Май 2008 (Обсуждение 5го номера)

[Val]

Однако это журнал для популяризацыии Linux поэтому начинать статью словами, которые могут быть поняты как "В Linux c безопасностью хуже чем в Windows" мне не кажетсмя хорошей мыслью.

Эх, "Могут быть поняты..." Мой [не такой, по правде сказать, уж богатый] опыт на посту редакторов различных изданий свидетельствуют о том, что "поняты" могут быть любые фразы и старый анекдот: "раз рыбка, значит щука, раз щука - то с зубами" вполне имеет под собой основание. Например, посыл "Linux куда более крепкий орешек, чем Windows, поэтому взломать его почетно и одно это уже может привлечь к Вашей машине хакеров" Вы (и, по статистике полагаю, не только Вы) умудрились прочесть с точностью до наоборот.

Я почемуто думал что Ваш журнал занимается популяризацией Linux на рабочих столах пользователей, а вот "Системный администратор" занимается всеми вышеперечисленными вопросами. Так что пользователю перешадшему на Linux окончательно или оставившему Windows для выполнения некоторых отдельных задачи (например поиграться) хотелось бы знать всетаки как ему защитить свои данные в Linux а не заниматься защитой того чего нет. А об этом ни слова. Поэтому остается непонятным есть ли вирусы, как с ними бороться итд именно пользователю десктопа.

Алексей, Вы обычно все понимаете правильно, но зачем-то доводите до абсурда. Да, "СА" занимается преимущественно "суровой админской тематикой" (причем не только в отношении Linux), а мы более ориентированы на пользователей и разработчиков. Но это не мешает нам открывать в июле рубрику по администрированию, а "СА" - публиоковать статьи про запуск настольного ПО в Wine. Естественно, и мы, и "СА" по возможности стараемся охватить максимально широкий круг вопросов - но под разными углами. Не говоря уж о том, что стоящая на чужом разделе Windows вполне может "заразиться" через валяющийся в Linux файл (не волшебным, разумеется, образом - его надо запустить, перезагрузившись в Win, что при интенсивном обмене файлами между двумя разделами не так уж сложно).

Раз 5 в вашем журнале я читал фразу "Пользовательские данные гораздо важнее системы". Она в первую очередь верна для десктопа, и совет "не сидите под root" ну никак не поможет их уберечь

Не выдергивайте фразу из контекста. Мы говорили о вирусах, и Вы спросили, причем здесь su/sudo. Я популярно объяснил - запустив программу с привилегиями root, Вы даете ей право писать в бинарники, т.е. осуществлять заражение. Никакие данные, кей-логгеры (которые, в принципе, могут быть выполнены в виде модуля ядра и потому им неважно, как именно вы вошли в систему) здесь ни при чем - мы говорим о вирусах и возможности их распространения.

[Crazy Rebel]

Однако это журнал для популяризацыии Linux поэтому начинать статью словами, которые могут быть поняты как "В Linux c безопасностью хуже чем в Windows" мне не кажетсмя хорошей мыслью.

Эх, "Могут быть поняты..." Мой [не такой, по правде сказать, уж богатый] опыт на посту редакторов различных изданий свидетельствуют о том, что "поняты" могут быть любые фразы

Извините но вы (или английская редакция) сами вырвали фразу из контекста и выделенная жирным шрифом посреди страницы она воспринимается именно так.

Не говоря уж о том, что стоящая на чужом разделе Windows вполне может "заразиться" через валяющийся в Linux файл (не волшебным, разумеется, образом - его надо запустить, перезагрузившись в Win, что при интенсивном обмене файлами между двумя разделами не так уж сложно).

Но ведь статья полностью называется "Цель Linux" а защищаем мы от вирусов почемуто другую ОС. Почему тогда о пользователях MacOS не позаботиться параллельно, они тоже часто двойную установку используют?

Раз 5 в вашем журнале я читал фразу "Пользовательские данные гораздо важнее системы". Она в первую очередь верна для десктопа, и совет "не сидите под root" ну никак не поможет их уберечь

Не выдергивайте фразу из контекста. Мы говорили о вирусах, и Вы спросили, причем здесь su/sudo. Я популярно объяснил - запустив программу с привилегиями root, Вы даете ей право писать в бинарники, т.е. осуществлять заражение. Никакие данные, кей-логгеры (которые, в принципе, могут быть выполнены в виде модуля ядра и потому им неважно, как именно вы вошли в систему) здесь ни при чем - мы говорим о вирусах и возможности их распространения.

Извитите, но если уж "случилось страшное", то есть у вас в системе как модуль ядра работает кей-логгер, то говорить о проблемах с запуском su/sudo уже не приходится - система поражена и ее спасать надо. А если же взять ситуацию, что пользователь аккуратен и его защита не пробита, или же у него работает вредоносный код и с правами того же пользователя и в рамках сессии пользователя (и именно эта ситуация является наиболее вероятной в общем случае), то переключение в другую консоль с правами рута будет абстрагировано от сессии пользователя и вредоносный код не сможет получить доступа к буферу клавиатуры и прочим вещам.

