Bastille

[Pensacola]

Aangezien ik toch wel bezig ben met de veiligheid van mijn systeem heb ik door een tip van leoquant bastille geprobeerd maar als ik die probeer te draaien in Feisty krijg ik volgende error:
/usr/bin/perl cannot find Perl module Tk.
         The above module(s) is/are required to correctly display
         the Bastille User Interface.  If you are unable to find a
         pre-compiled module for your OS, they can be found at:
           http://www.cpan.org/modules/01modules.index.html
         If you installed the modules in another installation of
         perl besides the one listed in the error message, you may
         override Bastille's search path by setting the
         $CORRECT_PERL_PATH environment variable to the directory
         that the desired perl binary is located in.
         If you don't want to use the default X11 interface then
         run 'bastille -c'. For more information on available interfaces
         see bastille(1m) or run 'bastille -h'

Welke packages moet ik installeren?

[Pjotr]

ik zou in Feisty geen hardening toepassen voorlopig, omdat die nog in volle ontwikkeling is en dus ook constant wordt opgewaardeerd en bijgewerkt met allerlei updates. Dat proces wil je niet frustreren met hardening.

[Pensacola]

Ok bedankt voor het advies

[Soul-Sing]

bastille via de synaptic installeren neemt direct libcursus-perl mee. ik denk dat je die mist.( soort graf.module)

[CrazyCentaur]

Hoe staat het eigenlijk met SE Linux en Ubuntu? Ik ken het een beetje van Suse en zie het nu ook verschijnen bij Ubuntu (waar ook weer, zei hij vermoeid).

[Soul-Sing]

oef, apparmor in suse. debian heeft open gestaan voor SElinux en de NSA:
ingewikkelde/overontwikkelde security "bijdrage" van de NSA. lol
SElinux is ingewikkelde materie met een politiek tintje.

einde onsamenhangende bijdrage.

[CrazyCentaur]

oef, apparmor in suse. debian heeft open gestaan voor SElinux en de NSA:
ingewikkelde/overontwikkelde security "bijdrage" van de NSA. lol
SElinux is ingewikkelde materie met een politiek tintje.

Ah ja, ik haal dingen door elkaar. Ik heb eens zitten lezen hoe dat in zijn werk gaat. Het is wel waar jij het over hebt: 'hardening'. Soms vraag ik me af of het middel niet erger is dan de kwaal.

Mij viel die NSA-achtergrond ook op. Ik denk dan meteen: o dat is om een achterdeurtje in te bouwen zodat ALLEEN de NSA er nog bij kan.

Maar mijn vraag is er nog: kun je in bijvoorbeeld Feisty Fawn echt SELinux laten functioneren? Mij viel op dat er bij de permissies in ieder geval al sprake van is.

einde onsamenhangende bijdrage.

Nou, geeft echt niet, hoor. Ik was gisterenavond ook volkomen kadaver Zo gaat dat soms.

[Johan van Dijk]

Mij viel die NSA-achtergrond ook op. Ik denk dan meteen: o dat is om een achterdeurtje in te bouwen zodat ALLEEN de NSA er nog bij kan.

Gelukkig is het open source: ieder achterdeurtje dat ze er in hebben gestopt is dus te zien.
Bovendien maken ze er zelf ook gebruik van, en ik denk niet dat ze opzettelijk een systeem gebruiken waar gaten in zitten

Hoe werkt dat hardening eigenlijk?
Is een normaal systeem niet veilig genoeg, en hoeveel veiliger wordt het met SElinux?
Wat zijn de nadelen van een systeem dat beveiligd is dmv SElinux?

[Soul-Sing]

nadeel is "overtweaking", het nodeloos ingewikkeld maken van alles, daardoor kunnen foutjes optreden in het systeem, deze zijn soms moeilijk te repareren.

[CrazyCentaur]

nadeel is "overtweaking", het nodeloos ingewikkeld maken van alles, daardoor kunnen foutjes optreden in het systeem, deze zijn soms moeilijk te repareren.

Dat ben ik met Leon eens. Kern van de zaak is het zeer uitgebreid vastleggen en sturen van alle zaken van een systeem, de rechten  van bestanden, de rechten van gebruikers, wat configueratiescripts nu precies laten gebeuren, en noem maar op. In de woorden van de Wikipedia

In computing, hardening is the process of securing a system. This work is especially done to protect systems against attackers.

