LINUX.ORG.RU
ФорумTalks

Средства борьбы с вредоносным ПО в линукс.


0

0

Такие есть?
Не нужны?
Ну, вирусов (пока) нормальных под линукс нету.
Читал, что есть какойто который еще надо постараться "установить".
Но, кроме вирусов может быть много всякой бяки.
Достаточно дыры в браузере, плеере, клиенте чата,... (нужное подчеркнуть или вписать) и получаем еще одного бойца для ботнета.

И вредоносному ПО не обязательно получать root привилегии.
Без рутовых прав невозможно разрушить всю систему, но возможно навредить пользователю.
Лично для меня самое ценное на винте это то, что лежит в /home.
(Про бекапы я знаю)

Я вполне допускаю появление заразы способной работать под линуксом с ростом его популярности.
Что ей противопоставить?

Я вот подумал, про AppArmor, это не средство обнаружения, но определенную преграду создать можно.
Программам далеко не всегда нужны все права пользователя.
Браузеру нужно читать и писать свои файлы (история, кукисы,...) и обращаться к серверу за страничками, доступ к остальным файлам пользователя излишен (Закачку можно сделать отдельным процессом).
Жаберу (асе и т.п.) - коннект к серверу + история.
Плееру - только читать файлы.
И т.д. и т.п.
Таким образом можно запереть в "песочнице" много приложений.
Особенно это актуально для сетевых приложений.
Профили для AppArmor'а (либо подобной системы) могут делать дистростроители и разработчики.
Также, я думаю, можно сделать средство для непривилегированной работы с профилями чтобы каждая программа могла сама задать себе профиль (1 раз).
Т.е. программа запускается и первым делом "вешает" на себя профиль ее ограничивающий, который невозможно изменить до конца выполнения.
Тогда разработчики смогут снабжать свои программы профилями, ограничивающими их действия.

★★★★★
Как найти инвестора на создание linux-приложения?
Бывает ли нормальный VPS-хостинг?

>Тогда разработчики смогут снабжать свои программы профилями, ограничивающими их действия.

/troll Да, скайп тоже свой поставит.

Deleted
()
Ответ на: комментарий от Deleted

Ну для скайпа комьюнити напишет (уже есть).

ls-h ★★★★★
() автор топика

А как Вы предлагаете заразу определять? :) Вон, сеанс Windows можно со стороны клиента свалить 15 строчками на WinAPI, и ни один антивирус ничего не скажет

Gary ★★★★★
()
Ответ на: комментарий от ls-h

думаю Линукс не настолько популярен (Винекапец еще далек) и ботнеты ы основном виндовые. Если кто-нибудь собереться вламываться в линухи, то не во все подряд, а скорее только в кокретные системы (если взбесил кто), ну и серваки , это очевидно.

Mr_Idiot
()
Ответ на: комментарий от Gary

>А как Вы предлагаете заразу определять?
Никак. Давать прогам минимальные привилегии.

ls-h ★★★★★
() автор топика
Ответ на: комментарий от ls-h

>Никак. Давать прогам минимальные привилегии.

Тогда я не понял, к чему тема :) Всё есть, всё хорошо

Gary ★★★★★
()
Ответ на: комментарий от Mr_Idiot

>Если кто-нибудь собереться вламываться в линухи, то не во все подряд, а скорее только в кокретные системы (если взбесил кто), ну и серваки , это очевидно.

Hack me, I'm Irish

Gary ★★★★★
()

> Я вполне допускаю появление заразы способной работать под линуксом с ростом его популярности. Что ей противопоставить?

Антивирусы. Всегда ваш, К.О.

Manhunt ★★★★★
()

Кашпировский, очевидно же.

Apkawa
()
Ответ на: комментарий от dmi-a

> "официальный" линукс ботнет

Чисто с практической точки зрения... Зачем и кому нужен линуксовый ботнет? Just for fun?

ansky ★★★★★
()
Ответ на: комментарий от Gary

>>ну и серваки , это очевидно.

>LOL

>>Если кто-нибудь собереться вламываться в линухи, то не во все подряд, а скорее только в кокретные системы (если взбесил кто), ну и серваки , это очевидно.