Далее в статье указывается что получение откомпилированных программ (то есть бинарных файлов) опасно. Но опять же не говорится ничего о том как опасности избежать. А действительно - как? Качать исходники и собирать самому? Но извините, даже если я скачаю исходники то как я могу быть уверенным что вредоносний код не встроен в них и не будет аккуратно мной откомпилирован? В этом случае решением может быть использование доверенных репозиториев из которых можно ставить как бинарные файлы так и исходники. И об этом в статье тоже ничего не сказано (или я пропустил).

И последнее - с статье опять же ничего не говорится о том что же должен делать пользователь LINUX у которого НЕ СЕРВЕР и которому НЕ НАДО защищать Windows (ни свой ни чужой) чтобы обезопасить свои данные. Говорится почемуто только о том как ликвидировать последствия. Ведь по сути проблема остается - приходится получать бинарные файлы из неизвестных источников и запускать их на выполнение. Если этот бинарный файл содержит вредоносный код, то система в общем случае не страдает, но пользователь то страдает, поэтому надо было бы как раз больше этому вопросу внимание уделить. Отсутствие в настоящий момент вирусов под Linux еще не означает что их не будет завтра. ClamAV не спасет, как не спасают пользователей Windows многичисленные антивирусы под него, а между прочим решение есть, по крайней меред для тех, кому важны его данные.

[Val]

Извините но вы (или английская редакция) сами вырвали фразу из контекста и выделенная жирным шрифом посреди страницы она воспринимается именно так.

Вами воспринимается, Алексей, Вами - не забудьте это дописать. Вы - первый человек, который понял ее таким образом. В цитату вынесена фраза: "ПК с Linux часто более привлекательны для атаки, чем ПК с Windows." Моя машина, например, по статистике - самая угоняемая в России, и это вовсе не означает, что она менее защищена (или что она хуже) "копейки". А Памела Андерсон значительно более привлекательная, чем Клара Цеткин - аналогию сами продолжите?

Но ведь статья полностью называется "Цель Linux" а защищаем мы от вирусов почемуто другую ОС. Почему тогда о пользователях MacOS не позаботиться параллельно, они тоже часто двойную установку используют?

Вы представляете, какая незадача: журнал тоже называется Linux Format, а мы тут что-то про альтернативные ОС писать задумали... Больше не будем. Еще раз - не надо подходить ко всему со звериной серьезностью. Про Mac OS мы (точнее, наши английские коллеги) тоже упоминаем порядочно, почему она не попала именно в эту статью - ну, я не знаю.

Извитите, но если уж "случилось страшное", то есть у вас в системе как модуль ядра работает кей-логгер, то говорить о проблемах с запуском su/sudo уже не приходится - система поражена и ее спасать надо.

РазумеетсЯ, потому я и сказал -не выдергивайте фразу из контекста. Вы спросили, чем опасен su/sudo в разрезе вирусов - я, в меру своего разумения, объяснил. откуда в этой схеме взялся кейлоггер - у вас надо спрашивать, у нас его не было

Далее в статье указывается что получение откомпилированных программ (то есть бинарных файлов) опасно. Но опять же не говорится ничего о том как опасности избежать. А действительно - как? Качать исходники и собирать самому?

Именно так.

Но извините, даже если я скачаю исходники то как я могу быть уверенным что вредоносний код не встроен в них и не будет аккуратно мной откомпилирован?

Есть такое понятнее, как аудит безопасности. Если его нельзя сделать самому, можно нанять кого-то для этой деятельности. Ну и Ваша догадка с репозиториями, разумеется, верна - в статье идет речь о бинарных файлах Autopackage, которые берутся неизвестно откуда.

И последнее - в статье опять же ничего не говорится о том что же должен делать пользователь LINUX у которого НЕ СЕРВЕР и которому НЕ НАДО защищать Windows (ни свой ни чужой) чтобы обезопасить свои данные.

Ну вот. Талдычишь вам, талдычишь: не сиди под рутом, не ставь программы черте-откуда - так ведь нет. То это "прописные истины", то "не объяснили". В статье, действительно, сделан упор на защиту системы, а не данных - потому как про второе было наговорено порядочно (см. ниже).

ClamAV не спасет, как не спасают пользователей Windows многичисленные антивирусы под него, а между прочим решение есть, по крайней меред для тех, кому важны его данные.

Спасает одно - резервирование. Об этом говорилось неоднократно и написано как раз в 105 номере. Но даже резервирование не спасет от червя или вируса - поэтому стоит знать, как защитить машину от проникновения извне. Поймите, далеко не каждому хакеру 13 лет и не каждый хочет уничтожить ваши данные - кому-то может быть интересно их украсть.

