Безопасность (Что и кого можно опасаться в Линукс)

[Ali1]

ИМХО.
Вдумчивое и регулярное резервное копирование достаточно в большинстве случаев.
А если у Вас особые задачи, то есть xen, chroot, selinux, StackGuard....

[Crazy Rebel]

ИМХО.
Вдумчивое и регулярное резервное копирование достаточно в большинстве случаев.
А если у Вас особые задачи, то есть xen, chroot, selinux, StackGuard....

Такто оно так. Вдумчивое и регулярное копирование спасет данные в любой системе и это хороший способ. Только накладный. Лучше не доводить до ситуации когда он понадобится. Причем это способ достаточно дорогой. В качестве примера выступлю я - у меня дома на компе сечас лежит три часа видео в dv файлах, и частично на кассетах эта информацию уже стерта, а времени все обработаь пока нет. Для вдумчивого копирования нужен еще один винт и несколько часов времени на перенос примерно 50Гб информации. Так что лучше пока другие способы поискать.

Xen и прочее это конечно хорошо, тольк жрут ресурсы системы и врядли это также удобно, как запуск браузера от имени другого пользователя.

[Ali1]

2Crazy Rebel
Ваши слова говорят о том, что ценность трех часов видео для Вас меньше стоимости винта и нескольких часов времени.
Когда я говорю про жрущий ресурсы xen я говорю про особые случаи в котором не то что браузеру а X`ам не место.
Впрочем, все это кроме вдумчивого и регулярного резервного копирования имеет мало отношения к домашней машине.

[Alexei_VM]

Следовательно, если во главу угла ставится безопасность данных конккретного пользователя, то ему заводится несколько учетных записей (скажем две - безопасная и небезопасная)

Совершенно верно! Хороший способ, надежный. Можно даже не учетную запись, а отдельную ОС в контейнере использовать.

Только это... хм... неудобно в работе. Да и кто из нас так делает? Думаю, что практически никто. А многие, к тому же, пребывают в полной уверенности, что в Линуксе они абсолютно защищены. А это не так.

[Crazy Rebel]

Следовательно, если во главу угла ставится безопасность данных конккретного пользователя, то ему заводится несколько учетных записей (скажем две - безопасная и небезопасная)

Совершенно верно! Хороший способ, надежный. Можно даже не учетную запись, а отдельную ОС в контейнере использовать.

Только это... хм... неудобно в работе. Да и кто из нас так делает? Думаю, что практически никто. А многие, к тому же, пребывают в полной уверенности, что в Линуксе они абсолютно защищены. А это не так.

Чем неудобный? По моему только тем что для его реализации нужно немного руки приложить чего почемуто никто делать не хочет. Причем руки то приложить надо для а) заведения учетной записи пользователя с минимальными правами б) на правку команд, которые могут преставлять потенциальную опасность для данных пользователя через sudo например

Код:

sudo -l -u (login_непривилигированного_пользователя) firefox

А вот использовать в контейнере отдельную ось еще лучше, только а) ресурсы жрет, б) переключаться напряжно в) чтобы не переключаться (а вон в LXF был пример как с помощью VMWare запускать Windows приложения как нативные) нужно ручками поработать гораздо больше.

А вот на тему кто так делает... Эт точно. Но это а) не надолго, всего лишь до первых вирусов/вредоносных сайтов ориентированых на Linux б) легко поправимо. Ведь главное что это можно сделать в отличие от...

[Crazy Rebel]

2Crazy Rebel
Ваши слова говорят о том, что ценность трех часов видео для Вас меньше стоимости винта и нескольких часов времени.

Наверное выше, только денег на еще один винт + средства для его горячего подключения/извлечения (а без этого его смысл сильно теряется) у меня нет. Да и не только у меня.

Когда я говорю про жрущий ресурсы xen я говорю про особые случаи в котором не то что браузеру а X`ам не место.
Впрочем, все это кроме вдумчивого и регулярного резервного копирования имеет мало отношения к домашней машине.

