Нужен ли firewall в linux
Не так важно, поставили вы себе Linux, чтобы стать со временем хакером-грозой Пентагона или, напротив, чтобы надежнее защитить свой компьютер от несанкционированного вторжения, вам предстоит изучить несколько несложных настроек и познакомиться с программами, которые помогают шифровать данные и сохранять конфиденциальность при работе в сети. Безопасность операционной системы Linux не вызывает сомнений, однако и при работе с ней вам придется приложить некоторые усилия, чтобы уберечься от злоумышленников. В этой статье мы коснемся некоторых аспектов сетевой безопасности: использования vpn, Tor Browser в Linux, смены DNS-адресов, и расскажем про настройку в Linux firewall.
Зачем устанавливать vpn на Linux
Для пользователей Linux, желающих скрыть IP-адрес, у нас есть отдельная статья, где мы пошагово рассказываем, как установить впн на Linux. Скажем сразу – мы считаем установку vpn обязательным условием безопасности вашего компьютера. Каждый день вы посещаете десятки сайтов, оставляя на них ваши данные, которые становятся доступными администраторам. Имея на руках ваш IP, вам могут как запретить доступ к ресурсам, так и использовать его для проникновения уже на ваш компьютер, если вы чем-то заинтересуете злоумышленников. Большую опасность несет в себе и работа с устройства Linux в незащищенных wi-fi сетях. Никогда не решайте важные финансовые и рабочие вопросы, подключившись к публичному wi-fi без защиты впн-программы!
Интернет-провайдеру тоже ни к чему знать, где вы бываете и что там делаете. Vpn для Linux поможет зашифровать данные и скроет от глаз провайдера посещаемые вами сайты. Таким образом, соединяясь через впн-серверы, вы сможете без проблем заходить даже заблокированные вашим провайдером (к примеру, по запросу Роскомнадзора) интернет-ресурсы. То же и с блокировкой по географическому положению – youtube, Netflix, другие подобные ресурсы очень любят прятать самые интересный контент от неугодных им стран. Но с впн на Linux эти запреты не для вас.
Про установку vpn на Linux читайте здесь, а мы лишь напомним, как включить openvpn на Linux, если он уже установлен, и как отключить, если вы готовы вернуться к своему реальному IP.
Подключаемся к выбранному конфигу openvpn, указав в –config путь до файла конфигурации необходимого сервера:
sudo openvpn --config ./Whoer_Netherlands_nl.ovp n
Чтобы проверить, что IP-адрес сменился, введите:
Чтобы отключить vpn в Linux:
sudo service openvpn stop
Обратите внимание на то, что vpn-подключение может идти по TCP или UDP-протоколу. О разнице между ними и том, какой выбрать в каком случае, вы можете подробно прочесть здесь, скажем лишь, что UDP немного более быстрый, хоть и не такой надежный. А как отредактировать ваши openvpn-конфиги для Linux и сменить протокол, мы показываем в видео-ролике на ютьюб Меняем TCP на UDP в OpenVPN. Также вы можете при редактировании конфигов отключить некоторые из IP-адресов страны, оставив только необходимые вам. Как это сделать, упоминается в видео Как использовать Whoer VPN в клиенте OpenVPN.
Возможно, вам удобнее будет подключать vpn на Linux через графическое приложение GNOME. Как установить его смотрите в видео Как установить графическое приложение VPN на Linux.
Как сменить DNS в Linux
После того, как вы сменили в Linux IP-адрес, вам нужно произвести замену DNS. О том, что такое DNS, и зачем его менять, можно прочесть в нашей статье или посмотреть видео на нашем youtube-канале Зачем менять DNS. Если кратко – DNS-сервер, к которому подключается ваш компьютер, раскрывает ваше географическое положение, что может привести к блокировкам по геоданным, либо из-за несоответствия IP-данных и DNS-адресов.
Сменить DNS-адрес в Linux системе можно двумя способами. К примеру, вы можете сделать это через интерфейс сетевых подключений: кликайте мышкой на значок сети, выбирайте подключенную сеть и открывайте параметры соединения.