[Crazy Rebel]

Вами воспринимается, Алексей, Вами - не забудьте это дописать. Вы - первый человек, который понял ее таким образом.

Конечно мной. А насчет я первый - это видимо не верно, просто я написал, а другие нет.

В цитату вынесена фраза: "ПК с Linux часто более привлекательны для атаки, чем ПК с Windows." Моя машина, например, по статистике - самая угоняемая в России, и это вовсе не означает, что она менее защищена (или что она хуже) "копейки".

На 100% уверен что когда мы говорим о машинах то статистика утверждает что скажем каждая десятая машина Вашей марки угоняется, значит вернувшись к ОС "Более привлекательные для взлома ОС" должны чаще взламываться на 10 установок. А так ли это в контексте двух сравниваемых ОС?

Но ведь статья полностью называется "Цель Linux" а защищаем мы от вирусов почемуто другую ОС. Почему тогда о пользователях MacOS не позаботиться параллельно, они тоже часто двойную установку используют?

Вы представляете, какая незадача: журнал тоже называется Linux Format, а мы тут что-то про альтернативные ОС писать задумали...

Пожалуйста не передергивайте. Если статья имеет такое название то подразумевается что мы ищем уязвимости Linux а не чего то другого.

РазумеетсЯ, потому я и сказал -не выдергивайте фразу из контекста. Вы спросили, чем опасен su/sudo в разрезе вирусов - я, в меру своего разумения, объяснил. откуда в этой схеме взялся кейлоггер - у вас надо спрашивать, у нас его не было

Как ни странно - был. Именно в этом абзаце про опасности sudo. Если только склероз меня сорвсем уж не замучал.

Далее в статье указывается что получение откомпилированных программ (то есть бинарных файлов) опасно. Но опять же не говорится ничего о том как опасности избежать. А действительно - как? Качать исходники и собирать самому?

Именно так.

Но извините, даже если я скачаю исходники то как я могу быть уверенным что вредоносний код не встроен в них и не будет аккуратно мной откомпилирован?

Есть такое понятнее, как аудит безопасности. Если его нельзя сделать самому, можно нанять кого-то для этой деятельности. Ну и Ваша догадка с репозиториями, разумеется, верна - в статье идет речь о бинарных файлах Autopackage, которые берутся неизвестно откуда.

Во первых опять таки непонятно для кого был совет (и про аудит безопасности тоже - кто его вообще кроме крупных организаций может себе позволить?). Во вторых autopackage упоминается вскользь, а упор делается все на установку бинарных файлов из неизвестных источников.

[Val]

Конечно мной. А насчет я первый - это видимо не верно, просто я написал, а другие нет.

Да, я это уже выше отмечал.

На 100% уверен что когда мы говорим о машинах то статистика утверждает что скажем каждая десятая машина Вашей марки угоняется, значит вернувшись к ОС "Более привлекательные для взлома ОС" должны чаще взламываться на 10 установок. А так ли это в контексте двух сравниваемых ОС?

Не совсем. Ее пытаются угнать чаще других. Получается не всегда, ибо автовладелец тоже не идиот и принимает меры. Также как и в контексте двух ОС.

Пожалуйста не передергивайте. Если статья имеет такое название то подразумевается что мы ищем уязвимости Linux а не чего то другого.

Удивлю я Вас, как говаривал товарищ Гоблин, до невозможности: статья имеет то название, которое лучше всего звучит. Я же еще раз говорю, LXF - это не отчет Министерства Обороны, и даже не научный, а научно-популярный журнал - здесь допустимы разные вольности в весьма широких пределах (хочется, правда, надеяться, что до уровня желтой прессы мы не опустимся). Вас же почему-то не смутило, что в учебнике "Интервью с троллем" в, дай Бог памяти, LXF103 или 104, не было ничего ни про интервью, ни про троллей? Конечно, заголовок подбирается так, чтобы коррелировать с сутью статьи, но специально следить за тем, "а не взболтнули ли мы чего-то, что не вынесено в заглавие" никто не следит.

Да и с позиций строгой науки: заголовок означает, что атаковать будут машину с Linux'ом. Отдельностоящий это десктоп, маршрутизатор, прокси-сервер, почтовик - не конкретизируется. Во всех случаях, кроме первого, вопрос защиты клиентов за периметром имеет очень большое значение (шлюз, в целом, для того и держат), так что не вижу большой крамолы.

Как ни странно - был. Именно в этом абзаце про опасности sudo. Если только склероз меня сорвсем уж не замучал.

Хм, там его нет. Может, где-то в другом месте статьи упоминается - это вполне в духе материала.