This would typically include removal of unnecessary usernames or logins and the disabling or removal of unnecessary services. On a typical Windows server, one example would be the disabling of the "print spooler" as this may not be needed.

There are various methods of hardening Unix and Linux systems. This may involve, among other measures, applying a patch to the kernel such as Exec Shield or PaX; closing open network ports; and setting up intrusion-detection systems, firewalls and intrusion-prevention systems. There are also hardening scripts and tools like Bastille Linux and Apache/PHP Hardener [1] that can, for example, deactivate unneeded features in configuration files or perform various other protective measures.

Je timmert de zaak dus helemaal dicht. Maar ondanks het streven naar zo simpel en overzichtelijk mogelijk, is het op de ondergrond dus complex en gevoelig voor fouten (bv. omdat je alles moet vastleggen en beslissen).

Je wilt 'secure', maar het gevolg is dat mensen daar niet aan meewerken. Denk aan ingewikkelde wachtwoorden die mensen dus maar gaan opschrijven en aan hun beeldscherm hangen. Of aan het gedrag dat al die waarschuwingen van Vista veroorzaken: het uitzetten van wat die waarschuwingen terecht veroorzaakt omdat het te veel wordt.

Soms denk ik wel eens stout dat iedereen die in ICT werkt eerst een paar jaar sociale dienst[plicht zou moeten vervullen, gewoon om de echte wereld te leren kennen en om te leren zien hoe gewone mensen met techniek omgaan

[Basic]

Ik heb Bastille geïnstalleerd, maar heb het idee dat internet nu trager is, en moest net in K3b opnieuw de snelheid van mijn branders instellen omdat 'de configuratie gewijzigd' was. Ook kreeg ik na eerste keer starten met sudo bastille:

ERROR:   System is not running a stable Debian GNU/Linux version. Setting to 3.0.
ERROR:   System is not running a stable Debian GNU/Linux version. Setting to 3.0.

NOTE:    Valid display found; defaulting to Tk (X) interface.
NOTE:    Using Tk user interface module.
NOTE:    Only displaying questions relevant to the current configuration.
NOTE:    Bastille is scanning the system configuration...

NOTE:    Could not open config file /etc/Bastille/config, defaults used.

Het error log ' var/log/Bastille/error-log ' geeft:

{Mon May 21 23:33:46 2007} ERROR:   open /etc/logrotate.d/syslog failed.
{Mon May 21 23:33:46 2007} # Couldn't append line to /etc/logrotate.d/syslog, since open failed.

Is bovengenoemd gedrag te verklaren of vreemd en kan ik Bastille er beter afgooien? En is dan een sudo apt-get remove --purge Bastille voldoende, of moet ik eerst via Bastille de oude situatie herstellen om geen fouten in het systeem te krijgen? Ik heb overigens bij GRC gecheckt en Firestarter is nog steeds 'stealth'.

Alvast bedankt voor de hulp!

Groeten, Basic

[Soul-Sing]

bastille heeft een wizard nietwaar? is het mogelijk om alles wat je hebt ingesteld als hardening, weer ongedaan te maken? of heb je enkel alles default/neutraal gedaan. het lijkt me belangrijk daar even na te kijken, voordat je bastille verwijderd....
op dapper had ik het prog idd draaien, jij merkt echt dat de snelheid terugloopt op je systeem?

[Basic]

Hoi leoquant,

Ik heb NIET uitsluitend de default instelling gekozen. File settings lijken me bijvoorbeeld al heel goed geregeld in Ubuntu (dacht ik tenminste).

Met de wizard die opgestart wordt vanuit de terminal door het commando sudo bastille kun je in ieder geval per onderdeel voor 'restore default' kiezen.

Daarnaast heb ik ergens gelezen dat je e.e.a. ook nog met een commando of zo (waarschijnlijk in 1 X) kon doen maar moet daarvoor even zoeken.

Heb het idee dat het systeem bij mij iets langer staat te ratelen. Heb wel een eenvoudige computer en misschien vergis ik mij.

Ik heb de diverse bijdragen m.b.t. bastille op het forum al gelezen, maar vind het moeilijk te bepalen of dit nu noodzakelijk is voor een (paranoia) thuisgebruiker?
Mijn systeem moet niet nodeloos ingewikkeld worden gemaakt maar beveiliging is wel heel belangrijk. Wat vind jij?

Basic

P.s. Zag overigens dat Fedora Core 6 standaard SELinux installeert met voorconfiguratie.