Названа самая «дырявая» операционная система по мнению Elastic Security Labs и это не Windows

Источник, на который ссылается ихбт 404. Этому точно можно доверять?

У меня открывается.

Пост опубликован в блогах iXBT.com, его автор не имеет отношения к редакции iXBT.com

На Хоботе теперь каждый может публиковать свои высеры.

https://www.ferra.ru/amp/news/techlife/vsego-za-polgoda-chislo-virusov-pod-linux-uvelichilos-bolee-chem-v-6-raz-04-08-2022.html

Источник, указанный на ихбт

UPD: беглым взглядом на elastic.co тоже нет

https://9to5mac.com/2023/04/27/malware-threat-report-mac-risk-vs-windows-and-...

https://www.elastic.co/security-labs/elastic-publishes-2023-global-threat-report-spring-edition

Единственное упоминание линукса: Linux and Windows continued to see higher rates of malware than MacOS

Да, я тоже ничего больше не нашёл.

Я больше скажу:

https://www.cvedetails.com/product/47/Linux-Linux-Kernel.html?vendor_id=33

https://www.cvedetails.com/vendor/6/Freebsd.html

https://igtr.kb.us-east-1.aws.found.io:9243/s/gtr/app/canvas/workpad/cebd15f0...

Можешь с компа открыть? У меня с планшета чёт не открывается :(

Совершенно верно. Потому что большая часть заражений — это серваки горе-админов, что поставили Ubuntu LTS, забили на обновления лет на 7, при этом ssh на стандартном порту и пароль root подбирается по словарю без fail2ban.

Если регулярно ставить обновления на сервера, держать ssh на нестандартном порту и использовать сложный пароль с fail2ban или вход только по ключам — риск заражения будет существенно меньше.

Linux не решето, просто его эксплуатируют так, что это даже взломом назвать сложно.

Скачался какой-то жсон. Что с ним делать?

Хрен знает, я думал может там эти цифры есть.

не массовая ОС Windows, а менее популярная linux

Авторам следует осведомиться о распространённости операционных систем. А то судят по десктопам друзей, походу.

https://gs.statcounter.com/os-market-share

Linux не решето, просто его эксплуатируют так, что это даже взломом назвать сложно.

С одной стороны это так, а с другой, почему нет вменяемых дефолтов и предустановки защитного ПО на сервера? Кто мешает это сделать? Ведь речь не о конструкторах, где ты все сам ставишь и настраиваешь, а о готовых решениях вроде убунты, клонов рхэла, дебиана и т. д. Что мешает при установке сделать ssh на рандомном порту? Запретить вход по паролям? Отключить слабое шифрование? Включить настроенный fail2ban или аналоги на ssh порт? Неужели это «непопулярные» действия и сценарии? Я думаю, что ssh это must have и #1 по кол-ву установок или наличию на серверных дистрах.

Жить было бы легче.

Там же по посещению сайта — то есть то, на чём браузер запускают: десктопы/лаптопы и мобилы. Сервера, роутеры, насы и прочее не учтены.

Ну и даже там андроид распространённее винды.

Что мешает при установке сделать ssh на рандомном порту? Запретить вход по паролям? Отключить слабое шифрование? Включить настроенный fail2ban или аналоги на ssh порт?

Зная Васянов-одминов, если это сделать в популярном дистре, то тут же весь stackoverflow, askubuntu, и прочее наполнится вопросами «как прибить ssh к 22 порту?», «не работает вход по паролям, как включить», «тормозит шифрование, что делать» (с ответом разрешить слабое), «как отключить раздражающий fail2ban». А через некоторое время можно ожидать появление дистра, где эти «проблемы реального юзера» решены. Люди они такие. Да и о того, что у них убунта стоит с 2014 года без обновлений, это тоже не спасёт.

Волшебной палочки нет, я согласен, а вопросы дело временное. К следующему релизу все привыкнут, а взломы из-за неуместных дефолтов как минимум уменьшатся. И скорее всего значительно.

К следующему релизу все привыкнут

Скорее перейдут на другой дистр, где «сделано для людей». Ну плевать людям на безопасность, такие они. Им важнее «удобство».

А ещё я слабо представляю, как можно по умолчанию запретить вход по паролям… Это надо будет через хостера ключ как-то перекидывать? Обычно логинятся по паролю, настраивают по ключам, потом отключают вход по паролю. А как сделать это по умолчанию в дистре? При установке сразу ключ требовать? Ключ клиент хостеру будет пересылать при оформлении аренды? Или как вообще?

P.S. там вот это говорят в отчёте, если что:

This may become a more common occurrence as hybrid- cloud environments leverage more Linux backend servers with misconfigurations or poor security implementations that are publicly accessible

Вряд ли подкроватные сервера у васянов дома или тем более десктопы.

Мне кажется, тут не столько в дистрах надо какие-то изменения вносить и умолчания менять, а на стороне хостера что-то менять, начиная от того, как происходит передача клиенту доступа к серверу, и т.д. Так, пожалуй, эффективнее будет.

Хотя это снова не спасёт от основной проблемы: не обновляемые по 10 лет инсталляции какой-нибудь Ubuntu 12.04 LTS.

