LINUX.ORG.RU
ФорумTalks

Антивирус Касперского будет предустанавливаться на андроид-смартфоны

 , , ,


1

1

Ъ

«Лаборатория Касперского» подписала соглашение с компанией Qualcomm Technologies, по условиям которого защитные продукты Kaspersky Mobile Security и Kaspersky Tablet Security будут предустановлены на устройствах на платформе Android на базе процессоров Qualcomm Snapdragon.

★★★★★
Ответ на: комментарий от drBatty

в бубунте искаропки вроде вопрос решён.

Ты о чем? apparmor чтоль?

Единственное, там нужно двух юзеров делать, первый для администратора, а второй для повседневной работы

Зачем? Там же sudo на каждый чих, ты предлагаешь лишить стандартного пользователя sudo и постоянно перелогиниваться ?

ну во первых save as в браузере надо редко

Кому как, мне часто.

во вторых, зачем менять права?

Ну тогда браузер может испортить твои файлы.

По дефолту umask=0022, sudo его не меняет (хотя может), файлы пишутся в каталог 0777.

А толку то, пользователь может менять права на свои файлы.

Только там UID один и тот же, потому маркировка не имеет смысла.

ЩИТО?

Reset ★★★★★
() автор топика
Ответ на: комментарий от drBatty

Это таки безопасность, один из многих барьеров.

Во-первых, это не безопасность, во-вторых, пример андроида показывает что это не так, в-третьих, убунта это уже почти весь линукс ...

И это — дефолт

по-дефолту в убунте sudu включен

Reset ★★★★★
() автор топика
Ответ на: комментарий от winlook38

Так и знал, что скажешь об этом. Хорошо, что они есть. Пользователи эти приложения всеравно будут называть антивирусами.

юзеру эти приложения НЕ НУЖНЫ. Они ему всё равно НЕ помогут. Они помогут грамотному и квалифицированному админу, что-бы выяснить пути заражения, и разработать (доработать) защиту. Юзеру-то всё равно систему переставлять.

А если ты напишешь такое приложение, и решишь продать его в каком-нибудь google play, то назовешь его, я уверен, именно антивирусом, а не какой-нибудь нёх.

это будет по меньшей мере не честно. Систему не так надо защищать. Пойми, поздно пить боржоми, если почки отказали. Если ты руткит поймал, тебе уже НИЧЕГО не поможет. Тут уже секретность играет против тебя, ибо ты ВНЕЗАПНО оказываешься против враждебной ОС, которая управляется НЕ тобой.

А антивирус уже есть. Здесь лежит. Однострок на перле зовётся. Смысл его в том, что не надо всякую НЁХ запускать. А если очень хочется странного, делай песочницу, благо оно недолго.

Вот ты продолжаешь бесстыдно балаболить. Браузер запускаю от своего пользователя, но он внезапно не может не то, что удалить мои файлы, но и прочитать их. Как там живется в прошлом веке, СССР уже развалился?

А как оно в вашем? Ты скриншот можешь сделать и в файл сохранить? А можешь теперь этот файл прочитать, дабы его в интернеты выложить? Почему скриншоты читать можно, а другие файлы нельзя?

Ты точно здоровый? Если ты браузером подхватишь зловреда, то, скорее всего, ему не нужны будут твои файлы, ну разве что на почитать. Так что ты защищаешь то, что никому не нужно, но оставляешь злодеям то, что им от тебя и нужно.

злодеям нужны именно мои файлы, ибо они — ключ ко ВСЕМУ. Ботнет лучше засадить в мой ~/.xinitrc или ещё куда, есть Over9000 мест.

И еще ты, кажется, забыл про локальные уязвимости, повышающие привилегии. Твой вариант ответа, что PoC у тебя не завелся, как всегда не обнадеживает.

Ну ваще-то это первый PoC который хоть как-то сработал. Если его хорошо допилить, то может быть и получилось-бы.

drBatty ★★
()
Ответ на: комментарий от drBatty

зачем ку2 запускать в вайне?

и про это можно подробнее:

Только там UID один и тот же, потому маркировка не имеет смысла.

kott ★★★★★
()
Ответ на: комментарий от Reset

Ты о чем? apparmor чтоль?

ага. Я, правда, ещё не разбирался, как оно работает.

Зачем? Там же sudo на каждый чих, ты предлагаешь лишить стандартного пользователя sudo и постоянно перелогиниваться ?

зачем тебе рут на каждый чих? Один раз настроить слабо?

во вторых, зачем менять права?

Ну тогда браузер может испортить твои файлы.

не может. Браузер пишет в 0777 /home/share, а мой каталог 0700 /home/drb. Ты про какие права говоришь менять?

А толку то, пользователь может менять права на свои файлы.

да. Браузер может менять права на файлы, которые он скачал. Что дальше?

Только там UID один и тот же, потому маркировка не имеет смысла.

ЩИТО?

ну есть Вася, есть логин vasya, есть UID==666. Откуда там логин 123?

drBatty ★★
()
Ответ на: комментарий от drBatty

Я, правда, ещё не разбирался, как оно работает.

если кратко, то никак :)

зачем тебе рут на каждый чих? Один раз настроить слабо?

