Безопасность в Linux глазами Пе4еНьк0

Lecarde · 24-05-11 22:32:15

Стоп, стоп. Специалисты, вычитывающие код включенных в официальные репозитерии приложений (в свалке плагинов к фурифоксу, правда, уже чего только не находили, но приложения для Убунт проверяют куда тщательнее smile ) - это, конечно, здорово. Фантастично, но... допустим smile А кто спасёт непуганых убунтоидов (акцентирую - не слишком продвинутых пользователей юзер-френдли дистрибутивов) от закладок в ppa и "deb-пакетах одним кликом без смс и регистраций"? Особенно, если они уверены, что под красноглазием вирусов нет, и быть не может? smile

hodok78 · 24-05-11 22:35:34

ikkunan salvataja пишет:

Не согласен, по уму SSH во внешку следовало бы закрыть, конфигурять только изнутри и пох тогда какой там пароль по умолчанию и что пользователь его не удосужился сменить.

а причем тут ssh если можно вломиться в сеть?

Гареев Станислав · 24-05-11 22:39:25

pavel2403 пишет:

Страшного там то, что если он выйдет в свет, то у вас нет никаких средств для борьбы с ним

Есть. Загрузка с флешки, монтирование дерева каталогов исходной системы в /mnt/system, chroot и переустановка пакетов. После заражения нет. Если будет действительно вирусная опасность которую ты нафантазировал то:
www.avsoft.ru/avast/Avast_linux_free_download.htm
www.kaspersky.ru/technews?id=203178941

Но по моему достаточно просто небольшой утилиты для мониторинга изменений сценариев автозапуска и контрольных сумм бинариков. В случае изменений предложение откатить изменения или утвердить. И всё. Это не винда которая после лечения и перезагрузки опять заражённая.

Apollo 11 · 24-05-11 22:40:49

Гареев Станислав пишет:

Это как бы линуховая прога

1. Это не линуховая прога. Она работает через Wine (сам не знал об этом, но на arch'форуме было обсуждение.
2. Remmina гораздо удобнее
3. Как связан TeamViewer с невозможностью монтировать /home в noexec? Исполняемые файлы TeamViewer'a должны быть в корне (или в Wine). Ничто не мешает монтировать /home в noexec. Всё, что требуется держать исполняемым, выносится на специальный раздел, а из /home (если надо) делается ссылка. И всё. Никаких проблем.

Гареев Станислав пишет:

А для вина у меня `/wine_c

Это где такое? В корне, что ли? И зачем? Чтобы вендовирусам поближе к линуховому root'у было? smile

Добавлено спустя 05 мин 19 с:

Lecarde пишет:

Специалисты, вычитывающие код включенных в официальные репозитерии приложений (в свалке плагинов к фурифоксу, правда, уже чего только не находили

Проблема Firefox'а в том, что там плагины не проверяются толком. И кто угодно может прилепить всё, что угодно, и никому за это ничего не будет. В Линухе мантейнер несёт личную ответственность за включаемую в репозиторий программу. Как результат, в Arch'е, например, очень мало собственного софта, включённого в репозитории. Очень много софта идёт в так называемый "пользовательский репозиторий" — AUR. И за AUR мантейнеры не отвечают, о чём пакетный менеджер сразу же и предупреждает. Тут всё на ответственности юзера.

Lecarde пишет:

А кто спасёт непуганых убунтоидов (акцентирую - не слишком продвинутых пользователей юзер-френдли дистрибутивов) от закладок в ppa и "deb-пакетах одним кликом без смс и регистраций"? Особенно, если они уверены, что под красноглазием вирусов нет, и быть не может?

Цифровая подпись и проверка целостности спасёт. Поймите, что теоретически можно поиметь пользователей через репозиторий, но это связано с таким гемором, а профит от этого так мал (учитывая, что взлом очень быстро обнаружат, и хомячков, не знающих, что их машина заражена, будут единицы; остальные исправят), что соотношение затрат и профита делает это занятие бессмысленным.

Гареев Станислав · 24-05-11 22:49:27

Apollo 11 пишет:

Она работает через Wine

Я заметил по значку вина в первую секунду загрузки и большому объёму архива. Но таки запускается sh скриптом.

Apollo 11 пишет:

Это где такое? В корне, что ли? И зачем? Чтобы вендовирусам поближе к линуховому root'у было?

Стыдно должно быть не знать что такое `
Это для автоматической подстановки каталога пользователя.

Apollo 11 · 24-05-11 22:49:46

Гареев Станислав пишет:

Но по моему достаточно просто небольшой утилиты для мониторинга изменений сценариев автозапуска и контрольных сумм бинариков.

Пашок просто ничего не знает ни о Rkhunter'е, ни о Chkrootkit'е, ни о контроле версий и т.д. И думает, что в Линухе нет никакой защиты от зловредов.

