Нужен ли антивирус на десктопе? (Вслед за фаером и антивирус.)

[watashiwa_daredeska]

я же имею в виду те методы вирусов, против которых нужно защищаться как начальному пользователю так и более профессиональному

Вы имеете в виду извращенцев каких-то. За весь мой опыт общения с Linux у меня ни разу не возникало даже потребности носить программы на флешке.

По поводу червей, которые распространяются без вмешательства пользователей. Антивирусы в том виде, в котором они существуют в настоящее время — зло. Это примерно как застукать воришку в квартире и просто вышвырнуть его за дверь, до следующего раза, не сменив замки и продолжная уходя оставлять открытые окна, причем, даже не проверив, не переписал ли воришка информацию о кредитках, не сделал ли слепок ключей от авто и т.п. Если уж так, то предпочтительнее нормальная IDS, которая предупреждает о подозрительной активности, после чего можно предпринять соответствующие действия — не только вычистить заразу, но и сменить пароли, ключи, выяснить способ проникновения и перекрыть его.

[watashiwa_daredeska]

А на счет того кудою вирусы быстрее добираются то это следует поспрашивать в общежитиях, то есть путем обмена (а антивирус главное имеет каждый)

Вот это и говорит о том, что антивирус — бесполезная, даже вредная, фигня, которая ни от чего не защищает, а лишь дает ложное чувство защищенности и расслабляет.

[Bluetooth]

То есть защита линукса держится на том, что вирусы со стороны вайн просто пока что ничего не смогут сделать?

Если Вас заела паранойя, купите это

[watashiwa_daredeska]

Секретных способов автозапуска, типа виндового реестра, тут тоже нету. А хуже всего то, что способов автозапуска тут очень много, но каждый конкретный способ работает только в одном определенном случае.

Однако, есть парочка достаточно универсальных. Например, /etc/init.d и /etc/rc?.d присутствуют в подавляющем большинстве систем. Не знаю, как где, но подозреваю, что ~/.xsessionrc тоже будет много где работать.

[ovodigor]

Вы имеете в виду извращенцев каких-то. За весь мой опыт общения с Linux у меня ни разу не возникало даже потребности носить программы на флешке.

а у меня эта потребность возникала, а у многих не нужно только потому что некому их носить (т.е. только из-за малого количества линуксов на декстопе), но это не причина не пользоваться флешкой (ибо вирусы)

По поводу червей, которые распространяются без вмешательства пользователей. Антивирусы в том виде, в котором они существуют в настоящее время — зло. Это примерно как застукать воришку в квартире и просто вышвырнуть его за дверь, до следующего раза, не сменив замки и продолжная уходя оставлять открытые окна, причем, даже не проверив, не переписал ли воришка информацию о кредитках, не сделал ли слепок ключей от авто и т.п. Если уж так, то предпочтительнее нормальная IDS, которая предупреждает о подозрительной активности, после чего можно предпринять соответствующие действия — не только вычистить заразу, но и сменить пароли, ключи, выяснить способ проникновения и перекрыть его.

возможно, но 90% вирусов попадали ко мне только потому что я запустил зараженный файл или запустил авторан, а через интернет не видел, я по крайней мере не замечал их работы

А на счет того кудою вирусы быстрее добираются то это следует поспрашивать в общежитиях, то есть путем обмена (а антивирус главное имеет каждый)

Вот это и говорит о том, что антивирус — бесполезная, даже вредная, фигня, которая ни от чего не защищает, а лишь дает ложное чувство защищенности и расслабляет.

согласен но некоторым проще поставить антивирус чем настраивать систему, особенно если после этого им будет сложно пользоваться. Многие на это не пойдут

[ovodigor]

То есть защита линукса держится на том, что вирусы со стороны вайн просто пока что ничего не смогут сделать?

Если Вас заела паранойя, купите это

просто когда на вопрос нужен ли антивирус? (именно такая тема) - отвечают ненужный ибо под линукс нет вирусов или ненужный ибо без рута не сможет ничего сделать или что достаточно выставить права на доступ (на что большинство как раз не пойдет) возникает вопрос как скоро в линуксе будут вирусы?

[nesk]

ненужный ибо под линукс нет вирусов или ненужный ибо без рута не сможет ничего сделать или что достаточно выставить права на доступ (на что большинство как раз не пойдет) возникает вопрос как скоро в линуксе будут вирусы?

