WannaCry или стоит ли всем переходит на Linux

нервы сис.админов, пытающихся залатать дырки безопасности в «вашей» замечательной системе.

патч от ваннакрипт выпустили раньше эпидемии. не вина билли, что ты компы не обновляешь. он сам к тебе лично должен приехать что ли и анально пропаатчить?

тогда платить гигантские деньги ТО, как анальному рабу

Само по себе это проблему не решит. Более того, как только хотя бы процентов 10 юзеров переберутся на линух, под него тоже начнут писать вирусы, как пишут под эппл и андроид. Но, имхо, всё равно стоит. В нормальных дистрах обновления не приводят к диким тормозам системы и бесконечным перезагрузкам, из-за чего пользователи и админы зачастую не хотят обновлять даже легальную винду. Домашний каталог, /tmp, /var и любые съёмные носители можно монтировать noexec, а пользователям прав рута не давать. Централизованные репозитории вместо вирусо-помойки, разбросанной по всей глобальной Сети. Наличие антивирусов, хоть они пока что и не особо нужны. Открытость, чего тоже нельзя недооценивать с точки зрения безопасности. Грамотное сообщество. Наличие доки в Интернете по грамотной настройке. Наличие разных вариантов установки (различных DE и др. библиотек) затрудняет написание вируса, т. к. он не может гарантированно полагаться на их наличие, а если попытается вытянуть из реп, тут же себя выдаст. Работа из-под уч. зап. с ограниченными правами и возможность виртуализации минимизирует ущерб. Наличие централизованного репозитория и опция монтирования noexec затрудняют распространение. Но всё равно, если не настраивать, не следить, подключать любые левые репы и т. д., всё это не спасёт. Так что человеческий фактор на первом месте.

Домашний каталог, /tmp, /var и любые съёмные носители можно монтировать noexec, а пользователям прав рута не давать.

Noexec на том же /tmp принесёт просто кучу проблем с неработающим софтом. Так же и на венде можно рута не давать, если не знал. В венде щас кастате запиливают ограничение доступа для не доверенных приложений к /home, чего в линуксах нет (настроить грамотно Selinux или AppArrmor даже не каждый красноглазый сможет, что уж о домохозяйках говорить).

Централизованные репозитории вместо вирусо-помойки, разбросанной по всей глобальной Сети.

Не работает. Только для весьма ограниченного софта. Вот мой список, за котором я иду по «помойкам»: virtualbox, opera, sublime text, steam, deadbeef, майнер и кошелек для XMR, более новая CUDA (предыдущий пункт требует 8-ку, которой нет в Ubuntu 16.04 LTS), texas SDK... Наверно еще что-то забыл. Естественно, что куча производителей софта просто не захочет пригимать правила всяких репозиториев дистрибутива.

Так что да - принцип неуловимого Джо и не более.

PS: а за принцип «сложность для разработчиков софта как защита от вредносного ПО» - это пять :D

Noexec на том же /tmp принесёт просто кучу проблем с неработающим софтом.

Каких проблем, и что софту делать в /tmp, кроме как писать туда временные файлы?

Так же и на венде можно рута не давать, если не знал.

Только большинство приложений (совсем не админских) требуют повышения прав для работы. Впрочем, давно уже, слава богу, не имел с ней дел, может и упустил какие новшества.

В венде щас кастате запиливают ограничение доступа для не доверенных приложений к /home

А к системным каталогам доступ не ограничивают?

Вот мой список, за котором я иду по «помойкам»: virtualbox, opera, sublime text, steam, deadbeef, майнер и кошелек для XMR, более новая CUDA (предыдущий пункт требует 8-ку, которой нет в Ubuntu 16.04 LTS), texas SDK

Я не о известных программах говорю (хотя они тоже могут содержать невесть что), а о разных любительских поделках, разбросанных на неизвестных сайтах. Как и о варезе, наполовину заражённом.

А кроме того, речь в топике шла об офисных рабочих местах, а не о домашних пользователях, а им в большинстве случаев большая часть этого софта для работы не нужна. А всё, что нужно, в линухе есть: веб, почта, офис, разные кады и т. д. Ну да, автокад - незаменим. Как и 3дстудио. И фотошоп, если верить дизайнерам, хотя я преимуществ перед гимпом не вижу. Но из распространённых программ для работы - это всё. Остальное - может какой-то узкоспециализированный софт. Да, ещё 1С-клиент. Но при необходимости они его на линух перенесут, как перенесли сервер.