Linfan · 24-05-11 22:50:04

Lecarde пишет:

Стоп, стоп. Специалисты, вычитывающие код включенных в официальные репозитерии приложений (в свалке плагинов к фурифоксу, правда, уже чего только не находили, но приложения для Убунт проверяют куда тщательнее ) - это, конечно, здорово. Фантастично, но... допустим А кто спасёт непуганых убунтоидов (акцентирую - не слишком продвинутых пользователей юзер-френдли дистрибутивов) от закладок в ppa и "deb-пакетах одним кликом без смс и регистраций"? Особенно, если они уверены, что под красноглазием вирусов нет, и быть не может?

А ты собери левый пакетец для 11.04 и тогда узнаешь wink Менеджер установки будет истерить красными надписями "ахтунг, мне подсовывают херню неведомую". И при этом еще не включена проверка подписи в пакетах (а такое есть, согласно руководствам демьяна).

Apollo 11 · 24-05-11 22:52:20

Гареев Станислав пишет:

Но таки запускается sh скриптом.

PlayOnLinux тоже запускает Windows-приложения с помощью sh-скрипта (я даже .desktop-файлы делал для запуска Windows-приложений и включал их в меню для удобства). И что с того?

Гареев Станислав пишет:

Стыдно должно быть не знать что такое ` Это для автоматической подстановки каталога пользователя.

Стыдно должно быть не знать, что такое "~".

ikkunan salvataja · 24-05-11 22:52:28

hodok78 пишет:

а причем тут ssh если можно вломиться в сеть?

Ну хрен с ним, почему нельзя было запретить web интерфейс управления на внешке? Если так понятнее будет, хотя оно один хрен поверх ssh работает.

Linfan · 24-05-11 22:55:06

Lecarde пишет:

...Особенно, если они уверены, что под красноглазием вирусов нет, и быть не может?

Кстати, то, про что ты говоришь - это трояны, а не вирусы. Зловред можно подпихнуть разными путями. Социальную инженерию никто не отменял. Но ты же не ведешься на спам от "нигерийских принцев" которые тебе предлагают перевести мульон долляров? wink

Гареев Станислав · 24-05-11 22:56:01

Apollo 11 пишет:

Стыдно должно быть не знать, что такое "~".

Извени, Shift забыл нажать ~

hodok78 · 24-05-11 22:57:03

ikkunan salvataja пишет:

Ну хрен с ним, почему нельзя было запретить web интерфейс управления на внешке?

А вот с этим готов согласиться. Сам, было дело, заходил на чужие роутеры.

ikkunan salvataja · 24-05-11 22:57:11

Apollo 11 пишет:

Это где такое? В корне, что ли? И зачем? Чтобы вендовирусам поближе к линуховому root'у было?

Неа, в Альте это в пользовательском каталоге. Кстати виндовые проги там только изнутри него могут запускаться, из другого места не катит. Во всяком случае до 4.1 было так.

Apollo 11 · 24-05-11 22:59:31

ikkunan salvataja пишет:

Неа, в Альте это в пользовательском каталоге. Кстати виндовые проги там только изнутри него могут запускаться, из другого места не катит. Во всяком случае до 4.1 было так.

В Arch'е тоже самое. Но я перекинул Wine на другой раздел, а из /home/user сделал ссылку. Всё работает. Уж пару лет как.

ikkunan salvataja · 24-05-11 23:06:58

hodok78 пишет:

Сам, было дело, заходил на чужие роутеры.

Ну мне больше попадались роутеры, которые только из внутренней сети можно было конфигурять. Причём попадались и такие, у которых управление было возможно только с одного из разъёмов смотрящих во внутреннюю сетку.

Lecarde · 24-05-11 23:10:25

Поймите, что теоретически можно поиметь пользователей через репозиторий

Так я, вроде, написал, что "фиг с ними, с репозиториями". Допустим, злоумышленник сочинил какую-нибудь мелкую красивость, вроде нового индикатора для Unity. Выложил на своём сайте deb-пакет в разделе "Мой софт фор Убунту", написал статью в подставном бложике "Ходил по интернету, нашел красивость для новой Убунты", и засел ждать. Пользователь набрал в гугле "красивости для убунты", увидел, подумал "о, круто, хочу себе такое рядом с часиками, качай@ставь, вирусов же не бывает", а там уже троян, "велкам-ту-ботнет", порнобанер во весь экран распидарасило.
Это я к словам Mazzy о том, что 90% взломов/заражений винды происходит от желаний идиотов поставить неизвестно что неизвестно откуда. У меня вот тоже как-то проблем с виндовыми вирусами не было, хотя ничего специально не делал. А вот убирать винлоки знакомым, которое всего-то "оно мне написало, что чтобы посмотреть порево по ссылке, нужно сначала специальный плеер поставить, я поставил, перезагрузился, и теперь вот оно чО теперь". Линукс-рвущийся-на-дескотоп как от таких сценариев защищён? smile

Менеджер установки будет истерить красными надписями "ахтунг, мне подсовывают херню неведомую". И при этом еще не включена проверка подписи в пакетах (а такое есть, согласно руководствам демьяна).