Во первых опять таки непонятно для кого был совет (и про аудит безопасности тоже - кто его вообще кроме крупных организаций может себе позволить?).

Ну я обычно софт проглядываю, особенно если он небольшой и я беру его из источников, которым не на 100% доверяю. Хотя, лично мое отношение к безопасности на персональных машинах весьма наплевательское.

Во вторых autopackage упоминается вскользь, а упор делается все на установку бинарных файлов из неизвестных источников.

Строго говоря, да - все, что сказано про autopackge, верно и про бинарные сборки. Совет дан на месте: не ставьте их из незнакомых источников, проверяйте подпись или хотя бы хэш (про последнее, согласен, можно было в статью включить, но правило "не ставь бинарник с сайта, которому не доверяешь" в первом приближении уже поможет.).

[Crazy Rebel]

И всетаки вернемся к проблеме вирусов под линукс (кстати в соответствующем разделе статьи название
именно "Вирусы под Linux" что как мне кажется согласно правилам русского языка должно быть
расшифровано в фразу "Вирусы работающие под управлением ОС Linux". Так о чем я - вирусы под Linux
это реальность, хотя в начале раздела и сказано что их пока менее 100 по сравнению с 350000 под
Windows, на как мне кажется это явление временное, и хотя соотношение будет возможно и сохраняться
но абсолютное значение числа вирусов будет расти. Поэтому хотелось бы всетаки почитать как именно
пользователи должны защищаться от вирусных атак в Linux.

Как Вы заметили ранее далеко не всем вирусописатеям хочется просто уничтожить данные на компьютере
пользователя, некоторые хотят чтото по возможности украсть, так что никакие резервирование данных
не спасет данные от кражи, тем более что даже будучи украденными эти данные все равно остаются в
распоряжении пользователя. Другая проблема заключатеся в том что тех кому хочется чтото сделать с
пользовательскими днными все равно меньше тех кому сами данные не нужны, а нужен компьютьер
пользователя для своих линых целей. Опятиь же в статье конечно есть информация как
ворспрепятствоватьэтому но, все касается только получения прав суперпользователя в то время как
проведение спам рассылок например возможно и от имени обычного пользователя. Поэтому хотелось бы
более конкретных советов как уберечься от такой проблемы или использования компьютеров в качестве
узлов для ДОС атак.

[Peresvet]

Досадно...

На днях получил майский журнал и обнаружил достаточно серьёзные недостатки связанные с вёрсткой.
Судите сами по последовательности страниц:
до 76 страницы всё нормально, далее, идёт 76 и после неё нумерация следующая: 81, 82, 83, 84,
далее повторяются 81, 82, 83, 84, идёт продолжение нумерации: 85, 86, 87, 88,
и, вновь повтор: 85, 86, 87, 88. Далее "прыжок" до 93-й страницы и затем всё нормально.

Пропущены как раз те статьи которые хотел почитать.

Я недоволен!

Я хотел бы получить этот номер с нормальной вёрсткой.

[Crazy Rebel]

Досадно...

На днях получил майский журнал и обнаружил достаточно серьёзные недостатки связанные с вёрсткой.
Судите сами по последовательности страниц:
до 76 страницы всё нормально, далее, идёт 76 и после неё нумерация следующая: 81, 82, 83, 84,
далее повторяются 81, 82, 83, 84, идёт продолжение нумерации: 85, 86, 87, 88,
и, вновь повтор: 85, 86, 87, 88. Далее "прыжок" до 93-й страницы и затем всё нормально.

Пропущены как раз те статьи которые хотел почитать.

Я недоволен!

Я хотел бы получить этот номер с нормальной вёрсткой.

И Вам ответ тот же что и мне - пишите в Linuxcenter (info@linuxcenter.ru) и Вам вышлют нормальный журнал. Как Вы наверное догадываетесь редакция журнала здесь ни при чем - накосячили в типографии.

[ArtSh]

вирусы под Linuxэто реальность, хотя в начале раздела и сказано что их пока менее 100 по сравнению с 350000 под
Windows, на как мне кажется это явление временное, и хотя соотношение будет возможно и сохраняться
но абсолютное значение числа вирусов будет расти.

А я считаю, это явление постоянное. С такой скоростью исправления ошибок, с таким быстрым изменением ABI, с таким разнообразием платформ/набора ПО я думаю это вполне оправдано. А как было замечено в статье, Лиункс-система обычно гораздо более привлекательная цель, чем Виндовс-машина, так как за всё это время эффективных вирусов ещё не было, это свидетельствует о том, что написать вирус для Линукс гораздо труднее.

Поэтому хотелось бы всетаки почитать как именно
пользователи должны защищаться от вирусных атак в Linux.

В статье это описано: свежие обновления безопасности (свежее ПО) + антивирус (clamav).

Поэтому хотелось бы
более конкретных советов как уберечься от такой проблемы или использования компьютеров в качестве
узлов для ДОС атак.