В Настройках сети переходите во вкладку “IPv4”. Далее выбирайте автоматический метод и в поле DNS прописывайте адрес сервера. Адреса быстрых DNS-серверов вы можете найти в нашем блоге в статье Рекомендуемые публичные DNS сервера. Несколько адресов прописываются через запятую.
Если этот способ не сработал, попробуйте сменить DNS через терминал Linux. Как это сделать, мы пошагово рассказываем в видеоролике на нашем канале Как настроить DNS в Linux.
Как пустить vpn через TOR в Linux
TOR Browser совершенно необходим, если вы решили прогуляться по загадочному миру .onion сайтов, но и в качестве безопасного браузера, дающего дополнительный уровень анонимности, TOR для Linux неизменно популярен среди пользователей. Особенно, если настроить одновременное использование TOR с vpn на Linux. Настройка подобной цепочки позволяет на порядок повысить анонимность и конфиденциальность, поскольку скрывает от посещаемых сайтов сам факт использования TOR Browser.
Настройка firewall в Linux Ubuntu
Firewall, по-русски называемый межсетевым экраном или брандмауэром, занимает важное место в защите системы Linux. Файрвол Linux это пропускной пункт между внутренней и внешней сетью, в котором происходит контроль и управление входящим и исходящим сетевым трафиком. Правила контроля задаются пользователем в интерфейсе межсетевого экрана: здесь он решает, какие порты открыть и какие соединения разрешить.
Разработчики программ для Linux всерьез озабочены защитой операционной системы от несанкционированных вторжений: для скачивания и установки в дистрибутивы Linux доступны десятки брандмауэров с открытым исходным кодом. Но далеко ходить не нужно: встроенная изначально во всех дистрибутивах Linux файрвол-утилита Iptables отлично минимизирует риск хакерских атак и заражения вирусами. При попытке установления соединений с ПК, утилита обращается к своим правилам для проверки того, является ли соединение разрешенным или его следует запретить. Если по соединению нет информации – оно выполняется по умолчанию. Кроме этого, Iptables поможет выполнить резервное копирование и восстановление с файлами.
Если вдруг файрвола Iptables не обнаружилось в вашем дистрибутиве, или вы хотите обновить утилиту, введите следующую команду:
sudo apt-get install iptables
Iptables – первая линия системы безопасности Linux и любимец сетевых администраторов. Настраивается данный Linux файрвол через командную строку при помощи установленных команд. Проблема в том, что начинающему юзеру процесс контроля за поступлением и отправлением трафика бесчисленными командами iptables может показаться слишком сложным. К счастью, существует интерфейс, специально разработанный для упрощения процесса настройки утилиты Iptables: UFW (Uncomplicated Firewall или по-русски «простой брандмауэр»). Кстати, в Linux Ubuntu UFW встроен также по умолчанию. А если вы его удалили, то можете заново загрузить, введя в консоли:
sudo apt install ufw
Мы пошагово показываем настройку Uncomplicated Firewall Linux в нашем видео Как настроить фаервол в Ubuntu.
Заключение
Это лишь некоторые аспекты безопасного использования устройств с операционной системой Linux, но на первое время вам будет их достаточно, чтобы спокойно пользоваться компьютером и выходить в сеть. Не забывайте также своевременно обновлять программное обеспечение и устанавливайте только сильные пароли – из не менее 8 букв разного регистра, цифр и специальных знаков. Ну и, так как человеческий фактор – обычно самое слабое звено в цепи безопасности, посмотрите наше видео про то, Как хакеры используют Социальную Инженерию.
Читайте наши статьи, подписывайтесь на социальные сети и youtube-канал, и помните, что мы всегда стоит на страже вашей безопасности и конфиденциальности в сети!
Habib M’henni / Wikimedia Commons, CC BY-SA
В наше время поднять сервер на хостинге — дело пары минут и нескольких щелчков мыши. Но сразу после запуска он попадает во враждебную среду, потому что открыт для всего интернета как невинная девушка на рокерской дискотеке. Его быстро нащупают сканеры и обнаружат тысячи автоматически скриптовых ботов, которые рыскают по сети в поисках уязвимостей и неправильных конфигураций. Есть несколько вещей, которые следует сделать сразу после запуска, чтобы обеспечить базовую защиту.
