Hogyn lehetne jobb a felhasználókezelés

kami911 képe

Új felhasználói csoportok:

  • Gyermek
  • Internet nékül
  • Szépkorú

Ezeknek megfelően csoportok. Tűzfal engedélyéezés, ipset-ek felvétele, vagy nftables használata DNS- és IP-csorortok felvételére az adott csoporthoz. Például (ez még kidolgozandó):

iptables -A OUTPUT -d 31.13.78.35 -m owner --uid-owner bobby -j DROP

Mi a véleményetek?

CsatolmányMéret
Kép ikon user_types.png34.28 KB

Hozzászólások

Konkrétabban mi a kérdés?

Esteleg alcímmel kifejtve (Milyen rendszer alatt (pl. a jelek szerint a lehetőségekben eltér a LM19 és LM20)...

A kérdés miről szól?

A. - Mik a lehetőségek? vagy

B. - Mi lenne jó, ha lenne / ha volna?

Értékelés: 

0
Még nincs értékelve
kimarite képe

Konkrétabban mi a kérdés?

#1 Vélhetően a kérdés kapcsolatba hozható ezzel a témakörrel akár,
Ezt nem gondoltam volna! A Linux Mint hozza el a Digitális Jólétet Magyarországra?
legalábbis ennek kapcsán lenne értelme a DJSzA-ba vagy a Linux Mintbe javasolni dolgokat. A javaslatokat és azok megvalósítását nem tudjuk, ki végezné. Vélemény: a Linux Mint és az LMDE 4 kiadásba lehetne elsősorban javaslatokat tenni, hiszen globálisan nagyobbat szakítanak, mint a DJSzA.

Az UFW tűzfalról, és az IPTablesről itt egy érdekes bejegyzés, netán elég jó kiindulópont is lehet:
Tűzfal - Kell tűzfal egy gépre?

Jelenlegi „állapotában” a kérdés tényleg nem egyértelmű.
Sztoikus nyugalommal én is keresztülsiklottam rajt', mondván, majd késő megpróbálom érteni is. (nem vicc, tényleg így működöm ... mint oly sokan)

Értékelés: 

0
Még nincs értékelve
kimarite képe

Konkrétabban mi a kérdés?

#1.1 Például (ez még kidolgozandó):

Mármint érdemes lenne kidolgozni a „dolgokat”, úgy értem én is.
Hogy mit, miért és hova, pontosítást kíván.

Értékelés: 

0
Még nincs értékelve

Konkrétabban mi a kérdés?

#1.1 A jó életbe, már nem tudom, mikor kezdtem el egy blogot írni, hogy majd felteszem ide, amiben én is felteszem a kérdést, és választ is adok rá. Gőzöm sincs, hogy be tudom-e fejezni, és hogy egyáltán belefér-e egyetlen blogba. És talán fél éve, hogy még egy betűt sem írtam hozzá, egyelőre csak 4 oldal (képekkel),  ODT-ben.

Tűzfal - Kell tűzfal egy gépre? -ez a kérdés nagyon általános. Röviden IGEN. Jobban kifejtve: Ubuntu és származtatott variánsai (Mint) alapból van tűzfal, a kérdést így kell feltennni:  Kell-e fogalakozni a tűzfallal? Válasz alapból nem, a tűzfal be van konfigurálva, csak akkor kell fogalkozni vele, ha szerver szolgáltatásokat is futtatunk a gépen. Szerver szolgáltatásnak minősül a mappa/ nyomtató megosztás, a torrent, a megosztott hálózati nyomtató / NAS használata, azaz, a legtöbb esetben kell vele fogalkozni, illik megismerni.

Értékelés: 

0
Még nincs értékelve
kimarite képe

Konkrétabban mi a kérdés?

#1.1.2 Válasz alapból nem, a tűzfal be van konfigurálva, csak akkor kell fogalkozni vele, ha szerver szolgáltatásokat is futtatunk a gépen. Szerver szolgáltatásnak minősül a mappa/ nyomtató megosztás, a torrent, a megosztott hálózati nyomtató / NAS használata, azaz, a legtöbb esetben kell vele fogalkozni, illik megismerni.

Így van. Általában kéne még némi IPTables beállítás alapból a tűzfalhoz.
(a lö karaktert két helyen is kihagytad: fogalkozni ;))

Értékelés: 

0
Még nincs értékelve

Konkrétabban mi a kérdés?