В статье это освещено достаточно подробно. Вкратце: свежие обновления безопасности + файервол + проверка на руткиты + сложный пароль + резервное копирование + спец ПО. Для Вас я бы ещё добавил шифрование данных.

[Peresvet]

И Вам ответ тот же что и мне - пишите в Linuxcenter (info@linuxcenter.ru) и Вам вышлют нормальный журнал. Как Вы наверное догадываетесь редакция журнала здесь ни при чем - накосячили в типографии.

Спасибо! Я понимаю - редакция тут не причём, у них другие косяки

Я хотел бы узнать со всем ли майским тиражом такие косяки или у некоторых экземпляров только?

[Val]

Я хотел бы узнать со всем ли майским тиражом такие косяки или у некоторых экземпляров только?

Некоторое количество неправильно сшитых журналов присутствует в каждом тираже - где-то около 10-15 штук.

[Peresvet]

Некоторое количество неправильно сшитых журналов присутствует в каждом тираже - где-то около 10-15 штук.

Понятно. Спасибо! Получается около 0,3% брака в общем тираже.

[Val]

Понятно. Спасибо! Получается около 0,3% брака в общем тираже.

я грубо прикидывал. Но определенный процент брака есть, и он меньше 1%

[Crazy Rebel]

Поэтому хотелось бы
более конкретных советов как уберечься от такой проблемы или использования компьютеров в качестве
узлов для ДОС атак.

В статье это освещено достаточно подробно. Вкратце: свежие обновления безопасности + файервол + проверка на руткиты + сложный пароль + резервное копирование + спец ПО. Для Вас я бы ещё добавил шифрование данных.

Все это классно если злобный хакер пытается снаружи взломать Вашу систему, и все это совершенно бесполезно если:
а) Вирус еще не включен в антивирусную базу
б) Защита компьютера не сломана (большинство вирусов распространяется сейчас как легальные е-майл или -запускаются с флешки пользователя)
в) Вирус не требует прав суперпользователя и не собирается получать контроля над системой.

Итог - если вирус является спам сервером то может совершенно легально запускаться от имени любого пользователя которому разрешено отправлять письма и все Ваши предложения не более чем пшик... Именно это я достаточно часто наблюдаю на Windows машинах. Никакие супер-хакеры их ен вскрывают, а приходит email с акуратно подставленными адресами и важной программой/архивом/документом которую пользователь и запускает Что дальше делает эта программа не известно но легко под видом распаковки может собрать пользовательские данные и отправить их куда угодно.

[Evgueni]

Итог - если вирус является спам сервером то может совершенно легально запускаться от имени любого пользователя которому разрешено отправлять письма и все Ваши предложения не более чем пшик...

Можно (нужно) запретить исполнять файлы из пользовательской директории и никакого спам сервера.

[Crazy Rebel]

Итог - если вирус является спам сервером то может совершенно легально запускаться от имени любого пользователя которому разрешено отправлять письма и все Ваши предложения не более чем пшик...

Можно (нужно) запретить исполнять файлы из пользовательской директории и никакого спам сервера.

Хорошее решение тока непонятно
а) как его реализовать (возможно от недообразованности поэтому интересно узнать как это можно сделать)
б) Что делать если пользователю нужно запускать программы/скрипты из своего каталога? (В качестве примера - я лично чтобы скачать несколько файлов с одного сервера или разных серверов быстренько пишу башевский скрипт в который натыкиваю wget -c и запускаю его из того каталога где хочу сохранить данные) И это не говоря о том что есть ситуации когда пользователь не хочет устанавливать некие программы глобально в систему, а только для себя. Еще пример - NFS. У меня все пользовательские каталоги хранятся на сервере и на локальных машинах подключаются через NFS. Есть ряд программ отсутствующих во всех дистрибутивах. Чтобы избежать установки их всех на КАЖДЫЙ компьютер (коих около 20) проще запихнутьо их в /home/user/bin

[Evgueni]

Итог - если вирус является спам сервером то может совершенно легально запускаться от имени любого пользователя которому разрешено отправлять письма и все Ваши предложения не более чем пшик...

Можно (нужно) запретить исполнять файлы из пользовательской директории и никакого спам сервера.

Хорошее решение тока непонятно
а) как его реализовать (возможно от недообразованности поэтому интересно узнать как это можно сделать)

man mount на предмет опции noexec

б) Что делать если пользователю нужно запускать программы/скрипты из своего каталога? (В качестве примера - я лично чтобы скачать несколько файлов с одного сервера или разных серверов быстренько пишу башевский скрипт в который натыкиваю wget -c и запускаю его из того каталога где хочу сохранить данные) И это не говоря о том что есть ситуации когда пользователь не хочет устанавливать некие программы глобально в систему, а только для себя. Еще пример - NFS. У меня все пользовательские каталоги хранятся на сервере и на локальных машинах подключаются через NFS. Есть ряд программ отсутствующих во всех дистрибутивах. Чтобы избежать установки их всех на КАЖДЫЙ компьютер (коих около 20) проще запихнутьо их в /home/user/bin

Ну дык, вы выбирайте: либо безопасность (та ещё заноза в заднице), либо право на написание своих программ. Человек, который бездумно запускает скрипты в своих письмах сам их писать не будет (скрипты в смысле).