>Hack me, I'm Irish

Рад, что доставил вам с amorpher своим лепетом:)

Но все-таки

>Чисто с практической точки зрения... Зачем и кому нужен линуксовый ботнет? Just for fun?

Мне казалось, что ботнетам нужна массовость => винда.

Mr_Idiot
()

Мои надежды на опопсение AppArmor/SELinux примерно в том виде, в котором описано в топике - чтобы все настраивалось в два клика или было что-нибудь типа самообучающейся системы - как с виндовыми файрволами - типа "процесс такой-то запросил запись в файл такой-то: разрешить один раз/запретить один раз/разрешить навсегда/запретить навсегда".

А пока что все юниксовые права защищат только мой личный хоум от бездумных/непреднамеренных действий соседнего пользователя за тем же компьютером. Они же разграничивают для разных пользователей доступ к разным частям системы, но при этом home - это одна монолитная часть и я - один единственный юзер.

Интересно сделано в андроиде. Там на каждое приложение создается отдельный пользователь с отдельным каталогом - поэтому каждое приложение может писать только свои данные - данные соседней программы оно уже не затронет чисто из-за юниксовых ограничений.

bender ★★★★★
()
Ответ на: комментарий от bender

>Мои надежды на опопсение AppArmor/SELinux примерно в том виде, в котором описано в топике - чтобы все настраивалось в два клика или было что-нибудь типа самообучающейся системы - как с виндовыми файрволами - типа "процесс такой-то запросил запись в файл такой-то: разрешить один раз/запретить один раз/разрешить навсегда/запретить навсегда".

в openSUSE это давным давно есть

гуйня для конфигурации AppArmor, самообучение и куча готовых конфигов для распространенных приложений

HighwayStar ★★★★★
()
Ответ на: комментарий от Mr_Idiot

>Мне казалось, что ботнетам нужна массовость => винда.

Маршрутизаторы тоже достаточно многочисленны

Да и не обязательно ботнеты, вывод из строя сервера конкурента тоже даст многое :)

Gary ★★★★★
()

Песочницы в SELinux, подпись бинарников + LSM.

Хотя кому это надо? У меня NoScript, разрешены только несколько сайтов, слабо представляю как у меня может появитсья зараза.

wyldrodney
()
Ответ на: комментарий от wyldrodney

Переполнение буфера в какой-нибудь проге или либе?
А для плеера у тебя тоже стоит NoScript?
(Уязвимости в кодеке, плеере...)

ls-h ★★★★★
() автор топика
Ответ на: комментарий от ansky

>> "официальный" линукс ботнет

> Зачем и кому нужен линуксовый ботнет? Just for fun?

"Proof of concept". Говорят, в линуксовых ботнетах удобнее возможности скриптования.

question4 ★★★★★
()
Ответ на: комментарий от question4

Ботнет я привел как пример. А ВПО может быть много.

ls-h ★★★★★
() автор топика
Ответ на: комментарий от question4

>Как его включать-выключать без перезагрузки ядра?
А перемонтировать?
Хотя, согласен noexec - очень не удобно.
Особенно если чтото программировать, то надо компилить и запускать для проверки.

ls-h ★★★★★
() автор топика
Ответ на: комментарий от dikiy

Сказать хотел что было бы здорово, если бы разработчики сами снабжали свои совтины такими профилями.
Ну, и спросить кто что думает по этому поводу.

ls-h ★★★★★
() автор топика
Ответ на: комментарий от ls-h

>> Как его включать-выключать без перезагрузки ядра?

> А перемонтировать?

Я про другой noexec, который в параметрах ядра, защита стека(?) от выполнения.

question4 ★★★★★
()
Ответ на: комментарий от ls-h

>Сказать хотел что было бы здорово, если бы разработчики сами снабжали свои совтины такими профилями. Ну, и спросить кто что думает по этому поводу.

Тогда одобрямс.

dikiy ★★☆☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Как найти инвестора на создание linux-приложения?
Talks
Бывает ли нормальный VPS-хостинг?