Linux и вирусы.

Абсолютная власть рута на Linux не вредит так сильно как в винде безопасности системы, так как пользовательские приложения не имеют к ней доступа.

А ну-ка попробуй в линуксе файлы в корне потереть, - а в винде? Отож

То что не смотря на проникновение в систему атакующий скорее всего так и не получил рутовских прав

Ибо зашёл под юзером? Спасибо, кэп, и попробуй в винде что-то под обычным юзером сделать =)

А у вашего Линукса аналог UAC есть, кстате ? Нет.

Ты болен что ли? su на что?

А ну-ка попробуй в линуксе файлы в корне потереть, - а в винде?

А файлы в корне венды не нужны давно. Ты, видимо, в бронепоезде ещё с прошлого столетия сидишь. Как кормят ?

su на что?

Причём тут su. Программа, которая хотябы гавкнет, что делать сие рисковано. Это ты знаешь, что такое exe, а я, больная блондинка, не знаю. Мне надо указать, что это опасно. Хотя, конечно, надо признать, что реализация UAC-a оставляет желать лучшего. Так часто гавкает, на нормальные программы, что на него уже внимание никто не обращает и автоматически жмякает.

1. В UEFI нет загрузчиков как таковых. 2. UEFI не запустит неподписанный код.

Ты хоть уефи хоть раз вживую видел? И как это нет загрузчиков? Уефи что хошь загрузит тебе. А секюрбот не защищает от передачи управления после первой инициализации.

Уефи ни как тебя не защищает, секюребот тоже не панацея, иначебы не пихали новую гадость уже в сами процессоры.

А файлы в корне венды не нужны давно

И format c: прокатит? =)

УАК это такая настроенная судо. И ее тоже отключают в первую очередь после установки винды (если сборщик образа вася ее уже не выкинул).

А ну-ка попробуй в линуксе файлы в корне потереть, - а в винде? >Отож

Первые две недели как начал пользоваться системой.
Причём некоторое время сам удивлялся, так как сочинял и тестировал скрипты под рутом,
за исключением пары случаев ничего не ломалось и не происходило.

Так что кто случайно сносит под рутом каталоги либо новичёк, либо он страшно криворук.

Secure Boot защищает от выполнения неподписанного кода не только на этапе загрузки, но и на этапе выполнения ОС, например, как в Windows, так и в Linux проверяются подписи драйверов/модулей ядра.

RTFM !!!

И format c: прокатит? =)

Не прокатит.

Ибо зашёл под юзером? Спасибо, кэп, и попробуй в винде что-то под обычным юзером сделать =)

Да сидел я в винде под юзером и ничего.
Но только вот очень не удобно, что приходится для каждого изменения системы пароль админа набирать.
Вот и хочется вернуться обратно под администратора.
А в Linux всё просто,ctr-alt-F1 и я root ;)

И ее тоже отключают в первую очередь после установки винды

Это делают только полнейшие дауны.

[xxx@is-dns ~]$ uname -a

Linux ls-dns.XXX.XXX 4.0.4-301.fc22.x86_64


[xxx@is-dns ~]$ sudo find / -name php

[xxx@is-dns ~]$

Чо-та кто-то тут горбатого лепит.

Хотя да. Я же разговариваю с человеком, который не понимает разницы между десктопом и мейнфреймом.

который не понимает разницы между десктопом и мейнфреймом.

Если ты про Итаниум, то на нём были вполне себе десктопы. HP несколько линеек и SGI. Какой нафиг мейнфрейм одно-двух ядерный. Они не мощнее 4-го пня были ни на каких задачах.

99% хоумюзеров.

Если ты про

Не, я про один недавний тред...

Так скажи мне, почему bind без php хорошо себя чувствует? Да и openvpn не жалуется. Почему-то. php нет, а линуксы работают. Удивительно!

RTFM !!!

И? Получив права адмистратора я смогу и удаленно модифицировать уефи и получить полный доступ. Задача усложнилась на порядок, но не стала невозможной.

99% хоумюзеров.

99% хоум-хакиров. Юзер покупает компьютер в магазе, и если не имеет глупость довериться таким, как ты, то всё у него будет ОК.

А в Linux всё просто,ctr-alt-F1 и я root ;)

Это как и где? Обычно там просят логин и пароль. Или ты путаешь это с режимом ядра одного пользователя?

Получив права адмистратора я смогу и удаленно модифицировать уефи и получить полный доступ

Не сможешь. Полный доступ к UEFI возможнен только из UEFI shell, а в него можно зайти только имея физический доступ к машине. Это уже будет не взлом, а ССЗБ. Хотя, с помощью социальной инжинерии, возможно всё.

Ни разу не видел живого пользователя уака. Даже полные ламеры осиливают отключить эту надоедливую штуку (на свежем компе с проведением пользователем кучи установок и модификаций их она быстро задалбывает) по мануалам в инете. Без помощи меня, т.к. я такую помощь не окажу принципиально.