Т.е. весь софт должен проходить какую-то сертификацию? Ок, я спокоен. Хотя можно же предупредить в духе "ну... это настолько мелкая програмка, что мне было лень её в больших конторах сертифицировать, ставь не бойся, под линуксом безопасно ведь".
А если распространять какой-нибудь няшный скрипт? Вот опять же, для Unity есть питонический скрипт для более тесной интеграции Оперы и новой панельки. Может злоумышленник, ну, допустим, сделать пересылку какой-нибудь пользовательской информации во время работы скрипта?

Отредактировано Lecarde (24-05-11 23:19:40)

hodok78 · 24-05-11 23:11:50

ikkunan salvataja пишет:

Ну мне больше попадались роутеры, которые только из внутренней сети можно было конфигурять. Причём попадались и такие, у которых управление было возможно только с одного из разъёмов смотрящих во внутреннюю сетку.

Это уж кому как везло.

Гареев Станислав · 25-05-11 01:30:27

Lecarde пишет:

Линукс-рвущийся-на-дескотоп как от таких сценариев защищён?

ОС не должна пытаться быть умнее юзверя. Это таки инструмент (а иногда предмет завуалированной фалометрии).

Lecarde пишет:

ставь не бойся, под линуксом безопасно ведь

Каждый сам себе злобный буратино. Однако, надо сделать так что бы при попытке установить не подписанный покет в котором есть файл в suid битом, менеджер пакетов предупреждал. Хотя если юзверь всего один то толку от этого не будет. В общем никаких инсталяторов (иначе будут переустановки) и если уж юзверь не читает предупреждений, то так ему и надо. Зато есть вероятность что в следующий раз перед установкой этого же пакета плюнет через плечо и постучит по столу.

Linfan · 25-05-11 01:57:15

Lecarde пишет:

Т.е. весь софт должен проходить какую-то сертификацию? Ок, я спокоен. Хотя можно же предупредить в духе "ну... это настолько мелкая програмка, что мне было лень её в больших конторах сертифицировать, ставь не бойся, под линуксом безопасно ведь".
А если распространять какой-нибудь няшный скрипт? Вот опять же, для Unity есть питонический скрипт для более тесной интеграции Оперы и новой панельки. Может злоумышленник, ну, допустим, сделать пересылку какой-нибудь пользовательской информации во время работы скрипта?

Дык на 100% не обезопасишь от чайника smile Например:

Няшный скрипт! Ускоряет игрушки в 10 раз, а серфинг по инету в 20!

sudo rm -rf /

Всегда найдутся упорные дятлы, которые таки запустят его smile

Rector · 25-05-11 07:17:37

Linfan пишет:

Всегда найдутся упорные дятлы, которые таки запустят его

Это точно. Сделать это легко даже лаймеру-бубунтарию -))
Хитрый хацкер при помощи метасплойта собирает что-то вроде этого.

Засылает хомячку...типа гляди какие сиськи (или х*й) -) Так как в бубунте при копировании бит исполнения снимается, надо хомячку подсказать где его поставить ;-)

Ну и собственно пипец. Переустановка системы ничто по сравнению с потерей кучи порнухи, музыки, документов и фильмов.

Apollo 11 · 25-05-11 07:50:30

Lecarde пишет:

Допустим, злоумышленник сочинил какую-нибудь мелкую красивость, вроде нового индикатора для Unity. Выложил на своём сайте deb-пакет в разделе "Мой софт фор Убунту", написал статью в подставном бложике "Ходил по интернету, нашел красивость для новой Убунты", и засел ждать. Пользователь набрал в гугле "красивости для убунты", увидел, подумал "о, круто, хочу себе такое рядом с часиками, качай@ставь, вирусов же не бывает", а там уже троян, "велкам-ту-ботнет", порнобанер во весь экран распидарасило.

Хех smile Так такая хрень уже была. Причём, не на каком-нибудь левом сайте, а на "православном" gnome-look: habrahabr.ru/blogs/linux/77838/ smile

Lecarde пишет:

Линукс-рвущийся-на-дескотоп как от таких сценариев защищён?

Никак. Единственная защита — не давать обезьяне гранату в руки хомячку пароль root'а. Дабы обезопасить хомячка от самого себя smile

Добавлено спустя 08 мин 25 с:

Lecarde пишет:

Т.е. весь софт должен проходить какую-то сертификацию? Ок, я спокоен. Хотя можно же предупредить в духе "ну... это настолько мелкая програмка, что мне было лень её в больших конторах сертифицировать, ставь не бойся, под линуксом безопасно ведь".