Ну я вроде как по русски написал что я говорю о защите конечного пользователя а не того компа где браузеру и Х'ам не место.

[Alexei_VM]

Чем неудобный?

Да много чем. Например:
- приходит в IM ссылка. Клик на нее открыавет сайт в каком браузере? В "защищенном" или обычном?
- по сети ходить, наверное, надо защищенным способом. А если вдруг зарегался на сайте, и оказалось, что там все хорошо и полезно, то потом придется вручную переносить логин из профиля в профиль.

Ну и так далее. Да, все это делается. Но посредством регулярных телодвижений, часть из которых весьма изощренные. И если специалисты (люди, которые работают в таких условиях) это могут делать, то обычные пользователи напрягаться не станут. А сеть наполнена именно обычными пользователями.

Кстати. специалисты и в винде работают безопасно.

[Crazy Rebel]

Чем неудобный?

Да много чем. Например:
- приходит в IM ссылка. Клик на нее открыавет сайт в каком браузере? В "защищенном" или обычном?

В защищенном. Ты же IM (как и любое другое интернет приложение открываешь от малопривелигированного пользователя)

- по сети ходить, наверное, надо защищенным способом. А если вдруг зарегался на сайте, и оказалось, что там все хорошо и полезно, то потом придется вручную переносить логин из профиля в профиль.

Зачем переность? В конце концов если у тебя есть отдельный пользователь для доверенных сайтов а отдельный для остальных то просто заходишь доверенным пользователем и логинишься на нужный сайт.

Ну и так далее. Да, все это делается. Но посредством регулярных телодвижений, часть из которых весьма изощренные. И если специалисты (люди, которые работают в таких условиях) это могут делать, то обычные пользователи напрягаться не станут. А сеть наполнена именно обычными пользователями.

Да. Напрячься нужно. Только один раз. В принципе тот же самый ALT может взять и сделать очередной Junior с преднастроенными пользователями user. internet ... и соответственно организовать меню в GNOME или KDE, и даже предусмотреть кое-какие средства для межпользовательского обмена данными (скажем с автоматической проверкой на вирусы, трояны и бакдоры при передачи файлов от пользователя internet к пользователю user.

Кстати. специалисты и в винде работают безопасно.

Не сомневаюсь. Только мало этих специалистов то... Как мне кажется гораздо меньше чем специалистов по *nix.

[VolCh]

Случайно нашёл странную вещь. Весь вопрос теперь насколько это опасно. Создал я в Линуксе под рутом пустой файлик ну и естественно под простым пользователем он удаляться отказывался. Ради интереса зашел в Линукс через Виндовс с установленной програмкой Ext2IFS и что удивительно - удалил этот файл!!! Получается у Винды по отношению к Линуксу права рута? Как то беспокойно на душе стало - раз так просто можно ковыряться в Линуксе даже с рутовскими файлами.

Защищенность всей системы равна защищенности ее самого слабого звена. В частности, если две оси на одном компе загружаются по очереди, то защищенность компа в целом не может быть выше защищенности самой "дырявой" из них. Теоретически, я думаю. можно написать такой "кросплатформенный вирус", который бы под виндой внедрял бы свой код в файлы линукса, вплоть до ядра. Поэтому, кстати, при серьезном подходе к защите блокируют возможность вторую ось не то что с винта загрузить, но даже с дисковода, флэшек или CD, а то и вообще даже винта нету, все по сети

[IvanAl]

А зачем из запускать то? Ну вирусы под вайном? Я лично под вайном запускаю лишь 2-3 проги и то потому что нет их линукс реализации.

А вирус будет у вас спрашивать разрешение на запуск?
Значит есть такая опасность и хотелось бы знать о ней больше.

[VolCh]

А вирус будет у вас спрашивать разрешение на запуск?

