форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Открытые системы на рабочей станции (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Антивирусный сторож, проверка всего на лету. Насколько это н..."

Сообщение от Fou (ok) on 22-Июл-07, 16:44

Есть рабочая станция под Linux. Используется для WWW сёрфа + печатная машинка. Думаю над антивирусной защитой: Можно ручным сканером проверять софт перед запуском, но это не позволяет хоть как-то контролировать скрипты www страниц. Не позволяет на многопользовательской машине оградить всех от какого-либо вольного ли( или невольного) разгильдяя. Есть желание организовать антивирусного сторожа, который на лету проверяет записываемое на диск, на лету проверяет скрипты из просматриваемых www страниц, возможно ещё как-то следит за деструктивными действиями запускаемых программ. Защитить хочется свои пользовательские файлы, как следствие - саму защитить систему. В Виндах такие сторожи распространены. Под Linux не увидел готовых решений. В чём причина отсутствия? Спроса нет? Или Linux настолько защищённая система? Или есть какой-то способ запускать демонов и настраивать их такую "on-line" проверку? P.S. Бэкап само собой, но это время на разворачивание + дополнительные ресурсы когда более слабая защита.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Антивирусный сторож, проверка всего на лету. Насколько это н..."

Сообщение от vic (??) on 22-Июл-07, 18:40

>Есть рабочая станция под Linux. Используется для WWW сёрфа + печатная машинка. >Думаю над антивирусной защитой: > >Можно ручным сканером проверять софт перед запуском, но это не позволяет хоть >как-то контролировать скрипты www страниц. rkhunter на руткиты все равно лучше таки использовать. также юзать snort. selinux 99% вирусов - IE-вирусы. Да не нужен антивирус в принципе)) Юзайте нормальные броузеры)) > Не позволяет на многопользовательской машине оградить >всех от какого-либо вольного ли( или невольного) разгильдяя. Разгильдяй не сможет испортить данные другого юзера, т.к. доступа к чужим данным нет :) А чтобы получить доступ потребуется веб-вирус для именно вашего броузера (не IE), который сможет получить root-привилегии в linux. Это возможно только если в броузере есть дыра, иначе почти неосуществимо по некоторым причинам ;) > >Есть желание организовать антивирусного сторожа, который на лету проверяет записываемое на диск, >на лету проверяет скрипты из просматриваемых www страниц, возможно ещё как-то >следит за деструктивными действиями запускаемых программ. Защитить хочется свои пользовательские файлы, как следствие - саму защитить систему. От нового вируса не спасет. Зато проц будет кушать. > >В Виндах такие сторожи распространены. Под Linux не увидел готовых решений. В >чём причина отсутствия? Спроса нет? Или Linux настолько защищённая система? Да достаточно защищенная при грамотном использовании. >Или есть какой-то способ запускать демонов и настраивать их такую "on-line" проверку? > броузер запущенный не рутом в окружении c chroot да еще и в виртулке (xen, kvm и т.п.) - я хочу посмотреть на тот вирус что все это поломает)) > >P.S. Бэкап само собой, но это время на разворачивание + дополнительные ресурсы >когда более слабая защита. Вышесказанное  имхо))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Антивирусный сторож, проверка всего на лету. Насколько это н..."
	Сообщение от Fou (??) on 22-Июл-07, 21:29
	>rkhunter на руткиты все равно лучше таки использовать. >также юзать snort. >selinux Ок. Ушёл читать: http://www.rootkit.nl/projects/rootkit_hunter.html http://www.snort.org/ (так понял - некоторые обновления за деньги) http://ru.wikipedia.org/wiki/SELinux >Разгильдяй не сможет испортить данные другого юзера, т.к. доступа к чужим данным >нет :) >А чтобы получить доступ потребуется веб-вирус для именно вашего броузера (не IE), >который сможет получить root-привилегии в linux. Это возможно только если в >броузере есть дыра, иначе почти неосуществимо по некоторым причинам ;) Пароль рута никому не даётся. /* IE ставить... мыслей не возникало. ;) */ Firefox, Opera, изредка Konqueror. Платформенно независимая среда Java, например, не способна выполнить что-то вредоносное и независимое от браузера? Например, подгрузить что-то типа key-logger, passw-scanner, mail-collector и воткнуть его в пользовательский скрипт-автозагрузки. Такие штуки всегда/обязательно сопровождались какой-то конкретной уязвимостью в браузере? >Да достаточно защищенная при грамотном использовании. Не подскажите чего почитать? Книг много, но не все толковые... >>Или есть какой-то способ запускать демонов и настраивать их такую "on-line" проверку? > >броузер запущенный не рутом в окружении c chroot ( http://ru.wikipedia.org/wiki/Chroot ) да еще и в >виртулке (xen, kvm и т.п.) - я хочу посмотреть на тот >вирус что все это поломает)) Виртуалку не очень хотелось бы, тоже ведь ресурсы и может большие чем для антивирусного демона-сторожа. Но как вариант - да, жертвенный комп. Однако там надо иметь собственный r-w доступ к своим файлам или получается надо оставлять только чтение, дополняя какой-то утилитой синхронизации диска со своими файлами и диска для виртуалки. При этом нет уверенности, что скрипт не останется в сохранённой странице, а тогда скрипт рано или поздно может быть запущен в основной системе при просмотре этой страницы. P.S. В коллективе есть блондин разменявший полвека. Под него б была б хороша автоматика, типа Snorta - чтоб сразу сканило потоки данных, "...не отходя от кассы".
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Антивирусный сторож, проверка всего на лету. Насколько это н..."
	Сообщение от vic (??) on 22-Июл-07, 22:56
	>Пароль рута никому не даётся. /* IE ставить... мыслей не возникало. ;) >*/ Firefox, Opera, изредка Konqueror. Платформенно независимая среда Java, например, не >способна выполнить что-то вредоносное и независимое от браузера? Например, подгрузить что-то >типа key-logger, passw-scanner, mail-collector и воткнуть его в пользовательский скрипт-автозагрузки. Такие >штуки всегда/обязательно сопровождались какой-то конкретной уязвимостью в браузере? суровые челябинские одмины скрипты пользовательских автозагрузок и т.п. chown и chmod так чтобы юзер не смог их изменить (только read only). Ну это если разговор про машинку для вебсерфинга. Кстати, если броузер позволяет писать куда попало встроенным в него javascpipt, java (или не встроенным) - фиговый броузер. > >>Да достаточно защищенная при грамотном использовании. >Не подскажите чего почитать? Книг много, но не все толковые... Не подскажу (не знаю про антивирусную защиту под линухами книг, сорь), я не плохо в общем представляю как работают никсы (и линух в том числе) и с этой позиции говорю. Еще раз скажу - юзер не испортит чужого, тем более если не знает пароля рута. А если юзер портит свое - то он сам себе злобный буратино, пусть рисует объяснительную и штраф.. >Виртуалку не очень хотелось бы, тоже ведь ресурсы и может большие чем >для антивирусного демона-сторожа. Да я просто как пример параноидальной сверхзащиты привел :) Ресурсов меньше будет есть это точно) >P.S. В коллективе есть блондин разменявший полвека. Под него б была б >хороша автоматика, типа Snorta - чтоб сразу сканило потоки данных, "...не >отходя от кассы". Даже если это ген. директор, это лечится, не сразу но лечится. Подход нужен правильный (административный). p.s. самое главное, как ни защищайся, ваш "блондин разменявший полвека" когда нибудь введет: rm -rf ./ :) 99% вирусов обрезается даже под виндой если не юзать IE и outlook'и, под линухом они просто дохнут. Но если хочется из P4 сделать P3, то можно.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Антивирусный сторож, проверка всего на лету - сделал я его."

