Что нужно знать для написания антивируса под Linux

Так вот в этом и проблема - после того как всем подвезли флатпака, теперь линукс это мак. И винда. Ставь мейл ру агент в один клик на любом дистре гарантированно.

Что раньше тебе в той же Uubntu мешало зайти на сайт, скачать deb пакет, и поставить?

Мешало то, что я не использовал убунту. А теперь по барабану какой дистрибутив, ситуация одна и та же.

Скоро возникнет резонный вопрос, а зачем при наличии флатпака вообще утруждать себя сборкой «родных» пакетов. И вместо зоопарка линуксов возникнет одна вторая винда.

Правильно писать AppArmor. И почему это SELinux выходит из моды? Red Hat его вроде никуда из RHEL, CentOS и Fedora не собирается убирать.

И почему это SELinux выходит из моды?

Это у меня впечатление от тем на ЛОР за последний год.

Мне не кажется, что ЛОР является репрезентативной выборкой по этому вопросу.

Но тут же куча практикующих специалистов:)))

Мешало то, что я не использовал убунту.

Да какая разница. Замени слово на Debian.

Это исключительный случай, в основном все ставилось из репов. А если репов не станет а вместо них флатпак - то вся политика обновлений и добавления пакетов в репозитории, защищавшая пользователей, вылетит в трубу. И каждый будет сам за себя, как в винде. Схватил мейл ру - значит сам дурак.

Это исключительный случай, в основном все ставилось из репов.

Поехали, что у меня стоит не из репов дистрибутива:

opera, virtualbox (в дебиан он не адекватный), sublime text, sublime merge, steam, only office, docker, deadbeef

А gimp вон стоит старое то самое, которое не умеет ни webp, ни heif. У них как роаз только во flatpck более-менее нормальный. Но не хочу тащить его.

А так всё остальное «скачать deb файл без регистрации и СМС». В дистрибутиве должного уровня нет.

opera, virtualbox (в дебиан он не адекватный), sublime text, sublime merge, steam, only office, docker, deadbeef

Ну вот и я о том же. Стоит 2.5 приложения, причем в твоем списке действительно полезные приложения, которые крайне вряд ли будут втыкать всякие агенты на комп.

А в винде так стоит вообще все. Качаешь плеер какой-нибудь дохлый - и привет, в фоне игры пошли ставится, в браузере куча закладок на APEHA.RU и прочее мейлру и так далее.

При этом если в винде ограничиться только «серьезными» приложениями, то проблем тоже нет. У меня на виртуалке стоит MS Office, Mathcad и еще пара такого же порядка, и никакой помойки нет. Но только потому, что система не основная и достаточно 2.5 приложений.

Качаешь плеер какой-нибудь дохлый - и привет, в фоне игры пошли ставится

Стандартная подмена понятий. Что типа отсутвие разнообразия софта — это хорошо.

Как будто на линуксах и без снапов и флатпаков такое нельзя сделать... Но никому неинтересно из-за малой доли. А теже хорошие плееры, в том числе некоторые (не все) есть и под линуксы. Они не козлят ни под вендой, ни в линуксе.

Ещё забыл. IDE.

Оно тоже обычно во всяких там дебианах тухлое.

Я вон ругался тут на Qt Creator в Ubuntu 18.04 (!). Сказали тухлятина, исправлено в более новых.

Вот тебе и «репы, деды 👴 компиляли».

Что типа отсутвие разнообразия софта — это хорошо.

Отсутствие разнообразия софта в дебиане - это что-то новое. Наоборот его там зачастую в избытке.

Они не козлят ни под вендой, ни в линуксе.

Если ты годами сидишь на линуксе и потом в винде ставишь весь тот же самый GPL софт, то конечно вряд ли будут проблемы. А если простой пользователь винды просто качает плеер найдя через гугл, то 80% вероятности вызова тыжпрограммиста обеспечено.

Сказали тухлятина, исправлено в более новых.

Вот подмена понятий. Причем же тут репы. Они никак не мешают вносить исправления багов, более того, они изначально предназначены для автоматического накатывания обновлений, внезапно.

И вот тебе контрпример - у меня в дебиане подключены бекпорты, и недавно оттуда обновился KiCAD. Старую версию из основных реп я использовал почти 2 года и проблем нет, а новая просто не запускается. В результате без обновления я работал бы как и раньше, а с обновлением работа сломана.

И такая ситуация может быть не только из-за бага, а просто работа завязана на старую версию.

При этом откатиться с бэкпортов на версию из основных репов вообще элементарно. А если во флатпаке придет обновление - как откатываться? Либо там старых версий вообще нет, либо я еще не разобрался.

В итоге все долдонят о свободе, которую дает флатпак, а по факту после смерти репов этой свободы как раз и не будет. Сейчас я могу поставить дома арч, на работе дебиан и получать обновления так как мне удобно в каждом случае. А в светлом будущем я смогу везде поставить только флатпак и выбора никакого не будет вообще.

Что приведет к необходимости сборки нужных версий из исходников массово. И за что боролись?

Так это ж нужно сначала как-то засунуть вирус в эту вермишел. Тут же история о том, что нет проблемы написать бяку, но как ты её скормишь пользователю?

Отсутствие разнообразия софта в дебиане - это что-то новое. Наоборот его там зачастую в избытке.

Для пердолика - да, больше ничего не надо. Для обычного человека - нет.

Что нужно знать для написания антивируса под Linux

Тот факт, что он ненужен.

Отсутствие разнообразия софта в дебиане - это что-то новое. Наоборот его там зачастую в избытке.

