Vilka säkerhetsprogram kör ni med Linux?

Trädvy Permalänk
Medlem
Registrerad
Jan 2015

Vilka säkerhetsprogram kör ni med Linux?

UFW
Tripwire
Firejail

MVH

Trädvy Permalänk
Avstängd
Registrerad
Nov 2012

Kör det som är standard i de distros jag använder.
Ubuntu: AppArmor & UFW
Fedora: SELinux & firewalld

Trädvy Permalänk
Medlem
Registrerad
Jun 2012

Fail2ban
Ufw
Apparmot

Sen modifierar jag div inställningar med.

Skickades från m.sweclockers.com

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Registrerad
Dec 2014

Kör bara med AppArmor. Brandvägg i routern också.

Trädvy Permalänk
Medlem
Plats
Falköping
Registrerad
Jan 2009

Finns inga virus till Linux distron så det är lugnt

Asus Prime B350-Plus | Ryzen 7 1800X @ 4.6Ghz | Corsair Vengeance LP 2x8gb 3000Mhz | Asus GTX 1060 6GB |
Samsung 840 250Gb | Geeetech i3x

Trädvy Permalänk
Medlem
Registrerad
Dec 2002
Skrivet av DeGreeZ:

Finns inga virus till Linux distron så det är lugnt

Lite feltänk där, det finns och de kan delvis göra skada fast du inte är root. Om man kör filserver (eller på något annat sätt hanterar windows-filer (.exe mm) så bör man ha AV som skannar av dem.

[size="1"]*signatur raderad*, referrallänkar behöver vi inte gömma i signaturer (§8 marknadsföring)[/size] Till MOD: Ditt smartskafft, man gömmer inte något som är helt synligt!

Trädvy Permalänk
Medlem
Plats
Falköping
Registrerad
Jan 2009
Skrivet av fragwolf:

Lite feltänk där, det finns och de kan delvis göra skada fast du inte är root. Om man kör filserver (eller på något annat sätt hanterar windows-filer (.exe mm) så bör man ha AV som skannar av dem.

Trodde trollet vart uppenbart
Kör ClamAV och pf brandvägg. Sen "offline" backupper såklart

Asus Prime B350-Plus | Ryzen 7 1800X @ 4.6Ghz | Corsair Vengeance LP 2x8gb 3000Mhz | Asus GTX 1060 6GB |
Samsung 840 250Gb | Geeetech i3x

Trädvy Permalänk
Medlem
Registrerad
Dec 2002
Skrivet av DeGreeZ:

Trodde trollet vart uppenbart
Kör ClamAV och pf brandvägg. Sen "offline" backupper såklart

Mjo normalt sett så är det väl det. Men det finns folk som är allvarliga med det. Det är lite svårt ibland att avgöra

[size="1"]*signatur raderad*, referrallänkar behöver vi inte gömma i signaturer (§8 marknadsföring)[/size] Till MOD: Ditt smartskafft, man gömmer inte något som är helt synligt!

Trädvy Permalänk
Medlem
Plats
Västerås
Registrerad
Feb 2013

Jag kör ingenting mer än uppdaterat system. Kanske borde jag ha något men men.
Jag surfar ju bara på den datorn så blir något fel så installerar jag om på ca 30 min. Keylogger I värsta fall och det är inte trevligt

Speldator: Intel core i5 3570k 4,4GHz@1,272V| Asus P8Z77-I DELUXE | Gigabyte GTX1060 6GB Windforce 2X | Fractal Design Node 304 | Cooler Master Hyper 212 EVO |Crucial MX300 525GB SSD | 2TB Seagate Barracuda 3,5 HDD | Corsair Vengeance LP 16GB (2x8) 1600MHz cl10 | Be Quiet! Straight power 600w 80+ Gold |Windows 8.1| Lapptop: Lenovo T420ip + 660Ti eGPU Kringutrustning: Qpad MK-85 Pro MX-Brown | Sennheiser HD598cs | Logitech G900 | ASUS PB278QR | Audio Pro Addon T14

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av fragwolf:

Lite feltänk där, det finns och de kan delvis göra skada fast du inte är root. Om man kör filserver (eller på något annat sätt hanterar windows-filer (.exe mm) så bör man ha AV som skannar av dem.

Nja, delvis rätt skulle jag säga.
en .exe fil kan inte köras i min filserver iaf så att den skulle kunna göra skada går ju inte.