Если их пока нет, это не значит, что они не возможны вообще.
Что бы навредить или заразить систему права рута могут и не понадобиться. С правами пользователя можно довольна сильно навредить самому пользователю. Вам что важнее домашнией машине сохранность /etc или сохранность личных документов? Это должно быть одинаково важно! Или даже личне документы пользователя - важнее.
Не буду повторяться, вот ссылка на еще одно обсуждение : Развенчиваю человеку мифы о линуксе

[watashiwa_daredeska]

не нужно только потому что некому их носить (т.е. только из-за малого количества линуксов на декстопе)

Да ну что Вы. У меня несколько знакомых, у которых на десктопе линукс, программы на флешке не понадобилось передавать ни разу за несколько лет. Все программы ставятся из официальных репозиториев, подписанные и проверенные по хэшам. Из исходников — в самом крайнем случае. А что такое авторан в линуксе я знаю только понаслышке, т.к. не понимаю, зачем он нужен, кроме как вирусы и троянов распространять.
Максимум, что передавалось — скрипты, в основном по почте, но все скрипты обычно вычитываются, благо 10 строк прочитать не сложно.

90% вирусов попадали ко мне только потому что я запустил зараженный файл или запустил авторан, а через интернет не видел, я по крайней мере не замечал их работы

100% вирусов (1 штука) под линуксом попали ко мне без моего участия, но по моей глупости (высунул в инет машину, которая до этого стояла в защищенной сети и имела слабый пароль, который червь подобрал по словарю). По поводу заметности их работы: http://www.linux.org.ru/view-message.jsp?msgid=2060892

проще поставить антивирус чем настраивать систему, особенно если после этого им будет сложно пользоваться.

Нет, ну если пользоваться системой тормозящей из-за антивируса и завирусованной по уши несмотря на него, пользоваться легко и удобно — флаг в руки, барабан на шею и паровоз навстречу.

[gultyai]

На данный момент искать в линуксе вирусы - паранойя, хотя вайн уже достаточно развит для отлова авторана. Но вот чисто теоретически. Появляется под линукс проприентарная программа. Ессно исходный код неизвестен, инсталятор - бинарник. В ридми все прописано - устанавливать под рутом. Устанавливаешь ее (нажав большую кнопку "Сделать все зашибись"), а она змея сканирует папку с паролями. И дальше все зависит от фантазии разработчика. Сейчас это так игра мыслью. Когда пользователей линукс подвырастет, вырастет и количество желающих получить все "зашибись" и сразу. Вот тогда о безопасности можно будет и подумать. А антивирусы не выход. Дома у меня параллельно линю стоит винда. Что у меня антивирусов нет? Сын свеженькие привозит (о легальности умолчим тактично). И все время обнаруживаю то авторан, то непонятные файлы с диким расширением. Благо из-под линя все видно. Пока лучший антивирус для меня - установленный параллельно линукс.

[Davinel]

а она змея сканирует папку с паролями.

погуглите "shadow". "Папка с паролями" давно закриптована.

Однако, есть парочка достаточно универсальных. Например, /etc/init.d и /etc/rc?.d присутствуют в подавляющем большинстве систем. Не знаю, как где, но подозреваю, что ~/.xsessionrc тоже будет много где работать.

Ну /etc - опять же неинтересно ибо подразумевают, что уже есть рутовские привелегии.. С ними очень много чего сделать можно. А вот xsessionrc - да, это я как то забыл.

Вам что важнее домашнией машине сохранность /etc или сохранность личных документов? Это должно быть одинаково важно! Или даже личне документы пользователя - важнее.

Человечеством придуман уникальный метод, для того, чтобы держать личные документы в сохранности. Этот секрет передавался из уст в уста и потому мало кому о нём известно, но вам я открою эту тайну. Делайте, блин, бэкапы.
Но когда вы в последний раз видели вирус, который бы занимался такой идиотской и никому не нужной деятельностью, как удаление файлов? Я вот даже и не припомню. Как то все больше ботнеты и кража номеров/пинкодов карточек популярны.
К тому же учтите - по нормальному на всех пользовательских разделах должен быть флаг noexec(не припомню когда бы я что то запускал из /home, так что оно не шибко помешает), что заметно ограничивает возможности вирусописания...

[ovodigor]

Если их пока нет, это не значит, что они не возможны вообще.
Что бы навредить или заразить систему права рута могут и не понадобиться. С правами пользователя можно довольна сильно навредить самому пользователю. Вам что важнее домашнией машине сохранность /etc или сохранность личных документов? Это должно быть одинаково важно! Или даже личне документы пользователя - важнее.

мне вообще важнее документы и программы, чем система, систему я с клона восстановлю, а где мне потом искать свои файлы (бекап более 10-100гб не предлагать)

[Bluetooth]

ненужный ибо под линукс нет вирусов или ненужный ибо без рута не сможет ничего сделать или что достаточно выставить права на доступ (на что большинство как раз не пойдет) возникает вопрос как скоро в линуксе будут вирусы?

Если их пока нет, это не значит, что они не возможны вообще.

А тут, кстати, этого никто и не говорил.