а за принцип «сложность для разработчиков софта как защита от вредносного ПО» - это пять :D

Сложность для разработчиков непрошенного софта. А сложность в том, что софт этот заранее не знает, какие библиотеки в каком дистре установлены (кроме самых базовых, да и они разных версий). А вытянуть пакеты, как это делает нормальный легальный софт, он не может: сразу выдаст себя сетевой активностью.

Так что да - принцип неуловимого Джо и не более.

Я согласен, что этот принцип тоже помогает, но всё-таки более.

а за принцип «сложность для разработчиков софта как защита от вредносного ПО» - это пять :D

Помню, читал несколько лет назад статью «Сколько-то мифов о Линуксе». Понравился миф номер N:

Говорят, что под линукс не бывает вирусов. Это неправда. Автор лично нашёл вирус под линукс. Правда, запустить его на своей машине автору так и не удалось.

Вот это действительно пять!

Каких проблем, и что софту делать в /tmp

Ну давай сам в поиске поищешь по словам «noexec bug». Я в тебя верю.

Вон, к примеру, Gnome не стартует :D https://bugzilla.redhat.com/show_bug.cgi?id=1268994

В венде щас кастате запиливают ограничение доступа для не доверенных приложений к /home. А к системным каталогам доступ не ограничивают?

Естественно давно ограничен. Разве что во время вындоувс XP была полная опа - под ней ну нельзя было просто работать без постоянных админских прав, и разделение их было хуже некуда.

Сложность для разработчиков непрошенного софта.

Так тяни с собой всё. Много что ли надо... Проблем нет. Троян в репак игры/перацкого софта - и всё нормально.

Очередной маразмо-выпсер от сказочников, аналогичный разряду тех, кто обновления у крякнутой винды отключал. В основном обусловлен не слишком развитой архитектурой. ВОт смотри, только-только начали наворачивать «медку» энтерпрайзного, типа системд, а скоро еще и общий copy&paste буфер в десктопный Юникс завезут, осенью же. А в линуксе скопируют всё с юникса.

Всё еще впереди. Я сперва думал что проблема Шиндовса - это слишком долбанутая FHS, но нет, подобное было и на макОС, рансомварь не слишком жалует FHS.

Так выстави ханипот в сеть с белым ip и ssh с root наружу.

Чего только не найдёшь и под arm, и под x86. С разным функционалом.

PS: да, я пробовал.

чем больше аудитория тем тупее треды на ЛОРе )))

от себя порекомендую переходить на мозг. причем делать это надо suit'ам т.е. рукАвадителям. манагерем высшего звенца. что маловероятно. поэтому надо доить их пока не поумнеют (никогда).

что софту делать в /tmp

Вон, к примеру, Gnome не стартует :D https://bugzilla.redhat.com/show_bug.cgi?id=1268994

А при чём тут баги? Я говорил о штатных ситуациях. И там, кстати, написано, что

Does the customer have access to 7.2? If yes can they try with 7.2?

И ответа пользователя нет. Т. е. в rhel 7.2 баг, по всей видимости, пофиксили.

Да и гном шелл - не единственная DE, что тоже одно из преимуществ unix. Это в Windows у пользователя нет выбора.

во время вындоувс XP была полная опа - под ней ну нельзя было просто работать без постоянных админских прав

Я знаю, что 7 постоянно спрашивала, разрешить поднять программе права или нет (хрюшка, по-моему, даже и не спрашивала). Естественно, если не разрешить, то программа аварийно завершится. И таких программ несколько лет назад (уже много позже хрюшки) была туева хуча. Как сейчас обстоят дела - не знаю.

Так тяни с собой всё. Много что ли надо...

Если это вирус, а не троян, т. е. программа, скрывающаяся в другой программе, то она по определению не может быть большой. Поэтому для неё всё - много.

Троян в репак игры

В репы троян внедрить тяжело, а если и удаётся, то его быстро оттуда выпиливают. См., например, https://ru.wikipedia.org/wiki/Вредоносные_программы_для_Unix-подобных_систем#...

Число вредоносных программ под Linux увеличилось с 2005 года. В частности, произошло удвоение количества linux вирусов с 422 до 863[7]. Имелись редкие случаи обнаружения вставок вредоносных программ (троянских программ) в официальных сетевых репозиториях или популярных сайтах дополнений[8]. Как правило, число инсталляций таких троянов измеряется сотнями или тысячами, после чего троян удаляется, а пострадавшим пользователям требуется выполнить инструкции по удалению трояна на своих компьютерах, после чего троян становится историей.

