MAC OS X IN RETE e SU INTERNET

>Domanda OT, non capisco molto il comando telnet; ho scritto man telnet nel terminale, ma lo stesso non capisco il suo uso. Non e' che qualcuno velocemente mi puo' fare una panoramica?

------- Ti ha spiegato benone Postarmor.
Aggiungo solo qualche riga su telnet: scordalo e usa ssh, molto piu' sicuro. Il funzionamento e' lo stesso, entrambi permettono la connessione ad una altra macchina.

Ad esempio: accendi login remoto e poi digita nel terminale ssh localhost
In questo modo inizi la procedura di login alla tua macchina come se fossi su un altro computer.

Come puoi notare puoi inviare tutti i comandi proprio come se ti trovassi alla tastiera del computer remoto.

> Mettiamo caso io volessi fare un server FTP con il mio mac, come posso fare per tenerlo chiuso?
Controllo le porte?

---- beh, se vuoi fare un server le porte devi aprirle, e' per questo che tutti i servizi non strettamente necessari devono restare chiusi.
Se accendi il firewall di serie su jaguar noterai che, abilitando il servizio ftp, automaticamente viene autorizzato l'accesso alle porte 20 e 21 (22 per il login remoto, ovvero ssh).

Se il firewall di jaguar te lo permettesse, potresti provare a togliere la spunta dalle porte 20 e 21 e vedresti che il comando ftp localhost ti rifiuterebbe la connessione.

Se vuoi avere una panoramica delle porte usate di default dai vari servizi puoi fare less /etc/services
(oppure, visto che vuoi imparare il terminale, puoi farti del male con cat < /etc/services | less il risultato e' lo stesso. Come compito per casa devi capire tu il perche' ;-))

>NON é possibile di default fare telnet su Mac OS X, ma solo una connessione SSL (crittata): un punto a vantaggio di OS X rispetto ad altri *nix...

---- beh, dai, di distribuzioni linux che neppure includono il demone telnet server o che non lo attivano al boot non e' che non ce ne siano...

Chest> standing ovation from the rest of us.

> beh, dai, di distribuzioni linux che neppure includono il demone telnet server o che non lo attivano al boot non e' che non ce ne siano...

... ma non hanno imparato da molto, comunque... In ufficio il mio predecessore aveva installato la RedHat 7 (probabilmente la piú popolare in assoluto, la 8 é appena venuta fuori, se non sbaglio), e mi fa fare telnet come voglio (per fortuna! se lui fosse stato un po' piú paranoico, quando se ne é andato avrebbe lasciato tutti nella...)

Ad ogni modo, di st...upidaggini ieri vedo che ne ho scritte anche di peggiori...:-P

OK, tornando on-topic: la domanda originale era
> vorrei toccare il discorso della sicurezza, in modo veramente profondo; e-mail, navigare sul web, anti-spam ecc.

Riassumendo quindi...

Firewall: ne abbiamo parlato un po' (chiaramente? non so, sia io che Marco rischiamo di essere un po' troppo tecnici a volte...)

Navigazione web: lungo discorso... gli sprovveduti utenti Windows hanno molti piú pericoli da affrontare (tipo programmini che si installano automaticamente e ti fanno chiamate sul modem a numeri a pagamento), per ora Mac OS é relativamente al sicuro (e OS X di piú), basta per esempio configurare il browser in modo che NON espanda automaticamente i download, e cose simili...

E-mail: anche qui, per fortuna Mac OS soffre in misura MOLTO minore dei virus e-mail, visto che i client in uso non cercano di fare (come su Windows) cose senza il consenso dell'utente. Come sempre, un po' di attenzione ad attachment sconosciuti é d'obbligo... Se poi il discorso sicurezza si dovesse estendere alla sicurezza di comunicazione e crittografia dei messaggi, beh, allora é un discorso a parte...

Anti-spam: per ovvie ragioni, é il mio forte, ma parlarne per primo potrebbe suonare troppo da auto-incensamento... Se qualcuno ha domande specifiche, saró ben lieto di rispondere...

