Leopard turvalliseksi

[kronos]

Tiedoksi kaikille! Apple on julkistanut jonkin aikaa sitten todella kattavan dokumentin siitä kuinka Leopard saatetaan turvalliseksi. 240 sivua kattava PDF-dokumentti:

Mac OS X Security Configuration For Version 10.5 Leopard

Löytyy täältä

http://images.apple.com/server/macosx/d ... 080530.pdf

Ikävää, että tätä ei ole lokalisoitu myös suomeksi.

[Teemurri]

Voin vaan kuvitella niittä stereotypia jenkkejä tavaamassa tuota opusta...

[Machist]

Eikös tä nyt ihan suht turvallinen ole ku palomuurin pistää päälle
Pitäisikin pistää ketju (jos ei ole jo) aloitteleville macisteille mitä kannattaa säätää ennen kuin konetta alkaa käyttää..
Onhan sitä kuitenkin hieman säädettävä turvallisuuden takia.

[TheKraken]

Minä en sinänsä ymmärrä sitä miksi edes se palomuuri pitää olla päällä. Koska kun kerran ei ole pöpöjä jotka pääsisi jostain aukoista sisään netin ylitse ilmankaan muuria.

[Sherukka]

Minä en sinänsä ymmärrä sitä miksi edes se palomuuri pitää olla päällä. Koska kun kerran ei ole pöpöjä jotka pääsisi jostain aukoista sisään netin ylitse ilmankaan muuria.

En ymmärrä minäkään, joudut joka tapauksessa avaamaan reiän jos jokin ohjelma sen vaatii ja haluat sitä käyttää!?

[miicah]

En ymmärrä minäkään, joudut joka tapauksessa avaamaan reiän jos jokin ohjelma sen vaatii ja haluat sitä käyttää!?

Ilmeisesti et tiedä palomuurin toiminnasta juurikaan? Palomuuri rajoittaa liikennettä kahteen suuntaan. Reikä ulos ei tarkoita reikää sisään...

[Sherukka]

En ymmärrä minäkään, joudut joka tapauksessa avaamaan reiän jos jokin ohjelma sen vaatii ja haluat sitä käyttää!?

Ilmeisesti et tiedä palomuurin toiminnasta juurikaan? Palomuuri rajoittaa liikennettä kahteen suuntaan. Reikä ulos ei tarkoita reikää sisään...

Tiedän toiminnasta, mutta hyvä että tarkensit.
Kerro ihmeessä lisää ja tämä ei ole piikittelyä vaan jaa tietosi!

[TheKraken]

Mutta aika usea ohjelma tarvitsee sen reiän sisään ja sitähän tässä kai nyt haettiin takaa.

Mutta siis miksi tukkia reikä, jos sieltä kuitenkaan mitään haitallista ei voi tulla oli kai originaali-ihmettelyn aihe.

[Sherukka]

Onko Tiikerissä edes ulospäin olevaa estoa? Little Snitchiä käytän joka tapauksessa vaikkei siitä kummemmin hyötyä tähän päivään mennessä ole ollut.

[miicah]

Mutta aika usea ohjelma tarvitsee sen reiän sisään ja sitähän tässä kai nyt haettiin takaa.

Mutta siis miksi tukkia reikä, jos sieltä kuitenkaan mitään haitallista ei voi tulla oli kai originaali-ihmettelyn aihe.

Ohjelma, joka avaa ensin luvallisesti yhteyden ulos saa tuoda dataa sisään myös... ja tämä on eri asia, kuin ulkoa tuleville kutsuille pysyvästi avattu reikä. Vertaa selain hakee sivua tai Apache www-palvelin ottaa vastaan kutsuja.

[gramdel]

Onko Tiikerissä edes ulospäin olevaa estoa? Little Snitchiä käytän joka tapauksessa vaikkei siitä kummemmin hyötyä tähän päivään mennessä ole ollut.

Ei ole.

/---
ap

[TheKraken]

Mutta aika usea ohjelma tarvitsee sen reiän sisään ja sitähän tässä kai nyt haettiin takaa.

Mutta siis miksi tukkia reikä, jos sieltä kuitenkaan mitään haitallista ei voi tulla oli kai originaali-ihmettelyn aihe.

Ohjelma, joka avaa ensin luvallisesti yhteyden ulos saa tuoda dataa sisään myös... ja tämä on eri asia, kuin ulkoa tuleville kutsuille pysyvästi avattu reikä. Vertaa selain hakee sivua tai Apache www-palvelin ottaa vastaan kutsuja.

