma, joka on nimenomaan suunniteltu estämään muiden käyttöjärjestelmien kuin windowsin käyttö.

Ja samaa konetta on siis käytetty yli 2 vuotta, lähes 2 v 6kk pelkästään linuxilla, ja ennen kesäkuuta 2010 kone toimi linuxilla oikein hyvin.

Lue lisää

Aiemmin sanoit että knoppixilla käynnistyy mutta nyt ei muka käynnisty silläkään?

"Mitkään debian -komennot eivät auta mitään"

Just, debian-komentojahan ne?

exergy kirjoitti:

Aiemmin sanoit että knoppixilla käynnistyy mutta nyt ei muka käynnisty silläkään?

"Mitkään debian -komennot eivät auta mitään"

Just, debian-komentojahan ne?

Lue lisää

Lokeja voi tutkia hakemistossa /var/log jossa ilmeisesti "dmesg" ja "messages" ovat mielenkiintoisimmat, niitä voi suodattaa grep komennolla ja optiolla -i eli vaikkapa

less /var/log/dmesg | grep -i err

less /var/log/dmesg | grep -i warn

jotka tulostavat ytimen lähettämät virheet (err) ja varoitukset (warn) joista errorit ovat tähdellisimpiä.

exergy kirjoitti:

Lokeja voi tutkia hakemistossa /var/log jossa ilmeisesti "dmesg" ja "messages" ovat mielenkiintoisimmat, niitä voi suodattaa grep komennolla ja optiolla -i eli vaikkapa

less /var/log/dmesg | grep -i err

less /var/log/dmesg | grep -i warn

jotka tulostavat ytimen lähettämät virheet (err) ja varoitukset (warn) joista errorit ovat tähdellisimpiä.

Lue lisää

Nyt lähen tutkimaan onko jääkaappini lähettänyt varoituksia juuston vähyydestä, ellei ole niin teen vielä pari juustovoileipää ennenkun käyn tutimaan.

Olisit myös kertonut mikä seksuaalinen merkitys sinulle on tämän vanhan ketjun esiin nostamisessa.