Зацени SmartOS.

https://www.elastic.co/pdf/elastic-global-threat-report-vol-1-2022.pdf

Это репорт компании, которая продаёт решения для Линукса. Под винду/гейос никто таким не пользуется. Им надо убедить манагеров, что в Линуксе много дыр, чтобы продать побольше лицензий.

при этом ssh на стандартном порту и пароль root подбирается по словарю без fail2ban.

Интересно, Spoofing с его root/toor туда тоже попал? :)

Это репорт компании, которая продаёт решения для Линукса.

А вот и ответ :)

По-моему, это обычная практика, в панели хостера добавлять ключи для доступа по ssh. Еще до установки/инициализации сервера. Так что пароль и не понадобится для входа. Тем более, что всегд есть VNC к виртуалке, если уж очень хочется по паролю.

У Пупкина похоже желтянка. Что ни тема, то какая-то ахинея.

Да он из неподтверждённых взял, небось.

Ты забыл ты поставить тег гетзефактс.

А винда не позволяет поставить пароль «root»?

У Пупкина похоже желтянка. Что ни тема, то какая-то ахинея.

У меня всяко интереснее, чем твои тупняки.

В новостной подборке гугла дня три назад это проскакивало. Не помню от кого. Потом это перепечатали ixbt. На лор такое приносят обычно в подтухшем виде, когда в одних уже местах подзабыли, в других внимания не обратили.

Проценты таки проценты... но логика присутствует. Оценить «домашние» пеки эта контора не осилит полюбому, значит оцениваем по общедоступному. Шин сайтов гораздо меньше чем сайтов под онтопиком, а зловредов под корявые сайты уж куда как много... вывод: «виноват слоненок».

Положи какушку назад в горшок и пой руки.

А какой вклад вносит их elk в дырявость, они не забыли сказать?

А как статистику собрали, не через телеметрию elk ли?

А elk когда-нибудь видели на винде или маке?

Выводы делайте сами.

У меня всяко интереснее, чем твои тупняки.

Я не перепечатываю желтушные новости и мои тупняки - авторские.

Мне показало аж 3 разные страницы загрузки в течении 30 секунд при двух мегабитах трафика, а потом слайды. Добавил в блоклист адблока этот ужас. Вместе с эластиком. Это ужас какой то o_O, три таких вкладки откроешь компуктер полыхнёт.

Вспоминается эпидемия сливов пару лет назад, когда благодаря тому, что в ElasticSearch отсутствует безопасность (по умолчанию, во всяком случае), скачивались джигабайты приватных данных из инстансов, торчащих портами в Интернет.

Мастера безопасности указывают нам, как страшно жить, да.

«Линукс обогнал Виндовс в дырявости благодаря росту популярности наших продуктов! Ура!»

К следующему релизу все привыкнут

selinux в массы не пошёл именно по этой причине.

selinux не пошел в массы, ИМХО, потому что он слишком сложный и больше представляет из себя палки в колеса во все поля, нежели реальное повышение безопасности. Такие системы нельзя внедрять поверх существующей, они должны быть на этапе проектирования системы реализованы.

Что мешает при установке сделать ssh на рандомном порту? Запретить вход по паролям? Отключить слабое шифрование? Включить настроенный fail2ban или аналоги на ssh порт?

Сам спросил - сам ответил.

потому что он слишком сложный и больше представляет из себя палки в колеса во все поля, нежели реальное повышение безопасности. Такие системы нельзя внедрять поверх существующей

Ты сложил 1 и 2, а получил 1,5. Не надо так.

Я тебе говорю, ровно то, что 1) ты сам сказал, 2) тебе сказал CrX

Скорее перейдут на другой дистр, где «сделано для людей». Ну плевать людям на безопасность, такие они. Им важнее «удобство».

Значит ты сам не понял, что я сказал. Не надо на других ссылаться.

CrX в чем-то прав, но на то это и линукс. Кому не нравится один дистр, уйдут на другой. Речь-то не о создании единого линукса, который всем нравится.

Обычно нет. Кроме того, люди ей просто лучше обучены. Я постоянно вижу, что Linux сервера настраивают компетентные в Windows, но напрочь безграмотные в Linux админы.

Все равно придется делать совместимость со старым небезопасным поведением для массовых заливок в автоматическом режиме.

И главная проблема всё же в забивании на обновления и эксплуатации за пределами сроков поддержки. И это не выйдет поправить автоматически, неуправляемые даунтаймы никому не нужны.

Тогда не понятно, откуда берется пароль из словаря при настройке Линукса, если виндовый админ уже понимает, что пароль типа «root» - это плохо.

«Совместимость» о которой ты говоришь это предустановочный хук, который предлагает заменить пользовательский конфиг на новый системный при установке/обновлении пакета. Это есть во всех мейнстримных ПМах (?). Никто старые конфиги автоматом не затирает.

забивании на обновления и эксплуатации за пределами сроков поддержки

Это совершенно другая проблема. Каждая проблема решается по своему.

Я не перепечатываю желтушные новости и мои тупняки - авторские

Это да, согласен. Но побредить над желтухой тоже иногда интересно, иначе толксы совсем протухнут.