>> beh, dai, di distribuzioni linux che neppure includono il demone telnet server o che non lo attivano al boot non e' che non ce ne siano...
>
>... ma non hanno imparato da molto, comunque...

---- se ti riferisci alle popolari e' verissimo.
Ci sono pero' alcune distro specificamente studiate per la sicurezza (es. Trustix)

>Anti-spam: per ovvie ragioni, é il mio forte

spiega, spiega...

[enrico]

<FONT COLOR="aa00aa">MARCO - Se vuoi avere una panoramica delle porte usate di default dai vari servizi puoi fare less /etc/services
&#40;oppure, visto che vuoi imparare il terminale, puoi farti del male con cat &#60; /etc/services &#124; less il risultato e&#39; lo stesso. Come compito per casa devi capire tu il perche&#39; ;-&#41;&#41;</FONT>

mmm sono la stessa identica cosa.
<FONT COLOR="119911">less /etc/services</FONT>, mi leggi direttamente la pagina, mentre <FONT COLOR="0077aa">cat &#60; /etc/services &#124; less</FONT>, e&#39; una specie di redirect...penso...dimmi se sbaglio, ma non dirmi la risposta giusta, dammi solo qualche indizio, ci devo arrivare da solo....

<FONT COLOR="0000ff">MARCO - Ad esempio: accendi login remoto e poi digita nel terminale ssh localhost
In questo modo inizi la procedura di login alla tua macchina come se fossi su un altro computer.</FONT>

ok, funziona, pero&#39; questo anticipa che io abbia per forza il login remoto attivato, e un&#39; account sul computer.
Mettiamo caso che sono in rete con il computer del mio amico, e voglio fare il login, ma lui ha disabilitato il login remoto e non ho un&#39; account.
Disabilitando il login remoto, ha automaticamente chiuso la porta 22, quella che userei per SSH.
giusto?

OK, ve la siete cercata...;-&#41; Se qualcuno &eacute; stato tanto curioso da fare click sul mio profilo e visitare il sito sa di cosa sto parlando...

Gi&aacute; da un po&#39; di tempo mi ero rotto i c... dello spam, ed avevo cominciato a contemplare l&#39;idea di come fare a bloccarlo, mettendo assieme pezzettini di codice qui e l&aacute; per una soluzione che per&oacute; potevo usare solo io &#40;linea di comando, e ho detto tutto...&#41;.

Poi, in gennaio mi sono rotto anche una gamba &#40;no, lo spam non c&#39;entra...&#41;, ed ho quindi avuto un po&#39; di tempo a casa per rivedere il tutto, ripulirlo, esaminare soluzioni simili, tirare fuori la mia sintesi e mettergli su un po&#39; di interfaccia... risultato: nascita di PostArmor, che ha appunto come funzione quella di individuare e bloccare lo spam dal client &#40;qualsiasi&#41; ma senza doverlo prima scaricare, risparmiando anche quindi un po&#39; in tempo di connessione perso...

Nel corso dello sviluppo, ho quindi imparato &#40;e sto tuttora imparando&#41; un bel po&#39; su tattiche e contro-tattiche dello spam, ed ecco quindi spiegata l&#39;affermazione che &eacute; un po&#39; il mio forte...

&#62; ok, funziona, pero&#39; questo anticipa che io abbia per forza il login remoto attivato, e un&#39;account sul computer.
Esatto, ma due conseguenze diverse: se il login &eacute; attivo, un hacker potrebbe continuare a provare finch&eacute; non ti becca un&#39;account...