Первым делом нужно завести для себя нерутового юзера. Дело в том, что у пользователя root абсолютные привилегии в системе, а если разрешить ему удалённое администрирование, то вы сделаете половину работы для хакера, оставив для него валидный username.
Поэтому нужно завести другого юзера, а для рута отключить удалённое администрирование по SSH.
Новый пользователь заводится командой useradd :
Затем для него добавляется пароль командой passwd :
Наконец, этого пользователя нужно добавить в группу, которая имеет право выполнять команды с повышением привилегий sudo . В зависимости от дитрибутива Linux, это могут быть разные группы. Например, в CentOS и Red Hat юзера добавляют в группу wheel :
В Ubuntu он добавляется в группу sudo :
Брутфорс или утечка паролей — стандартный вектор атаки, так что аутентификацию по паролям в SSH (Secure Shell) лучше отключить, а вместо неё использовать аутентификацию по ключам.
Есть разные программы для реализации протокола SSH, такие как lsh и Dropbear, но самой популярной является OpenSSH. Установка клиента OpenSSH на Ubuntu:
Установка на сервере:
Запуск демона SSH (sshd) на сервере под Ubuntu:
Автоматический запуск демона при каждой загрузке:
Нужно заметить, что серверная часть OpenSSH включает в себя клиентскую. То есть через openssh-server можно подключаться к другим серверам. Более того, со своей клиентской машины вы можете запустить SSH-туннель с удалённого сервера на сторонний хост, и тогда сторонний хост будет считать удалённый сервер источником запросов. Очень удобная функция для маскировки своей системы. Подробнее см. статью «Практические советы, примеры и туннели SSH».
На клиентской машине обычно нет смысла ставить полноценный сервер, чтобы не допускать возможность удалённого подключения к компьютеру (в целях безопасности).
Итак, для своего нового юзера сначала нужно сгенерировать ключи SSH на компьютере, с которого вы будете заходить на сервер:
Публичный ключ хранится в файле .pub и выглядит как строка случайных символов, которые начинаются с ssh-rsa .
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQ3GIJzTX7J6zsCrywcjAM/7Kq3O9ZIvDw2OFOSXAFVqilSFNkHlefm1iMtPeqsIBp2t9cbGUf55xNDULz/bD/4BCV43yZ5lh0cUYuXALg9NI29ui7PEGReXjSpNwUD6ceN/78YOK41KAcecq+SS0bJ4b4amKZIJG3JWm49NWvoo0hdM71sblF956IXY3cRLcTjPlQ84mChKL1X7+D645c7O4Z1N3KtL7l5nVKSG81ejkeZsGFzJFNqvr5DuHdDL5FAudW23me3BDmrM9ifUmt1a00mWci/1qUlaVFft085yvVq7KZbF2OP2NQACUkwfwh+iSTP username@hostname
Затем из-под рута создать на сервере директорию SSH в домашнем каталоге пользователя и добавить публичный ключ SSH в файл authorized_keys , используя текстовый редактор вроде Vim:
Наконец, установить корректные разрешения для файла:
и изменить владение на этого юзера:
На стороне клиента нужно указать местоположение секретного ключа для аутентификации:
Теперь можно залогиниться на сервер под именем юзера по этому ключу:
После авторизации можно использовать команду scp для копирования файлов, утилиту sshfs для удалённого примонтирования файловой системы или директорий.
Желательно сделать несколько резервных копий приватного ключа, потому что если отключить аутентификацию по паролю и потерять его, то у вас не останется вообще никакой возможности зайти на собственный сервер.
Как упоминалось выше, в SSH нужно отключить аутентификацию для рута (по этой причине мы и заводили нового юзера).
На CentOS/Red Hat находим строку PermitRootLogin yes в конфигурационном файле /etc/ssh/sshd_config и изменяем её:
На Ubuntu добавляем строку PermitRootLogin no в конфигурационный файл 10-my-sshd-settings.conf :
После проверки, что новый юзер проходит аутентификацию по своему ключу, можно отключить аутентификацию по паролю, чтобы исключить риск его утечки или брутфорса. Теперь для доступа на сервер злоумышленнику необходимо будет достать приватный ключ.