[nesk]

Человечеством придуман уникальный метод, для того, чтобы держать личные документы в сохранности. Этот секрет передавался из уст в уста и потому мало кому о нём известно, но вам я открою эту тайну. Делайте, блин, бэкапы.
Но когда вы в последний раз видели вирус, который бы занимался такой идиотской и никому не нужной деятельностью, как удаление файлов? Я вот даже и не припомню. Как то все больше ботнеты и кража номеров/пинкодов карточек популярны.
К тому же учтите - по нормальному на всех пользовательских разделах должен быть флаг noexec(не припомню когда бы я что то запускал из /home, так что оно не шибко помешает), что заметно ограничивает возможности вирусописания...

Бекапы делать надо! Это без вариантов!
Для того, что бы делать ботнеты и воровать пароли и номерова/пинкоды карточек пользователя, не обязательно получать права рута, такие вредоносные программы прекрасно работают с правами пользователя.
Что запускается из домашнего каталога? Всякие .bashrc .bash_profile .xinitrc и прочее.
А как вы запускаете скажем браузер?
1) из консоли /usr/bin/firefox &
2) из консоли firefox &
3) кликаете в меню или на иконку (фактически интерпретируете файл firefox.desktop, лежащий где то в Вашей домашней директории.)

мне вообще важнее документы и программы, чем система, систему я с клона восстановлю, а где мне потом искать свои файлы (бекап более 10-100гб не предлагать)

Вот видите, значит Ваш постулат о том, что вирус "без рута не сможет ничего сделать", в корне не верен.

[Ali1]

(бекап более 10-100гб не предлагать)

Т.е. Вам на данные плевать? В чём тогда проблема?

[Ali1]

Вот видите, значит Ваш постулат о том, что вирус "без рута не сможет ничего сделать", в корне не верен.

В корне.
Какова положительная программа действий? Ведь антивирус может быть сам атакован. Т.е я о том, что абсолютной защиты нет. Мероприятия, значительно повышающие надежность, снижают производительность и применимость(usability).
Какова должна быть реальная величина угрозы, дабы использование антивируса было разумным компромиссом?
Достигла ли угроза этой величины?

[Davinel]

Что запускается из домашнего каталога? Всякие .bashrc .bash_profile .xinitrc и прочее.

Читаются. Посмотрите сами на них даже нет бита "x" по умолчанию.

А как вы запускаете скажем браузер?
1) из консоли /usr/bin/firefox &
2) из консоли firefox &
3) кликаете в меню или на иконку (фактически интерпретируете файл firefox.desktop, лежащий где то в Вашей домашней директории.)

и? как наш вирус запишет себя в / или перепишет мне path, если он пока что еще не запустился? ))

[nesk]

Читаются. Посмотрите сами на них даже нет бита "x" по умолчанию.

Отлично - как раз потенциальные места для заражения.

и? как наш вирус запишет себя в / или перепишет мне path, если он пока что еще не запустился? ))

в корень никак - в $HOME на раз.
Как вы сами заметили, noexec не защищает от скриптовых(интерпретируемых вирусов)
Вопрос первого запуска вируса - конечно самый интересный
Два варианта, которые проявили себя в реальности за последние пару месяцев:
1) дыра в браузере, позволяющая выполнить произвольный код
2) взмом сайта разработчика и внедрения вредоносного кода в официальный исходный код.
Что еще.. как еще один классический вариант: заражение документов некоторые не сознательные пользователи не отключают макросы . А иногда предполагается, что макросы в документе нужны, а там внутри кроме нужного кода, будет еще и вредоносный.
Еще вариант, возникающий редко - возможность выполнить удаленный код.

Какова положительная программа действий? Ведь антивирус может быть сам атакован. Т.е я о том, что абсолютной защиты нет. Мероприятия, значительно повышающие надежность, снижают производительность и применимость(usability).

Ну хотя бы периодическая проверка файлов (конфигов) на изменение, должна быть. Еще надо бы периодически смотреть какие порты кто слушает и какие соединения открыты. И тому подобное.
Вот например в SLES существует скрипт seccheck, который рекомендуют периодически запускать.
Nessus - тоже неплохая программка.
Какую-нить HIDS, тоже хорошо использовать.

Вы же регулярно моете руки перед едой, даже если подхватить какую-нить заразу маловероятно. И прививки тоже делают до начало эпидемий

[Davinel]

Как вы сами заметили, noexec не защищает от скриптовых(интерпретируемых вирусов)

Насколько я помню noexec просто запрещеает бит "x" на всем, кроме директорий.. Если меня конечно нигде не глючит.
Скрипт без права на запуск просто не запустится.

[Ali1]

И прививки тоже делают до начало эпидемий smile.gif

И мрут от осложнений до прихода вируса. А когда он приходит, то оказывается, что летальность близка к нулю.

Если серьезно, то да Ваша "положительная программа" вполне разумна и не сильно обременительна. Не PaX, SeLinux, LIDS.
Но, чтобы оно работало:
разработчики дистрибутивов должны включить в состав и настроить необходимое
"продвинутые пользователи" не "чинить".
А они будут "чинить".