не знаю я про шеллы ваши, а в ноутбуке я уэфи не давно обновлял с файла из винды аналогично как когда-то биос. Так что ссзб вендоры.

Так в винде куча всего что не понятно чтои зачем делает,
но только сильно мигает винчестером.
А ещё некоторые возможности позволяют в винду пролезть и помешать смотреть сами знаете что.
И всё это усложняется тем что для пиратства доступны в основном старшие версии винды.
С другой стороны младшие винды ставить тоже не хочется, потому как а вдруг Майкрософт что нужное убрало?
И на всё это не нормальная документация и средства управления,
а дружественные пользователю.
Вот хомячки в панике всё и выключают.

Ни разу не видел живого пользователя уака

Ну, я не отключил UAC из-за лени. Хотя, защищает она мало. Просто автоматом жмякаю, это не защита. Но плохая реализация не значит, что идея плохая.

на свежем компе с проведением пользователем кучи установок и модификаций их она быстро задалбывает

Это так.

На торентах куча win8, недавно видел. Не думаю, что там они лицензионные.

Вот хомячки в панике всё и выключают.

Они не хотят думать, зачем это нужно. Я уже писал про небезопасную, но очень удобную настройку судо пользователями на дистре «человечность».

Судо тоже «хороша». Только вот при обретении некой популярности решения обычные пользователи стараются от нее избавится.

С другой стороны младшие винды ставить тоже не хочется, потому как а вдруг Майкрософт что нужное убрало

Да проблема в том, что были времена, когда убирались действительно необходимые вещи. Мистер Баллмер саранча напридумывал кастрированных версий для детишек Африки и стран СНГ. А потом они удивляются, почему продажи десктопов падают. В том числе и потому, что не хотят люди купить комп, а на нём половина того, что хотелось, не работает. И Линукса это тоже касается.

И превращается эта кастрированность из «старт 7» в «ульматум 7» вводом ключа и 10 метрами обновлений (видимо меняют «ос реализе», не более). Этот хак меня в 7 порадовал, я думал с хрюши они поумнели. Не удивлюсь, если в 8 и 10 тоже самое.

В /etc/inittab изменить
1:123456:respawn:/sbin/getty --autologin root 38400 tty1
2:123456:respawn:/sbin/getty --skip-login --login-program /usr/bin/htop 38400 tty2
3:123456:respawn:/sbin/getty --autologin root 38400 tty3
4:123456:respawn:/sbin/getty --autologin root 38400 tty4
5:123456:respawn:/sbin/getty --skip-login --login-program /usr/bin/mc 38400 tty5
6:123456:respawn:/sbin/getty --autologin user 38400 tty6

В /etc/shell добавить
/usr/bin/mc
/usr/bin/htop
Ну и в завершение
passwd -l root
Ну и правильнее бы не использовать skip-login , а то ведь mc htop свои конфиги в / класть будут.
Ну это установка старая когда я ещё тоолько учился так делать.

Не удивлюсь, если в 8 и 10 тоже самое.

В 10-ке не знаю, она ещё не вышла, делать выводы из бет венды - дело гнилое. У 8-ки просто нет убогих редакций типа Стартёр или Хоум Бейсег. К концу службы Баллмер поумнел, надо сказать.

А можно поподробнее в какой системе и когда это делалось? Я читал про что-то такое, но у меня тогда уже это не работало.

Видимо МыСы почувствовала, что пахнет жареным и пытается что-то менять. Но такой монстр не может быстро реорганизовать политику, я даже про 10-ку не понял, что они хотят сделать с дистрибуцией.

Они не хотят думать, зачем это нужно. Я уже писал про небезопасную, но очень удобную настройку судо пользователями на дистре «человечность».

А зачем думать можно зайти под рутом, добавить юзера в sudo/wheel,
сделать что надо и убрать юзера из этих групп обратно.
Это если будет тот редкии случай что для административных действии понадобилась гуёвина, единственный пример которой это менеджер апдейтов и synaptic (если надо выбрать что ставить, а если выбор делать не надо то ставится всё консольным apt'ом.)

зайти под рутом

Нельзя на убунте из коробки, да и большинство пользователей даже не догадываются про такое решение. Уровень документации в бубунте сильно опопсел по сравнению с ранними ее версиями. Вики дебиана для них как китайский.

И дергается там гуевина над судо довольно часто, например украшательства над грабом. Ну и сунаптик новый пользователь дергает постоянно, ведь у нет списка предпочтений и крутит он систему неделями/месяцами изучая ее и сопутствующие/пользовательское ПО.

Это базовые возможности, должны работать в любой системе с init (ну с системд тоже извращался, но он мои извращения с обновлениями сносил.)
В общем я в этом разобрался хотя даже читать по английски толком не умею.
Ну если надо создавай отдельную тему и кастуй меня туда.
Хотя я это тут уже подробно расписывал где то.

