LINUX.ORG.RU

Безопасность в линукс, и сопоставление с windows (в определенных условиях).


1

4

Вопрос возможно не первый на этом форуме, но чтобы подчеркнуть уникальность, привожу некоторые дополнительные условия и ситуацию, по которым мне бы хотелось услышать ответ.

Скажем у нас есть две системы. -Первая windows + антивирус + фаервол. Антивирус не важно, а фаервол я для примера приведу оутпост, в нем есть возможность настроить доступ к сети от каждого приложения (действуя по системе - каким приложениям не разрешено, тем запрещено). -Вторая система это linux, где пользователь сидит не под рутом и у него открыт 80 порт, и как уверяют сотни пользователь, наличие антивируса не обязательно.

Ситуация. Появляется новая уязвимость, скажем в плагине флеш, которая позволяет загружать и запускать файл (атака типа drive-by). В специализированных системах через которые, осуществляется атака - моментально обновляется эксплоит, еще до того как станет известно общественно и антивирусам (подобное не редкость).

И вот мы имеем ситуацию (тут могу ошибаться подправьте). По условию в linux через браузер происходит загрузка и становиться возможным исполнить файл, он выполняется отсылая по открытому 80 порту важные данные пользователя, но при этом конечно не может повредить систему (хотя цель достигнута, данные важней).

По условию в windows, через браузер происходит загрузка и исполнение, но тут натыкается на первый уровень защиты, так как антивирус не знает, он проводит эвристический анализ, и так же анализирует поведения, где может сообщить хотя бы о подозрительном поведении. Но антивирус пропускает вредоносный троян, и вот троян собрав данные пытается отправить и натыкается на фаервол, в котором отправка разрешена только уже тем приложениям у кого это прописано в правилах, в итоге если ему не удается обойти фаервол, троян хоть поразил систему, но утечки данных не произошло, и троян будет жить пока антивирус не обновит базу и не обнаружит его (была аналогичная ситуация на windows, где в последствии троян был убит).

Пускай в windows есть недостатки в этой системе, но такой подход хоть может гарантировать минимально какие то препятствия, а в случае линукс, если заражение произошло (по сути не важно как) то оно 100% эффективно (в плане того что может собрать данные пользователя и выслать их).

PS я знаю что весомый аргумент linux в том что он при таком заражение не повредит систему в целом, но я тут не даром заостряю внимание на личных данных пользователя, которые по условию важней, чем re-install системы. Я так же понимаю что по-моему мнению выигрыш в windows достигается сторонними программами, поэтому не упрекая linux хочу узнать можно ли так же минимизировать заражение в похожей ситуации (по сути возможно это контраргументом что linux нужные дополнительные меры защиты, антивирус или еще что-то)?

PSS Здешним любителям упрекать мол «он тролль», «очередной холливар», хочу сказать что объем текста который я привожу, как не как свидетельствует о моем действительном интересе к теме, настоящие тролли ленивы чтобы столько писать =)

Ответ на: комментарий от ckotinko

от пробоя системы защищает NX на х86 или армы. и строгое правило - все что exec то readonly, что что не readonly, то не exec.

и загрузил ты в стек троян, получил исключение защиты на обращении к нему, заставил юзера плакать. молодец. но данные целы.

ckotinko ☆☆☆
()
Ответ на: комментарий от xtraeft

Он врёт и не краснеет, перестаньте его слушать.