Så nej, ett antivirusprogram behövs inte för Linux det kan jag garantera.
Ända som är "farligt" för linux dister är rootkits, och det slipper man oroa sig för iaf om man kör *nix server med tämligen bra säkerhet.
UFW, Fail2Ban och lite andra säkerhetsändringar i servern.

Men såklart, din server blir inte drabbad men blir ju en smittobärare / spridare, så kan ju vara skönt att inte ha det på sitt samvete.

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Plats
Nacka
Registrerad
Sep 2013

UFW
Fail2Ban

4930k | R9 290 CF | Gskill Ares 2133MHz 16GB | Asrock x79 Extreme4-m | Corsair AX1200i | Parvum s2.0 Extended | EK Supremacy EVO | EK-FC Original CSQ Nickel | 360+240 | EK D5+EK-D5 X-RES 140
Bygglogg: Chandra | by lowngcawt
Galleri: Aether | Chandra

-=CITERA FÖR SVAR=-

Trädvy Permalänk
Medlem
Registrerad
Jan 2015

Blir förvånad över att så få använder sig av Tripwire
Uppdaterar min lista - eftersom jag gjort en nu installation från grunden

SecurityKiss VPN (kan använda så många datorer som det finns servrar.
Den här gången ska jag fixa så VPN startar när datorn startar - automatiskt

Tripwire - för jag vill verkligen känna tryggheten att inte ha någon keylogger eller root-kits eller annan skit

Firjail - för att isolera alla internet program utan tillgång till datorn

Logwatch - för att skapa loggar över systemet användning och få epost varningar om någon försöker göra något skumt med min dator

Nu är jag säker på att inte kunna få ett intrång eller annan skit utan att man upptäcker det - känns grymt tryggt.
Kan inte förhindra om någon vill hacka - men kan see till att det inte sker obemärkt - varav all säkerhet

MVH

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av pompado:

Blir förvånad över att så få använder sig av Tripwire
Uppdaterar min lista - eftersom jag gjort en nu installation från grunden

SecurityKiss VPN (kan använda så många datorer som det finns servrar.
Den här gången ska jag fixa så VPN startar när datorn startar - automatiskt

Tripwire - för jag vill verkligen känna tryggheten att inte ha någon keylogger eller root-kits eller annan skit

Firjail - för att isolera alla internet program utan tillgång till datorn

Logwatch - för att skapa loggar över systemet användning och få epost varningar om någon försöker göra något skumt med min dator

Nu är jag säker på att inte kunna få ett intrång eller annan skit utan att man upptäcker det - känns grymt tryggt.
Kan inte förhindra om någon vill hacka - men kan see till att det inte sker obemärkt - varav all säkerhet

MVH

Använder du inte ufw eller Fail2ban?

Skickades från m.sweclockers.com

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Registrerad
Jun 2012

@pompado:

Tack för Logwatch, hade totalt glömt bort det.
Tripwire är bra om du har ett rent system, men direkt det är öppe en gång mot internet så är det inte lika bra längre då man omöjligt vet om systemet blev infekterat innan mna installerade Tripwire eller inte.

Tripwire jämför ju mellan en config mot en annan config, så är första configen infekterad så blir Tripwire helt meningslöst att köra desvärre

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Registrerad
Jan 2015

Tjena - vill nämna att jag skrivit en fullständig HOWTO för hur man installerar och konfigurerar Logwatch ...
Om det finns intresse kan jag skriva om det ...

Jag förstår ditt resonemang med Tripwire men håller inte med och tycker din förklaring är lättvindig.

1) Om du inte kopplar upp dig till internet så utsätter du inga program med eventuella säkerhetshål för attacker vilka då skulle få tillgång till din dator
2) Om du då installerar Tripwire genom apt-get så har du en säker och beprövad anslutning som inte har några kända säkerhetshål

Frågan kan omformuleras och undra hur man kan uppdatera sitt system och installera program med vetskapen att inte bli hackad?
Återigen så är uppdaterings-tjänsten av Debian/Ubuntu inte haft några kända säkerhetshål och är betrodd utan kända intrång
Sedan när man installerar program använder man MD5 checksum och på sätt vet man att man inte fått några konstigheter.

