Безопасность (Что и кого можно опасаться в Линукс)

[Warderer]

Опытные сисадмины, которые знают, зачем нужен домен виндовз, тоже смогут рассказать столько всего интересного и даже полезного, чего в линуксе получить практически невозможно на данном этапе.

Работаю системным администратором семь лет. В данный момент обслуживаю домен, расположенный в двух сетях (B и C класса), установил доверительные отношения с доменом накрывающим всю территорию России. Учился на курсах по планированию и развёртыванию AD 2003. Не могу назвать задач, которые выполняются AD 2003 и не были бы выполнимы на базе линукса 7 лет назад. Предметно спорить будем, или вы так, просто решили газификацией луж занятся?

[another2007]

Тут вот возник такой внятный вопрос. Вот затронулась тема про файрвол и что он не нужен домашниму юзеру. Но как это понять вообще? Ведь одно дело домашний когда нету сети, интернета. Там конечно же не нужен файрвол. А если человек работает в составе локальной сети, да еще через что-то (например через vpn) конектиться к интернету. Потом есть много людей как и професиональных так и просто неких "чайников" которые начитавшись чего-то пытаются взломть соседнии компы у себя в сети или даже интернете. Как с ними быть? Неужеле линукс не подвержен атакам без файрвола? Например, в моей сети есть много юных хацкеров которые любят по "ддосить" друг друга. Причем даже были случаи когда они "валили всю сеть" к счатью некоторых вычислили и отключили от сети. Но тем не менее. Неужеле все-таки линукс способен работать без файрвола? Мне почему-то кажется, что файрвол нужен и нужен графический доступ к ниму, как в виндус напримере, даже к стандартному и то есть такой доступ. В линусе еще хоть как-то внятный файрвол я видел в мандриве 2008. Там было такое дело. Неуж-то в альт линуксе ничего подобного нету? Потом устанавливая линукс как говорилось "из коробки" то те службы которые могут представлять опасность включины или нет? как это узнать?

[Alexei_VM]

Не могу назвать задач, которые выполняются AD 2003 и не были бы выполнимы на базе линукса 7 лет назад.

Хорошо, если так. Но что-то не верится совсем (если учитывать сложность развертывания подобной системы под Линукс, и не учитывать стоимости лицензий).

Предметно спорить будем, или вы так, просто решили газификацией луж занятся?

Да, просто так, ибо не виндовз-админ ни разу. Завтра проконсультируюсь со спецами в развертывании доменов, если так уж надо.

[eduard_pustobaev]

Что и кого можно опасаться в Линукс

гопников

По сабжу: Как не админ но юзер, могу сказать что опасаться можно чего угодно, но пока что повода для беспокойства не было ни разу при абсолютно презрительном отношении к безопасности.

[Alexei_VM]

Тут вот возник такой внятный вопрос. Вот затронулась тема про файрвол и что он не нужен домашниму юзеру. Но как это понять вообще?

И все-таки он не нужен. Потому что по умолчанию свеже установленный АЛЬТ линукс (да и другие дистрибутивы не сильно отличаются) НЕ слушает никаких лишних портов. А если порты не открыты, то и защищать нечего. ДДОС может быть и модно провести на систему, но этот вопрос надо бы отдельно уточнять. Скорее раньше в ступор впадет ближайший свитч, и админы сети придут с кусачками к хацкеру-затейнику

[nrg]

- выполнить rm -rf /, и удалить содержимое $HOME, что гораздо обиднее, чем /etc или /usr

А есть ли смысл подстраховаться? вот я user создаю еще одного archiver и отдаю ему весь архив в его home ну и атрибуты для всего архива 644, и владельца меняю. тогда у злоумышленника останется только возможность читать, и ничего он не сотрёт в архиве. Ну а результат работы каждую ночь(или 5 минут, по вкусу) в архив. Если возникнет необходимость порядок навести можно перелогиниться в архивера(у него нет интернета вообще), а потом вернуться. Пароли на сайты будут скоррумпированы только последние(если кеш стирать) со всем прочим - тоже. Ну а секретными материалами можно поработать и без инета, под тем же архивером.

Отличный подход, я вот на такой случай думаю для бука прикупить флешку (не усб, а-то мешаться будет) гигов на несколько и сливать инфу туда, потом отмонтировать

[Warderer]

Не могу назвать задач, которые выполняются AD 2003 и не были бы выполнимы на базе линукса 7 лет назад.