  │ │    {M} Netfilter NFQUEUE over NFNETLINK interface                   │ │
  │ │    {M} Netfilter LOG over NFNETLINK interface                       │ │
  │ │    <M> Netfilter connection tracking support                        │ │
  │ │    -*-   Connection mark tracking support                           │ │
  │ │    [ ]   Connection tracking events                                 │ │
  │ │    [ ]   Connection tracking timestamping                           │ │
  │ │    < >   DCCP protocol connection tracking support (EXPERIMENTAL)   │ │
  │ │    < >   SCTP protocol connection tracking support (EXPERIMENTAL)   │ │
  │ │    < >   UDP-Lite protocol connection tracking support              │ │
  │ │    < >   Amanda backup protocol support                             │ │
  │ │    <M>   FTP protocol support                                       │ │
  │ │    < >   H.323 protocol support                                     │ │
  │ │    <M>   IRC protocol support                                       │ │
  │ │    <M>   NetBIOS name service protocol support                      │ │
  │ │    < >   SNMP service protocol support                              │ │
  │ │    <M>   PPtP protocol support                                      │ │
  │ │    < >   SANE protocol support (EXPERIMENTAL)                       │ │
  │ │    < >   SIP protocol support                                       │ │
  │ │    <M>   TFTP protocol support                                      │ │
  │ │    <M>   Connection tracking netlink interface                      │ │
  │ │    {M} Netfilter Xtables support (required for ip_tables)           │ │
  │ │          *** Xtables combined modules ***                           │ │
  │ │    -M-   nfmark target and match support                            │ │
  │ │    -M-   ctmark target and match support                            │ │
  │ │          *** Xtables targets ***                                    │ │
  │ │    < >   "CLASSIFY" target support                                  │ │
  │ │    < >   "CONNMARK" target support                                  │ │
  │ │    < >   IDLETIMER target support                                   │ │
  │ │    <M>   "MARK" target support                                      │ │
  │ │    <M>   "NFLOG" target support                                     │ │
  │ │    <M>   "NFQUEUE" target Support                                   │ │
  │ │    < >   "RATEEST" target support                                   │ │
  │ │    < >   "TEE" - packet cloning to alternate destination            │ │
  │ │    < >   "TCPMSS" target support                                    │ │
  │ │          *** Xtables matches ***                                    │ │
  │ │    <M>   "addrtype" address type match support                      │ │
  │ │    < >   "cluster" match support                                    │ │
  │ │    <M>   "comment" match support                                    │ │
  │ │    <M>   "connbytes" per-connection counter match support           │ │
  │ │    <M>   "connlimit" match support"                                 │ │
  │ │    <M>   "connmark" connection mark match support                   │ │
  │ │    <M>   "conntrack" connection tracking match support              │ │
  │ │    < >   "cpu" match support                                        │ │
  │ │    < >   "dccp" protocol match support                              │ │
  │ │    <M>   "devgroup" match support                                   │ │
  │ │    < >   "dscp" and "tos" match support                             │ │
  │ │    < >   "esp" match support                                        │ │
  │ │    <M>   "hashlimit" match support                                  │ │
  │ │    <M>   "helper" match support                                     │ │
  │ │    -M-   "hl" hoplimit/TTL match support                            │ │
  │ │    < >   "iprange" address range match support                      │ │
  │ │    <M>   "length" match support                                     │ │
  │ │    <M>   "limit" match support                                      │ │
  │ │    <M>   "mac" address match support                                │ │
  │ │    <M>   "mark" match support                                       │ │
  │ │    <M>   "multiport" Multiple port match support                    │ │
  │ │    <M>   "osf" Passive OS fingerprint match                         │ │
  │ │    <M>   "owner" match support                                      │ │
  │ │    <M>   "pkttype" packet type match support                        │ │
  │ │    <M>   "quota" match support                                      │ │
  │ │    < >   "rateest" match support                                    │ │
  │ │    < >   "realm" match support                                      │ │
  │ │    < >   "recent" match support                                     │ │
  │ │    < >   "sctp" protocol match support (EXPERIMENTAL)               │ │
  │ │    <M>   "state" match support                                      │ │
  │ │    <M>   "statistic" match support                                  │ │
  │ │    <M>   "string" match support                                     │ │
  │ │    <M>   "tcpmss" match support                                     │ │
  │ │    <M>   "time" match support                                       │ │
  │ │    < >   "u32" match support                                        │ │
juk4windows
()
Ответ на: комментарий от juk4windows

и кстати от локал рут эксплойтов селинукс не спасает, взять для примера тот же эпичный abftw.c или sendpage
там специально обходу selinux было уделено внимание

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

а вот от таких уязвимостей хочется то ли плакать, то ли смеяться
http://blog.nibbles.fr/2230 или http://www.exploit-db.com/exploits/18105/

недавний mempodipper.c подтвердил давнюю традицию - эпичная бага дающая локал рут появляется примерно раз в год осенью-зимой (и неизвестно сколько она в привате лежит до публикации)

xtraeft ★★☆☆
()
Ответ на: комментарий от juk4windows

при условии, что всё работает от одного пользователя?

А почему нет условия, что Марс должен быть во втором доме? Повторяю: мы сами выдумываем weird use case, сами потом же ищем под них решения. Именно поэтому, Бирди, на тебя на всех англоязычных форумах и багзиллах и кладут — потому что ты не понимаешь, что такое приоритет.