/перацкого софта

Такого в Линукс нет. А доп. защитой от того, чтоб и не появилось - noexec на всё, куда может писать пользователь.

А при чём тут баги?

Так а без них и никак. Ты давай поставь noexec на все папки (не мамки), которые ты назвал - поживи так месяц, а потом поговорим.

/перацкого софта. Такого в Линукс нет.

Да-да, а еще в СССР не было секса. Чего-то темы с раздачей нативных под линукс перацких игр на поррентах весьма популярны (относительно конечно 1%).

рансомварь не слишком жалует FHS.

В смысле не жалует?

Я говорил о штатных ситуациях.

Ну, и смысл?

Сравнивать практическую эксплуатацию венды в корявых руках (ну какие есть), и вымышленную идеальную с линуксом в руках правильных эльфов.

Ну, да. Второе лучше, не спорю :D

А при чём тут баги?

Так а без них и никак.

Так баги фиксятся. Причём в нормальных дистрах если баг связан с безопасностью, то фиксится быстро.

Ты давай поставь noexec на все папки (не мамки), которые ты назвал - поживи так месяц, а потом поговорим.

Сразу скажу, что из-за noexec на хомяке были проблемы с тором. Думаю, решаемые, но не стал париться и снял с хомяка noexec. Однако tor - не тот софт, который необходим в большинстве офисов.

Чего-то темы с раздачей нативных под линукс перацких игр на поррентах весьма популярны (относительно конечно 1%).

Ну м. б. Не интересовался. Мне свободных клонов старых добрых думов/варкрафтов хватает. Хотя я и в них не особенно играю. :-)

Сразу скажу, что из-за noexec на хомяке были проблемы с тором

На хомяк не так интересно. Давай на /tmp ставь

На хомяк не так интересно. Давай на /tmp ставь

А на /tmp у меня с noexec gnome нормально запускался, и др. проблем не было.

Если говорить именно о WannaCry, то игнор обнов, которые вышли несколько месяцев назад не сулит ничего хорошего ни на одной ОС, в том числе на любом Linux

Другое дело, что работоспособность Linux после обновления как правило не страдает...

В том смысле, что получив root&&system, оно равномерно пошифрует и /home & /usr/{bin,lib,share}

А тут надо выбирать.
Либо сплошное сквозное DDE&COM&OLE.Net.ODBC,и что там после ?Net&Win7 появилось совместимое чуть ли не с Вин3.11 или Убунта, как самая последняя надежда перед прыжком на макОС,

Другое дело, что работоспособность Linux после обновления как правило не страдает...

Да вполне часто и ломается. Например, в UBuntu LTS из недавнего можно вспомнить пару раз отвалившаюсю самбу, и так же черный экран после минорной обновы ядра с проприетарными Nvidia.

в гос органах не переводите, откройте все порты и уходите :)

В нормальных организацих которых будет жалко, если пострадают, конечно, переводить надо, но это не отменяет необходимости уделять внимание безопасности, и тд и тп(от этих заражений можно было уберечься, если уделять этому внимание)

Cтоит ли всем ИБшникам, особенно работающим в гос.органах, плавно переводить всю компьютерную инфраструктуру организации под управление Linux?

Не стоит. Они и так были под unix-like OS. А те, у кого стоял Windows в серьёзных целях, а не для игрушек — ССЗБ и никогда ничему не научатся.

Очень смешное заявление человека плохо видящего мир вне своей колокольни.

У Криса Касперски кстате был основной рабочий ноутбук с Windows XP.

это всё большая редкость, и довольно просто чинится

а вот почему в форточках после перезагрузки перестал запускаться файловый менеджер из меню win+x - тут уже сложнее

А почему про ту большую «редкость», что я написал куча воплей, и более 1000 людей отметившихся на багтрекере.

А на «win+x explorer does not start» что-то ничего найти не получается.

Так что, если бы Linux занимал 10%, WannaCrypt сделали бы и для него тоже.

Ну мак ос примерно эти 10% и занимает. И что-то по-прежнему с вирусами под нее не густо.