Хорошо, если так. Но что-то не верится совсем (если учитывать сложность развертывания подобной системы под Линукс, и не учитывать стоимости лицензий).

В какой части сомнения? Практически все настройки в плане софта делаются через принудительный rsync (или экспорт по nfs) по крону в /etc или домашние каталоги пользователей, благо тут нет реестра. Настройки сети давным-давно делаются по DHCP. DDNS на том же bind строится элементарно. Данные о ресурсах выкладываются в любом LDAP. Аутентификация/авторизация - kerberos жив уже чёрт знает сколько лет. Доступ к ресурсам по nfs немногим хуже SMB, хотя и SMB, в своём первоначальном "не расширенном MS" виде - вполне себе нормальный и открытый протокол.

[Goodvin]

Да, просто так, ибо не виндовз-админ ни разу. Завтра проконсультируюсь со спецами в развертывании доменов, если так уж надо.

Я Вам тогда, товарищ, дам добрый совет: прежде чем выступать с такими громкиим заявлениями - крепко думайте, а перед сном перечитывайте правила форума, особенно пункты про намеренное введение пользователей в заблуждение и про написание в сообщениях заведомо ложной информации.
А то такая наклонаая дорожка с бредовыми глупостями про то, о чем Вы ничего не знаете, Вас до добра не доведет.

[etho]

доброго времени суток , вопрос и тема называются *безопасность ос-линус* , а не почему винда хуже или лучше.
вот когда я регистрировался на этом форуие , то в моменте регистрации \\нажатия кнопок\ получил по своеи опере оплеуху с сервера и моя опера сложилась в узкую полоску слева на экране монитора. может это глюк машины моеи ?
кто имеет какие соображения ?

[Kolyn]

Опасаться нужно взлома ssh, если включен, на домашней машине вообще отключить все неисполтьзуемые сетевые сервисы и просто забыть.
TOR есть в branch, остальное даже и не знаю.

А как заставить Тоr работать? В Винде там просто - установил пакет из видалии, привокси и тор, потом поставит torbutton в Файрфокс и работай. Здесь никак не разберусь с настройками - поставил Tor, привокси (видалию не нашел) установил torbutton, но стоит его включить и интернет просто не грузится.....

[another2007]

Пара вопросо в при безопасную работу в этой ОС. Я поставил антивирус (Kcalm кажется так пишется) тот что имеет графический вид под кде. Как часть и что именно следует им проверять? Я считаю что переодически его стоит запускать, т.е. на компе юзаются сайты, а они могут содержать разных вирусов и прочей нечести. Заметил, что при выборе сканировать все он часто выдает что такой-то файл не может быть прочитан. Вот с папкой хом куда проще, там вроде все читается хорошо.

[Alexei_VM]

Пара вопросо в при безопасную работу в этой ОС.

Для безопасной работы в ОС Линукс антивирус и фаервол НЕ НУЖНЫ.
Все антивирусы, выпущенные для Линукса предназначены для проверки почты и файлов, которые потом будут передаваться на Виндовз-машину. Ни одного работающего вируса под Линукс в природе в диком виде не зафиксировано.

[another2007]

А вредоносные там сайты всякие тож не будут пахать?? я то конечно на такие стараюсь не заходить, но когда юзаешь поисковик куда только может не занести юзера.
Да еще (сорри если что) неподскажете заодно как зайти на "центр управления www", то в меню есть просто "центр управления" я про тот где настройки разные, типа настройка сети и т.д. не "центр управления КДЕ", а другой.

[Alexei_VM]

А вредоносные там сайты всякие тож не будут пахать??

А что такое "вредоносные сайты"?

[another2007]

Ну там сайты которые содержат скрипты опасные, способные загружать на комп троянов и вирусов. У меня в винде так было, пару раз всего за 3 года юзания сети, но было. Когда зашел на сайт и... сработал антивирус, мол троян какой-то пытался залезть. Или вирус в другом случаи, уже не помню.

[Alexei_VM]

Ну там сайты которые содержат скрипты опасные, способные загружать на комп троянов и вирусов.

