В руководстве (http://www.ibm.com/developerworks/ru/edu/l-dw-linux-harden-d...) представлены шаги по установке антивирусного программного обеспечения, созданию плана резервного копирования и восстановления, а также по практическому использованию межсетевого экрана в Linux.URL: http://www.ibm.com/developerworks/ru/edu/l-dw-linux-harden-d...
Новость: http://www.opennet.me/opennews/art.shtml?num=20824
так и не понял зачем там антивирус ?
И правда.Антивирус конечно круто но вот вирусы то под него - где взять?Ловить виндовые вирусы - малоинтресно, если они страшны - проще wine не ставить и тогда они будут стопроцентно в пролете :)
Статью писал виндузятник, оттуда и антивирус с фаерволом для десктопа...
цЫтата:"Одним из самых распространенных мифов относительно компьютерной безопасности является миф о том, что системы GNU/Linux более безопасны, нежели системы Windows."
Бугагашечки !
>цЫтата:
>
>"Одним из самых распространенных мифов относительно компьютерной безопасности является миф о том,
>что системы GNU/Linux более безопасны, нежели системы Windows."
>
>Бугагашечки !Ну если прокладка между монитором и креслом... т.к. сам пару раз забывал точку поставить в rm -rf ./
>цЫтата:
>
>"Одним из самых распространенных мифов относительно компьютерной безопасности является миф о том,
>что системы GNU/Linux более безопасны, нежели системы Windows."
>
>Бугагашечки !Прочти хотя бы вот это, а потом смейся
http://www.opennet.me/opennews/art.shtml?num=20818з.ы. Глуп тот админ который надеется только на не распространенность вирусов под линукс.
а линух туда в этом году не взяли...
Там про эксплоиты и причем в отдельном ПО в браузерах. Где тут вирусы, являющиеся угрозой для оси? А пока вы ищите мы продалжаем веселье
>Там про эксплоиты и причем в отдельном ПО в браузерах. Где тут
>вирусы, являющиеся угрозой для оси? А пока вы ищите мы продалжаем
>весельеА эксплойты только для браузеров бывают? Где гарантия что завтра какой-нибудь злобный тип не пробьет ваш iptable/pf & co?
Если мне память не изменяет встречались вири которые могли жить не только в винде, но и на других платформах.
Кстати, а на чем базируется вирус?
Я думал что на уязвимостях.
А теперь цепочка:
Уязвимость => эксплоит => распространение + нанесение ущерба == вирусЯ соглашусь только с одним утверждением - распространенность вирусов прямо пропорциональна распространенности системы, где в роли системы может выступать таже мандрива или убунта ака дебиан. Учитывая то что большинство десктоп систем ставятся по дефолту мы получим высокую вероятность заражения. Тотже вирус если обладает механизмом распознавания систем сможет атакавать не только системы одного типа, но и целые семейства.
Выдыхай бобер :)))
А по существу, под линем есть оч интересное и непростое занятие компилять вири, попробуйте на досуге :) Оч привередливые вири то gcc им не та версия то зависимости попрвь, то модуль к ядру повесь итд, как-то полгода назад занимался ради прикола :)
Даже вроде как-то сам Линус в шутку вносил патчи в ядро чтобы вирь пошел
> Я соглашусь только с одним утверждением - распространенность вирусов прямо пропорциональна распространенности системы,Это ложное утверждение. Сравните кол-во вирусов для маков и windows, и их market share.(маки 10% в США) Никакой пропорциональности.
Тоже самое с Linux, занимает на десктопах 1%, а вирусов 0.0%
на счет вирей не в курсах, а трояны есть, но их еще установить надо:) вот поэтому не надо устанавливать не подписанные бинарники. или ставить все из исходников. компиляцией:D
>на счет вирей не в курсах, а трояны есть, но их еще
>установить надо:) вот поэтому не надо устанавливать не подписанные бинарники. или
>ставить все из исходников. компиляцией:DХм. Хотите сказать, что первыми "обвирусятся" джентушники? ;)
перевод строки забыл сделать:)
И даже некоторые подписанные бинарники не стоит ставить, которые свою деятельность старательно прячут. Skype, например.
