Czy darmowe konta shellowe są bezpieczne?

12

Próbuję ustalić, na ile bezpieczne są darmowe konta powłoki oferowane przez takie jak shellmix.com . Nigdy go nie używałem, ale chcę zasugerować go komuś zainteresowanemu nauką programowania powłoki. Czy można je bezpiecznie stosować w tym celu? Na co mam uważać?

shell-script learning

— Prasanna K Rao
źródło

5

Zastanów się również nad zaletami dystrybucji Live CD . Bez problemów z prywatnością, bez ograniczeń bezpieczeństwa, bez problemów z prędkością sieci.

— manatwork

Użyłem shellmix. w porządku. LiveCD jest lepszy imho, albo nawet lepiej zainstalować VirtualBox (jeśli masz multi-core CPU)

— Sirex

VirtualBox i wybrana dystrybucja Linuksa są bezpłatne. W przeciwieństwie do chodzenia z cygwinem lub mingw, masz kompletny natywny system operacyjny do pracy, a obawy dotyczące bezpieczeństwa ze strony nieuczciwych administratorów znikają.

— Fiasco Labs

14

Ogólną ogólną zasadą, którą przechodzę, jest zaufanie do maszyny tak samo, jak do jej użytkowników root, zarówno pod względem kompetencji technicznych (szczególnie w zakresie bezpieczeństwa), jak i ogólnej wiarygodności. Ponieważ jest mało prawdopodobne, że znasz administratorów shellmixbardzo dobrze, prawdopodobnie złym pomysłem jest ufanie maszynom, na których znajduje się twoje konto, w większym stopniu niż jakiekolwiek przypadkowe urządzenia w Internecie. Jeśli wszystko, co robisz, to pisanie skryptów powłoki i kompilowanie okazjonalnego świata hello, wszystko powinno być w porządku. Załóż, że wszystko, co wpiszesz w zdalnej powłoce, może potencjalnie odczytać inni. Nie umieszczaj tam niczego, czego byś nie chciał, nawet tymczasowo. Obejmuje to na stałe zapisane dane osobowe lub informacje o własnym komputerze, takie jak nazwy hostów, nazwy użytkowników, układ katalogów itp. W skryptach powłoki. Jak wspomniano w komentarzach @SamBisbee, użyj unikalnego hasła, którego nigdy nie użyjesz do niczego innego. Istnieją również zagrożenia bezpieczeństwa związane z przekazywaniem połączeń X11 (tj. ssh -XDo maszyny shellmix) z niezaufanego komputera, więc też tego bym nie zrobił.

— jw013
źródło

1

Zgadzam się z tobą, ogólna paranoja, ale czy są udokumentowane przypadki ludzi, którzy konfigurują w pełni funkcjonalne środowisko powłoki jako honeypot? Mam na myśli, że przez lata miałem konta nyx.net i sdf.lonestar.org i nigdy nie słyszałem o takiej dziwności, jaką proponujesz.

— Bruce Ediger,

4

Nigdy też nie słyszałem o takich honeypotach, ale zawsze istnieje możliwość, że użytkownik zarządza eskalacją uprawnień lub nawet nieuczciwy administrator. Niemniej jednak „nigdy wcześniej tak się nie działo” nie jest najsolidniejszą zasadą bezpieczeństwa, na której można polegać.

— jw013,

1

Użyj także hasła „wyrzuć”. Jako root mogą zobaczyć twoje niecieniowane hasło i zgrać tego frajera. I pod żadnym pozorem NIGDY nie powinieneś mieć kluczy prywatnych (GPG, SSH itp.) Na tym polu.

— Sam Bisbee,

1

Zauważ, że nawet pół-nowoczesny ssh ma zarówno -X, jak i -Y. W tych wersjach -X jest znacznie bezpieczniejszy. Zobacz dokumenty ssh.

— derobert

2

Czy zastanawiałeś się nad Cygwinem ? Najprawdopodobniej możesz zrobić wszystko, co chcesz, w zaciszu własnego systemu operacyjnego Windows (i własnego komputera).

— Aaron D. Marasco
źródło

0

Oto bash-podobna powłoka dla systemu Windows , która może być alternatywą lub rozszerzeniem konta powłoki. Zaletą jest to, że w menedżerze plików GUI można obserwować, jaki wpływ ma twój mkdir, touch, rmdir ... - polecenia miały z drugiej perspektywy.

Kolejną korzyścią jest bogaty zestaw narzędzi (grep, sed, awk, ...) z zestawu narzędzi GNU, jeśli pracujesz w systemie Windows. Po przyzwyczajeniu się do tego będziesz szczęśliwy, że ich nie przegapisz.

— nieznany użytkownik
źródło

2

Dlaczego tylko garść narzędzi? Zainstaluj Cygwin i gotowe.

— Aaron D. Marasco,

1

Ponieważ jest chudy i wygodny, jeśli rzadko używasz systemu Windows. Do prawdziwej pracy używam Linuksa z wirtualnymi komputerami stacjonarnymi i tak dalej - nigdy nie lubiłem Cygwina.

— użytkownik nieznany