Сайты никакие скрипты загружать на комп неспособны. Это способен сделать браузер. Но вот много ли уязвимостей в FireFox, с помощью которых на клиента можно загрузить произвольный код и выполнить его? Много ли есть вирусов, написанных под Линукс?

[gray_graff]

Ну там сайты которые содержат скрипты опасные, способные загружать на комп троянов и вирусов.

Сайты никакие скрипты загружать на комп неспособны. Это способен сделать браузер. Но вот много ли уязвимостей в FireFox, с помощью которых на клиента можно загрузить произвольный код и выполнить его? Много ли есть вирусов, написанных под Линукс?

не буди лихо пока оно тихо

[Kolyn]

Тут как раз это лихо разбудили на соседнем форуме.
Вирус?

[Alexei_VM]

Тут как раз это лихо разбудили на соседнем форуме.
Вирус?

Не знаю что это, дали бы хоть ссылку, где этим можно заразиться

Давайте на минутку предположим, что это "вирус". Однозначно, это не exe-файл, тем более не ActiveX-компонент. Это может быть скрипт, который выполняется _внутри_ бравзера. То есть пользователь заходит на опасный сайт, на сайте так хитро сформирована страница, что бравзер скачивает некий скрипт и встраивает его в свои собственные файлы, и сам его автоматически запускает.

В итоге этот "вирус" просто еще один скрипт внутри бравзера. Наверняка он может быть вредоносным. И проник он в систему через дырку в бравзере. Если дырка никому не известна, то я очень сомневаюсь, что антивирус сможет от нее защитить. И тем более не сможет защитить фаервол, ибо бравзер в сеть пускать придется в любом случае, и разрешать ему качать контент тоже. Если дырка уже известна, то есть исправленная версия бравзера, и достаточно просто вовремя обновлять программы. Итог: антивирус практически бесполезен, ибо или не спасает, или уже не нужен.

[another2007]

Заразиться легко. Ищешь что-нибудь в том же яндексе или гугле и т.д. Щелкаешь по найденым результатам а там бац и "опасный" сайт. Где подцепляется такая фигня. Вот и ответ где заразиться. А так обычно наиболее опасными сайтами могут посвященными порно и крякам. Особенно первое даже. Чего там только не насобираешь!

[Alexei_VM]

Заразиться легко. Ищешь что-нибудь в том же яндексе или гугле и т.д.

ежедневно ищу что-нить Гуглом или Яндексом. На виндовз-машине. Без антивируса и фаервола. Никаких проблем не испытываю. Что я делаю не так?

А так обычно наиболее опасными сайтами могут посвященными порно и крякам.

Про порнуху это каждый сам для себя решает. А вот "крияки" пользователям Линукс зачем? Мне, например, они совершенно не нужны. Да и под виндовз тоже совершенно не нужны. Ибо практически для всех необходимых программ есть аналоги, ни в каких кряках не нуждающиеся.

[gutallin]

Насчёт "опасных" сайтов.

В связи с тем, что за каждый входящий мегабайт плачу провайдеру 2 рубля, в браузере отключены загрузка изображений и запрещено выполнение скриптов.
Браузер Opera 9.21 (новее под Мандриву не нашёл) хоть и более кривой, чем FireFox, но дыр в нём меньше в разы.

Вот так, из-за жадности своей,. я почти абсолютно защищён от случайного заражения с "опасных" сайтов.

[another2007]

Что значит новее оперы 9.21 ненашел??? Там есть 9.25!!! я сам качал и знаю. У меня в Альте она установлена даже. Если проблемы со скачиванием. То рекомендую зайти на офф. ее сайт под линуксом и где-то там будет версии под линукс. Можно из списка выбирать под какой линукс, а можно (я так делал) выбрать что-то типа "статик" rpm и потом уже скачав этот rpm ставить. Если у вас Мандрива, то проблем не возникнет с установкой. Просто щелкаете по файлу и он устанавливаться начинает, спрося при этом конечно пароль от рута. В альт линуксе сложнее. Там что бы установить rpm надо из консоли все это делать. На этом форуме уже писалось где-то как поставить из rpm.

Еще насчет поста выше. Не все такие порядочные юзеры юзающие бесплатный софт. А так я тоже согласен что под любые нужды можно найти бесплтаные аналоги. Я вот юзаю под виндой и ничего, даже доволен такими прогами.