Я хочу сказать что домохозяйке глубоко побоку есть или нет подписи на бинарнике.Скомпилировать тоже думаю не самая большая проблема, так как базовое API не меняются, вне зависимости от исходников.
Вирус можно написать и не бинарником в досе я встречал вирус ввиде батника, а тк perl хотя и скриптовый язык, но владея коммандной строкой и имея доступ к библиотекам сокетов более чем уверен можно осуществить написание червя. Также думаю если вирус сможет находиться в спящем режиме, всостоянии перехватить ваши пароли при вводе su(do).
Насколько мне известно вирусов под линь мало, но они есть - около 10-20 шт. И именно это просто как факт должно способствовать размышлениям на тему что завтра их может стать в десятки, а то и сотни раз больше.
Как говорится "защищен тот, кто вооружен".
Согласен. Но написать вирь под линух несколко более творческое занятие чем под винду, т.к. линух с самого начала (как и UNIXы в целом) проэктировался
Согласен. Но написать вирь под линух несколько более творческое занятие чем под винду, т.к. линух с самого начала (как и UNIXы в целом) проектировался как многопользовательская ОС, по этому просто так в sudo и в su пароль не перехватишь.
О чем и толкую.
Согласен.
Домохозяйке не нужно в домашнем каталоге иметь исполняемых файлов (а они и есть то, на чём вири паразитируют). Также настоящей домохозяйке не нужно иметь прав рута (и пароль рута ей лучше не знать совсем), это чтобы исполняемые файлы в /bin, /sbin, /usr/bin, /usr/sbin и библиотеки в /lib и /usr/lib она не заразила.
SSP - Stack Smashing Protection? (в gcc есть такая фича)
>Я соглашусь только с одним утверждением - распространенность вирусов прямо
>пропорциональна распространенностиЕсть контрпример.IE ~50%, FF ~20%, грубо говоря разница порядка в 2 раза.И почему-то юзеров имеют только под IE, а под FF - такого не наблюдается.Не то что в 2 раза меньше а вообще по сути никак.Может, дело в том что мозилла платит за уязвимости и вообще оперативнее реагирует на сообщения о дырах?
Я думаю дело в том, что М$ VS получило большее распространение. И 99% того что пишется в студии пишется под Wынь. Именно этот факт спасает в первую очередь другие системы.Под фокс тоже имеют. И хорошо так имеют. Также как и под оперу.
Но это опять таки связано с распространением Wыня. тк сегодня хакеру нужна жертва, а пользователю по барабану чем пользоваться, Он пользуется тем к чему его приручили. как следствие 90% атак идет на IE, который ВСЕГДА есть в системе.
Да и зачем тратить сегодня силы на Fox и Oper'у если проще, быстрее и дешевле атаковать IE?
>И 99% того что пишется в студии пишется под Wынь.Ну вот и пусть эти клацеры пишут под вынь.А микрософт их будет ловить.Поскольку трояны они внедрили даже в компилер.Микрософтовский компилер вшивает в EXE нечто типа GUIDа машины в заголовок PE EXE, достаточно однозначно идентифицируя машину.Очень удобно разных сракеров ловить :).Ну а приваси... что-приваси?Это ж микрософт, хренли :))).Они сами создают проблемы а потом с ними борятся корча из себя героев и борцов с хакерами :D
> Именно этот факт спасает в первую очередь другие системы.
В винде есть еще пара забавных архитектурных ляпов :).Ну скажем - зачем было пускать дырявые сервисы под аккаунтом SYSTEM? На линухе пускать сервисы от рута мягко говоря не любят а потому куда менее вероятны например червяки типа MSBlast (которые по сей день админы не могут выбить в больших LANах т.к. пока вылавливают оно успевает поразить что-то еще, свежевключенное и без апдейтов).В виндах юзер по дефолту админ.В висте попытались с этим бороться но сделали настолко злоебуче что юзеры просто отрубают вечно имеющий им мозг UAC.Итого срань может не только пробиться в систему но и закрепиться в ней надолго.Поэтому винда отданная юзеру на растерзание обычно через некоторое время являет из себя целый зоопарк разной самоходной живности.Просто потому что живность смогла закрепиться в системе.