[Crazy Rebel]

Итог - если вирус является спам сервером то может совершенно легально запускаться от имени любого пользователя которому разрешено отправлять письма и все Ваши предложения не более чем пшик...

Можно (нужно) запретить исполнять файлы из пользовательской директории и никакого спам сервера.

Хорошее решение тока непонятно
а) как его реализовать (возможно от недообразованности поэтому интересно узнать как это можно сделать)

man mount на предмет опции noexec

Ясно в какую сторону копать. Но так я запрещаю запуск на всем разделе а не отдельному пользователю. Это не очень хорошо.

б) Что делать если пользователю нужно запускать программы/скрипты из своего каталога? (В качестве примера - я лично чтобы скачать несколько файлов с одного сервера или разных серверов быстренько пишу башевский скрипт в который натыкиваю wget -c и запускаю его из того каталога где хочу сохранить данные) И это не говоря о том что есть ситуации когда пользователь не хочет устанавливать некие программы глобально в систему, а только для себя. Еще пример - NFS. У меня все пользовательские каталоги хранятся на сервере и на локальных машинах подключаются через NFS. Есть ряд программ отсутствующих во всех дистрибутивах. Чтобы избежать установки их всех на КАЖДЫЙ компьютер (коих около 20) проще запихнутьо их в /home/user/bin

Ну дык, вы выбирайте: либо безопасность (та ещё заноза в заднице), либо право на написание своих программ. Человек, который бездумно запускает скрипты в своих письмах сам их писать не будет (скрипты в смысле).

Что такое безопасность мне известно. И к сожалению нужно и давать пользователю право на выполнение программ и постараться обезопасить его данные. Так что в этом смысле я вижу только один выход - сделать каждому пользователю по две и более учетных записи и безопасной записи запретить выход в интернет в принципе, а "небезопасной" - ну так и фиг с ней - все равно вирус ничего важного не уничтожит и не украдет. А далее объясниить каждому как правильно пользоваться командой su (которая является сокращением не от superuser а от switch user) или как одновременно запустить две копии Х. Вот еще бы разобраться как пользователю небезопасной записи запретить выполнение команд кроме некоторых, так вот вообще круто было бы.

[ArtSh]

Поэтому хотелось бы
более конкретных советов как уберечься от такой проблемы или использования компьютеров в качестве
узлов для ДОС атак.

В статье это освещено достаточно подробно. Вкратце: свежие обновления безопасности + файервол + проверка на руткиты + сложный пароль + резервное копирование + спец ПО. Для Вас я бы ещё добавил шифрование данных.

Все это классно если злобный хакер пытается снаружи взломать Вашу систему, и все это совершенно бесполезно если:
а) Вирус еще не включен в антивирусную базу
б) Защита компьютера не сломана (большинство вирусов распространяется сейчас как легальные е-майл или -запускаются с флешки пользователя)
в) Вирус не требует прав суперпользователя и не собирается получать контроля над системой.

Вирус, априори, использует какую-то дыру в ПО и обязательно распространяется. Если первое ещё может случиться (и то вероятность такого падает при использовании обновлений безопасности), то со вторым просто беда: из-за разницы ABI и конкретных версий ПО он может просто не запуститься, или не сможет инфицировать что-либо.

Итог - если вирус является спам сервером то может совершенно легально запускаться от имени любого пользователя которому разрешено отправлять письма и все Ваши предложения не более чем пшик... Именно это я достаточно часто наблюдаю на Windows машинах. Никакие супер-хакеры их ен вскрывают, а приходит email с акуратно подставленными адресами и важной программой/архивом/документом которую пользователь и запускает Что дальше делает эта программа не известно но легко под видом распаковки может собрать пользовательские данные и отправить их куда угодно.

И опять же, есть методы борьбы. Начиная от авторизации на почтовом прокси и прикрытия лишних портов, заканчивая запуском почтовых клиентов в чруте или из-под другого пользователя...

[Crazy Rebel]

Вирус, априори, использует какую-то дыру в ПО и обязательно распространяется.

Это утверждение ложно и это одно из заблуждений которые трудно развеять. Конечно во многих случаях так и есть, НО весьма часто в последнее время вирус прихоит в почтовом сообщении и запускается пользователем лично. А будет он распространяться или нет это уже его личное дело, хотя принять вс е меры к самосохранению он конечно должен.