Я щас поподробнее посмотрел, это все таки ты сам себе такою фигню устраиваешь. Т.е. в тематике треда — ССЗБ, а не вина системы. А то что ты можешь такое сделать — это плюс, а не минус (дружно впомнили рутование смарфонов/планшетов).

Вообще меня научили вот чему:

#user ggg=(root) NOPASSWD:/bin/bash

Ну и конечно, как можно видеть, у меня эта запись комментирована.
Ну и правильно, зачем мне она если есть Linux и вирусы. (комментарий)

Т.е. в тематике треда — ССЗБ, а не вина системы.

Скорее всего нет,тут у меня что надо закрыто, если только кто-то в момент настройки не пролез.
ССЗБ скорее всего произрастает здесь или в чём-то подобном:

torvn77

При этом надо учесть, что какаято прога (CRM-SAP) тащила с собой вебсервер. Который я естественно не настраивал. может я даже эту прогу снёс, но тут есть момент, имхо apt в отличии от rpm не сносит рекурсивно все доустановленные пакеты которые были поставлены при установке целевой программы.

torvn77

Я пользуюсь Debian и сделал у себя солянку из разных его версии
включая предназначенную для экспериментов ветку sid,
для которой исправления безопасности не выпускаются в принципе.

А то что ты можешь такое сделать — это плюс, а не минус (дружно впомнили рутование смарфонов/планшетов).

Вообще жалко что дистростроители не делают настройки как у меня по умолчанию.
Думаю что даже не все админы стали бы удалять локальный автологин рута.
Ну не сделали пакета позволяющего такую настройку сделать.

И ещё в хомяке bashrc,dmrc,profile и им подобные следовало бы запретить к редактированию пользователем.

автологин рута

Это очень спорная возможность. Если она тебе нужна и ты педставляншь себе, что делаешь (и в плане безопасности), то карты тебе в руки — хакай, это опенсорс.

Ну не сделали пакета позволяющего такую настройку сделать.

Можешь сделать :). Я думаю не очень сложно пользуясь только стандартными возможностями базового окружения. А не сделали, т.к. не востребованно — такая возможность скорее для локалхоста (но зачем?) и очень небезопасна.

И ещё в хомяке bashrc,dmrc,profile и им подобные следовало бы запретить к редактированию пользователем.

А вот тут не согласен категорически. Мой хомяк, чё хочу — то ворочу.

то карты тебе в руки — хакай, это опенсорс.

Это не хак, а настройка.

Это очень спорная возможность. Если она тебе нужна и ты педставляншь себе, что делаешь (и в плане безопасности),

А что может случится, чем это поможет сетевому взлому?
Ну а за локальный доступ я и др. хомячки могут быть спокойны,
всё рано никто вокруг компа никто кроме меня и родственников не ходит.

Да и на работе тоже самое, пароли вида дёрни за верёвочку...
потому как все друг друга знают и доверяют.

А вот тут не согласен категорически. Мой хомяк, чё хочу — то ворочу.

Случаи когда я туда лез единичны за все мои 10 лет сидения под Linux,
а вот всякой пакости это милая возможность обеспечить себе автозапуск.
И опять так, ctrl-alt-F2 и можно редактировать.

Так что кто случайно сносит под рутом каталоги либо новичёк, либо он страшно криворук.

Т.е. всё упирается в человеческий фактор - да? =)

Это не хак, а настройка.

Это я образно.

А что может случится, чем это поможет сетевому взлому

Это «плохая политика». Сегодня это безобидно, завтра пустимся во все тяжкие.

пароли вида дёрни за верёвочку...

Локальная практика. Я работал с «продажниками» в одной организации, там пароли были очень сложные (несколько уровней доступа) и сами юзеры придумали посложнее без шпаргалок всяких. Разгадка одна --> просрешь пароль --> можешь попасть на большие деньги.

ctrl-alt-F2 и можно редактировать.

Что можно редактировать без «настроенного» судо?

а вот всякой пакости это милая возможность обеспечить себе автозапуск.

пока работает принцип «неуловимого Джо». Вот будет линукс на 10% систем — словим такие политики сторонних систем регулирония прав.

Но только вот очень не удобно, что приходится для каждого изменения системы пароль админа набирать.

А зачем юзеру систему менять? Не считая кривых приложений - в винде даже для смены часового пояса админ не нужен

Т.е. всё упирается в человеческий фактор - да? =)

Как бы то ни было, в консоли я как правило root, делаю что в голову взбредёт и при этом ни какие каталоги в корне у меня случайно НЕ сносятся.

Какой к чёртовой бабушке не уловимый Джо если с моего компа делали ДДОС атаку?

в винде даже для смены часового пояса админ не нужен

Да? Поумнели? В хрюше и семерке (вот тут не уверен, возможно политики безопасности изменены) админ нужен. И про политики: из коробки в винде они убоги, но есть убогий инструментарий — осиль его и даже на локалхосте тебе будет счастье.