>Под фокс тоже имеют. И хорошо так имеют. Также как и под оперу.
Кастомные сплойты были, есть и будут есть, так что если кому-то ОЧЕНЬ захочется конкретную систему поиметь через неизвестную дырку - у него есть шансы.Но вот массовые поимения публичными сплойтами - это только IE.А мозильщики реагируют оперативно и приплачивают.В то время как MS %$ет вола месяц с выпуском апдейтов.Наверное потому такой жести и не получается - ни с мозиллой ни с оперой.Это не означает что они совсем нерушимые.Но - те кто юзают IE в итоге зайдя на порносайт обзаведутся пачкой живности.Юзерам FF и оперы такое не грозит.А то что кастомный сплойт... ну знаете, от снайпера на крыше ничего не спасет, тут аналогично.Софт существенно сложнее hello world всегда будет содержать баги.
>как следствие 90% атак идет на IE, который ВСЕГДА есть в системе.Опять же, 20+ % рынка - неплохой кусок.Достаточно интересный в принципе.А IE - он есть в системе, но фигли с него толку если его в почти 50% случаев не юзают и заражение не произойдет?От самого по себе наличия софта в системе эксплойт не срабатывает - надо чтобы этот софт использовали для захода на сайт с малварью.И вот тут у вас в логике имеется прореха, имхо.
>быстрее и дешевле атаковать IE?А потом MS еще минимум месяц будет вола %$ать с выпуском апдейтов.Это вам не мозильщики все-таки - MS известные им дыры порой чуть ли не по полгода чинит ;).Может это и добавляет симпатий хаксорам?А то неинтересно если найденную дырку за 2 дня запатчат - для ее нахождения трахаться не меньше а результат - такой скромный?! :)
>>И 99% того что пишется в студии пишется под Wынь.
>
>Ну вот и пусть эти клацеры пишут под вынь.А микрософт их будет
>ловить.Поскольку трояны они внедрили даже в компилер.Микрософтовский компилер вшивает в EXE
>нечто типа GUIDа машины в заголовок PE EXE, достаточно однозначно идентифицируя
>машину.Очень удобно разных сракеров ловить :).Ну а приваси... что-приваси?Это ж микрософт,
>хренли :))).Они сами создают проблемы а потом с ними борятся корча
>из себя героев и борцов с хакерами :DПро GUID поверю. Но там как говорится свои арХЕтуктуРные особености. Один реестр чего стоит с его автозапусками.
>[оверквотинг удален]
>было пускать дырявые сервисы под аккаунтом SYSTEM? На линухе пускать сервисы
>от рута мягко говоря не любят а потому куда менее вероятны
>например червяки типа MSBlast (которые по сей день админы не могут
>выбить в больших LANах т.к. пока вылавливают оно успевает поразить что-то
>еще, свежевключенное и без апдейтов).В виндах юзер по дефолту админ.В висте
>попытались с этим бороться но сделали настолко злоебуче что юзеры просто
>отрубают вечно имеющий им мозг UAC.Итого срань может не только пробиться
>в систему но и закрепиться в ней надолго.Поэтому винда отданная юзеру
>на растерзание обычно через некоторое время являет из себя целый зоопарк
>разной самоходной живности.Просто потому что живность смогла закрепиться в системе.При настройке серверов, а именно SQL я создаю отдельный аккаунт. Остальные не знаю. А знаю постгресс создает свой аккаунт
>[оверквотинг удален]
>Кастомные сплойты были, есть и будут есть, так что если кому-то ОЧЕНЬ
>захочется конкретную систему поиметь через неизвестную дырку - у него есть
>шансы.Но вот массовые поимения публичными сплойтами - это только IE.А мозильщики
>реагируют оперативно и приплачивают.В то время как MS %$ет вола месяц
>с выпуском апдейтов.Наверное потому такой жести и не получается - ни
>с мозиллой ни с оперой.Это не означает что они совсем нерушимые.Но
>- те кто юзают IE в итоге зайдя на порносайт обзаведутся
>пачкой живности.Юзерам FF и оперы такое не грозит.А то что кастомный
>сплойт... ну знаете, от снайпера на крыше ничего не спасет, тут
>аналогично.Софт существенно сложнее hello world всегда будет содержать баги.О чем и речь. В большинстве своем проблемы в количестве пользователей, той или иной программы.