Если первое ещё может случиться (и то вероятность такого падает при использовании обновлений безопасности), то со вторым просто беда: из-за разницы ABI и конкретных версий ПО он может просто не запуститься, или не сможет инфицировать что-либо.

Давайте вспомним пресловутый вирус Морриса который состоял из комбинации shell-скриптов и кода на c, и попадая на целевую машину компилировался уже на ней. Так что надежда на то что у тебя уникальная комбинация библиотек может коказаться призрачной. Хотя конечно я согласен что одной из причин перпятствующей распространению Linux вирусов является именно отсутствие унификации. И пусть так и будет дальше.

Никакие супер-хакеры их ен вскрывают, а приходит email с акуратно подставленными адресами и важной программой/архивом/документом которую пользователь и запускает Что дальше делает эта программа не известно но легко под видом распаковки может собрать пользовательские данные и отправить их куда угодно.

И опять же, есть методы борьбы. Начиная от авторизации на почтовом прокси и прикрытия лишних портов, заканчивая запуском почтовых клиентов в чруте или из-под другого пользователя...

Прикрытие лишних портов не поможет если используются стандартные порты. Другое дело если разрешить доступ по определенным портам только на определенные ip. Это уже проще но и даже в этом случае на 100% не гарантирует от спамсерверов.

[VladimirP]

б) Что делать если пользователю нужно запускать программы/скрипты из своего каталога? (В качестве примера - я лично чтобы скачать несколько файлов с одного сервера или разных серверов быстренько пишу башевский скрипт в который натыкиваю wget -c и запускаю его из того каталога где хочу сохранить данные) И это не говоря о том что есть ситуации когда пользователь не хочет устанавливать некие программы глобально в систему, а только для себя.

Добавляется только один шаг: копирование из-под рута твоей программы из $HOME в /usr/local/bin. Если это частая операция, можно настроить sudo так, чтобы разрешить только эту команду.

[Minton]

Что делать если пользователю нужно запускать программы/скрипты из своего каталога?

Запускать их как sh scriptname

[ArtSh]

Вирус, априори, использует какую-то дыру в ПО и обязательно распространяется.

Это утверждение ложно и это одно из заблуждений которые трудно развеять. Конечно во многих случаях так и есть, НО весьма часто в последнее время вирус прихоит в почтовом сообщении и запускается пользователем лично. А будет он распространяться или нет это уже его личное дело, хотя принять вс е меры к самосохранению он конечно должен.

Может быть посмотрим в словарь?

Давайте вспомним пресловутый вирус Морриса который состоял из комбинации shell-скриптов и кода на c, и попадая на целевую машину компилировался уже на ней. Так что надежда на то что у тебя уникальная комбинация библиотек может коказаться призрачной. Хотя конечно я согласен что одной из причин перпятствующей распространению Linux вирусов является именно отсутствие унификации. И пусть так и будет дальше.

Давайте вспомним. Где ссылка? Давайте ссылку, а я попытаюсь имитировать поведение пользователя.

И опять же, есть методы борьбы. Начиная от авторизации на почтовом прокси и прикрытия лишних портов, заканчивая запуском почтовых клиентов в чруте или из-под другого пользователя...

Прикрытие лишних портов не поможет если используются стандартные порты. Другое дело если разрешить доступ по определенным портам только на определенные ip. Это уже проще но и даже в этом случае на 100% не гарантирует от спамсерверов.

Вы обратите внимание на запятые и союзы. Если в локальной сети нельзя будет пересылать почту кроме как через прокси сервер с авторизацией это серьёзно усложнит жизнь злоумышленникам.

[Crazy Rebel]

Вирус, априори, использует какую-то дыру в ПО и обязательно распространяется.

Это утверждение ложно и это одно из заблуждений которые трудно развеять. Конечно во многих случаях так и есть, НО весьма часто в последнее время вирус прихоит в почтовом сообщении и запускается пользователем лично. А будет он распространяться или нет это уже его личное дело, хотя принять вс е меры к самосохранению он конечно должен.

Может быть посмотрим в словарь?

Давайте, а в какой? Хотя если вам не нравится слово "вирус" то давайте заменим его словосочетанием "вредоносное ПО" и суть от этого не слишком изменится (вредоносное конечно для пользователя компьютера)

Давайте вспомним пресловутый вирус Морриса который состоял из комбинации shell-скриптов и кода на c, и попадая на целевую машину компилировался уже на ней. Так что надежда на то что у тебя уникальная комбинация библиотек может коказаться призрачной. Хотя конечно я согласен что одной из причин перпятствующей распространению Linux вирусов является именно отсутствие унификации. И пусть так и будет дальше.

Давайте вспомним. Где ссылка? Давайте ссылку, а я попытаюсь имитировать поведение пользователя.