На CentOS/Red Hat находим строку PasswordAuthentication yes в конфигурационном файле /etc/ssh/sshd_config и изменяем её следующим образом:
На Ubuntu добавляем строку PasswordAuthentication no в файл 10-my-sshd-settings.conf :
Инструкцию по подключению двухфакторной аутентификации по SSH см. здесь.
Файрвол гарантирует, что на сервер пойдёт только тот трафик по тем портам, которые вы напрямую разрешили. Это защищает от эксплуатации портов, которые случайно включились с другими сервисами, то есть сильно уменьшает поверхность атаки.
Перед установкой файрвола нужно убедиться, что SSH внесён в список исключений и не будет блокироваться. Иначе после запуска файрвола мы не сможем подключиться к серверу.
С дистрибутивом Ubuntu идёт Uncomplicated Firewall (ufw), а с CentOS/Red Hat — firewalld.
Разрешение SSH в файрволе на Ubuntu:
На CentOS/Red Hat используем команду firewall-cmd :
После этой процедуры можно запустить файрвол.
На CentOS/Red Hat запускаем сервис systemd для firewalld:
На Ubuntu используем такую команду:
Сервис Fail2Ban анализирует логи на сервере и подсчитывает количество попыток доступа с каждого IP-адреса. В настройках указаны правила, сколько попыток доступа разрешено за определённый интервал — после чего данный IP-адрес блокируется на заданный отрезок времени. Например, разрешаем 5 неудачных попыток аутентификации по SSH в промежуток 2 часа, после чего блокируем данный IP-адрес на 12 часов.
Установка Fail2Ban на CentOS и Red Hat:
Установка на Ubuntu и Debian:
В программе два конфигурационных файла: /etc/fail2ban/fail2ban.conf и /etc/fail2ban/jail.conf . Ограничения для бана указываются во втором файле.
Джейл для SSH включён по умолчанию с дефолтными настройками (5 попыток, интервал 10 минут, бан на 10 минут).
Кроме SSH, Fail2Ban может защищать и другие сервисы на веб-сервере nginx или Apache.
Как известно, во всех программах постоянно находят новые уязвимости. После публикации информации эксплоиты добавляются в популярные эксплоит-паки, которые массово используются хакерами и подростками при сканировании всех серверов подряд. Поэтому очень важно устанавливать обновления безопасности как только они появляются.
На сервере Ubuntu в конфигурации по умолчанию включены автоматические обновления безопасности, так что дополнительных действий не требуется.
На CentOS/Red Hat нужно установить приложение dnf-automatic и включить таймер:
SSH был разработан в 1995 году для замены telnet (порт 23) и ftp (порт 21), поэтому автор программы Тату Илтонен выбрал порт 22 по умолчанию, и его утвердили в IANA.
Естественно, все злоумышленники в курсе, на каком порту работает SSH — и сканируют его вместе с остальными стандартными портами, чтобы узнать версию программного обеспечения, для проверки стандартных паролей рута и так далее.
Смена стандартных портов — обфускация — в несколько раз сокращает объём мусорного трафика, размер логов и нагрузку на сервер, а также сокращает поверхность атаки. Хотя некоторые критикуют такой метод «защиты через неясность» (security through obscurity). Причина в том, что эта техника противопоставляется фундаментальной архитектурной защите. Поэтому, например, Национальный институт стандартов и технологий США в «Руководстве по безопасности сервера» указывает необходимость открытой серверной архитектуры: «Безопасность системы не должна полагаться на скрытность реализации её компонентов», — сказано в документе.
Теоретически, смена портов по умолчанию противоречит практике открытой архитектуры. Но на практике объём вредоносного трафика действительно сокращается, так что это простая и эффективная мера.
Номер порта можно настроить, изменив директиву Port 22 в файле конфигурации /etc/ssh/sshd_config. Он также указывается параметром -p <port> в sshd. Клиент SSH и программы sftp тоже поддерживают параметр -p <port> .