#1.1.2.1 jaja grrrr, evan, előfordul, ha párom bököd közben, hogy húzzak már el, de másksor is, ha egszerre sokfelé kell koncentrálni, mint legtöbb esetben... :-(

Értékelés: 

0
Még nincs értékelve
kimarite képe

Konkrétabban mi a kérdés?

#1.1.2.1 Egyébként én kíváncsi lennék a topik nyitó

-- véleményére,
-- ötleteire,
-- javaslataira.

Fel van dobva egy jó tág témakör, had rágja, aki éri. :)
(értjük is? ... mármint a „kérdést?” ;))

Értékelés: 

0
Még nincs értékelve

Kezdjük a másik oldalról megközelíteni inkább.

Én azt gondolom, a felhasználói csoportképézést tegyük a partra egy kis időre. Annyit hozzátennék, az, ami a Windowsban van / ahogy működik, az kicsit másképp van a Linuxban. Azt megoldani Linux alatt, hogy legyenek felhasználó csoportok, amibe sok, sokféle felhasználókat belehelyezünk, a csoportnak adjunk jogokat, ebből kapják meg a felhasználók is a jogaikat, csak faramuci módon lehet megoldani.  BTW, leginkább csak két csoporttal lehet ezt valamennyire megoldani, egy magasabb jogú csoport meg egy alacsonyabb jogú csoport képzésével.,

És akkor menjünk a másik oldalra, és közelítsünk onnan:

DNS / Hosts fájl. Ennek a kettőnek a szerepe ugyanaz lenne biztonság szempontjából.  A csúnya, veszélyes oldalakat domain nevek alapján más IP címre terelni.

Egyszer volt, hol nem volt (van), egy Ad-aware nevű program Windowsra, amelyik kezdetben nem víruskeresőnek indult, hanem azt próbálta megakadályozni, hogy a kártékonynak ítélt dolgokat blokkolja, ne kerüljenek a gépre, ne nyíljanak meg a böngészőben, stb. Többek között a Hosts fájlba írogatott a saját adatbázisa alapján. Ez hihetetlen hatékonyak bizonyult eleinte. De ennek aztán az lett az eredménye, hogy több százezres lett a lista, ami a gépet is megterheli, (ezért is lassult többek között a Windows, ahogy telt az idő...)

Ma már az Ad-aware víruskereső is, és nem a Hosts fájlt írogatja, hanem felhőalapú adatbázist használ a domain név azonosításra. Merthogy akkora számról van szó, adatbázis rekordokat illetően.

Tehát, a  DJSzA-ban levő Hosts fájl alapú kísérlete kissé gyermetegnek tűnik, bocs. Leginkább egy DNS szerverrel lehetne hasonlót alkotni, na de ehhez annak elég gyorsnak kellene lennie. Ma a leggyorsabb a Google DNS szervere, de pfúj, Google. Aztán vannak DNS szerverek, amik azon alapulnak, hogy a DNS szerverek gazdái mindent látnak, oszt vannak emberek akik ettől félnek, hát létrehoztak olyan célból DNS szervereket, amik azt ígérik, hogy nem követik a tevékenységüket. De olyant, ami a káros oldalak IP címeit átiranyítja, nem, nem is tudom, hogy szabad-e ilyent. Illetve vannak kezdeményezések a böngészők felől, hogy maguk szűrjék a káros oldalakat, de ehhez is a Google erőforrásait hasznájlák. Az emberek leginkább az internet szolgáltató  által használt DNS-t használják, azaz nem álltgatnak semmi ilyesmit.

Namármost, DNS-t lehet állítani a routerben (ha lehet), minden mást nem beállítani. Lehet állítani a rendszerben a hálózati kapcsolatoknál. És lehet állítani pl. a Firefoxban is, attól a böngészés már teljesen más DNS-t vesz igénybe.

FF beállításait a felhasználó profilja alatt tárolja, és adott felhasználó bármit módosíthat.

Chrome (pfúj, Google) alatt létezik olyan, hogy egyes beállításokat csak root joggal lehet változtani, már láttam ilyent, bár lehet, hogy ez csak W10 alatt működik. (Nem tudom, nem használok Chrome-t)

És persze, meg kell említeni, hogy mindkét böngésző alá vannak tartalomvédelmi kiegészítők, amik szülői felügyeletet próbálnak megvalósítani.

Uff, beszéltem.

 

 

Értékelés: 

0
Még nincs értékelve
kimarite képe

Kezdjük a másik oldalról megközelíteni inkább: szülői felügyelet

#2 Hát, ja, a csúnya rossz DNS-ek megfogása idő- és erőforrásigényes. Lehet ezt a hosts fájlban, a rendszer lassul, lehet ezt böngésző kiegészítőben, szintén a rendszer lassul. Visszakanyarodtunk a routerhez, illetve lehet a Hálózatkezelőhöz is. Kéne egy szolgáltató, ami megfogja a rosszfiúkat. A Google DNS nem fogja meg, persze, te sem erről beszélsz. Nem, nem ingyenes a legtöbb DNS szolgáltató. Én próbáltam többet, mint például a Comodo, tán a Norton szolgáltatásait is és igen, a Google szolgáltatását is. De kipróbáltam a ProtonVPN-t az ingyenes időszak alatt, igaz, ez szintén másról szól. A Mozilla is üzemeltet VPN-t, szintén fizetős. Stubby, stb.. ... visszatérve a rosszfiúkra, el lehet(ne) pár milliót költeni egy külső szerver megépítésére és üzemeltetésére, ami elvégzi a munkát a router, a számítógép, a rendszer, a böngésző helyett. Megoldható, mert mondom, a ProtonVPN iszonyat gyors volt a próbaidőszak alatt (még nem használom a fizetős szolgáltatást).

Értékelés: 

0
Még nincs értékelve

És akkor kanyarodjunk kicsit vissza

Az elözőekben felvázoltak alapján, elég necces dolog már az is, ha csak egysoros globális szabályokat próbálunk létrehozni tartalomszűrésre, pl. hosts fájl segítéségével, vagy egyéb módon, egyszerűen a szóba jöhető rekordok sokasága miatt, ami lassú rendszert eredményez. Talán segíthet, ha wildcardok használa biztosított, ez valamennyire talán, de csak talán, megvalósítható IP tartományok megadásával az iptables-ban, és itt már user-hez is köthető a dolog, azaz nem globális szabályokat is létre lehet hozni. De akárhogy is, a szabály szokaság problémája itt is fennál. Továbbá gondolom a kérdés azt is feltételezi, hogy nem konkrét user-hez kötödjön a szabály, hanem  minden user-hez, aki tagja adott (pl. Gyermek) csoportnak. Az iptables esetében ezt azt jelenti, hogy minden olyan usernek egyenként fel kell vinni minden szabályt, aki tagja az adott csoportnak. Azaz (szabályok száma)x(userek száma) szabályunk lesz.

Túl azon, hogy jelenleg ennek a megvalósítása sem biztosított, ha meg is valósul, mindenképpen egy használhatatlanul lassú működésű dolog lesz. Műszakilag a működő lehetőség az lenne, ha csoportonként létezne egy-egy DNS szerver, megfelelően konfigurálva, a kliensen meg Userenként a megfelelő DNS szerver lenne beállítva. Szerintem.

Értékelés: 

0
Még nincs értékelve
kimarite képe

És akkor kanyarodjunk kicsit vissza: szülő felügyelet (1+1)

#3 1. DNS: A szülői felügyeletre elegendő egy DNS szerver.
-- Ez adná a legszigorúbb szűrést.

2. DNS: az általános DNS csak az ártó oldalakat szűrné, és ezt lehetne bérelni valakitól, mármint ez egy olyan szerverhez csatlakozna, ami szűr, ilyetén tulajdonképpen a második DNS egy bridge lenne.
-- Ez egy általános szűrést valósítana meg.

3. DNS: mindent ki lehetne kapcsolni, mármint a fenti kettőt. Ez esetben azt állít be a felhasználó, amit szeretne.
-- Olyan szűrést valósítana meg, amit a felhasználó - egyéb módszerrel - beállít vagy, ha nem állít be semmit, akkor semmilyet.

Meg kell adni szabadságot a választásban. A fenti háromra gondolok.
Minden azonban csak admin joggal legyen megváltoztatható. Tehát egy gyerek ne kapcsolhassa kia  szűrést. (igaz, én nem a „szülői felügyelet módszerben hiszek, de legyen)
Az admin jogú műveletekrők: például és sajnos, az, hogy frissítsen-e a rendszer automatikusan vagy nem, a Frissítéskezelőben admin jog nélkül is megváltoztatható. Ez nem jó. Azt hiszem, én ezt kikerültem a scriptes beállítással... .