Весь протух, вот только.

А в светлом будущем я смогу везде поставить только флатпак и выбора никакого не будет вообще.

То есть ты готов ставить совсем другой дистрибутив что бы получить выбор с «другим кикадом»? Нет.

а просто работа завязана на старую версию.

Ты эта, в курсе что флатпак заточен под то что бы держать параллельно старые и новые версии? Не прост может, а прямо вот заточен?

Более того, в отличие от реп где при попытке поставить старую версию из реп на новый дистр ты получишь проблемы с зависимостями, которые могут оказатся неразрешимыми, в флатпаке именно вот эту проблему решили?

Что приведет к необходимости сборки нужных версий из исходников массово. И за что боролись?

Ты предполагаешь что в стоковом флатпаке не будет каких то нужных тебе фишек? Ок, может такое быть. Но почему эти фишки должны оказаться в софте собранном для реп? Теоретически возможно, практически это такая же рулетка.

Тем не менее в то что какую то группу лиц не будет устраивать стоковый флатпак, в это можно поверить. Вопрос - а что мешает собрать в тот же флатпак нужную этой группе версию с нужным фаршем? Ничего. Более того, все эти лица могут пользоваться разными дистрибутивами. В отличие от псевдосвободной современной модели «ставь актуальную убунту/дебьян и ниеебет».

либо я еще не разобрался.

Ты прямо *очень сильно* не разобрался.

С другой стороны проблема флатпака сейчас - это отсутствие удобных тулзов для «нитакихкаквсе». Так что неудивительно.

Что сложного в начале дня набрать apt update && apt upgrade && reboot и подождать пять минут и далее спокойно работать весь оставшийся рабочий день?

Админы локалхоста и люди которые в лиунксе не работают а наслаждаются пердолингом... хотите сказать весь оставшийся день поднимать грохнувшийся от апдейта функционад системы. Я понимаю что для админов локалхоста «загрузилось и плазма» это уже работает....

А если сломается что-то? А если сломалось от апдейта недельной давности гдето внутри а ты только заметил... а оно уже базу покорраптило... а бакапов свежих нет, потому что бакапы раз в день неделю.

И в чём проблема один раз подключить репозитарий разработчика и получать обновления программы с него?

А, вот и любители тоталитаризма убунты подоспели. Как я угодал твой дистрибутив, с его старым добрым «свобода это рабство»

Флатпак мало того что даже на всяких арчиках работает, так он еще позволяет нормально несколько версий софта держать, без конфликтов зависимостей. Так как несколько версий рантайма это штатная фича.

То есть ты говоришь про уродов, а не нормальных пользователей которые будут оплачивать антивирус и перевод электроэнергии в тепло, но ни в коем случае не донатить разработку используемого ими софта?

Фейспалм. Дружба с логикой говорит нам что антивирус(а точнее компонент IDS работающий как антивирус) и закрытие дыр никак друг другу не противоречат. Весь мой пойнт был в том что это два *взаимодопролняющих* подхода. В сумме работающие гораздо лучше чем по отдельности, и гораздо *дешевле* чем по отдельности. Что безопасность без комплексного подхода - вообще не безопасность.

А вы этот тезис полностью пропустили. Вы вообще как, дислексией не наслаждаетесь?

Что сложнее, закрыть дыру, навести порядок в исходниках, перестать использовать маргинальный софт или разрабатывать AI отлавливающий все попытки использования всех уязвимостей?

По моему проще нанять разраба и закрыть дыру.

А вы неправы, при чем объективно. Весь исторический опыт интернет секурити говорит что закрыть дыру+прочее на пару порядков сложнее. В том числе потому что ненужен никакой супер AI отлавливающий все попытки. Нужна система которая отлавливает условные 95% известных попыток.

И эта система будет полезна даже если вы закрыли и задонатили все известные дыры. Потому что более-менее успешная атака через неизвестные дыры IRL использует и огромное количество известных техник и дыр. И если вы не знаете как малварь попала на ваш сервер, это не значит что вы не хотите знать что она туда попала. Вы как раз наоборот, очень хотите.

Selinux? tcp/ip stack ?

В системд всё просто и прозрачно

4.2

То месиво слайсов/служб/вантов/юниов/ с uuid индентификаторами в /tmp /usr/* /var/* от пользователя от рута просто феноминально, запустить скрытую systemd службу в фоне и скрыть её ждва пальца об асфальт и хрен ты её найдёшь без скурпулёзного прошаривания всего глазами вручную. Никакого преимущества с шелл скриптами нет их можно через sha512 прогнать и если подозрешия то хеши сравнить, всему что не нужно -x на запуск установить и всё. Systemd порождает кашу.

Хотя сам я его использую и активно, но преимущества именно в том что ты сказал ровно нуль.

Ты прямо *очень сильно* не разобрался.

Да, я уже понял как это делается.

Потому что более-менее успешная атака через неизвестные дыры IRL использует и огромное количество известных техник и дыр.

Это для винды, в которой пользователь отключил обновления имеет смысл пробовать дырки годовой и более древней давности, в фрисофтных дистрах можно проверить версию софта, увидеть что пользователь обновился и печально смотреть на консоль управления не состоявшимся ботнетом.

По этому вирусописателю есть смысл только писать вирус на никому не известной уязвимости, но тогда её нет и в базе твоего антивируса.

Так же зачем тестировать наличие уязвимости на компьютере жертвы если можно просто посмотреть версию софта в БД пакетного менеджера?

Именно по этому антивирус может быть актуальным только короткий промежуток времени между обнаружением и закрытием дыры.