&#62; Mettiamo caso che sono in rete con il computer del mio amico, e voglio fare il login, ma lui ha disabilitato il login remoto e non ho un&#39;account.
&#62; Disabilitando il login remoto, ha automaticamente chiuso la porta 22, quella che userei per SSH. giusto?
S&iacute;, ma ancora conseguenze diverse: se la porta 22 &eacute; chiusa, non puoi entrare con SSH, ma un port scan fatto da un hacker riporterebbe comunque che al tuo indirizzo una macchina attiva c&#39;&eacute;, e potrebbe invitare l&#39;individuo ad esplorare se ci sono altre vie aperte...
Un firewall, invece, impedisce qualsiasi tipo di risposta, quindi a tutti gli effetti il computer non esiste al portscan...

-- e&#39; una specie di redirect

---- piu&#39; o meno.
per sapere cosa e&#39; cat leggi il suo man ;-&#41;
il simbolo di minore dice a cat di processare /etc/services e la pipa &#124; reindirizza l&#39;output di cat come input di less &#40;man less&#41;. Potevi mandarlo a more o a grep ecc.

Fai qualche tentativo nella tua home con i files di testo e i vari minore, maggiore, pipa, doppio maggiore ecc. &#40;scusa, ma devo scriverlo cosi&#39; altrimenti l&#39;intrfaccia web del forum li interpreta per chissa&#39; cosa&#41;
Magari prendi un tutorial a caso per linux e seguilo.

[hany]

Posso permettermi di sfatare 3 miti?

1&#41; Il servizio ssh e&#39; piu&#39; sicuro di telnet.
2&#41; Il firewall di osx protegge da intrusioni esterne.
3&#41; Le manpages sono inutili e incomprensibili.

Motivi:

1&#41; il demone ssh gestisce le password in modo criptato, mentre telnet le gestisce in &#39;chiaro&#39;. Ssh quindi non consente a un hacker GIA&#39; introdotto nella nostra macchina di rivelare le password che ancora non sa. Ssh non consente nemmeno al vostro provider di sbirciare nelle vostre sessioni remote. Tutto qui. Nulla a che fare con la &#39;sicurezza&#39;. Dopodiche&#39; aggiungo che il demone ssh in questi ultimi mesi &#40;vedi bugtraq&#41; e&#39; il servizio considerato potenzialmente piu&#39; vulnerabile. Il brute forcing dello stack del demone e&#39; pratica diffusa, semplice, e con la quale di ottiene con estrema rapidita&#39; l&#39;accesso come root alla shell del sistema. Ergo: la vostra macchina/rete rischia una TOTALE compromissione per colpa dell&#39;utilizzo &#39;normale&#39; di sshd &#40;chiamato &#34;Login Remoto&#34; su osx&#41;.
Io non uso ssh. Uso sempre telnet. Un comodo sniffer &#40;uno qualsiasi&#41; mi consente di monitorare costantemente le attivita&#39; di chi usa il server. Ogni amministratore dovrebbe poterlo fare.

2&#41; Il firewall e&#39; come una porta blindata. Se la chiudi non passa nessuno. Se la apri passano tutti. L&#39;unico modo di utilizzare con successo un firewall, e&#39; quello di scendere nei meandri piu&#39; profondi della sua configurazione, capirla, e agire di conseguenza.
Esempio: aprite la condivisione ftp su osx. Se attivate il firewall di osx, i servizi &#39;spuntati&#39; saranno diponibili, gli altri no. Bene. Scusate ma, mi spiegate l&#39;utilita&#39; di questa cosa? Secondo me non ne ha proprio. Se un servizio non deve essere utilizzato, non bisogna chiudere la porta, bensi&#39; spegnere il demone. Ora, la GUI del firewall di osx fa schifo, fa pieta&#39;, e&#39; un puro esercizio di inutile stile. Per fortuna qui entra in gioco BrickHouse. E il Terminal.
A mio modestissimo parere un firewall settato bene deve consentire un accesso selezionato ai servizi. Cosa significa? Significa che io devo poter decidere CHI puo&#39; collegarsi al mio server ftp e chi NO. Con Brickhouse posso decidere quali IP &#40;o quali classi di ip&#41; sono abilitati alla connessione a un determinato servizio. Posso abilitare l&#39;accesso ai client della LAN e disabilitarlo a internet. Con un click. Poi, non contento, posso editare con il Terminal il file /etc/ftpusers. Gli users listati in quel file NON possono fare login con ftp. E&#39; utile disabilitare gli admins, il root e gli users corrispondenti ai vari demoni, anche spenti.
Tutti gli altri servizi &#40;telnet web sql ecc&#41; hanno la possibilita&#39; di &#39;filtrare&#39; gli accessi, sia utilizzando i loro script di conf, sia utlizzando BrickHouse. Vorre sottolineare anche come BrickHouse non sia un firewall, ma una semplice GUI costruita per rendere facile la configirazione di &#39;ipfw&#39;, firewall/router integrato in osx.
La configurazione di ipfw puo&#39; essere fatta anche tutta da Terminale. Non e&#39; ASSOLUTAMENTE una cosa difficile. Un pdf generico su osx presente su macity, non ricordo il link ma e&#39; roba di poco tempo fa, contiene fra le tante cose anche la spiegazione di come aggiungere &#39;regole&#39; al firewall di osx.