Параметр -p <port> можно использовать для указания номера порта при подключении с помощью команды ssh в Linux. В sftp и scp используется параметр -P <port> (заглавная P). Указание из командной строки переопределяет любое значение в файлах конфигурации.
Если серверов много, почти все эти действия по защите Linux-сервера можно автоматизировать в скрипте. Но если сервер только один, то лучше вручную контролировать процесс.
На правах рекламы
Закажи и сразу работай! Создание VDS любой конфигурации и с любой операционной системой в течение минуты. Максимальная конфигурация позволит оторваться на полную — 128 ядер CPU, 512 ГБ RAM, 4000 ГБ NVMe. Эпичненько :)
Секторов текущего программного обеспечения много, но нет сомнений в том, что одним из наиболее важных является тот, который относится к операционным системам. С Windows 10 у руля, Linux дистрибутивы постепенно становятся все более интересной и привлекательной альтернативой.
Одна из основных причин всего этого заключается в том, что эти дистрибутивы стали проще в использовании, чем в прошлом. Таким образом, действительно было достигнуто то, что пользователи, даже не имея большого опыта в этих вопросах, начали работать под этими с открытым исходным кодом системы. Как вы, вероятно, уже знаете многих из тех, кто был проинформирован об этом предмете или начал в захватывающем мире Linux, у нас есть много предложений.
Хотя база такая же, различия между многими из них дистрибутивы важны, поэтому мы можем выбрать тот, который нас больше всего интересует. Многие выступают за Ubuntu дистрибутив, но спектр возможностей идет гораздо дальше. Как бы то ни было, в этих строках мы хотим сосредоточить внимание на таком важном разделе, как безопасность . В течение многих лет было сказано, что безопасность в Linux намного выше, чем в Windows , что является правдой.
В то же время некоторые пользователи могут задаться вопросом, действительно ли им следует устанавливать антивирус или какое-либо другое решение безопасности в Linux. Поэтому здесь мы увидим несколько причин, по которым мы должны установить антивирус в Linux.
Интернет заставляет нас постоянно получать и отправлять файлы
Как мы уже упоминали, системы, основанные на Linux дистрибутив может быть заражен каким-либо типом атаки через вредоносное ПО. Но мы не должны забывать, что, несмотря на то, что мы работаем в Linux, мы обычно делимся файлами с людьми, которые работают в других системах, таких как Windows.
Это означает, что мы получаем и пересылаем все виды файлов что могло быть заражено. Поэтому, хотя эти вирусы не влияют на нас напрямую, они могут содержать вредоносное ПО, которое влияет на других, если мы их пересылаем. Следовательно, мы можем избежать этого, просто имея программное обеспечение безопасности.
Антивирусы Linux практически не потребляют ресурсы
Безопасность - одна из проблем, которая больше всего волнует современных пользователей технологий. Вот почему все меры предосторожности в небольших количествах, что также касается пользователей Linux. Конечно, хотя одна из основных претензий к Windows - это высокое потребление ресурсов ПК этими программами, здесь эта проблема сведена к минимуму.
Это связано с тем, что в системе с открытым исходным кодом эти антивирусы обычно довольно легкие и практически не потребляют ресурсы, поэтому мы практически не заметим их работы.
Использование внешнего USB-накопителя - обычное дело
Как Redmond операционной системы, пользователи Linux регулярно работают с внешними запоминающими устройствами. Это означает, что тем или иным образом мы подвержены этим рискам или можем подвергнуть третьи стороны этим рискам, поэтому имея антивирус никогда не повредит.
Нечто подобное также можно указать в случае, когда мы подключаемся к локальные сети на регулярной основе и обмениваться файлами с другими компьютерами на нем.
Вопрос больше относится к основам операционной системы (не обязательно к Linux системе).
1. Зачем в операционной системе надо закрывать порты?
И что будет, если их не закрыть?
2. Кстати, сколько портов в Linux-е? 65536 шт. TCP и 65536 шт. UDP ?
Вот моё простое представление на тему "почему надо закрывать порты":
- В системе есть программы, прослушивающие порты.