Vastaako tämä jotenkin viestini kysymykseen? En ymmärrä näiden kahden asiayhteyttä.

[miicah]

Ohjelma, joka avaa ensin luvallisesti yhteyden ulos saa tuoda dataa sisään myös... ja tämä on eri asia, kuin ulkoa tuleville kutsuille pysyvästi avattu reikä. Vertaa selain hakee sivua tai Apache www-palvelin ottaa vastaan kutsuja.

Vastaako tämä jotenkin viestini kysymykseen? En ymmärrä näiden kahden asiayhteyttä.[/quote]


No taisi fokus keskustelun tiimellyksessä hukkua. Minun moka.

Varsinainen oma pointtini oli se, että palomuurin (oikean) toiminta on kaksisuuntaista ja molemmilla valvontasuunnilla on oma tärkeä merkityksensä. Ja jos macin tuliseinä ei valvo ulosmenevää dataa, niin täytyypä katsastella jotakin vahvempaa käyntiin.

Toinen pointtini jäi sanomatta. Macistinkin on hyvä olla alustan yleisestä turvallisuudesta huolimatta varovainen. Suojaukset päälle vain, vaikka miten varma systeemi onkin. Se on minun vainoharhainen periaatteeni. Enkä ole joutunut pöpöjä siivoamaan mistään omasta järjestelmästä. Muiden kylläkin.

Hyvin ohut analogia:

Winkkaripuolellakin porukka jättää suojauksia laittamatta: "ei mulla ole pöllittävää/salattavaa ... ei niin, mutta koneesi ja kaistasi on hyvä kasvualusta rikolliselle toiminnalle, josta sinä vastaat oikeudessa."

OT: On muuten hyvä palsta tämä! Olen nyt vajaan viikon vanhan MB:n omistaja ja löytänyt valtavasti hyviä vinkkejä täältä. Entistä tyytyväisempi olen hankintaani!

[kermit]

Varsinainen oma pointtini oli se, että palomuurin (oikean) toiminta on kaksisuuntaista ja molemmilla valvontasuunnilla on oma tärkeä merkityksensä. Ja jos macin tuliseinä ei valvo ulosmenevää dataa, niin täytyypä katsastella jotakin vahvempaa käyntiin.

Sinulla on varmaan kotisi ovissakin avaimella avattavat lukot kahta puolta?

[The raconteur]

Varsinainen oma pointtini oli se, että palomuurin (oikean) toiminta on kaksisuuntaista ja molemmilla valvontasuunnilla on oma tärkeä merkityksensä. Ja jos macin tuliseinä ei valvo ulosmenevää dataa, niin täytyypä katsastella jotakin vahvempaa käyntiin.

Sinulla on varmaan kotisi ovissakin avaimella avattavat lukot kahta puolta?

Kunnollinen palomuuri valvoo kumpaankin suuntaan menevää liikennettä. Otetaan esimerkiksi tilanne: Lataat ja asennat ohjelman, joka lähettää tietämättäsi sinun tietojasi verkkoon. Tällöin hyvä palomuuri huomaisi epäillyttävän toiminnan ja blokkaisi ohjelmalta ulosmenevän yhteyden, mutta Leopardin palomuurista ei olisi tässä tilanteessa mitään hyötyä.

Windows XP:n vakiomuurikin valvoo vain sisääntuleevaa liikennettä, jolloin koneen muuttuminen roskapostipalvelimeksi helpottuu huomattavasti. OS X ei tietenkään tällä hetkellä pahemmin palomuuria tarvitse, mutta eihän sitä koskaan tiedä.

[kermit]

Niinhän ne win-peelot uskottelee.

EDIT: Mainittakoon nyt myös, että olen kyllä käyttänyt wintoosaakin verkossa toistakymmentä vuotta ja olen vain kokeillut LeluAlarmin tapaisia muureja huomatakseni vain, että jos tällä linjalla mennään, edessä on pyöreä huone pehmustetuilla seinillä. ADSL-yhteyksin aikana modeemin tai muun routerin muuri on riittänyt minulle.

[morbusg]

Ei ole.

Valetta molemmat sanat.

VJa jos macin tuliseinä ei valvo ulosmenevää dataa, niin täytyypä katsastella jotakin vahvempaa käyntiin.

Leopardissa tarjolla BSD ipfw ja.. joku toinen joista jälkimmäinen oletuksena käytössä jos nyt ihan oikein muistan. Esim. ohjelma "little snitch" ottaa oletukseksi käyttöön ensinmainitun (jos nyt ihan oikein muistan) joka on kyllä ihan ok muuri. "man ipfw" kertoo lisää.

[The raconteur]

Niinhän ne win-peelot uskottelee.

Ihan rationaalisella ajattelulla tuohon tulokseen pääsee. Ei siinä sen kummempaa peeloilua tarvita.

[Sherukka]

Ei ole.

Valetta molemmat sanat.

VJa jos macin tuliseinä ei valvo ulosmenevää dataa, niin täytyypä katsastella jotakin vahvempaa käyntiin.

Leopardissa tarjolla BSD ipfw ja.. joku toinen joista jälkimmäinen oletuksena käytössä jos nyt ihan oikein muistan. Esim. ohjelma "little snitch" ottaa oletukseksi käyttöön ensinmainitun (jos nyt ihan oikein muistan) joka on kyllä ihan ok muuri. "man ipfw" kertoo lisää.

Tuossa oli Tiikeristä puhe eikä Leopardista, muuttaahan asian?

[spiidi78]

Kunnollinen palomuuri valvoo kumpaankin suuntaan menevää liikennettä. Otetaan esimerkiksi tilanne: Lataat ja asennat ohjelman, joka lähettää tietämättäsi sinun tietojasi verkkoon. Tällöin hyvä palomuuri huomaisi epäillyttävän toiminnan ja blokkaisi ohjelmalta ulosmenevän yhteyden, mutta Leopardin palomuurista ei olisi tässä tilanteessa mitään hyötyä.

Kyllä tuo Leopardin palomuuri ainakin itselläni kyselee annetaanko ohjelmalle lupa mennä verkkoon. En tosin käytä sitä, mutta kyseli, kun testasin.

[TheKraken]

Kunnollinen palomuuri valvoo kumpaankin suuntaan menevää liikennettä. Otetaan esimerkiksi tilanne: Lataat ja asennat ohjelman, joka lähettää tietämättäsi sinun tietojasi verkkoon. Tällöin hyvä palomuuri huomaisi epäillyttävän toiminnan ja blokkaisi ohjelmalta ulosmenevän yhteyden, mutta Leopardin palomuurista ei olisi tässä tilanteessa mitään hyötyä.

Kyllä tuo Leopardin palomuuri ainakin itselläni kyselee annetaanko ohjelmalle lupa mennä verkkoon. En tosin käytä sitä, mutta kyseli, kun testasin.

Kummallinen on sinun palomuurisi, koska kenenkään muun OS X:n muuri ei kyllä tuommoista tee.

Joskus saattaa sitä kysyä, jos joku ohjelma tahtoo puhkaista ihan pysyvän reiän muuriin.

[morbusg]

Tuossa oli Tiikeristä puhe eikä Leopardista, muuttaahan asian?

No sikäli joo että ipfw (jos nyt oikein muistan) tiikerissä, eli little snitchin ei tarvi vaihtaa sitä (siis jos haluaa GUI:ta käyttää).

[kermit]

Leopardin (10.5.1 tai uudempi) muurin toiminnasta voi lukea täältä: http://support.apple.com/kb/HT1810?viewlocale=fi_FI

[spiidi78]

Kummallinen on sinun palomuurisi, koska kenenkään muun OS X:n muuri ei kyllä tuommoista tee.

Joskus saattaa sitä kysyä, jos joku ohjelma tahtoo puhkaista ihan pysyvän reiän muuriin.

Joo saatat olla oikeassa. Oli tuo muuri hetken päällä, kun ei ulkoista ollut sillä hetkellä taloudessa. Tais olla MS Office, joka kokoajan yritti nettiin ja lappu tuli ruutuun joka kerta En tosin pääse nyt testaamaan, mutta jotenkin itsellä on mielikuva, että ne softat, jotka siinä muurin sallituissa ohjelmissa oli, ei kysele erikseen pääsyä. Mutta juu, pitää ottaa selvää vielä.

[pehvo]

Olenko nyt turvassa? Minulla on langaton reititin, jossa NAT päällä ja asianmukaiset turva-asetukset (vain tämän koneen airportin mac-osoite kelpaa ja WPA2 salasanasuojattu yhteys, vaikka näillä ei ilmeisesti ole nettiturvaan vaikutusta, naapurit eivät vain pääse tuota käyttämään). Laitoin X:n turvallisuusasetuksista palomuurin "salli vain tärkeimmät palvelut" ja lisävalinnoista "salli häivetila". Käyttiksenä OS X 10.5.4. Olen vain windows-puolella näitä ennemmin, että macista ei mitään käsitystä. Viruksista ynnä muista ei kai (enää) tarvitse huolehtia?