Őszintén szólva, és még nem néztem, az UFW beállításai mit valósítanak meg tulajdonképpen,  és azt hogyan teszik. Azt hiszem, az Otthoni beállítás a legszigorúbb. IPTablest használok,ha lehetséges (a Debian újabbban az NFTablest használja).

Értékelés: 

0
Még nincs értékelve

És akkor kanyarodjunk kicsit vissza: szülő felügyelet (1+1)

#3.1 Mint alatt nem lehet megváltoztatni az automatikus frissítés beállításait root jelszó ismerete nélkül. 19 alatt tuti, ha 20 alatt igen, akkor az bug.

A fenti 3 ból az Internet nélkül opció a legegyszerűbb, ahhoz nem kell szerver, helyi gépen letiltható.

UFW is iptables-ba ír, igaz, csak olyan szabályokat tud írni, amik "egyszerűek". Az alap 3 profil kb. egyenértékű "szigorúság" szempontjából, technikailag a Nyilvános profil annyiban más, hogy ez értesíti a küldő oldalt a visszautasítás tényéről, míg a többinél kussol. Ez az alaphelyhzet, bármelyiket lehet módosítani, szabályokat definiálni, és újabb profilokat is lehet felvinni. Ezek alapján módosítja az Iptables-t (mindkettőt, mert külön van az IPv4-hez és IPv6-hoz), És amikor profilt váltunk, akkor az alapján aktualizálja az iptablest.

Értékelés: 

0
Még nincs értékelve
kimarite képe

És akkor kanyarodjunk kicsit vissza: szülő felügyelet (1+1)

#3.1.1 Köszi. Nyaú (vagy vaú) :)

Értékelés: 

0
Még nincs értékelve
kami911 képe

És akkor kanyarodjunk kicsit vissza

#3 #3 ipset-tel gyorsabb, az lenne a terv. De egyáltalán hol vannak ilyen tematikus listák? Akár korhatári besorolással? Vagy nftables-sel megoldani.

Értékelés: 

0
Még nincs értékelve
kami911 képe

Igazából a bejegyzés arról

Igazából a bejegyzés arról szól, amit elkezdtetek, a közös gondolkodásról. A DJSZA jó ötlete, hogy tegyük bele valahogy az operációs rendszerbe. Nekem a DJSZA módszere nem tetszik, egyrészt lehetne sokkal rendszerközelibb, másrészt meg sem próbálták a Mint felé elfogadhatóvá csinálni. Igazából nem nagy dologról van szó. Az usert a GNOME által támogatott több típusba teszük bele, aminek a formája plusz csoportok. A csoportok meg kaphatnak plusz tűzfal beállításokat. És ezzel magvalósulna a tiltás kernel szinten DNS + IP. Persze ez még továbbra sem alkalmazás szintű proxy, de szerintem a főbb védelmet így is meglehetne tenni. Esetleg időkorlátos internet elérés. Mondjuk hogy éjszaka ne lehessen a netet elérni. Ilyeneek merültek fel bennem. Mi a véleményetek? Beszéljünk róla! A python része nem egy nagy mutatvány és ha kihozunk valami jót, akkor akár a Mint közösség felé is prezentálhatnánk, vagy kérhetnénk beolvasztást.

Értékelés: 

0
Még nincs értékelve
kimarite képe

Igazából a bejegyzés arról

#4 Értem. De több ötleted nyugodtan megoszthatod velünk is, akár valamilyen privát csatornán. És jó lenne sokkal jobban a részletekbe menned a saját ötleteid kapcsán. Meglehetősen általános dolgokat közölsz. Persze, mi is valamelyest, de ezen változtatni kéne. Úgy értem, érdemes lenne kifejteni, mert van, amit például én nem értek.

Privát csatorna: erre én akár a „nagy testvér levelezőlistát” javaslom.
Előnyei: bevált, pl. az OSM is használja. Maradandó. Nehéz elveszni benne. Könnyű használni.
Ha titkolóznánk, lehet a levelezést titkosítani.
IRC vagy Chat csatorna erre nem jó.

Értékelés: 

0
Még nincs értékelve