>>как следствие 90% атак идет на IE, который ВСЕГДА есть в системе.
>
>Опять же, 20+ % рынка - неплохой кусок.Достаточно интересный в принципе.А IE
>- он есть в системе, но фигли с него толку если
>его в почти 50% случаев не юзают и заражение не произойдет?От
>самого по себе наличия софта в системе эксплойт не срабатывает -
>надо чтобы этот софт использовали для захода на сайт с малварью.И
>вот тут у вас в логике имеется прореха, имхо.Нет этой прорехи нету. Так как лень писать то что и без того понятно.
>>быстрее и дешевле атаковать IE?
>
>А потом MS еще минимум месяц будет вола %$ать с выпуском апдейтов.Это
>вам не мозильщики все-таки - MS известные им дыры порой чуть
>ли не по полгода чинит ;).Может это и добавляет симпатий хаксорам?А
>то неинтересно если найденную дырку за 2 дня запатчат - для
>ее нахождения трахаться не меньше а результат - такой скромный?! :)
>Не без этого.
>Про GUID поверю.Характерный "мусор" в EXE-хидере в начале файла.Он разный на разных машинах и в общем то не мусор а просто метка машины на которой был сбилден EXE насколько я знаю.Небольшой подарок микрософта в фирменном стиле MS малварщикам, о котором догадыаются отнюдь не все засранцы :-)
>Но там как говорится свои арХЕтуктуРные особености. Один реестр
>чего стоит с его автозапусками.Ну в линухе - конфиги.Собственно какая разница, где свалена конфигурация?Разница довольно номинальная.Хотя в реестре есть несколько глубоко заныканых или неочевидных методов запуска кода.Мониторить их все труднее разве что.
>При настройке серверов, а именно SQL я создаю отдельный аккаунт. Остальные не
>знаю. А знаю постгресс создает свой аккаунтЯ для всех серверов создаю ограниченные аккаунты.В особо параноидальных случаях прикольно вообще порезать машину на VDSы допустим openvz'ой и соорудить "один контейнер на сервис".Даже если и порутают VDSку, в ядро сунуться не смогут (т.е. серьезные ядерные руткты засунуть опаньки), ничего кроме доступа к сломаному сервису не получено, мониторить минимальное окружение на странную активность на порядок проще (и мониторилку хаксору может быть просто не видно если она на хосте крутится) а penalty в скорости - достаточно небольшое.
>О чем и речь. В большинстве своем проблемы в количестве пользователей, той
>или иной программы.Скорее проблема - в размере программы и потому невозможности тщательно проаудитить весь код :).А количество пользователей влияет скорее на то насколько активно будут искать дыры.И то как видим последствия бывают разные.Юзеры IE почему-то получают троянов в систему регулярно со всех порносайтов.А юзеры фокса нифига не получают.
>Нет этой прорехи нету. Так как лень писать то что и без
>того понятно.А по-моему есть.Получить эксплойтом для IE можно только используя его :).В итоге сам по себе факт что он есть у 90% юзеров хакерам бесполезен.Юзает его ~50% или чуть более, на них и можно рассчитывать.При этом FF с его более 20% - достаточно интересен.Равно как и опера в рашке.
>Не без этого.
Могу прелположить что это одна из причин.Неинтересно если завтра разработчики сделают фикс пустив усилия по слому коту под хвост.А вот месяц - это нормално так :).MS неповоротлив и быстро не отдуплится.Даже на архи-гипер-мега-супер критичные фиксы у них уходит заметное время.
>цЫтата:
>
>"Одним из самых распространенных мифов относительно компьютерной безопасности является миф о том,
>что системы GNU/Linux более безопасны, нежели системы Windows."