PostArmor: &#34;Un firewall, invece, impedisce qualsiasi tipo di risposta, quindi a tutti gli effetti il computer non esiste al portscan...&#34;

Non e&#39; assolutamente cosi&#39;. IL firewall di osx non previene assolutamente il portscan. Prova con nmap. L&#39;unico modo che hai su osx di nascondere una porta e&#39; quello di spegnerlo, oppure quello di filtrarlo totalmente togliendo la spunta dal firewall.. che equivale esattamente a spegnerlo.
L&#39;unica soluzione per avere servizi SICURI e&#39; quella di settare il firewall con regole PRECISE, utilizzando password LUNGHE, affidate a utenti FIDATI, e tenendosi aggiornati SPESSO sui tanti modi con i quali un servizio puo&#39; essere &#39;bucato&#39;, sia dall&#39;esterno sia dall&#39;interno. Se tutto cio&#39; vi sembra troppo, allora non aprite nessun servizio. Non sperate che ci possa mai essere un sistema operativo che consenta a un &#39;newbie&#39; di gestire server in modo &#39;sicuro&#39;. Non puo&#39; esistere.

3&#41; Chest: la prima volta che ho usato man e&#39; stato con la DP2 di osx. Te la ricordi? Non sapevo nulla non capivo nulla e mi schifava quella inutile e incasinata serie di incomprensibili messaggi subliminali da geek in fase terminale.
Bene. Ora ti dico che le man pages sono la parte piu&#39; importante di osx. Sono il succo di Unix, sono lo strumento &#40;l&#39;unico cosi&#39; veloce&#41; con il quale un ignaro amighista come me ha imparato a conoscere e ad utilizzare UNIX. E come godo nel vedere che tutto cio&#39; che imparo su osx, va benissimo su Freebsd, Linux, Irix.. Su tutti i miei sistemi.
Bisogna entrare nella loro filosofia. Bisogna accettarne sia la necessaria concisione, sia il fatto che alcune di quelle pagine furono scritte 20 anni fa da persone che forse ora non ci sono nemmeno piu&#39;, e che mai pensarono di poter finire su una cozza arancione con pipici&#39; come la mia.
Se non ci fossero state la man pages non avrei mai capito come muovermi, credo che oggi sarei, mio malgrado, passato a windows. Dove non c&#39;e&#39; nulla da capire. A me sinceramente fa piu&#39; schifo l&#39;opuscoletto del cavolo che si trova nella scatola di Jaguar. 10 euro buttati in inutile carta patinata che spiegano quello che anche un microcefalo avrebbe capito in 3 minuti di utilizzo di osx!

Bene, ho concluso, ho espresso le mie personalissime opinioni, attendo risposte perche&#39; la questione della sicurezza e&#39; FONDAMENTALE per lo sviluppo della nostra piattaforma.

ciao ciao