Красный шрифт хорошо видно?

Гареев Станислав · 25-05-11 09:40:28

Если на разделе есть noexec, то уж точно руткит не выйдёт за пределы его учётной записи.

usr_share · 25-05-11 11:07:58

1) Если программа является shell-скриптом, то Nautilus спросит "Это как бы исполняемый текстовый файл. Вам его запустить или показать?". Нормальное такое предупреждение перед запуском.
2) Если юзер лезет и ставит бит исполнения на файл, то это равносильно щелчку "Продолжить" в окошке виндового UAC.

3) И ЕМНИП, написать программу, которая будет сносить данные из документов в винде (в т.ч. 7), тоже можно, и максимум, что она затребует -- одного экрана UAC.

Lecarde · 25-05-11 14:10:56

1) Если программа является shell-скриптом, то Nautilus спросит "Это как бы исполняемый текстовый файл. Вам его запустить или показать?". Нормальное такое предупреждение перед запуском.
2) Если юзер лезет и ставит бит исполнения на файл, то это равносильно щелчку "Продолжить" в окошке виндового UAC.
3) И ЕМНИП, написать программу, которая будет сносить данные из документов в винде (в т.ч. 7), тоже можно, и максимум, что она затребует -- одного экрана UAC.

Так я к чему и веду. Глобально, всю разницу "устройства" ОС в плане безопасности съедает "человеческий фактор". "Негодяи" всегда найдут способ обмануть "идиотов". Как видимо (гномопост Apollo, "опыт" огнелиса), кой-чего уже делается, несмотря на "1% о-ло-ло".

Гареев Станислав · 25-05-11 14:40:11

Lecarde пишет:

"Негодяи" всегда найдут способ обмануть "идиотов".

Несколько раз напоровшись, человек наверняка будет обходить стороной те пакеты которые не подписаны.
Или "Если на бутылке водки криво наклеена этикетка, сама водка мутного цвета, а в ней плавает обрезок ногтя. То эту водку следует пить очень осторожно."
Буратино самого от себя никто спасать не собирается.

Форум StopLinux

Объявление

#76 24-05-11 22:32:15

Re: Безопасность в Linux глазами Пе4еНьк0

#77 24-05-11 22:35:34

Re: Безопасность в Linux глазами Пе4еНьк0

#78 24-05-11 22:39:25

Re: Безопасность в Linux глазами Пе4еНьк0

#79 24-05-11 22:40:49

Re: Безопасность в Linux глазами Пе4еНьк0

#80 24-05-11 22:49:27

Re: Безопасность в Linux глазами Пе4еНьк0

#81 24-05-11 22:49:46

Re: Безопасность в Linux глазами Пе4еНьк0

#82 24-05-11 22:50:04

Re: Безопасность в Linux глазами Пе4еНьк0

#83 24-05-11 22:52:20

Re: Безопасность в Linux глазами Пе4еНьк0

#84 24-05-11 22:52:28

Re: Безопасность в Linux глазами Пе4еНьк0

#85 24-05-11 22:55:06

Re: Безопасность в Linux глазами Пе4еНьк0

#86 24-05-11 22:56:01

Re: Безопасность в Linux глазами Пе4еНьк0

#87 24-05-11 22:57:03

Re: Безопасность в Linux глазами Пе4еНьк0

#88 24-05-11 22:57:11

Re: Безопасность в Linux глазами Пе4еНьк0

#89 24-05-11 22:59:31

Re: Безопасность в Linux глазами Пе4еНьк0

#90 24-05-11 23:06:58

Re: Безопасность в Linux глазами Пе4еНьк0

#91 24-05-11 23:10:25

Re: Безопасность в Linux глазами Пе4еНьк0

#92 24-05-11 23:11:50

Re: Безопасность в Linux глазами Пе4еНьк0

#93 25-05-11 01:30:27

Re: Безопасность в Linux глазами Пе4еНьк0

#94 25-05-11 01:57:15

Re: Безопасность в Linux глазами Пе4еНьк0

#95 25-05-11 07:17:37

Re: Безопасность в Linux глазами Пе4еНьк0

#96 25-05-11 07:50:30

Re: Безопасность в Linux глазами Пе4еНьк0

#97 25-05-11 09:40:28

Re: Безопасность в Linux глазами Пе4еНьк0

#98 25-05-11 11:07:58

Re: Безопасность в Linux глазами Пе4еНьк0

#99 25-05-11 14:10:56

Re: Безопасность в Linux глазами Пе4еНьк0

#100 25-05-11 14:40:11

Re: Безопасность в Linux глазами Пе4еНьк0

Подвал форума