Då är det tryggt att uppdatera Tripwire Databas och köra på som vanligt.
Sedan ska nämnas att även om någon skulle installera ett trojan eller rot-kit eller annat program så kan dom inte använda det utan att det sker ändringar i systemet och då visar Tripwire dessa ändringar.
Men är inte helt säker - kan tänka mig att en keylogger är passiv och registrerar lösenord och eventuellt svårt att upptäcka.
Ska skriva och starta en diskussion om det på Ubuntuforum org - för det känns ju ändå så att det är en process och att det skulle ske någon slags förändring när programmet kopierar t.ex. ett lösenord och att Tripwire då skulle registrera detta.

MVH

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av pompado:

Tjena - vill nämna att jag skrivit en fullständig HOWTO för hur man installerar och konfigurerar Logwatch ...
Om det finns intresse kan jag skriva om det ...

Jag förstår ditt resonemang med Tripwire men håller inte med och tycker din förklaring är lättvindig.

1) Om du inte kopplar upp dig till internet så utsätter du inga program med eventuella säkerhetshål för attacker vilka då skulle få tillgång till din dator
2) Om du då installerar Tripwire genom apt-get så har du en säker och beprövad anslutning som inte har några kända säkerhetshål

Frågan kan omformuleras och undra hur man kan uppdatera sitt system och installera program med vetskapen att inte bli hackad?
Återigen så är uppdaterings-tjänsten av Debian/Ubuntu inte haft några kända säkerhetshål och är betrodd utan kända intrång
Sedan när man installerar program använder man MD5 checksum och på sätt vet man att man inte fått några konstigheter.

Då är det tryggt att uppdatera Tripwire Databas och köra på som vanligt.
Sedan ska nämnas att även om någon skulle installera ett trojan eller rot-kit eller annat program så kan dom inte använda det utan att det sker ändringar i systemet och då visar Tripwire dessa ändringar.
Men är inte helt säker - kan tänka mig att en keylogger är passiv och registrerar lösenord och eventuellt svårt att upptäcka.
Ska skriva och starta en diskussion om det på Ubuntuforum org - för det känns ju ändå så att det är en process och att det skulle ske någon slags förändring när programmet kopierar t.ex. ett lösenord och att Tripwire då skulle registrera detta.

MVH

Okej, så du skulle säga att de är värt att installera tripwire på tex en server som stått i produktion i några månader?

Logwatch va enkelt att ”confa” och fungerar över förväntan, har satt de att den skickar mail till mig varje morgon kl 07 för gårdagens loggfiler så man kan gå igenom dom med morgonkaffet.

Skickades från m.sweclockers.com

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Registrerad
Jan 2015

@Calby

Så här tänker jag och kan ha fel men tycker att mitt resonemang är sunt förnuft.

Klart att jag inte skulle installera Tripwire på en maskin som kört Linux en längre tid
pga av säkerhetstänket över tid

Om man gör en ny installation från scratch och har rätt säkerhetstänk från början - så är det värt att köra Tripwire.
Man behöver inte vara paranoid och tro att apt-get ska bli hackat när det är en beprövad funktionell uppdaterings service Debaian/Ubuntu tillhandahållit under många år - utan det är bara att köra apt-get install tripwire på en ny Linux installation.

Och då ska man inte koppla upp sig mot internet och använda olika program innan eller under tiden man installerar tripwire.
Eftersom då skulle någon kunna använda skadlig kod eller en svaghet hos något program.

Sedan när man emellanåt uppdaterar systemet så kollar man tripwire databas först - så allt är okej - sedan är det bara att installera uppdateringarna via apt-get och sedan uppdatera tripwire databas igen
Visst kan man argumentera att apt-get uppdatering tjänst skulle kunna användas vid intrång - men om det skulle finnas något fel i någon kod eller bug eller liknande att utnyttja som svaghet för ett kryphål - så skulle det upptäckts av Debain/Ubuntu community - så jag anser risken minimal
Sedan har jag nämnt att man använder MD5 checksum med dom program som inte installeras via apt-get
Skulle ett Linux program innehålla skadlig kod skulle Debain/Ubuntu community förmodligen med all sannolikhet upptäcka detta.

MVH

Trädvy Permalänk
Medlem
Registrerad
Jun 2012

@pompado:

Okej, så din rekommendation för mig som kört en ubuntu server i ca 1-2 vecka är att inte installera Tripwire?
Jag har kört Fail2ban hela tiden, fixat div säkerhet, up-to-date och nginx server och Seafile.