>
>Бугагашечки !Статья вообще ни о чем. Точнее, о том, как зачем-то навешать антивирусов а-ля виндовс(может, что бы мозилло еще больше тормозилло при чеке кэша?).
Где в статье MAC, SELinux, ppArmor, запуск браузера в chroot-окружении?
На IBM очень много хороших, первоклассных статей, но эта статья, самая большая дрянь которую я видела на их сайте
А есть статьи по применению MAC, SELinux, ppArmor, браузера в chroot-окружении на десктпо станциях. Или может вы напишите. Видел для серверных реализаций. А вот для рабочих станций нет.
Для начала, покажите мне хоть один ботнет, в котором есть линукс-машины. После этого будем говорить об неоходимости кламава и фаерволла на десктопной машине.
А до тех пор подобные статьи, пугающие новичков, будет считать вредными.
>Для начала, покажите мне хоть один ботнет, в котором есть линукс-машины. После
>этого будем говорить об неоходимости кламава и фаерволла на десктопной машине.
>
>А до тех пор подобные статьи, пугающие новичков, будет считать вредными.Ну само по себе предложение дурацкое. Ботнет, разумеется, никто не покажет. Но серверов линуховых в ботнетах хватает. Те, кто видит абузы на хостингах - в курсе.
>серверов линуховых в ботнетах хватает.Знаете, купить сервер за бабки и поюзать с плохими целями можно с любой ОС.
А вот нелегитимно используемых серверов под виндой - немеряно.
Пруфлинк: http://forum.asechka.ru/forumdisplay.php?s=1e2c0de069f9758f6...
Ну и на zloy.org или как там его правильно - подобные же аморальные топики про "дедики" пачками.Дедики в терминологии этих кульхаксоров как я понимаю - поломанные *виндовые* машины на которые они отхватили себе нелегитимный доступ без ведома админа ну и потому юзают пока админ не спалит (если вообще спалит).Под линуксом... покажите мне такой беспредел применительно к линухам?Слабо?И не надо рассказывать про рыночные доли - у линуха на серверах рыночные доли некислые весьма :).Почему такая жесть только с виндой наблюдается?
Ещё как есть!
Сам прошлым летом лечил сервер с открытым 22 портом, на который горедевелоперы установили postgres из исходников. А там по умолчанию создаётся системный пользователь postgres с угадай каким паролем :)).
Через денёк другой туда зашёл робот и установил под пользователем сканер других таких же ssh.
Когда нас позвали, то за 2 дня работы он нашел еще 27 таких же защищенных через ssh серверов.
И конечно же скорее всего установил себя туда.
Чем не ботнет?
Хотя антивирус тут не помог бы.
Ваш вирус называется дуракоадмин
> горедевелоперы установили postgres из исходников. А там по умолчанию создаётся системный пользователь postgres с угадай каким паролемхм, я постоянно работаю с postgres и периодически компилирую и ставлю на тесты из исходников. первый раз слышу что make install что-то создаёт, у меня make install postgres'а прекрасно работает под обычным пользователем не создавая новых пользователей и ни на что не ругаясь. скорее всего Ваш пользователь был добавлен вручную.
видимо это написал разработчик обидевшийся на "горедевелопера"
да и не про вирус спич был, а про ботнеты
Статья интересна для пользователей, которым важно, чтобы система не упала и чтобы не похерилась домашняя папка.
В целом статья может помочь в этом плане.
В целом все советы кроме антивируса имеют ценность.
Хотя антивирус тоже можно поставить - ловить виндовые вирусы в wine =)P.S.
Windows уязвим на 9/10 изза того, что он написан криворукими индийскими программистами.
Они умудрились изгадить даже ядро BSD, на котором первончально основывалась Windows NT.
Закрываем 135-139, 445 (особенно 445) и прочие порты, которые открываются виндовыми службами и вуаля - сетевыми червями windows уже не ломается вообще.
Для защиты windows от сетевых червей очень хорошо помогает wipfw - портированный на винду фаерволл ipfw в BSD.