- Если порт открыт, то любой юзер снаружи сможет начать "общаться" с программой, прослушивающей порт.
- Если разработчик программы допустил ошибку в её логике прослушивания порта, то юзер снаружи может ухитриться "обмануть" программу. И программа выдаст юзеру секретную информацию или выполнит требуемое от неё действие (например запись на диск).
- Помимо того, что некоторые порты прослушивают программы, некоторые порты слушает и сама операционная система. И её также можно "обмануть" и "уговорить" выдать секретные данные, или произвести нужные манипуляции с данными.
(Поправьте, если я не верно понимаю необходимость закрытия портов.)
3. Если у кого-нибудь есть ссылки на тему портов, взломов, общих представлений, было бы хорошо выложить сюда.
4. Как бы всё понятно с портами, их над закрывать. Но почему и зачем для меня это тайна.
Но ведь "стук" в порт всегда обрабатывается сначала ОС, а потом только передётся нужной программе? (Вроде iptables как раз занимается обработкой входящих/исходящих пакетов ("стуков"))
5. Есть ли какие-то принципиальные отличия в работе портов и обработке портов между Linux и Windows?
Что мне ясно в линукс, даже если программу "обманут", она не сможет запиcать что-либо в системные директории, т.к. не имеет прав. (нахожу в этом большой плюс).
Но "обманутая" программа сможет радостно что-нибудь записать в домашнюю папку пользователя из под которого запущена =)
Может у кого-нибудь просто есть ссылки на хорошие книги или статьи на все эти темы?
Ну, например, напишу я сниффер который будет висеть на порту 666 и при подключении выдавать всю сграббленую инфу, и приду к тебе в гости. Пока ты пойдёшь доставать пиво из холодильника засуну его тебе в .xinitrc. Потом пойду домой и попробую достучаться до своего сниффа. И будет мне облом. А если ты вдруг потом посмотришь логи iptables, то сможешь увидеть, что какой-то angry_snif.sh пытается открыть порт, а какой-то c00l_haZk3r с ип из твоей же подсети пытается к этому порту приклеиться.
Ну это я так, на скорую руку сочинил, но суть примерно такова.
я сниффер который будет висеть на порту 666
Дык согласно официальному RFC
LDAPs 636 636 secure LDAP * (LDAP protocol over TLS/SSL)
Doom 666 666 network game *
Remotely Possible (ControlIT) 799 remote control. CA ControlIT support
1) обычно их закрывают из соображения паранойи. В случае предприятий это может быть оправдано разными факторами, то в домашних условиях ведущий фактор - паранойя как таковая.
2) Порты не в линуксе. И не в виндоусе. Порты - в протоколе. По поводу протоколов почитай модель OSI. Количество портов в TCP и UDP протоколах одинаковое.
4) см. п.1
5) Вопрос задан некорректно. Порты обрабатываются соответствующими протоколами. По уровням обработки читай модель OSI.
Уж послала, так послала.
читай модель OSI. Блин, это вообще зверская вещь, не понимая её, можно очень тупые вещи задавать и спрашивать (не имею ввиду автора темы), проявляя себя ламером. Админы - мазт кнау. А школоло, читать прямо сейчас.
По теме: ну да, по сути для паранойи больше.
Есть простое мнемоническое правило(возможно даже его мне подсказал КЭП): если ты не знаешь, зачем настраивать firewall сетевой экран в линуксе, то тебе его настривать не нужно :-).
я, кстати, на домашнем компе вообще на этот счет не парюсь под линуксом. Ну открыто, да и хрен с ним. А в винде у меня файрволл болтается, чтобы всякие свободолюбивые программульки не лезли на свои родные сайты и не забивали мне канал перманентными апдейтами. Т.е., грубо говоря, контроль трафика.
А в линуксе без моего чиха вообще ничего самостоятельности не проявляет, где не надо.
А вот на работе у меня на центральном маршрутизаторе ТАКОЕ наконфигурировано, что я за 2 года работы еще далеко не все до конца вкурил.
Спасибо, беру на заметку прочитать про OSI.