UPD
Я, собственно, вовсе не против мытья рук, марлевых повязок и даже прививок. Я просто не верю в "серебряные пули" и способность массового потребителя к осознанному проведению процесса обеспечения безопасности. По крайней мере в современных ОС.

[Ali1]

Davinel

Код: Выделить всё

[ali@aliCQ ~]$ ls -l Loop/script.sh
-rwxrwxr-x. 1 ali ali 40 Авг 10 17:25 Loop/script.sh
[ali@aliCQ ~]$  Loop/script.sh
bash: Loop/script.sh: Отказано в доступе
[ali@aliCQ ~]$ sh  Loop/script.sh
Hello!
[ali@aliCQ ~]$ mount | grep Loop
/dev/loop0 on /home/ali/Loop type ext2 (rw,noexec)
ali@aliCQ ~]$ chmod -x Loop/script.sh
[ali@aliCQ ~]$ ./Loop/script.sh
bash: ./Loop/script.sh: Отказано в доступе
[ali@aliCQ ~]$ sh  Loop/script.sh
Hello!
[ali@aliCQ ~]$

[gultyai]

а она змея сканирует папку с паролями.

погуглите "shadow". "Папка с паролями" давно закриптована.

И гуглить не надо, что такое /etc/passwd и что такое /etc/shadow знаю. Представьте знаю и про TCB. А вот вы знаете, что имеются в юзерфрендли дистрибутивах пользователи бес пароля? На самом деле это пользователи с пустым паролем. Пароль рута доступен по приведенному условию задачи. ИМХО, от этого можно оттолкнуться для расшифровки всех паролей.

[drag0n]

А вот вы знаете, что имеются в юзерфрендли дистрибутивах пользователи бес пароля? На самом деле это пользователи с пустым паролем.

Что за пользователь такой? Сколько сижу на убунте, ни разу такого не встречал и не слышал даже о таком.

[gultyai]

Что за пользователь такой? Сколько сижу на убунте, ни разу такого не встречал и не слышал даже о таком.

Убунту не знаю, при установке мандривы в полях пароля для пользователя можно вообще ничего не ставить. Получается пользователь с паролем "".

[Bluetooth]

Бекапы делать надо! Это без вариантов!
Для того, что бы делать ботнеты и воровать пароли и номерова/пинкоды карточек пользователя, не обязательно получать права рута, такие вредоносные программы прекрасно работают с правами пользователя.
Что запускается из домашнего каталога? Всякие .bashrc .bash_profile .xinitrc и прочее.
А как вы запускаете скажем браузер?
1) из консоли /usr/bin/firefox &
2) из консоли firefox &
3) кликаете в меню или на иконку (фактически интерпретируете файл firefox.desktop, лежащий где то в Вашей домашней директории.)

Полностью согласен. Права рута далеко не для всего нужны. Но зато они позволяют основательно спрятаться.

Я, собственно, вовсе не против мытья рук, марлевых повязок и даже прививок. Я просто не верю в "серебряные пули" и способность массового потребителя к осознанному проведению процесса обеспечения безопасности. По крайней мере в современных ОС.

Опять же полностью согласен. Ибо некоторые суют деньги в задний карман джинс...какая уж тут информационная безопасность?))

(бекап более 10-100гб не предлагать)

У меня бэкапов на 200 гигов. И отдельный комп для этого дела. Стоимость всего этого минимальна. Этого не сможет себе позволить разве что школьник. но школьникам нечего быкапить. Так что я как раз буду предлагать бэкап на 10-100гб.

[/dev/random]

Ибо некоторые суют деньги в задний карман джинс...

У меня там лежит специально приготовленная стопка бумаги, по формату как десятки, с распечатанными фигами. ))
Ещё ни разу не вытащили. ((

[nesk]

Скрипт без права на запуск просто не запустится.

А как по Вашему ~/.bash_profile исполняется?
bash <имя_скрипта>
Сработает без права x на скрипте.
<имя_интерпретатора> [ключи] <имя_текстового_файла-скрипта>

[/dev/random]

Блин, достали. Назовите мне хоть один remote execution exploit (т.е, эксплойт, через который может влезть вирус), который прорвался бы через PaX.

[Davinel]

А как по Вашему ~/.bash_profile исполняется?

Он не исполняется. Он отсылается в качестве параметра в bash.
немножко разные вещи - запустить через эксплойт какой то скриптик или запустить интерпретатор и через него запустить скриптик.

[nesk]

немножко разные вещи - запустить через эксплойт какой то скриптик или запустить интерпретатор и через него запустить скриптик.

Не вижу разницы. Результат один - выполнение нужного мне скрипта.

[Davinel]

Результат - да. Реализовать сложнее.