[Kolyn]

Случайно нашёл странную вещь. Весь вопрос теперь насколько это опасно. Создал я в Линуксе под рутом пустой файлик ну и естественно под простым пользователем он удаляться отказывался. Ради интереса зашел в Линукс через Виндовс с установленной програмкой Ext2IFS и что удивительно - удалил этот файл!!! Получается у Винды по отношению к Линуксу права рута? Как то беспокойно на душе стало - раз так просто можно ковыряться в Линуксе даже с рутовскими файлами.

[Alexei_VM]

Случайно нашёл странную вещь. Весь вопрос теперь насколько это опасно. Создал я в Линуксе под рутом пустой файлик ну и естественно под простым пользователем он удаляться отказывался. Ради интереса зашел в Линукс через Виндовс с установленной програмкой Ext2IFS и что удивительно - удалил этот файл!!! Получается у Винды по отношению к Линуксу права рута? Как то беспокойно на душе стало - раз так просто можно ковыряться в Линуксе даже с рутовскими файлами.

А что тут необычного? Можно было загрузиться в другой Линукс, смонтировать диск, и редактировать ЛЮБЫЕ файлы. Ибо файлы защищает ОПЕРАЦИОННАЯ СИСТЕМА, и если вы ее не загрузили, никто защитить их не сможет. Если очень надо сделать файлы недоступными, используйте криптодиски.

[IvanAl]

Если windows программы могут работать в линуксе чере wine , может ли и вирус работать через него?

[Alexei_VM]

Если windows программы могут работать в линуксе чере wine , может ли и вирус работать через него?

Да. Вроде как были зафиксированы успешные запуски виндовых вирусов под wine.

[another2007]

А зачем из запускать то? Ну вирусы под вайном? Я лично под вайном запускаю лишь 2-3 проги и то потому что нет их линукс реализации.
Есть еще возникший вопрос. А вот если какие-то опасные вещи загрузились с помощью браузера, то после удаления кеша браузера они удаляться или как? Ну есть же там, уже писал, вредоносные сайты и все такое которые могут загружать на комп троянов и прочую нечесть.

[Crazy Rebel]

Прочитал я наконец этот тред до конца и возникло у меня странное ощущение - а вам не кажется, что что то тут не то? Ведь давая ответ на тему безопасности ОС Линукс (любой, а не только АЛТ) предполагается, что пользователь будет работать точно также как и в "альтернативной" ОС. Только при этом всем както забывается, что в отличие от этой самой "альтернативной" ОС в юниксах вообще пользователь одновременно может работать под различными учетными записями. Следовательно, если во главу угла ставится безопасность данных конккретного пользователя, то ему заводится несколько учетных записей (скажем две - безопасная и небезопасная) и работу с локальными или проверенными данными можно вести от имени безопасного пользователя, а работу в интеренте и с потенциально опасными данными можно вести от имени небезопасного пользователя, причем все это одновременно, причем можно даже не переключаться (команда sudo и su позволяют выполнять команды не только от имени root а вообще от имени любого пользователя). Таким образом - если будет получен вредоносный код, который не захватит контроль над ситемой (а сделать это в Линукс крайне сложно), то он сможет повредить тольо данные, которые, в принципе, никакой ценности не имеют. Основная идея такая. Можно завести не две а более учетных записей для работе в инете с приватными данными, для работы с внешними источниками, отстойник для подозрительных файлов извне итд. Использование такого простого механизма колоссально поднимает защиту, и будучи один раз настроеным этот механизм не особно напрягает ни пользователя ни систему в целом.

Но все это относится только к данным пользователя а не к системе. Вопрос защиты системы в целом это совершенно другая тема.

[Crazy Rebel]

А зачем из запускать то? Ну вирусы под вайном?

Две причины - во первых проверка полноты и качества эмуляции, во вторых - а по приколу. Конечно первая причина гораздо важнее.

А вот если какие-то опасные вещи загрузились с помощью браузера, то после удаления кеша браузера они удаляться или как? Ну есть же там, уже писал, вредоносные сайты и все такое которые могут загружать на комп троянов и прочую нечесть.

Теоретически они могут уже и не удаляться, особенно если к браузеру они никакого отношения не имеют. Но есть много способов избежать проблемы.