Сообщение от Fou (??) on 27-Июл-07, 00:24

Нужно: *) драйвер в ядро... http://dazuko.org/ Эта штука обеспечивает то самое "на лету"; *) выбрать сканирующий софт http://dazuko.org/applications.shtml. Мне для общего развития понадобились: http://dazuko.org/howto-install.shtml http://dazuko.org/faq.shtml Внедрял под KUbuntu 7, антивирь Clam ( http://www.clamav.org/ ). Реально мой случай расписан в http://ubuntuforums.org/showthread.php?t=52385 Но с применением http://ubuntuforums.org/showpost.php?p=634418&postcount=13 (важен порядок загрузки и Dazuko надо грузить раньше чем capability). Версии софта сейчас другие и потому имена в мануале надо воспринимать не добуквенно. Clamd запускаю от рута (User clamav менял на User root в clamd.conf) ф Заодно поднялся тормозящий при загрузке Milter, наверное надо было его выкинуть в файле rules (фильтры для почты сейчас ставить не хотел), да и заодно внимательнее просмотреть ./configure, в текущей версии строка не такая как в мануале. Извещаловку про события не применял. Пока не применял...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Антивирусный сторож, проверка всего на лету - сделал я его."
	Сообщение от vic (??) on 27-Июл-07, 18:09
	никсовые вирусы попадались?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Антивирусный сторож, проверка всего на лету - сделал я его."
	Сообщение от Fou (??) on 27-Июл-07, 19:14
	>никсовые вирусы попадались? Мне виндовые раз в год, в полтора попадаются и то когда я веду более часа вольный поиск MP3 и т.п. Иногда всплывают специфические сайты. Хотя вот за пару суток - штук десять вхождений какого-то Eicar... Пойду описание поищу, а то много что-то. ;) ;) Время покажет насколько это убережёт ли от чего-то или просто попотребляет часть ресурсов.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]