это про nvidia? ну так и лечится оно разве что сносом проприетарного драйвера :)

проблема скорее всего не привязана к win+x, там вроде просто запуск explorer.exe без параметров давал ошибку. а вот если открыть корзину или с: - вполне себе работает.если тебе действительно интересно, вечером буду дома и загружу форточки. если ты вдруг в курсе где у explorer логи ошибок - был бы признателен, запуск из консоли даёт нулевой выхлоп

Каких проблем

Я в своё время офигевал, почему у меня пакет на Manjaro не собирался. Еле-еле нагуглил, что ошибки могут возникать, когда /tmp монтируется с noexec.

тогда лучше винду с торрентов скачать. Как говорится, ничего личного.

Бюджетники всё-таки такие бюджетники. Вроде уже давно решили, что надо переводить весь софт на свободное ПО, т.к. в современном цифровом мире других вариантов развития технологий нет. Или знаете что-то ещё?
На самом деле для перехода на Linux просто придется напрячь мозги, но от этого ещё никто не умирал, скорее наоборот. А там глядишь и пенсионный возраст для бюджетников до 80 поднимут, когда в 50 уже работу сложно найти, и свою Макось запилят за N-миллиардов долларов. Короче, не бойтесь, глаза боятся, а руки делают. Реально мир увидите с другой светлой стороны, как начнете переход на СПО.

получив root&&system, оно равномерно пошифрует и /home & /usr/{bin,lib,share}

С правами-то рута - это понятно, что пошифрует что угодно. Непонятна фраза

рансомварь не слишком жалует FHS.

Ведь FHS - это просто стандарт для структуры файлов, и как ransomware может его жаловать или не жаловать?

Бюджетники всё-таки такие бюджетники. Вроде уже давно решили, что надо переводить весь софт на свободное ПО

Кстати, в поликлиниках (по крайней мере некоторых) у врачей урезанные линукс-десктопы на гноме без графических конфигураторов.

Спросил у врача, как система, он говорит, что не торт, потому что ничего нельзя настроить. Глянул - действительно нельзя, всё лишнее из меню удалено.

ну вот я просто размышлял, как организация в стиле FHS сможет помешать такому червю. Но чота мне ничего не надумалось такого, что помешает.

Не, если так чисто теоретически, когда Петя прописывался в мбр и грузился... то можно предположить, что шансов остаться в живых у /home было бы больше, если бы он был отдельным разделом...

как организация в стиле FHS сможет помешать такому червю

Я думаю, что никак. Это ведь не механизм защиты, а просто стандарт, чтобы пользователям и разработчикам удобнее было. Но механизмы защиты тоже есть.

когда Петя прописывался в мбр и грузился... то можно предположить, что шансов остаться в живых у /home было бы больше, если бы он был отдельным разделом...

Возможно. Хотя, думаю, что если процесс грузится из mbr, то он не может пользоваться готовыми api для доступа к ф/с. Тут может быть 2 варианта: либо он сам содержит нужные драйверы в своём коде и всё монтирует. Тогда он смонтирует любые ф/с, структуру которых поймёт. Вариант 2, более простой и эффективный: шифровать весь диск целиком, как 1 файл, не разбираясь, какие там разделы и ф/с. Оба варианта не оставляют шансов ни /, ни /home, ни на одном, ни на разных разделах.

Я в своё время офигевал, почему у меня пакет на Manjaro не собирался. Еле-еле нагуглил, что ошибки могут возникать, когда /tmp монтируется с noexec.

Вот это похоже на правду. Хотя тоже косяк, конечно. Но тогда будем считать, что исполнимый /tmp/ может в некоторых случаях пригодиться майтейнерам, как исполнимый хомяк нужен программистам. Но не простым пользователям, не пишущим программы и не собирающим самостоятельно пакеты.

Ага. Да обычный apt upgrade не работает с noexec на /tmp

Ну как я понимаю, простым пользователям обновления не нужны

ПЛАНИРОВАТЬ переход и требовать совместимость от новых(существующих) спецпрограмм - однозначно ДА.
Но если не хотите бардака, то начинайте вначале с планов и отделов IT.

Друзья, видя как в последнее время происходит активное заражение различными червями-вымогателями и другими вирусами компьютеры под управлением очень дырявой ОС Windows

где ты видел? если руки из жопы, то однозначно linux. хотя, безопасность системы которая собирается с миру по нитке не пойми кем - это оксюморон. хоть лицухи к дистрам почитай, там прямо указано, что всё на свой страх и риск.