Har gjort alla standard säkerhetsgrejer, min server står bakom en unifi gateway och ända portarna som är öppna mot servern är port 80 och 443 från utsidan (WAN).

Sedan på "insidan" har jag öppnat genom ufw port 2324 (ssh) 443, 80, 123/udp (ntp) dvs dessa portar är endast inom mitt LAN.

Edit:
Kör bla. ssh med 2FA och har alltid starka lösenord 32 tecken med blandade bokstäver, siffror m.m och aldrig samma lösenord på två ställen.

Edit2:
Ända varningarna jag får från RKhunter (nyaste versionen) är dessa, och dom är false-positiv.

Warning: The following processes are using deleted files: Process: /usr/sbin/mysqld PID: 1497 File: /tmp/ibA5vVwd Process: /usr/bin/python2.7 PID: 1810 File: /tmp/wgunicorn-bDnmHk Process: /usr/bin/python2.7 PID: 1828 File: /tmp/wgunicorn-bDnmHk Process: /usr/bin/python2.7 PID: 1829 File: /tmp/wgunicorn-bDnmHk Process: /usr/bin/python2.7 PID: 1830 File: /tmp/wgunicorn-bDnmHk Warning: Process '/sbin/dhclient' (PID 1125) is listening on the network. Warning: The SSH and rkhunter configuration options should be the same: SSH configuration option 'Protocol': 2 Rkhunter configuration option 'ALLOW_SSH_PROT_V1': 2

Så någon malmware har jag inte eller rootkit som ev. skulle kunna finnas.

Har inte aktiverat SSH v1 utom kör endast protocol 2 vilket framkommer vet int evarför den varnar, men som jag har förstått det är det false positiv.

Edit3:
Har du någon bra guide för Tripwire?

Supermicro X9SRI-F | Xeon E5-2690 v2 | 128GB 1600MHz RDIMM | Dell Perc H200 (9211-8i IT) | Windows Server 2016 DataCenter med Hyper-V

Trädvy Permalänk
Medlem
Registrerad
Jan 2015

@Calby alla har olike nivåer av kunskap - du vet säker mer om Linux än vad jag gör - men som vanlig användare vill jag känna mig trygg och det gör jag med Tripwire och lite allmänt säkerhets tänk.

Jag rekommenderar min HOWTO som finns på forumet om du söker Tripwire - det är den enda guiden som beskriver hur du installerar databasen på en fysisk USB sticka - vilket betyder att ingen kan hacka ditt Tripwire och dölja sitt intrång eftersom dom inte har fysisk tillgång till din USB sticka med Tripwire databas.
Har kollat olika guider på nätet och Youtube och ingen beskriver hur man gör för att installera databasen på "removable media"...
Sett guider som har Tripwire installerat på dator med databasen och konfigurerar Tripwire att skicka epost vid förändring - vilket är bekvämt att få ett epost om det sker en förändring - då ska nämnas att Tripwire senaste version inte uppdaterats på länge eftersom den är beprövad utan några kända svagheter - men jag tycker ändå att det känns tryggare att ha databasen på en fysisk enhet som inte har tillgång till datorn - då vet jag med 100% säkerhet att ingen har kunnat dölja sitt intrång genom att dölja sina spår genom att mixtra med Tripwire databas.

MVH

Trädvy Permalänk
Medlem
Registrerad
Dec 2002
Skrivet av Calby:

Nja, delvis rätt skulle jag säga.
en .exe fil kan inte köras i min filserver iaf så att den skulle kunna göra skada går ju inte.

Så nej, ett antivirusprogram behövs inte för Linux det kan jag garantera.
Ända som är "farligt" för linux dister är rootkits, och det slipper man oroa sig för iaf om man kör *nix server med tämligen bra säkerhet.
UFW, Fail2Ban och lite andra säkerhetsändringar i servern.

Men såklart, din server blir inte drabbad men blir ju en smittobärare / spridare, så kan ju vara skönt att inte ha det på sitt samvete.

Det var de jag tänkte på. Så man inte sprider det vidare givetvis Eftersom det var en filserver och man brukar iaf ha minst 1 windows dator hemma.

[size="1"]*signatur raderad*, referrallänkar behöver vi inte gömma i signaturer (§8 marknadsföring)[/size] Till MOD: Ditt smartskafft, man gömmer inte något som är helt synligt!