Покажите мне как этим может пользоваться не geek? Всё? Приехали?

Дома сиди, куда тебе ездить

Fuck you very much, продолжайте беседу сам с собой. Я вам про реальные проблемы, вы мне «нас это не касается».

Нас это действительно не касается, потому что вирусов под линукс (возможно, пока) не существует. Это  — экспериментальный факт. Появится такая проблема — будет решена, а пока это «проблемы» исключительно в твоей голове.

Ржака с фанатиками Линукса общаться.

Бирди, ты же тупой просто.

unanimous ★★★★★
()
Ответ на: Слив засчитан. от x3al

Матчинг по PID выпилен из ядра лет 5 назад.

Извините, последний раз задротствовал с конфигурацией ядра как раз примерно столько лет назад.

Сколько лет назад это было...

До сих пор обслуживается, обновляется, и составляет большинство пользовательской базы виндоус. Если ЭТО не эпик фейл, то я уж не знаю что тогда есть.

Впрочем, как показывает практика винлокеров, появление сЭмерочки пока ситуацию с безопасностью виндов никак не изменило. Так что на месте шлюшки-Бирди я бы молчал в тряпочку.

unanimous ★★★★★
()
Ответ на: комментарий от unanimous

составляет большинство пользовательской базы виндоус

Уже нет

x3al ★★★★★
()

Вообще большинство проблем можно решить поддерживаемой дружелюбной мордой к apparmor или tomoyo (не думаю, что selinux на десктопах будет юзабелен даже в теории). Но это нужно кому-то делать, кому-то поддерживать да ещё и объяснять, что оно нужно.

x3al ★★★★★
()
Ответ на: комментарий от x3al

да ещё и объяснять, что оно нужно.

такие юзеры и в UAC по просьбе малвари дают разрешение, и в убунте пароль вводят когда надо и не надо :) проблема в головах

xtraeft ★★☆☆
()
Ответ на: комментарий от x3al

не просто мордой, нужен еще хук на диалог файловый. в гтк это уже сделано - в plash. в qt - невыполнимо. это для того, чтоб офису было низя самому открыть файл и утащить его, а можно только через диалог. чтоб узер сам клацнул.

ckotinko ☆☆☆
()
Ответ на: комментарий от unanimous

Вы уже в третий раз доказали свою несостоятельность, незнание вопроса и просто дилетантство. Аргументы сводятся к «Появится такая проблема — будет решена, а пока это „проблемы“ исключительно в твоей голове.»

И я не знаю про кого вы тут упорно вспоминаете - мне это имя ни о чём не говорит.

Исчезните, а?

juk4windows
()

Толстяк детектед.

Все, что описал мьсе, чистая теория.

«Оутпост, первая линия защиты» - прям стратеги детектед.

Есть такая пословица, извиняюсь за мой французкий:«То, что Вы едите, мы давно уже вы..али».

К чему это все. 25-26 числа (января 2012) по неизвесной (по крайной мере мне) причине слетели авасты на десятках, только мне известных машин. Хомяки рвали себе волсы на попье в ожидании 911. Как Вы думаете на каком уровне безопасности своих личных данных они находились?

void_ptr ★★★★
()
Ответ на: комментарий от juk4windows

И я не знаю про кого вы тут упорно вспоминаете - мне это имя ни о чём не говорит.

Хватит девочку ломать, Бирди. Ты — известный пустобрех и алармист. Везде уже тебя под жопу пнули, что ты на ЛОР вернулся?

unanimous ★★★★★
()
Ответ на: Толстяк детектед. от void_ptr

Речь шла про уровни-абстракции после заражения.

Если в дырявой винде, юзер готов к тому что есть вероятность заражения трояна (пускай убогая, не важна какая, но она есть), то на линуксе из-за не малой уверенности нечего подобного нет. И будут данные сливаться, до бесконечности (ведь мы же уверены). В винде хоть антивирус когда-нибудь да сообщит, или фаервол что-то за препятствует, или эвристика покажет, или просто хоть пальцем покажет что вот этот процесс подозрительный - думай пользователь сам.