Конечно, можно порассуждать о паранойе. А можно посмотреть с другой стороны. У меня, например, IP реальный. И как только я его получил, так сразу же пошла такая долбёжка, что раз в минуту падал интерфейс eth0. Пока не настроил iptables -- так и мучился. С другой стороны, денег на отдельный сервер у меня пока не предвидится, так что у меня хранится конфиденциальная информация, рабочая и т.д. Всё это на машине, глядящей в internet реальным IP. Логично предположить, что если до всего этого доберутся, то я потеряю деньги и информацию. Так что перекрыть всё, что только можно, есть совершенно правильное решение.
Далеко ходить не имеет смысла -- сейчас у меня на машине есть 3 файла общей стоимость от 4,5 до 6 тысяч долларов. Достаточная ли это сумма, чтобы иметь лёгкие приступы паранойи?
стоимость от 4,5 до 6 тысяч долларов. А-а-а, спалился, спалился. Теперь осталось только узнать пароль от компьютера, где деньги лежат. :-)
Достаточная ли это сумма Паранойя стоит от 3 дней, до месяца и больше рабочего времени на обучение и настройку.
Тут надо смотреть в каждом конкретном случае.
Например мне не хотелось бы, чтобы мою детскую фотку в подгузнике, потом по всему интернету фотошопили, но КОМУ я на хрен нужен в подгузнике ? 4-6 т.у.ё. это полгода работы человека, тут и Backup и Firewall можно настроить (будет смысл).
А-а-а, спалился, спалился. Теперь осталось только узнать пароль от компьютера, где деньги лежат. :-)
Пароль я тебе хоть сейчас дам. Только что тебе с него? У меня запрещён удалённый вход в систему. :-Р
Паранойя стоит от 3 дней, до месяца и больше рабочего времени на обучение и настройку.
Настроил фаервол за 15 минут (мануал не соврал относительно времени настройки). И ещё день потратил на чтение документации, чтобы полностью понимать, что к чему. Думаю, что безопасность того стоит.
КОМУ я на хрен нужен в подгузнике ?
Вот лично ты, скорее всего, никому не нужен. А теперь представь себе человека публичного (политика, актёра, журналиста, писателя, художника, бизнесмена) -- тут уже совсем другой коленкор!
Настроил фаервол за 15 минут (мануал не соврал относительно времени настройки). Гы, просто в моём понимании настр. безопасности это несколько большее, до маниакальности :-), и потому для меня в подгузнике, мне лень настраивать.
КрабЭ или ШмелЭ в подгузнике, вполне ничего были бы, думаю не обиделись бы даже (просто расстреляли) сказали бы: "типа антикульт личности" пароль от компьютера, где деньги лежат. Это безвкусный петросяно-юмор игра слов, сравнительная с Может быть, тебе дать ещё ключ от квартиры, где деньги лежат? ("12 стульев"-1971-I, Остап)
Я с настройками особенно не церемонился. Тезис "что не разрешено, то запрещено" позволяет себя чувствовать достаточно спокойно. Потому могу отсканировать себя в пелёнках (и без таковых), и положить себе на винт. А вообще, забавно -- ведь когда я в этом так нуждался, то никаких подгузников у нас ещё не водилось. Ну, кроме марлевых.
У меня тоже реальный ip-адрес. И локалка на 25к абонентов. И ни грамма паранои. Только файла имеют не материальную ценность, а морально-духовно-. ну ты понел.
Не, ну если на компьютере "кинуха", "музон" и "фотки с бёздника", то как бы да -- никакой паранойи не должно быть. А если что-то действительно ценное. И если оно принадлежит не только мне. И если я чётко знаю, что "щупать" пытались с вполне конкретной целью. Ну ты понел. ;-)
Паранойя - не роскошь, а средство передвижения.
Ежели поперетряхивать личный архив среднего анонимуса, копившийся на винте хотя бы жалкий десяток лет - ну вы понели. Не посадить, так пощипать завсегда найдется. Или хотя бы потрясти чужим грязным бельем на потеху хомячкам.
Так что какая-никакая, но забота о безопасности должна быть.
Хотя бы на уровне пары часов обдумывания конфига файерволла и парольной чистоплотности :)
Читайте также: