[07:11] takk :P [07:30] mrgn [07:30] kff [07:41] samba 4 er sluppet! https://www.samba.org/samba/news/releases/4.0.0.html [09:09] hva skal dere med samba etter? [09:09] windows er jo grusomt og fælt [09:09] :p [09:22] og smertelig nødvendig... [09:28] f00f-: ja, alle her hater windows. er super-Ubuntu-nerder med skylapper og ser ikke annet enn feilene til os-x og windows. De som sier det er noe feil med Ubuntu, bugs, osv, de har vrangforestillinger. [09:28] For Ubuntu er religionen til alle her og vi ber 5 ganger hver dag mot hovedenkontoret til Canonical [09:32] * RoyK gir malin kaffe og pepperkaker [09:35] også har man de 10 bud. 1. Du skal ikke ha andre os enn Ubuntu 2. Du skal ikke misbruke Ubuntus navn 3. Du skal holde Ubuntu-hviledagen hellig 4. Du skal hedre Jane Silber og Mark Shuttleworth 5. Du skal ikke slå i hjel Ubuntu 6. Du skal ikke bryte ekteskapet (til Ubuntu) 7. Du skal ikke stjele betalsoftware 8. Du skal ikke tale usant om din neste Ubuntu-versjon 9. Du skal ikke begjære din nestes [09:35] ubuntu-eiendom 10. Du skal ikke begjære din nestes os, eller hans linux-kjerne, eller andre som hører til hos din neste Ubuntu-maskin [09:35] takk RoyK :) godt [09:35] * Mathias gir RoyK iste og svinekoteletter [09:35] haha [09:36] 11. Du skal ikke bruke annet enn unity [09:36] neineinei! :( [09:37] * Mathias holder for ørene og skriker lalalalalalalala [09:38] geirha: ja, det er faktisk mer enn 10 bud i Ubuntu-ismen [09:38] glemte jo det der budet [09:39] I følge QI har kristendommen langt flere enn ti bud også [09:41] 12. Du skal ikke bruke sudo i hytt og pine [09:41] hvis man er smart så bruker man ikke sudo i det heletatt [09:41] sudo er elendige saker [09:41] men hysj, ikke fortell dette til the shuttleman [09:42] 13. Du skal ikke snoke i din nestes hjemmekatalog [09:42] sudo er flott. Bedre enn su i alle fall. [09:42] bud 1 er jo fint: Du skal ikke ha andre guder enn meg. Med andre ord skal alle andre guder ignoreres - eller - implisitt - finnes det mange andre ;) [09:42] geirha: ser du også på qi? [09:42] geirha : antall sårbarheter i su vs. sudo de siste fem årene? [09:42] la oss leke telleleken [09:43] 1-2-3-4.. [09:43] en, to, tre, fire, fem, seks, sju, åtte, ni, ti, elleve, tolv, tretten, fjorten, femten, seksten, sytten, atten, nitten, tjue [09:44] sudo er sikkert fint for folk som har null begrep om sikkerhet [09:44] men alle andre er det best å styre laaaangt unna [09:44] for alle andre* [09:47] skal man først bruke noe sudo-ish opplegg bør man i det minste finne et alternativ som er skrevet av noen som kan kode [09:48] meh, sikkert nok for meg. [09:51] hva vil det si? [09:54] at jeg ikke bryr meg om det har vært noen sikkerhetshull. De blir tettet raskt nok. [09:55] RoyK: ja, det fantes visst flere guder [09:56] hm, jeg husker en annen her inne som pratet om hvor farlig sudo var [09:57] sudo er bad shit [09:57] alle som følger med på hva som skjer i verden har fått med seg dette for lengen siden [09:57] skulle man tro, i alle fall [09:57] :) [09:58] * geirha har tydeligvis ikke fulgt med på hva som skjer i verden [09:58] lett for [09:59] heldigvis kan man lese om ting i ettertid [09:59] kanskje du vet om ei side som forklarer hvorfor sudo er så farlig? [09:59] menneh - om man setter opp en maskin hvor man kun tillater ssh med nøkler, ikke passord-autentisering, så er du uansett *rimelig* sikker [10:04] For øvrig sier våre hellige skriftruller at sudo er bedre https://help.ubuntu.com/community/RootSudo [10:10] heheheh [10:10] her finner du det du leter etter, geirha [10:10] http://www.google.no/#hl=no&tbo=d&sclient=psy-ab&q=sudo+vulnerabilities&oq=sudo+vuln [10:14] * RoyK har også sett folk male faen på veggen når sudo har vært tema, men har brukt det selv *lenge* uten problemer, selv i større organisasjoner [10:14] så å henvise folk til å gugle, blir litt for teit når en prøver å fremme noe [10:15] litt som å snakke om at chemtrails finnes og er laga av CIA, siden det er mange som har skrevet om det på nett ;) [10:15] http://xkcd.com/386/ [10:16] http://www.aftenposten.no/digital/Dette-monsteret-finner-passordet-ditt--7067480.html [10:17] RoyK : hva mer kan jeg gjøre enn å fortelle at sudo har en historie med mange dumme sårbarheter? [10:17] jeg må vel ikke tegne og forklare hver eneste en til dere også? [10:18] og hvem av oss snakker om chemtrails nå liksom [10:18] heh-heh [10:18] "sårbarheter i sudo ja, akkurat som chemtrails!" [10:18] tsk tsk, rare jævel [10:19] vi snakker om å male faen på veggen - å komme med masse utsagn og null referanser [10:19] google er en referanse [10:19] nei [10:19] du klarer vel å finne frem til sårbarhetsinformasjon selv? [10:19] google er en søkemotor [10:20] eller må jeg utføre googlesøket og luke ut alle relevante treff og presentere dem til deg i en liste? [10:20] * RoyK dingler med sparkefoten [10:20] :) [10:20] skal du kicke meg fra kanalen igjen nå? [10:21] her er referansene du etterspør, sånn før jeg blir kicket: [10:21] http://lwn.net/Articles/478139/ [10:21] http://www.vnsecurity.net/2012/02/exploiting-sudo-format-string-vunerability/ [10:22] http://www.ubuntu.com/usn/usn-1442-1/ [10:22] http://www.ubuntu.com/usn/usn-905-1/ [10:23] http://www.cvedetails.com/cve/CVE-2011-0010/ [10:24] viktig sak: http://www.cvedetails.com/product/200/Todd-Miller-Sudo.html?vendor_id=118 [10:24] 25 sårbarheter i sudo, i snitt et par i året [10:24] jeg skal gi deg url til hver enkelt av dem siden du ikke klarer å finne ting selv [10:25] http://www.cvedetails.com/cve/CVE-2012-3440/ [10:25] http://www.cvedetails.com/cve/CVE-2012-2337/ [10:25] http://www.cvedetails.com/cve/CVE-2012-0809/ [10:25] 11:25 f00f-> http://www.cvedetails.com/cve/CVE-2012-3440/ [10:25] http://www.cvedetails.com/cve/CVE-2011-0010/ [10:25] http://www.cvedetails.com/cve/CVE-2011-0008/ [10:25] http://www.cvedetails.com/cve/CVE-2010-2956/ [10:25] http://www.cvedetails.com/cve/CVE-2010-1646/ [10:25] http://www.cvedetails.com/cve/CVE-2010-1163/ [10:26] http://www.cvedetails.com/cve/CVE-2010-0427/ [10:26] http://www.cvedetails.com/cve/CVE-2010-0426/ [10:26] http://www.cvedetails.com/cve/CVE-2009-0034/ [10:26] http://www.cvedetails.com/cve/CVE-2007-4305/ [10:26] http://www.cvedetails.com/cve/CVE-2007-3149/ [10:26] http://www.cvedetails.com/cve/CVE-2006-0151/ [10:26] http://www.cvedetails.com/cve/CVE-2005-4158/ [10:26] http://www.cvedetails.com/cve/CVE-2005-2959/ [10:26] http://www.cvedetails.com/cve/CVE-2005-1993/ [10:26] http://www.cvedetails.com/cve/CVE-2005-1831/ [10:26] http://www.cvedetails.com/cve/CVE-2005-1119/ [10:26] http://www.cvedetails.com/cve/CVE-2004-1689/ [10:26] !pastebin [10:26] For posting multi-line texts into the channel, please use http://paste.ubuntu.com | To post !screenshots use http://imagebin.org/?page=add | !pastebinit to paste directly from command line | Make sure you give us the URL for your paste - see also the channel topic. [10:27] http://paste.ubuntu.com/1427273/ [10:29] du er så hard to please RoyK [10:35] lurer på en ting tho [10:35] tror du CVE-informasjonen om sudosårbarheter er skrevet av konspirasjonsteoretikere som er ute etter å svekke sudo sitt omdømme? [10:35] :) [10:35] det kan jo hende [10:56] neida - bare slapp av - men feil fra 8 år tilbake er ikke så veldig relevante - knapt de fra 2 år siden heller. uansett er spamming av kanalen feil [10:57] så ikke gjør det [10:58] eller - mer generelt - oppfør deg... [11:12] 121212 [11:17] evt 1212121212 :D [11:17] * RoyK var opptatt av oppsett av multipath og glemte hele greia... [11:20] hehe [11:24] RoyK : ja, historie er alltid irrelevant, jeg kan ikke fatte og begripe at det er et eget fag på skolen [11:30] man lærer vel ikke historie på skolen som om det som har skjedd før er dagens sannheter [11:31] fint at jeg slipper unna den historien der [11:31] er en egen historie [11:31] f00f-: ro deg ned, nå. historie er aldri irrelevant, men med den masinga di, er *du* snart irrelevant [12:00] sier du [12:01] men nå er dette #ubuntu-no og ikke #RoyK [12:27] ja... det er det... men du oppfører deg såpass kjepphøyt, at det virker som om du tror det er #f00f- [12:29] morsomt at du skulle nevne kjeppkhøyt :) [12:30] kjepphøyt* [12:37] halvparten av det RoyK sier er irettesettelser til f00f-, og halvparten av det f00f- sier er ment for å provosere RoyK. [12:37] synes dere kan filtrere ut halvparten hver. [12:37] enig [12:38] hvis ikke det virker, må dere legge inn hver deres ignore på den andre [12:39] vi er nok voksen nok til å håndtere dette uten ignore får en håpe :) [12:40] gjenstår å se [12:41] true true [13:12] det var domenet sitt.. [13:13] haha [13:28] f00f-: hva foreslår du istedenfor sudo? [13:29] jeg klarer meg fint med su(1) [13:29] på jobb bruker vi super [13:30] mhm, kjempesikkert [13:30] har du noe å utsette på sikkerheten rundt bruken av su og/eller super? [13:31] ja [13:32] lyst til å dele? [13:34] med deg? nei. [13:34] hva om jeg ser en annen vei, og så kan du dele det med de andre som er her inne? [13:35] uansett ser jeg ikke hvorfor du spør meg om hva jeg foreslår som alternativer til sudo, når du ikke er interessert i å prate med meg [13:35] litt spesiell oppførsel.. [13:35] helt greit, jeg venter du forsvinner fra kanalen. [13:35] kom tilbake... til påske [13:35] jeg tolker det dithen at du egentig ikke har peiling på hva du snakker om, og at du ble svar skyldig når jeg spurte deg på hva du har å utsette på sikkerheten til su og super [13:36] det er helt greit, men du kan like gjerne bare være åpen om det fremfor å fremstille deg selv som en tullebukk [13:36] jeg foreslår at folk avstår fra tolkninger og de som ikke har noe konstruktivt å si kan holde fred en stund [13:37] her var det liv [13:37] mhm [13:37] vi har fått en selvutnevnt sikkerhetsekpert på 19år her inne [13:38] jeg har utdannelse i IT-sikkerhet ja [13:38] fantastisk [13:38] jau, det funker det [13:38] bedre enn ingen utdannelse i alle fall [13:39] men å si at jeg er 19 år medfører nok ikke riktighet! [13:39] CISA? CISM? CISSP? [13:39] det er sertifiseringer, ikke utdannelser [13:39] afaik [13:39] du har ikke de? [13:39] neivel. [13:39] nei, jeg har ingen sertifiseringer [13:40] er ingen fan av sånt, masse penger for relativt verdiløse papirer [13:40] i rest my case [13:40] kanskje jeg ville vurdert det om jeg hadde problemer med å få meg jobb, men sånn er det ikke [13:41] det viser seg at man kommer lenger med en formell utdannelse enn raske sertifiseringer [13:41] merkelig med det [13:41] hahaha! du er morsom [13:41] takk, tror jeg [13:42] f00f-: hvilken utdannelse har du da? [13:42] oo.. la meg gjette først! [13:42] vi lar Solskogen gjette først [13:42] la det være [13:42] han har tatt et kurs på noroff [13:43] brevkurs? [13:43] hvilken grad får man av å ta et kurs hos noroff da? [13:43] bachelor, tror jeg. [13:43] tar nok feil da gitt [13:43] bachelor er en treårig utdannelse [13:44] mhm, det er for langt for deg. vi skjønner det. [13:45] hvem er vi? [13:45] "Vi" eller "du"? [13:45] Syns det ble litt vel syrlig her [13:45] Trodde dette var en seriøs kanal [13:45] kanalen er nok seriøs, men Solskogen er alt annet enn [13:46] det trodde jeg og. helt til poff kom på besøk og trengte å få ut noe som var litt innestengt [13:48] beklager, men når noen som ikke vet hva CISSP er - og kaller det "raske sertifiseringer" så er det umulig å ikke skru på satire [13:49] hvordan fikk du for deg at jeg ikke vet hva det er? [13:49] fordi du kalte det "raske sertifiseringer", derfor /vet/ jeg at du ikke vet hva det er. [13:50] "The exam is multiple choice, consisting of 250 questions with four options each, to be answered over a period of six hours" [13:50] en eksamen som tar seks timer og består av 250 spørsmål er ganske raske greier i min nok [13:50] bok* [13:50] i alle fall om du skal stille det opp mot en 3-5 årig utdannelse på universitet [13:50] det mangler bare at du kaller det verdiløst også [13:50] for meg er det verdiløst i skrivende øyeblikk [13:51] hva det er for deg skal jeg absolutt ikke legge meg opp i [13:51] der kom det [13:51] du tror vel at du er the shit fordi du har klart å svare på 250 multiple choice-spørsmål [13:51] :) [13:52] ja - og jobbet minst 6 år fulltid med itsikkerhet [13:52] det går av seg selv så snart man får en jobb [13:52] men men [13:52] hva synes du om tiden din i noroff da? [13:53] var det bedre enn it-akademiet? [13:53] *gjesp* [13:53] trøtt? [13:53] :) [13:54] av misdannelser som deg? ja. [13:54] og det hjelper desverre ikke å legge seg ned heller [13:54] dessverre skrives med to s-er [13:54] jeg bare nevner det [13:55] trololol [14:39] jeg tror f00f- er denne personen som var her for en tid tibake og spurte om hvordan man avinstallerer sudo [14:40] hva er alle postene som du postet f00f- [14:40] * malin gidder ikke åpne dem [14:41] men siden du skal hakke og plukke på alt, lag din egen distro da [14:52] han driver nok med en tror jeg [14:52] f00f-ian linux [14:55] helt uten sudo [14:55] foff sa det, så teleporterer boksen seg til han [14:57] gjør den? [14:57] do'h [14:59] http://www.nrk.no/vitenskap-og-teknologi/1.8834416 [14:59] haha :D [15:00] må da være lov å mislike sudo [15:00] hmm [15:00] klokken min går 22 min feil [15:01] spennende [15:02] ntpd :P [15:41] http://sa.mnocdn.no/incoming/article3086912.ece/ALTERNATES/w780c169/rosenberg01.jpg?updated=121220121535 [15:41] usikker på om jeg ville benyttet meg av det firmaet der gitt... [15:47] ja [16:03] Mathias: han kan jo bare bruke gentoo [16:07] malin, evt [16:08] eller LFS [16:08] gentoo er jo omtrent LFS [16:09] dvs gentoo har vel tre installasjonsmåter, den mest basale er LFS [16:09] eller bare drite i det og ignorere sudo :P [16:09] ja... [16:09] apt-get purge sudoo [16:09] apt-get purge sudo [16:09] Vel, gentoo har i det minste pakkesystem. [16:09] joda [16:10] Så alt etter hvor vondt du vil ha det [16:13] bare synes det er litt trist med folk som kommer inn her bare for å spre rundt seg med FUD [16:17] er vel ikke FUD å ha en saklig diskusjon rundt sudo sin sikkerhetshistorikk og rolle i moderne IT-løsninger [16:17] jeg synes i alle fall ikke det [16:18] det er til og med on topic for kanalen, selv om listen over hva man -- eller JEG -- får lov til å snakke om her inne ser ut til å bli stadig kortere [16:22] det blir jo selvsagt mer komplisert når folk som Solskogen bestemmer seg for å bajse på en ellers saklig samtale, for deretter å følge opp med en lang liste personangrep og usaklige påstander [16:22] det jeg prøver å si, er at sudo i de fleste tilfeller er et godt alternativ til su [16:22] men jeg har hard hud, så det er ingen fare med meg altså [16:22] :) [16:22] med su, trenger man et felles kjent root-passord [16:22] noe som ikke er så bra [16:23] med sudo, kan du ha et for de fleste ukjent root-passord, gunstig om du vil sperre noen ute, også fra konsollet [16:23] for hjemmeservere og sånt, har det svært lite å si - der er det jo såpass få konti uansett [16:23] sudo, og lignende løsninger, kan fungere greit dersom de blir veldig nøye satt opp og konfigurert, noe de sjeldent blir -- og da bare til neste sårbarhet i sudo blir oppdaget [16:24] dessuten er det ikke nødvendigvis tryggere at mange passord gir en varierende grad av roottilgang enn at ett passord gir full roottilgang [16:24] * RoyK setter opp sudo rimelig nazi på bokser som må sikres godt [16:24] spesielt ikke med tanke på at "varierende grad" av roottilgang som regel kan eskaleres til full roottilgang i veldig mange tilfeller [16:25] mener du at siden sudo av mange konfigureres veldig åpent, så skal ingen bruke det? er det sånn å forstå at et felles kjent rotpassord i dine øyne gir høyere sikkerhet? [16:26] bare sånn for å ha spurt, hvorfor skal hele verden ha root-tilgang? [16:26] nei, jeg mener at folk bør finne et sudoalternativ som har en bedre sikkerhetshistorikk, for du må vel selv kunne være enig i at det er latterlig å argumentere for økt sikkerhet ved bruk av et stykke software som viser seg å være designet på en veldig usikker måte av folk som tilsynelatende ikke har tatt seg bry med å gjøre spesielt mye QA på produktet sitt [16:26] woahman: ikke hele verden, men det blir fort vekk endel som trenger rottilgang om man har en stor it-avdeling [16:27] er det da tryggere å gi dem root via sudo? [16:27] og plutselig så kan uvedkommende få root bare ved å plukke opp en av X antall brukere sin personlige logininformasjon [16:27] på den måten slipper man et felles rotpassord, noe som er veldig betryggende [16:27] ja, er så mye mer betryggende at 100 passord kan gi root [16:27] enn at ett passord gjør det [16:27] uhm [16:29] f00f-: det du sprer er ikke ytringer, men FUD. jeg foreslår at du kjører "apt-get purge sudo" og lar oss andre styre vår egen sikkerhet etter egne prinsipper [16:29] hvordan er det ikke ytringer? det er min profesjonelle mening [16:29] Fordelen med sudo er at du kan gi visse brukere tilgang til å kjøre et par kommandoer som root, uten å gi dem root-passord. [16:29] bare husk å sette et passord på root, sånn at du kommer inn i etterkant ;) [16:30] ...eller annen mulighet til å få et root-skall [16:30] og i de fleste tilfeller kan disse "par kommandoene" exploites til å gi full root anyway, med mindre man er veldig restriktiv med hvilke kommandoer man gir tilgang til [16:30] FUD høres ut som noe man lærer på motivasjonskurs for ledere :P [16:30] og da er vi fortsatt tilbake på hovedargumentet mitt med at dette kun gjelder som sikkert helt til neste sårbarhet i sudo blir oppdaget [16:30] og som nevnt tidligere er det som regel et par sårbarheter i året [16:30] jeg skal snart hjem og spise FUD :D [16:30] f00f-: ja, du har sagt det der - avinstallér sudo, så har du sikkerheten siret på din måte. det er ikke verre [16:31] s/siret/sikret/ [16:31] jeg har aldri installert sudo på noen av mine maskiner [16:31] s10g: pølse? [16:31] så det problemet har jeg ikke [16:31] :) [16:31] f00f-: den kommer ferdig installert med ubuntu [16:31] ja, jeg har aldri installert ubuntu [16:31] eller jo, faktisk, i et vm en gang [16:32] neivel - hva lurer du da på her inne på #ubuntu-no? [16:32] s/sudo/fudo/ [16:32] kanskje jeg må forholde meg til ubuntu på et eller annet vis uten å selv ha gått aktivt inn for det? [16:32] s10g: er det SIKKERT nok? [16:32] woahman: helt sikkert... [16:32] det som er ganske sikkert, er å skru av serveren, senke den ned i betong og la det stivne [16:33] også kjent som CRT-skjermer [16:34] på jobb har vi one-time-pad på sms for å logge på ting, i tillegg til passord [16:34] f00f-: men - om du er interessert i hvordan du kan sikre dine potensielt kommende systemer på ubuntu, så er det bare å spørre - det er mange her med lang erfaring fra både ubuntu, debian og redhat-derivater [16:34] det er ganske fint.. ikke bare må de stjele passordet ditt, men en pinkode og mobilen din også [16:34] RoyK : høres bra ut, takker for det [16:34] :) [16:35] Nå har jeg senket serveren min i betong, venter på at det stivner. Hvordan slår jeg den på nå? [16:36] woahman: har den wake on lan? [16:36] woahman: det kan du nok ikke - men den er ganske sikker ;) [16:36] LAN? Det er ikke sikkert... [16:36] litt av poenget [16:37] litt av poenget er at alt som er påskrudd, og i hvert fall koblet til et nettverk, er i prinsippet usikkert. sleng på en badass-brannmur foran, og det er litt sikrere, men du vil alltids finne en mulighet for å komme deg inn, om du kan knepene [16:39] og derfor kan man like gjerne sikre systemet sitt med software som har en beviselig dårlig sikkerhetshistorikk? [16:39] * geirha bruker sudo og har ikke brannmur [16:39] blir som å ikke gidde å låse ytterdøren sin hjemme fordi tyvene alltids kan knuse et vindu [16:39] * RoyK bruker sudo, men bruker ufw for å åpne kun for nyttige ting, som ssh [16:39] det skjer innbrudd selv om man låser døren, med den logikken kan man likegodt åpne alle vinduer og dører og dra på ferie... [16:39] :p [16:40] high five woahman [16:40] :p [16:40] nei, f00f-, selv om sudo har hatt sikkerhetshull, må man uansett gjennom, inn som en godkjent bruker, for å kunne utnytte den [16:40] evt gjennom et råttent cgi-skript eller noe php-greier [16:41] men kjører man ikke sånt, så er boksen rimelig sikker [16:42] f00f-: sudo er et potensielt sikkerhetsproblem først når du har et lass med lokale brukere du ikke kan stole på [16:42] Men er ikke litt av poenget med en server at flere skal bruke den? [16:43] *potensielt* siden sikkerhetshull lappes jevnlig [16:43] du har enda ikke fått med deg alle sårbarhetene som har blitt oppdaget i sudo altså? [16:43] og jeg som pastet så mange linker før i dag [16:43] f00f-: ingen av dem er "remote" [16:43] jeg kjører metasploit og SSH i stedet for telenor på mine bokser [16:43] siden sudo ikke lytter på noen porter, må du først logge deg inn lokalt [16:43] err [16:43] telnet* [16:43] er det noen som bruker telnet i dag? ;) [16:43] jeg kjører ikke telenor på mine bokser heller [16:44] RoyK : logge inn lokalt er som regel målet for et sikkerhetsbrudd ja [16:44] f00f-: nei - du misforstår - for at du skal kunne utnytte sikkerhetsbrist i sudo, må du allerede være logget inn lokalt [16:44] såkalt "local exploit" på nynorsk [16:45] trenger ikke komme med leksjoner [16:45] bare forklarer litt [16:45] jeg er kjent med konseptene og begrepene [16:45] man vil ikke ha sårbare kjørbare filer med setuid root på maskinen sin selv om disse ikke lytter på en port [16:46] ikke sårbare, potensielt sårbare [16:46] et angrep skjer, som du sikkert vet, gjerne i flere stadier -- kanskje man utnytter en ikke-priviligert nettverkstjeneste for å oppnå ikke-priviligert lokal tilgang, og deretter en sårbar setuid-executable for å få root [16:46] jeg har hørt det kan skje [16:47] av og til holdet det å finne en sårbar .php eller lignende på webserveren [16:47] og vips så kan man kjøre system("sårbarsak ") [16:47] f00f-: tja - om www-data ikke er medlem av gruppa som kan kjøre sudo, så hjelper det jo lite... [16:48] om serveren blir kastet ut av vinduet slik at den mister både strøm og nettilgang hjelper det heller ikke [16:48] that is not my point [16:49] og jeg er sikker på at du er intelligent nok til å gripe fatt i essensen av det jeg argumenterer her, men du er tilsynelatende veldig redd for å vedgå at sudo ikke er et godt produkt fra et sikkerhetsperspektiv [16:49] hvorfor vet jeg ikke [16:49] f00f-: du kan jo prøve å bryte deg inn på den serveren her - hvor jeg kommer fra - den har sudo installert [16:49] skitt fiske ;) [16:50] jeg er mye mer interessert i å diskutere sudo på et saklig nivå [16:51] erremulig [16:51] det er litt merkelig at jeg ikke har fått en server kompromitert siden 1999 eller noe (det var vel redhat 7 med en bind4 eller bind8 med remote root exploit) [16:51] sier jeg også, når vi går fra samtaler rundt et stykke software til "haha, hack pcen min 'a få se om du kan" [16:51] er det så merkelig altså? [16:52] ja, det er litt merkelig, siden jeg har drifta noen hundre installasjoner siden den tid [16:52] enkelt spørsmål: fornekter du at sudo har en histrikk med flere titalls sårbarheter som kompromiterer den sikkerheten sudo påstår å gi? [16:52] ja/nei [16:52] ingen "hack meg" eller "jeg har aldri blitt hacket så derfor må sudo være best" [16:54] tja - jeg har brukt denne vm-en på irc ganske lenge, noe som betyr at adressen er viden kjent. det betyr at alt av ormer og drit prøver seg jevnlig [16:54] er det -p eller -h for å slå av en ubuntu data maskin? [16:54] denyhosts har per nuh cirka 25k maskiner i deny-lista [16:55] s10g: mener du flagget til shutdown? [16:55] s10g: Kommer an på hvilken kommando du prøver [16:55] RoyK: ja takk [16:55] s10g: bare kjør "poweroff" [16:55] shutdown -h now [16:55] jeg må slå av maskinen [16:55] ok takk [16:55] ville prøve meg uten å trykke med musen ;) [16:55] geirha: shutdown -h / halt tar bare ned linux fra precies og framover [16:55] geirha: aner ikke hvorfor de endra det [16:56] du mener det ikke går i quantal? [16:56] RoyK : du vil ikke svare på det spørsmålet? [16:56] øh - hvilket spørsmål? [16:57] Det der han skrev "enkelt spørsmål:" [16:57] tipper jeg [16:57] correct [16:57] RoyK : her er forøvrig en grei post som beskriver en av sårbarhetene som ble oppdaget i sudo for ikke så veeeldig lenge siden: http://nakedsecurity.sophos.com/2012/05/21/anatomy-of-a-security-hole-the-break-that-broke-sudo/ [16:58] det som er pinlig her er at feilen beror seg på at utviklerene glemte en "break" i et switch statement [16:58] f00f-: jeg fornekter ikke historie, det er ikke min greie, men jeg sier at sudo er bra nok til mitt bruk. jeg har god kontroll over hvem jeg slipper inn på serverne mine, og vil således kunne spore hvem som gjorde hva om en maskin blir kompromitert. [16:58] og publiserte endringen uten å oppdage at noe var galt [16:59] det er sånn feil/bugs oppstår [16:59] yes.. og så har man ofte en QA-prosess som i det minste går ut på at mer enn en eller to personer leser diffen mellom forrige og current versjon før man plubliserer ting downstream til millioner av brukere [16:59] .. har jeg hørt [16:59] jeg leste en gang at NASA bruker 10 ganger så mye tid per kodelinje som kommersielle selskaper. NASA har fremdeles sikkerhetsfeil og andre bugs [17:00] alle har feil og bugs [17:00] men noen burde være mer forsiktig enn andre [17:00] og noen feil blir det for dumt at man ikke oppdager, spesielt når kodebasen er så liten som sudo sin [17:01] mitt poeng er at det sier noe om prosessen og mentaliteten til utviklerene bak sudo, og at dette er noe folk burde ha i tankene når de skal velge sikkerhetsløsninger [17:02] f00f-: men det jeg prøver å si, er at selv om jeg etter ditt syn har vært "uforsiktig" i 10 år ved bruk av sudo, med flere servere med ørtogfjørti tusen brukere fra nett, og kanskje noen hundre lokale, så har ikke noen av dem blitt kompromitert. Det jeg prøver å si, kjære deg, er at det er greit å være litt paranoid, men den greia de om sudo tar litt av slik du legger den fram her. Du snakker om sudo som selve åpninga inn mot alle ubuntu-servere [17:02] hvis statoilstasjonen av og til byttet om bensin og diesel på pumpene sine ville jeg ikke sagt "jaja, alle gjør feil" .. jeg ville begynt å tanke et annet sted [17:02] FUD ALERT! [17:02] MUDA [17:03] RoyK: Bra du ikke har brukt kerberos! det har hatt langt flere CVE, så du hadde blitt eid "in no time" [17:03] f00f-: igjen, om du lurer på noe angående sikring av ubuntu-servere eller tilsvarende, spør gjerne, men jeg tror ikke vi kommer noen vei med denne sudo-debatten. vi er uenige - ok? [17:05] geirha: hehe [17:11] woahman: ja, det er jo ikke noe problem å ikke like sudo [17:11] litt interessant - fikk nettopp en epost med NSAs "guidelines" om å sikre linux-servere - det inkluderer bruk av sudo ;) https://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/operating_systems.shtml#linux2 [17:12] 2.3.1.3 Congure sudo to Improve Auditing of Root Access [17:12] * RoyK tror kanskje NSA veit litt om sikkerhet [17:13] de vet nok om sikkerhet til å plassere bakdører over alt hvor de kan slik at de er sikret tilgang til folks data, i alle fall [17:13] det er det ingen tvil om [17:13] åh, er det der vi er nå ;) [17:13] hvor? [17:14] NSA har infiltrert sudo! [17:14] hørt om Bruce Schneier? [17:14] han kan litt om krypto og sikkerhet og sånt [17:14] http://www.schneier.com/essay-198.html [17:14] her kan du lese om hvordan NSA putter bakdører i HMAC [17:15] og så er det jo gode gamle NSAKEY i windows, http://en.wikipedia.org/wiki/NSAKEY [17:16] generatoren som Schneier snakker om er forøvrig i bruk i nyere versjoner av windows [17:17] * RoyK trodde denne kanalen handla om ubuntu [17:17] men for all del, et organ som har i oppgave å spionere og innhente data er sikkert kjempeinteressert i å bedre sikkerheten til alle andre [17:17] ja [17:17] da tok du feil, vi gikk langt forbi ubuntu for lenge siden [17:17] ;) [17:17] når du tok opp NSA feks [17:18] kan vi ikke holde diskusjonen til ubuntu og kutte ut rykter om alskens annet som diskuteres på nett [17:18] let's do it.. i alle fall hver gang du taper et sidesporet argument du selv har satt igang [17:18] neida [17:19] i'll play nice [17:19] vis det [17:22] I'll show you mine if you show me yours? [17:23] "Never log in directly as root, unless absolutely necessary. • Administrators should use sudo to execute commands as root when required. The accounts capable of using sudo are specified in /etc/sudoers, which is edited with the visudo utility. By default, relevant logs are written to /var/log/secure." [17:23] det er uansett er godt valg [17:23] ting logges pent, og logger sendes gjerne til en sentral server [17:24] veldig dumt å rakke ned på de man er uenigie også [17:24] om at de må være intelligente nok til å skjønne det som en selv skjønner osv [17:24] hersketeknikker er det [17:25] +1 malin [17:25] men når man snakker sikkerhet, så kom jeg på denne artige her :) http://www.youtube.com/watch?v=tykmHrORHQI [17:29] når du er driftsansvarlig har du ingen medarbeidere, du har bare motarbeidere [17:29] morsomt [17:30] ja :D [17:31] Skal man jobbe med sikkerhet bør man være ganske deffansiv ja [17:31] defensin [17:31] bensin [17:31] samma greia [17:32] samme [17:32] :-) [17:32] malin: instant asberger ;) [17:32] ja :) [17:33] * RoyK kjenner folk som er i nærheten av han der [17:33] Bør man være forsiktig når man bruker apt-get purge ? Tenker på at det ikke slettes filer man faktisk bør beholde [17:34] apropro sikkerhet v2.0: http://securityledger.com/security-hole-in-samsung-smart-tvs-could-allow-remote-spying/ [17:34] winb: den vil kunne slette konfigfiler, men vil *normalt* ikke slette *redigerte* konfigfiler [17:34] winb: men ta en kopi av konfigfilene om du er usikker [17:34] RoyK: Nå tenker jeg mest på filer som er i bruk av andre programmer [17:34] winb: det skal ikke skje [17:34] Har ingen eksempler [17:35] winb: apt-get remove vil nok slette det du trenger [17:35] biblioteker har avhengigheter i apt, så det vil nok ikke skje feil der [17:35] men igjen - you get what you're paying for, and it's free! [17:35] har aldri sett at en apt-get purge/remove har sletta noe annet enn sitt eget [17:36] ok. Jeg mener jeg hadde det problemet for noen år siden [17:36] jeg begynte vel med ubuntu med 8.04, og har ikke sett noe sånt [17:37] noen konflikter med desktopinstallajoner, og noen få på servere, men ikke noe relatert til avinstallering av pakker [17:40] hvis jeg ønsker å fjerne kalkulator. sudo apt-get remove gcalctool. Så får jeg beskjed om at ubuntu-desktop også vil fjernes [17:40] Det er nettopp dette jeg mener [17:40] da har gcalctool en avhengighet [17:41] og da bør du nok ikke fjerne den [17:41] hvor mye vil du spare på å fjerne gcalctool? [17:41] rettere sagt, ubuntu-desktop har avhengighet til gcalctool [17:42] om du mener det er feil at ubuntu-desktop avhenger av gcalctool (noe jeg vil være den første til å stemme for), så rapporter det som en bug [17:42] ja, og det henger ikke på greip [17:42] men ubuntu-desktop er bare en meta-pakke. Den inneholder ingen filer, så om den forsvinner har ikke så mye å si [17:42] Spørsmålet mitt var om man burde være forsiktig når man sletter ting med apt-get purge [17:42] Men, det kan ødelegge for en eventuell oppgradering til ny release [17:42] og apt-get remove for den saks skyld [17:43] Hvis den tar med seg halve kongeriket, ville jeg avbrutt [17:43] :) [17:43] tror ikke det - pakkene som er installert, inneholder jo avhengigheter selv - metapakker er jo bare skall [17:43] eller samlinger [17:43] håper ikke apt-get remove ubuntu-desktop tar med seg alt den inneholder :P [17:43] vel, avhengighetene til gcalctool trenger ikke å avinstalleres når gcalctool avinstalleres [17:44] men alle pakker som avhenger av gcalctool må avinstalleres [17:44] *teste* [17:45] nei, sudo apt-get remove ubuntu-desktop tar ikke med seg noe (som forventet) [17:45] ubuntu-desktop er praktisk i at hvis man installerer den får man alle pakkene man har i en nyinstallert ubuntu med på kjøpet [17:47] veldig greit om du vil ha litt annen diskkonfig enn hva ubuntu-desktop klarer og heller starter med -server [17:48] f.eks. btrfs på lvm, som jeg satte opp her nylig - funker fint - men umulig å sette opp gjennom GUI-installeren [18:14] http://www.youtube.com/watch?v=KUsGDVOCLVQ&list=PLE50FC91A844EEC33&index=8 [18:14] Are You a Psychopath? Take the Test. [19:28] winb: heh - det heter ikke psykopat lenger, men symptomene stemmer med antisosiale vesen som høytfungerende (og andre) autister [19:28] jack i alphas [19:33] Så hva heter det da [19:34] Personlighetsforstyrrelse? [19:36] Har ubuntu ce fortsatt oppdateringer og support ? [19:40] winb: tror det er "usosial personlighetsforstyrrelse" [19:40] winb: folk med asbergers syndrom har noe tilsvarende, bare ikke så ille [19:40] dvs, kanskje i samme gata [19:40] null eller veldig lite emptati [19:41] men veldig ofte dritflinke på tekniske detaljer og datating... [19:41] eh [19:41] RoyK: Det er bare norge som har lagt av psykopat som betegnelse? Videoen jeg linket til ble lastet opp for 2 uker [19:41] antisosial personlighetsforstyrrelse, tror jeg [19:42] ja, det er fremdeles folk som bruker teoremet "psykopat" her til lands også, selv om medisinen har lagt det bort for flere år siden [19:42] medisinerne pleier å være ganske godt synkronisert på tvers av landegrensene, også når det gjelder diagnoser [19:44] http://en.wikipedia.org/wiki/Antisocial_personality_disorder [19:45] The diagnosis includes what may be referred to as amoral, antisocial, psychopathic, or sociopathic personality (disorder.) [19:45] begrepet "psykopat" henger igjen fra filmer og whatnot, og er veldig lite presist [19:54] Og dissosiativ identitetsforstyrrelse blir ofte kalt schizofreni i Hollywood-filmer, men det er to vidt forskjellige lidelser. [20:13] mhm [20:13] det hadde vel samme navnet for noen år siden - på åttitallet? [20:15] når det gjelder diagnoser, så er de internasjonale [20:15] dvs. man har icd som nå er i icd-10 altså tiende revisjon [20:15] som brukes i Europa blant annet [20:16] * RoyK har nok diagnose nerd [20:16] i USA har man DSM, som nå er DSM-IV [20:18] DSM er moro.. i følge DSM har man mentale problemer dersom man er litt lei seg [20:28] det er jo et mentalt problem. men hvorfor man er lei seg kan jo være andre grunner. men følelsen av å være lei seg er jo mental [20:31] men det er normalt for mennesker å oppleve en hel rekke følelser [20:31] fra sorg til glede [20:32] det betyr ikke at det er noe feil med deg som må behandles [20:32] med mindre du leser DSM da [20:32] da er det meste et problem som gjerne kan behandles med spennende dop [20:32] feks om du er litt for glad i å shoppe [20:32] eller om du synes det er litt slitsomt å være rundt mange mennesker for ofte [20:33] (introverted) [20:33] f00f-: det er ganske vanlig at folk føler seg triste og lei seg, eller blir glade, men alle har sine vippepunkter, og av og til blir det for mye av det ene eller andre, og da kan det ære greit med litt hjelp [20:33] jada [20:33] men det er ikke det vi snakker om nå [20:33] vi snakker om at DSM definerer folk som er LITT lei seg -- på en helt normal måte -- som syke [20:34] i tillegg til en hel rekke av andre absurde ting [20:34] kanskje ikke det *du* snakker om, men tror det var det malin mente, og som jeg snakka om ;) [20:34] som bl.a. er grunnen til at flere som var i panelet for å jobbe med nye DSM har trukket seg i protest [20:34] å være litt lei seg er vel et sunnhetstegn i flere situasjoner [20:34] hehe, skulle tro det ja, superos_ux31 [20:34] ja, å ikke bli lei seg, er ikke så sunt [20:34] men RoyK kan sikkert finne en måte å kverulere bort det også [20:35] f00f-: gravid har også en diagnose-kode [20:35] i DSM? [20:35] en diagnose betyr ikke at det må behandles osv eller at man er syk [20:35] f00f-: du... vær så snill... jeg prøver å være rimelig diplomatisk her [20:35] f00f-: er i alle fall i icd-10 [20:35] fint det, men jeg snakker om diagnoser i DSM, som er så absurde at -- som jeg nevnte -- flere av dem som jobbet med nyeste utgave trakk seg i protest [20:36] er det noe å krangle om? [20:36] :) [20:36] ah, såpass [20:36] f00f-: {{citation-needed}} [20:36] i icd-10 har gravid diagnosekoden Z33 [20:36] RoyK : du har virkelig ikke mestret google du, eller? [20:37] f00f-: det handler ikke om å definere noen som syk, men å beskrive diagnoser [20:37] http://www.psychologytoday.com/blog/dsm5-in-distress/201207/two-who-resigned-dsm-5-explain-why [20:37] blablabla, RoyK -- blablabla [20:37] jeg tar meg en pause fra deg nå [20:37] snakkes [20:37] ;) [20:40] f00f-: mer pjatt fra deg og +b [20:41] ey! ikke misbruk det hellige pjatt-ordet! :P [20:42] ok, sorry, hva skulle jeg sagt? [20:43] syntes alle dyrene i skogen skal være snille med hverandre, ikke rakke ned på hverandre, og ikke spise hverandre jeg [20:43] eller vi burde skape en -offtopic .... [20:46] Kagee: spørs om f00f- hadde latt seg moderere selv der [20:47] jeg ser nå flere som burde moderere seg i såfall [20:47] woahman: ok, hvem og hvorfor? [20:47] tilogmed jeg som er impulsiv som faen klarer å moderere meg :P [20:47] delvis-ish [20:47] delvis [20:47] jeg kicket deg en gang Mathias [20:48] kom på det, derfor jeg skrev delvis-ish (delvish?) [20:48] Mathias har vel lært seg litt siden den tid ;) [20:50] mhm [20:50] ja, han har lært at han ikke skal klå på damene uten å spørre først :) [20:51] spørsmålet er om jeg noen gang vil få lov til å ha en samtale her inne om noe som helst, uten at RoyK skal blande seg inn på en svært så kverulant måte for å "ta meg" på alt jeg sier -- for så å bli bevist feil gang på gang [20:51] *klå litt på malin* [20:51] fniiz [20:51] sorry.. slemt av meg, neste gang skal du få et glass vin først [20:52] ok, da foreslår jeg at f00f- får utfolde seg fritt og at RoyK ikke skal ta f00f- så får vi se hvordan det går [20:52] og det foreslår du rett etter det som nettopp skjedde [20:52] i like it [20:52] :) [20:52] skulle hatt en slags reset-knapp her inne [20:52] Mathias: greit [20:52] malin: greit [20:52] RoyK: malin* [20:53] du er fæl med å blande meg og malin :P [20:53] autocomplete er no' dritt [20:54] m is for the lazy [20:54] husker ikke hvor jeg fikk et sånt lurt autocomplete script :P [20:54] f00f-: ja, jeg foreslår det ja. [20:55] :) [20:58] noen her som har satt opp vpn-server på ubuntu? tenkte litt på en l2tp/ipsec-løsning [20:58] jeg har satt opp pptp et par ganger :P [20:58] pptp er jo ikke så sikkert... [20:59] jeg bruker det bare for å komme meg forbi tilbakestående proxyer og "brannmurer" [20:59] nettopp ;) [21:00] om minecraft-serverne jeg er på er så fryktelig interessante så må noen virkelig hjelpe den personen :P [21:01] men det jeg tenkte å sette opp, var noe sikkert, og l2tp+ipsec er jo noe nasa og gjengen bruker, så det burde funke greit [21:02] ah, ok :P [21:02] er vel et par geniale guides :P [21:02] joda, bare lurte på om noen hadde satt opp noe [21:44] noen som bruker raspberry pi her? [21:45] yep [21:45] Hva bruker du den til? [21:45] xbmc [21:45] :P [21:46] ekstern harddisk da? [21:46] har et NAS den henter ting fra [21:46] litt vanskelig å bruke pi-en til sånt - den har jo ikke noe vettugt sata-grensesnitt - bare et dvaskt usb-2-grensesnitt [21:47] og så kjører jeg openelec på pi'en [21:49] pi'en fungerer perfekt til xbmc, pitteliten sak som er lett å gjemme vekk. Og så streamer den lett fra NAS og andre nettverkskilder. [21:59] ja, det er jo netverksinngang på den. hm, hva det nå heter igjen :S [22:00] den blir gøy når den får power over ethernet [22:02] ethernet heter det jo :$ [22:02] men klarer en raspberry pi å kjøre sorroundlyd osv via hdmi? [22:07] herre, lar dere f00t- få gå løs fortsatt [22:19] woahman: Hvor bestilte du fra? [22:20] RS Components [22:20] Men de var helt avsindig trege [22:20] Så ville nok valgt noen andre, ser at både netshop og dustin selger de nå... [22:20] Solskogen : jeg tipper at de fleste som leste vår samtale tidligere i dag konkluderte med at du var den som utviste ufin og usaklig oppførsel [22:25] samme hvem som sa hva i sted. nå er det blanke ark og fargestifter (evt. glitrepenner :D ) [22:26] jeg vil ha giltrepenn [22:26] kan jeg få tavle? og sprittusj? [22:26] woahman: har du prøvd å kjøre ubuntu ? Jeg leser at det ikke er god nok støtte enda [22:27] winb: det har jeg ikke, men det var en god idé til den ekstra jeg har liggende [22:27] men har funnet ut at du kan bare gi opp å kjøre noe på noe som helst lavere enn class 10 sd-kort... [22:29] Ville jeg klare å spille av videoer via hdmi på en slik med ubuntu server? [22:29] sansyneligvis ikke [22:29] altså, openelec er jo basert på linux, og jeg kjører 1080p uten særlige problemer på den [22:35] ubuntu støtter bare arm v7, mens raspberry pi har arm v6 [22:36] standard-OSet er Debian, så du merker ikke så stor forskjell når du er vant med Ubuntu [22:38] Ingen Unity, dog. [22:38] fant ut at man kunne bruke pi om fm-sender i går. [22:39] *som [22:39] Sudo er installert som standard [22:41] er det noe innebygd fm-sender på pi? [22:41] men nå blei det natta her [22:41] men, men er mulig å bruke den som en. [22:41] snart senker natten seg i Ubuntu [22:41] Via GPIOen da, tenker jeg [22:41] natti alle sammen [22:41] geirha: ja [22:42] geirha: 20 cm ledning er vistnok alt som skal til [22:45] Stilig