Ссылка на что?

[VladimirP]

если вам не нравится слово "вирус" то давайте заменим его словосочетанием "вредоносное ПО" и суть от этого не слишком изменится

Кое-что изменится. Вирус, по определению -- это программа, которая воспроизводит и рассылает сама себя без ведома пользователя, внедряясь в другие программы. Если он не внедряется в другую программу, а самостоятельно распространяется по сети -- тогда это сетевой червь. Вредоносное ПО, которое самостоятельно не распространяется, называется троянской программой или троянским конём.

[ArtSh]

Может быть посмотрим в словарь?

Давайте, а в какой? Хотя если вам не нравится слово "вирус" то давайте заменим его словосочетанием "вредоносное ПО" и суть от этого не слишком изменится (вредоносное конечно для пользователя компьютера)

Я предлагаю http://slovari.yandex.ru

Давайте вспомним пресловутый вирус Морриса который состоял из комбинации shell-скриптов и кода на c, и попадая на целевую машину компилировался уже на ней. Так что надежда на то что у тебя уникальная комбинация библиотек может коказаться призрачной. Хотя конечно я согласен что одной из причин перпятствующей распространению Linux вирусов является именно отсутствие унификации. И пусть так и будет дальше.

Давайте вспомним. Где ссылка? Давайте ссылку, а я попытаюсь имитировать поведение пользователя.

Ссылка на что?

На вирус Морриса, желательно рабочий.

[Crazy Rebel]

Может быть посмотрим в словарь?

Давайте, а в какой? Хотя если вам не нравится слово "вирус" то давайте заменим его словосочетанием "вредоносное ПО" и суть от этого не слишком изменится (вредоносное конечно для пользователя компьютера)

Я предлагаю http://slovari.yandex.ru

Открыл и что там смотреть дальше?

Давайте вспомним пресловутый вирус Морриса который состоял из комбинации shell-скриптов и кода на c, и попадая на целевую машину компилировался уже на ней. Так что надежда на то что у тебя уникальная комбинация библиотек может коказаться призрачной. Хотя конечно я согласен что одной из причин перпятствующей распространению Linux вирусов является именно отсутствие унификации. И пусть так и будет дальше.

Давайте вспомним. Где ссылка? Давайте ссылку, а я попытаюсь имитировать поведение пользователя.

Ссылка на что?

На вирус Морриса, желательно рабочий.

А у Вас еще где-то сохранился рабочий VAX/VMS?

[ArtSh]

Я предлагаю http://slovari.yandex.ru

Открыл и что там смотреть дальше?

Ну, я даже не знаю... Попробуйте, для начала, "Сельское хозяйство". Потом "Вирус", и так потихоньку дойдём до "Компьютерный вирус"...

На вирус Морриса, желательно рабочий.

А у Вас еще где-то сохранился рабочий VAX/VMS?

Что и требовалось доказать. (я не не совсем в курсе, но на VAX/VMS по-моему линукс не портирован)

[Crazy Rebel]

Я предлагаю http://slovari.yandex.ru

Открыл и что там смотреть дальше?

Ну, я даже не знаю... Попробуйте, для начала, "Сельское хозяйство". Потом "Вирус", и так потихоньку дойдём до "Компьютерный вирус"...

А. Если Вы опять же на тему трактовки термина "Компьютерный вирус" так по этому вопросу мнений сужествует немногим меньше чем собственно вирусов поэтому я и предложил перейти от него к понятию "вредоносное ПО" которое уже совершенно не обязано самовоспроизводиться.

На вирус Морриса, желательно рабочий.

А у Вас еще где-то сохранился рабочий VAX/VMS?

Что и требовалось доказать. (я не не совсем в курсе, но на VAX/VMS по-моему линукс не портирован)

А чего собственно доказывали то? Вирус Морриса это история. Если Вы не знаете, то это первый случай массового заражения компьютеров, парализовавший на несколько дней всю тогдашнюю сеть в США и впервые серьезно поставивший проблему компьютерной безопасности. По сути своей он был червем и для успешного функционирования ему не нужны были привелегии суперпользователя, а подходили любые которые он мог получить. Он имел два механизма атаки используя имеющиеся дыры в двух сервиса для проникновения на компьютер, а дальше подбирал пароли пользователей и запускал свою копию. Из-за ошибки, содержащейся в нем он бесконтрольно размножался и сжирал в итоге все ресурсы системы. А распространялся по майллисту вскрытого пользователя. И вот он и был комбинацией скриптовс и кода на С и единственно что ему было нужно чтобы один из двух сервисов, которые он эксплуатировал были запущены на целевой системе.

[Evgueni]

А у Вас еще где-то сохранился рабочий VAX/VMS?

2 штуки - работают в полную силу. Только фиг за фаервол к ним пробьёшься.