На десктопах зачем нужен фаерволл? Правильно, для закрытия доступа к службам, которые слушают сеть, в то время, когда их делать это никто не просил, с целью защиты от юзания уязвимостей в этих службах.
Для винды тут всё понятно, а для линукса?
А для линукса это всё неактуально: по умолчанию ничего сеть наружную не слушает, и закрывать доступ некому, а для тех служб, которые сам юзер запускает - ssh, samba, ftp и т.д., опять же, закрытие доступа не имеет смысла - нафиг тогда, спрашивается, их было подымать? Даже в качестве "барьера против эксплойтов" фаерволл в линуксе не имеет смысла - когда фаер получит сведения об эксплойте, уже будет готова новая версия софта, на которую эксплойт не действует - в отличии от винды, где софт может вообще не иметь механизма автоапдейта.
Вот и остаётся обсудить полезность для десктопа ркхантера/чкруткита, после чего статью можно смело называть ненужной чуть более, чем полностью.
>[оверквотинг удален]
>А для линукса это всё неактуально: по умолчанию ничего сеть наружную не
>слушает, и закрывать доступ некому, а для тех служб, которые сам
>юзер запускает - ssh, samba, ftp и т.д., опять же, закрытие
>доступа не имеет смысла - нафиг тогда, спрашивается, их было подымать?
>Даже в качестве "барьера против эксплойтов" фаерволл в линуксе не имеет
>смысла - когда фаер получит сведения об эксплойте, уже будет готова
>новая версия софта, на которую эксплойт не действует - в отличии
>от винды, где софт может вообще не иметь механизма автоапдейта.
>Вот и остаётся обсудить полезность для десктопа ркхантера/чкруткита, после чего статью можно
>смело называть ненужной чуть более, чем полностью.cups, tor и ещё некоторые любят открывать tcp порт.
Плюс ssh закрыть.
Плюс ограничить список адресов, имеющих доступ к самбе - а то там могут расшаривать папки без пароля.
Ну и так далее - фаерволл штука полезная, не только в винде.
не знаю как cups, ставить влом, а tor точно знаю, что после установки открытым порт не держит, т.к. садится на loopback интерфейс, и нужно ковырять конфиг руками, чтобы он слушал на реальном сетевом интерфейсе.
ssh закрывать? А зачем его было поднимать тогда? по дефолту sshd даже не установлен обычно.
Самба... если ею пользуются... Сегодня больше dc++ или другие методы применяются.
>ssh закрывать? А зачем его было поднимать тогда? по дефолту sshd даже
>не установлен обычно.Зачем поднимать?
Чтобы можно было удаленно заходить на машину)
А закрывать ssh - имеется в виду прописать доступ к ssh с определенных адресов, а с остальных закрыть.
Особенно если машина имеет внешний адрес - брутфорс из интернета на 22 порт валит только так.
>Они умудрились изгадить даже ядро BSD, на котором первончально основывалась Windows NT.Там ядро ничего близко с BSD не имеет, это вроде команду ядерщиков VAX скупили.И на бздотное оно не больно то похоже.Из бздей передрали TCP\IP стек насколько я помню.Но это отнюдь не все ядро ;)
>>Они умудрились изгадить даже ядро BSD, на котором первончально основывалась Windows NT.
>
>Там ядро ничего близко с BSD не имеет, это вроде команду ядерщиков
>VAX скупили.И на бздотное оно не больно то похоже.Из бздей передрали
>TCP\IP стек насколько я помню.Но это отнюдь не все ядро ;)
>Угу стек. И то переписывают уже 4-5й раз если я не ошибаюсь. Да кстати, стек этот юзался только в 3.51 в 4-ке я не уверен.
Это нужно быть перевёрнутым на всю голову, что бы помнить уязвимости того зоопарка ядер и либ, что бы сделать живучий эксплойт, а ещё провидцем, что бы угадать, что стоит на атакуемой машине. Линуксы с беспарольным ssh не в счёт - это такое же дырявое ведро как и винда.
Тут, блин, легальный софт хрен работать заставишь имея все гаечные ключи от системы...