плавно переводить всю компьютерную инфраструктуру организации под управление Linux

Не надо. Тогда вирье и под линукс появится. Точнее, не под линукс, а под бубунту, в которой все эти юзвери будут сидеть.

У венды модель безопасности лучше, чем у линукса, но в то же время 99% есть 99%, тут ничего не поможет. В среднем шанс заразиться на линуксе гораздо ниже по очевидной причине, но к технической стороне это не имеет большого отношения. Слабое звено чаще всего это люди. Вот читаю на хабре про петю и волосы дыбом встают. Не работает какая-то программа. Саппорт пишет, мол запускайте её от имени доменного администратора (!). И админы ничтоже сумнящеся запускают. А потом удивляются — а как это петя на всех компьютерах появился, а кто это виноват, а откуда это. Сами дураки, хуже секретуток, запускающих отчёт.doc.vbs.

В общем резюмируя — линукс поможет, но в первую очередь надо думать о человеческом факторе. Не опасаясь ничего живут только дурачки, в реальной жизни всегда есть угрозы.

Более того, как только хотя бы процентов 10 юзеров переберутся на линух, под него тоже начнут писать вирусы

Так на серверах же линукс в основном. И заразить сервер куда выгоднее (наверное) чем десктоп. Или нет?

Тот пакет был из AUR, т. е. я собирал его как пользователь.

под управлением очень дырявой ОС Windows

Идиоты с непатченной ХР стоящей портами в открытую Сеть всегда найдутся. Да ещё и UAC вырубают и под админом сидят.

простым пользователям обновления не нужны

Джва года не обновлять, а потом смотреть, что через дыры в zyztemD пришло.

Серверами более грамотные люди управляют в основном. А хомяки по части компьютерной безопасности настолько не осведомлены и инертны, что даже страшно.

Но, НЯЗ, большинство вредоносных программ для GNU/Linux и так нацелено на серверы.

Более того, как только хотя бы процентов 10 юзеров переберутся на линух, под него тоже начнут писать вирусы

Так на серверах же линукс в основном. И заразить сервер куда выгоднее (наверное) чем десктоп. Или нет?

Заразить сервер выгоднее, но и сложнее. Там всё-таки какие-никакие админы админят. А кроме того, на серверах обычно никто не скачивает и не запускает непонятно что. Обычно на серверах сканируют порты, затем, обнаружив потенциально дырявый сервер (например апач со старым пхп), пытаются загрузить руткит, используя известные уязвимости, например переполнение буфера, затем исполняют этот руткит и запускают вредоносный код от рута. Возможен вариант исполнения не от рута, например для сканирования портов во внутренней сети или что-то ещё. В этом случае руткит не нужен. И как раз на этом этапе часто используется каталог /tmp, т. к. /home/ на серверах часто нет, а записать скрипт/программу куда-то ещё, не обладая правами рута, проблематично. Но взламывают их руками, каждый сервер отдельно.

На десктопы же вирусы ставят сами пользователи, либо скачав/получив по почте/с заражённой флэшки/и т. д. и запустив какую-то дрянь, либо подключившись с помощью дырявого браузера к заражённому серверу, тогда эта дрянь может скачаться и запуститься автоматом.

Тот пакет был из AUR, т. е. я собирал его как пользователь.

Всё равно это сборка, требующая запуска разных скриптов помимо прочего. А занимается ли этим штатный майнтейнер или «сам себе» майнтейнер - дело десятое.

Я считаю, что любые пакеты из неофициальных репозиториев снижают надёжность ОС. Но если какой-то пакет действительно необходим, то собрать его можно, в конце концов, и в виртуальном окружении. Кстати, сборка в чистом виртуальном окружении не только увеличит безопасность, но и позволит правильнее настроить зависимости собираемого пакета.

Хотя с арч-подобными дистрами дела не имел, может быть там всё по-другому.

Ага. Да обычный apt upgrade не работает с noexec на /tmp

Ну вот нечего мне сейчас апгрейдить. Попробовал, - ничего не надо. Но специально ради тебя установил ненужный мне пакет zsh:

$ cat /etc/fstab
# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point>   <type>  <options>
# ...skip...
/dev/... /tmp            ext4    relatime,noexec      0       2
# ...skip...