Я вот удивлен, что нет еще таких, причем не под винь... Тут пытался тюнер подключить, что-только не качал, и компилировал и через sudo запускал и через GNOME постоянно пароль спрашивало. Думаю, чо если написать такой вирус, то пользуясь "социальной инженерией" не намного сложнее заставить юзера ввести пароль рута, чем в винде вложение .exe в письме открыть.

[IvanAl]

Думаю, чо если написать такой вирус, то пользуясь "социальной инженерией" не намного сложнее заставить юзера ввести пароль рута, чем в винде вложение .exe в письме открыть.

Ну да. Спросит... напишешь.

[VolCh]

Думаю, чо если написать такой вирус, то пользуясь "социальной инженерией" не намного сложнее заставить юзера ввести пароль рута, чем в винде вложение .exe в письме открыть.

Ну да. Спросит... напишешь.

А куда деваться?

Понятно, что для установки проги, а тем более драйвера, да еще модуля ядра нужны рутовские права, а что там на самом деле... не исходники же изучать

[another2007]

Я считаю просто надо качать проги с их офф. сайтов + пользоваться репозитарием. Я даже сейчас в винде не качаю проги абы от куда ибо и так перешел на все "свободное" что нашел.

[Crazy Rebel]

Думаю, чо если написать такой вирус, то пользуясь "социальной инженерией" не намного сложнее заставить юзера ввести пароль рута, чем в винде вложение .exe в письме открыть.

Ну да. Спросит... напишешь.

А куда деваться?

Понятно, что для установки проги, а тем более драйвера, да еще модуля ядра нужны рутовские права, а что там на самом деле... не исходники же изучать

Ваша дискуссия очень сильно напоминает старый анекдот про вирус афганского школьника, который программы то писать не умеет, поэтому рассылает всем электронные письма с просьбой удалить те или иные системные файлы.

А вообще в другом треде был разговор про репозитарии, и там я как раз указывал что одной из функций репозитария является то что он есть доверенный источник ПО (втч и драйверов).

А для установки проги (особенно из сомнительного источника) рутовские права не нужны, нужно просто уметь читать. Даже если ты прогу компиляешь из исходников то make install (что обычно и просят выполнять от root) можно передавать параметры куда ставить прогу вместо путей по умолчанию. В итоге сначала убеждаешься что прога нужная и безопасная а потом ставишь ее.

А уж про вирусы в wine так это вообще смешно. Даже если они будут работать, то только в окружении wine. Изолируйте его от остальной системы и все.

[another2007]

Есть вопрос по безопасности в альтлинуксе. Как в нем производиться закрытие портов? Дело в том, что попробывал просканировать свой комп с удаленого компа xspider'ом (больше ничего такого не нашлось просто) и он выдал, что открыты порты 445 и 6000. В первом случаи он написал, что не может туда соединиться, а на порт 6000 что это какое-то удаленое упраление. Вот как бы эти дела закрыть? Так же может кто какой сканер безопасности посоветует. А то все же xsider лишь демо версия да и то датированая концом 2006 года. На удаленом компе стоит вин2003, т.е. сканер нужен под винду запускающийся.
Еще попробывал разок посканить, нашел еще 137, 138, 139 порты tcp

[Xandry]

Privoxy и Tor в Линукс работают без графических оболочек. И Vidalia здесь, на сколько мне извествестно, никакой нет. ИМХО, не нужна она.

[romuil]

Как в нем производиться закрытие портов?

Точно также как и в других дистрибутивах, средствами iptables.

[Alexei_VM]

Есть вопрос по безопасности в альтлинуксе. Как в нем производиться закрытие портов?
Еще попробывал разок посканить, нашел еще 137, 138, 139 порты tcp

Еще раз: фаервол НЕ НУЖЕН.

Если у вас открыты порты, значит какие-то сервисы их слушают. Если вам эти сервисы НУЖНЫ снаружи вашего компа, то вы никак не сможете закрыть их, ибо они нужны. Если сервисы НЕ нужны, то их надо просто отключить, а не насиловать iptables.