Вот это препятствия уже зараженному ПК и были такие абстрактные уровни защиты. Они не идеальны, но как не печально есть.

list2009
() автор топика
Ответ на: Толстяк детектед. от void_ptr

25-26 числа (января 2012) по неизвесной (по крайной мере мне) причине слетели авасты на десятках, только мне известных машин.

Ну тут только 2 варианта: либо разрабы Аваста спалили очередной кряк и по иронии судьбы именно им крячили Аваст Интернет Секурити на этих десятках машин, либо это хитрый план МС с целью посеять панику в рядах хомяков и подсунуть им под шумок свой Секурити Эссеншалс. А, нет, есть еще третий вариант: вы, товарищ, враль. Но это маловероятно. Скорее здесь замешаны инопланетяне или ЗОГ...

AnimusPEXUS
()
Ответ на: комментарий от list2009

В винде юзер держит ухи на макухе потому, что тащит много всякого дерьма шареваре. В Линуксе есть пакетный манагер для приложений, Гугля всегда предупреждает о сайтах «могущих нанести вред». Так что угроза надумана.

void_ptr ★★★★
()
Ответ на: комментарий от void_ptr

Гугля всегда предупреждает о сайтах «могущих нанести вред». Так что угроза надумана.

Вы это серьезно?
...Что же я тогда парюсь то ))

list2009
() автор топика
Ответ на: комментарий от AnimusPEXUS

Аваст в варианте фри. Но глюк 100%. Решался только сносом.

void_ptr ★★★★
()
Ответ на: комментарий от AnimusPEXUS

Интернет Секурити

О_о. Об этом я даже и не подумал. Может они действительно шалили с кряками для него.

void_ptr ★★★★
()

В треде детский сад. Про MAC уже сказали

vasily_pupkin ★★★★★
()
Ответ на: комментарий от AnimusPEXUS

Хоум Эдишен, но в «загрузках» были замечены папки с Интернет Секурити с кряками. Ставили или нет не знаю.

void_ptr ★★★★
()
Ответ на: комментарий от void_ptr

Во времена то ли 4, то ли 5 версии Аваста было небольшое бурление из-за кривого обновления, которое роняло весь антивирь. Пофиксили быстро, в течение суток, но осадочек остался. Возможно, это похожий случай. А крячить Хоум Эдишн не нужно, только зарегистрировать в течение месяца. И таки пора уже перебраться на МС Эссеншалс, оно получше этих Авастов будет.

AnimusPEXUS
()
Ответ на: комментарий от AnimusPEXUS

Просто непонятно почему так четко в одно время, но похоже оно.

void_ptr ★★★★
()
Ответ на: комментарий от void_ptr

после прецедента с заражением моего компа вредоносной программой я завел отдельного пользователся только для браузера (правда практически им не пользуюсь, т.к. круг посещаемых мною сайтов узок), только вот в свете последних новостей про локальные уязвимости это мне кажется уже недостаточным. значит рано или поздно придется раскуривать более продвинутые средства безопасности. и это отнюдь не NoScript, к сожалению.

winlook38 ★★
()
Ответ на: комментарий от winlook38

Squid можно использовать для отсеивания трафика, но все же: если вам нужен полностью безопасный комп - забудьте об интернете, шифруйте диски и работайте с компом из-под ssh.

Лично я не видел других вирусов у себя, кроме плагинов под ff.

ms-dos32
()
Ответ на: Слив засчитан. от x3al

По оунеру/группе матчить НЕЮЗАБЕЛЬНО. Это нужно сделать тонну юзеров.

Очень даже юзабельно. Тонна юзеров не нужна, а даже если и нужна, то никаких ресурсов это не отнимает.

Я skype так запускаю, если моя паранойя доберется до файерфокса (я посещаю ограниченный набор доверенных сайтов), то и его также запущу.

Вот все что надо для запуска приложения под др. пользователем:

# 1. создать юзера skype

# 2. скрипт для запуска skype

$ cat /usr/local/bin/skype
#!/bin/sh

if pgrep -u skype >/dev/null 2>&1; then
        echo "Skype is already running"
else
        xhost +LOCAL:
        exec sudo -H -u skype /usr/local/bin/skype.sh
fi

$ cat /usr/local/bin/skype.sh
#!/bin/sh

[ -z "$DISPLAY" ] && DISPLAY=:0.0
export DISPLAY

export LD_LIBRARY_PATH=/lib32:/usr/lib32:/lib:/usr/lib
export LD_PRELOAD=/usr/lib32/libv4l/v4l1compat.so
/home/opt/skype-2/skype