$ cat /tmp/test.sh
#!/bin/bash
echo exec

$ ls -l /tmp/test.sh
-rwxr-xr-x 1 ... ... 23 июл  4 01:01 /tmp/test.sh

$ /tmp/test.sh
bash: /tmp/test.sh: Отказано в доступе

$ bash /tmp/test.sh
exec

$ sudo apt-get upgrade
Чтение списков пакетов… Готово
Построение дерева зависимостей       
Чтение информации о состоянии… Готово
Расчёт обновлений…Следующие пакеты устанавливались автоматически и больше не требуются:
  comerr-dev kaccessible kde-icons-mono kmag kmousetool libgssrpc4 libkadm5clnt-mit9 libkadm5srv-mit9 libkdb5-7
Для их удаления используйте «apt-get autoremove».
Готово
Пакеты, которые будут оставлены в неизменном виде:
  icedove iceweasel iceweasel-l10n-ru vdpau-va-driver vlc vlc-nox vlc-plugin-notify vlc-plugin-samba
обновлено 0, установлено 0 новых пакетов, для удаления отмечено 0 пакетов, и 8 пакетов не обновлено.

$ sudo apt-get install zsh
Чтение списков пакетов… Готово
Построение дерева зависимостей       
Чтение информации о состоянии… Готово
Следующие пакеты устанавливались автоматически и больше не требуются:
  comerr-dev kaccessible kde-icons-mono kmag kmousetool libgssrpc4 libkadm5clnt-mit9 libkadm5srv-mit9 libkdb5-7
Для их удаления используйте «apt-get autoremove».
Будут установлены следующие дополнительные пакеты:
  zsh-common
Предлагаемые пакеты:
  zsh-doc
НОВЫЕ пакеты, которые будут установлены:
  zsh zsh-common
обновлено 0, установлено 2 новых пакетов, для удаления отмечено 0 пакетов, и 8 пакетов не обновлено.
Необходимо скачать 3 821 kБ архивов.
После данной операции, объём занятого дискового пространства возрастёт на 13,2 MB.
Хотите продолжить? [Д/н] y
Получено:1 http://httpredir.debian.org/debian/ jessie/main zsh-common all 5.0.7-5 [3 121 kB]
Получено:2 http://httpredir.debian.org/debian/ jessie/main zsh amd64 5.0.7-5 [700 kB]
Получено 3 821 kБ за 5с (677 kБ/c)
Выбор ранее не выбранного пакета zsh-common.
(Чтение базы данных … на данный момент установлено 399953 файла и каталога.)
Подготовка к распаковке …/zsh-common_5.0.7-5_all.deb …
Распаковывается zsh-common (5.0.7-5) …
Выбор ранее не выбранного пакета zsh.
Подготовка к распаковке …/archives/zsh_5.0.7-5_amd64.deb …
Распаковывается zsh (5.0.7-5) …
Обрабатываются триггеры для man-db (2.7.0.2-5) …
Обрабатываются триггеры для menu (2.1.47) …
Настраивается пакет zsh-common (5.0.7-5) …
Настраивается пакет zsh (5.0.7-5) …
update-alternatives: используется /bin/zsh5 для предоставления /bin/zsh (zsh) в автоматическом режиме
update-alternatives: используется /bin/zsh5 для предоставления /bin/rzsh (rzsh) в автоматическом режиме
Обрабатываются триггеры для menu (2.1.47) …

$ zsh
This is the Z Shell configuration function for new users,
zsh-newuser-install.
You are seeing this message because you have no zsh startup files
(the files .zshenv, .zprofile, .zshrc, .zlogin in the directory
~).  This function can help you with a few settings that should
make your use of the shell easier.

You can:

(q)  Quit and do nothing.  The function will be run again next time.

(0)  Exit, creating the file ~/.zshrc containing just a comment.
     That will prevent this function being run again.

(1)  Continue to the main menu.

(2)  Populate your ~/.zshrc with the configuration recommended
     by the system administrator and exit (you will need to edit
     the file by hand, if so desired).

--- Type one of the keys in parentheses --- 

Aborting.
The function will be run again next time.  To prevent this, execute:
  touch ~/.zshrc

Я верю, что какие-то кривые пакеты могут писать в /tmp какие-то пред-/пост-установочные скрипты, а потом пытаться запускать их оттуда без явного вызова bash (или какого-то другого интерпретатора). Но это баг, и для его устранения существуют багрепорты.

Но это баг, и для его устранения существуют багрепорты

Это так не работает. Вот в дебиане такой багрепорт об этом висит с 2004 года. Так и будет дальше висеть.