137, 138, 139, 445 -- это samba, она же "виндовое сетевое окружение". Если вы не собираетесь расшаривать на своем компе доступ каталогам через samba, то просто сделайте

Код: Выделить всё

service smb stop
chkconfig smb off

Порт 6000 нужен для поддержки удаленных X-сессий. Если вы не собираетесь запускать такие сессии, то нужно просто подправить настройки X-сервера.


Сканер портов что под Линукс что под Винду -- nmap.

[3al]

Еще раз: фаервол НЕ НУЖЕН.

Он нужен только при необходимости сервисов, доступных только части пользователей. Ну или для гейтования.

[Alexei_VM]

Еще раз: фаервол НЕ НУЖЕН.

Он нужен только при необходимости сервисов, доступных только части пользователей. Ну или для гейтования.

Верно. Но ведь вопрос не о гейтовании/шейпинге/разграничении доступа.

[another2007]

Когда выполнил совет по самбам из постов выше, то выдало:

Код: Выделить всё

[root@AnotheR ~]# service smb stop
Shutting down CIFS services:  Samba server, NetBIOS over TCP/IP server            [FAILED]

А на вторую команду ничего не выдало.

для поддержки удаленных X-сессий

А что есть эти сессии и для чего они? И если выключается оное, то подправлением чего куда?

[Шпунтик]

для поддержки удаленных X-сессий

А что есть эти сессии и для чего они?

Для ооочень тонких клиентов. Существует в основном как историческое наследие.
В настоящее время компьютеры достаточно мощные и Х-сервер выполняется прямо в них. Но если в сети есть очень маломощная машина, на которой он просто не сможет работать, тогда эта машина может пользоваться Х-сервером другой мощной машины. Тогда маломощная машина будет просто клиентом по отношению к удалённому Х-серверу который будет выполнять её запросы.

Во времена оны именно так в основном и работало, (X window system восходит к 1984 году или ещё раньше) но с тех пор компутеры выросли и могут самостоятельно быть сами себе Х-серверами, но исторически всё сохранилось, а вдруг кому потребуется.

[Alexei_VM]

Для ооочень тонких клиентов. Существует в основном как историческое наследие.
В настоящее время компьютеры достаточно мощные и Х-сервер выполняется прямо в них.

Только все наоборот

Х-сервер выполняется на тонком клиенте, и предоставляет другим компам (толстым) возможность рисовать на себе. То есть само нужное приложение (офисный пакет, например) запущено на "толстом сервере", грузит его проц и диск и память, а вот рисует оно пользуясь услугами сервера-рисовалки на тонком клиенте.

И ничего устаревшего в таком подходе нет. Чем настраивать шифрованый VPN через который гнать удаленную сессию типа rdesktop, можно через ssh форварднуть порт и запустить удаленно приложение с отрисовкой локально.

[MacUser]

Фишинг и фарминг опасны на любой платформе. Потом для спирания информации уже используют и Web 2.0, и тому подобные вещи.

[Kolyn]

Что-то у меня с Альтом странное твориться начало - стали запускаться какие-то программы с подозрительным названием типа rootkit от имени пользователей, которых я не создавал. У меня только две учетные root и я, а тут вдруг вижу запускаются проги от имени других. Такое возможно? Или кто-то всё-таки внедрился в Альт? KlamAV нашёл кучу подозрительных прог. Как же они умудрились внедриться?

[romuil]

Смени пароль root - взломали тебя.
Лишних пользователей просто удали.

[Kolyn]

Почему-то не могу сменить пароль - пишет что-то типа backed not faund. А лишних пользователей я вижу только в запущенных программах, а в центре управления они не значатся. Что-то очень странное.

[romuil]

Это что и где?

Код: Выделить всё

su - root

Код: Выделить всё

passwd root

Возможно это Алтератор, но я его не использую.
Консоль всяко проще и мне привычнее.