# visudo
sdio  ALL=(skype) NOPASSWD:/usr/local/bin/skype.sh

sdio ★★★★★
()
Ответ на: комментарий от ms-dos32

squid - не фаерволл. вот честно, вы сами сейчас используете его для отсеивания трафика? подозреваю, что нет.
я говорил, что заражен был пользователь, из под которого запускали только фф. как squid поможет избежать заражения, если уязвимость в браузере?
абсолютно безопасный компьютер мне не нужен. я не белка-истеричка и не касперский, чтобы на каждом углу кричать про тонны вирусов под линукс, но я столкнулся с вредоносной программой под линукс и уже не столь беспечен, как раньше. (я на линукс-то перешел в том числе потому, что не хотелось заморачиваться с фаерволами, антивирусами и кряками).
мой вопрос в силе: назовите штук 5 фаерволов под линукс.

winlook38 ★★
()
Ответ на: комментарий от winlook38

Что-то я тут смотрю, так почти все эти фаерволы - просто надстройка над iptables...

ms-dos32
()
Ответ на: комментарий от sdio

Самое интересное что чаще бывают доверенные и заражают чтобы собрать ботнет, поэтому у вас какая-то не правильная паранойя ;)

list2009
() автор топика
Ответ на: комментарий от list2009

Минутное дело оформить и ФФ под отдельным юзером, но это не защита от ботнета, а только для защиты персональных данных.

sdio ★★★★★
()
Ответ на: комментарий от sdio

не я к тому что уверенности в доверенных сайтах быть не может, потому что именно они могут стать центром атаки и заражения (просто цель таких атак ботнет, но может и данные собрать, кто мешает).

list2009
() автор топика

Проблемы с вирусами от дурной головы или шаловливых ручек. Дурная голова - потому что ssh наружу жопой кверху, или шаловливые ручки - ходим на подозрительные сайты и раздаём данные туда-сюда. Иногда бывает и вместе.
А конкретно вам - полюбовались линуксом? Пора валить на винду. Вот и валите.

anonymous
()
Ответ на: комментарий от list2009

Давай по исходному сообщению:

1. Сбор данных о пользователе пресекается запуском потенциально уязвимого приложения под отдельным «анонимным» пользователем.

2. Локальные дыры для повышения привилегий пресекаются контейнерами/чрутами/selinux/...

3. Для ДоС атаки на веб сервер никакие sandbox'ы и пр. средства изоляции не помогут, т.к. уже несколько лет наблюдаю таки ДоС атаки со стороны моих пользователей. Через баннерные сети у них в браузере запускается javascript долбящий какой-либо сайт (запросом разных картинок). У меня тут прокси сглаживает (кэширует) такие запросы + мой самописный скрипт лочит таких юзеров на 10 минут через iptables на прокси-сервере. Тут только noscript спасает, которого у подавляющего большинства вин-юзеров нет.

sdio ★★★★★
()
Ответ на: комментарий от juk4windows

Им не нужно осиливать, они же софт для винды не сами пишут, так и здесь можно предоставить штатную гуевую программку, которая сама все (юзер, скрипт, судо, ...) сделает и измененный ярлык в меню/на раб.стол положит.

sdio ★★★★★
()
Ответ на: комментарий от sdio

2. Локальные дыры для повышения привилегий пресекаются контейнерами/чрутами/selinux/...

локал руты с обходом selinux или чтением любого kvm раздела с тобой не согласны

xtraeft ★★☆☆
()
Ответ на: комментарий от sdio

мне вот интересно - если написать демона, который проверят систему на присутствие id 0 на одном из виртуальных терминалов и в случае нахождения такого отсылает сообщение администратору. Поможет это действие обнаружению вторжения, например, при использовании локального эксплоита?

hope13 ★★★
()
Ответ на: комментарий от hope13

присутствие id 0 на одном из виртуальных терминалов

совсем не панацея + обходится руткитами

xtraeft ★★☆☆
()

Самое очевидное решение - запускать browser из-под изолированной учётной записи.

blackst0ne ★★★★★
()

По условию в linux через браузер происходит загрузка и становиться возможным исполнить файл

а что никак нельзя сделать, чтоб приходилось +x делать в ручную? зачем такие условия сразу..

Sonsee
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.