убунта раз в день обновления ставит, через sudo :)

Браузер пишет в 0777 /home/share

это чужие файлы? а кукисы и пароли браузера? это же очень полезная информация для злоумышленников

Что дальше?

он их может испортить или отправить злому дяде

ну есть Вася, есть логин vasya, есть UID==666. Откуда там логин 123?

очевидно, что системные процессы работают под своими пользователями, сюрприз, да ?

Reset ★★★★★
() автор топика
Ответ на: комментарий от drBatty

А у тебя кроме браузера что-нибудь еще в интернет ходит? Не знаю, git или какие-нибудь десктопные свистелки :)

kott ★★★★★
()
Ответ на: комментарий от Reset

Во-первых, это не безопасность, во-вторых, пример андроида показывает что это не так, в-третьих, убунта это уже почти весь линукс ...

1. безопасность. Безопасность - это не Абсолютная Защита. Это система мер. В частности на su права 4711, и узнать её версию юзер не может. Пруф:

$ md5sum /bin/su
md5sum: /bin/su: Отказано в доступе

последний эксплоит без su тупо зависает, ему su нужно, и именно не просто su, а нужной версии. Этот SUID бит — опасный костыль, потому и защищён данный код даже на чтение. Помогает, как видишь.

2. андроид это не весь линукс, и да такая централизация вредна для безопасности.

3. см. пункт 2, ты сам себе противоречишь, кроме бубунты полно тех же андроидов.

по-дефолту в убунте sudu включен

только для первого юзера, который является администратором, который настраивает рабочее место. Да, ВНЕЗАПНО, убунта разрабатывалась не для SOHO, а для нормальных организаций, в которых есть грамотный администратор.

drBatty ★★
()
Ответ на: комментарий от drBatty

Если ты руткит поймал

А если не руткит?

Ты скриншот можешь сделать и в файл сохранить? А можешь теперь этот файл прочитать, дабы его в интернеты выложить?

Могу. Может не все в той последовательности, но только потому, что нет необходимости.

Почему скриншоты читать можно, а другие файлы нельзя?

Потому что они располагаются в разных каталогах, на которые разные права.

злодеям нужны именно мои файлы, ибо они — ключ ко ВСЕМУ

Я уже говорил, что ты болен?

Ботнет лучше засадить в мой ~/.xinitrc или ещё куда, есть Over9000 мест.

И на дискеты копироваться. Но в наш век зловреду вообще можно не заморачиваться с продолжительностью жизни. Отработал до первого ребута и ок, и ты даже всем доволен и даже весь такой крутой на ЛОРе.

Ну ваще-то это первый PoC который хоть как-то сработал.

Ты понимаешь, что твой аргумент был актуален до первого фейла?

winlook38 ★★
()
Ответ на: комментарий от drBatty

Да, ВНЕЗАПНО, убунта разрабатывалась не для SOHO, а для нормальных организаций, в которых есть грамотный администратор.

внезапно, убунта разрабатывалась именно для хомячков :)

Reset ★★★★★
() автор топика
Ответ на: комментарий от Reset

если кратко, то никак :)

А если подробнее? А то я как раз в процессе. Хотел бы SELinux осилить, но остановился на Apparmor, т.к. он уже был в системе.

winlook38 ★★
()
Ответ на: комментарий от Reset

убунта раз в день обновления ставит, через sudo

пусть ставит. По crond, от имени Администратор, без пароля, автоматом.

если кратко, то никак

ещё раз: для бубунт нужен грамотный администратор. Так оно было задумано. А проблемы хомячков никого не волнуют, смирись. Если ты хомячок, то проще дождаться ответа от Патрега.

Браузер пишет в 0777 /home/share

это чужие файлы? а кукисы и пароли браузера? это же очень полезная информация для злоумышленников

печеньки и пароли пишутся в /home/web/.mozilla

Для работы с банками и платёжными системами у меня есть другой браузер, в другом хомячке.

он их может испортить или отправить злому дяде

хватит демагогии. Мне наплевать, что если я скачал какой-то файл у одного злого дяди, он(файл) отправится к другому дяде.

очевидно, что системные процессы работают под своими пользователями, сюрприз, да ?

юзеру плевать на твои svchost.exe, которые непонятно что делают непонятно с каким UID. Сюрприз, да? Ему нужно, что-бы фотки в Сеть попадали не сами по себе, а только если он их явно положил в специальную папку.

drBatty ★★
()
Ответ на: комментарий от drBatty

По crond, от имени Администратор, без пароля, автоматом.

за это руки отрывать

ещё раз: для бубунт нужен грамотный администратор. Так оно было задумано.

это не так

печеньки и пароли пишутся в /home/web/.mozilla

и? к ним браузер имеет доступ? имеет!

Для работы с банками и платёжными системами у меня есть другой браузер, в другом хомячке.

3.1415здец

Мне наплевать, что если я скачал какой-то файл у одного злого дяди, он(файл) отправится к другому дяде.

будет не наплевать, когда с твоего счета вдруг уведут бабло или купят что-то без твоего ведома, или этот аккаунт уведут

Ему нужно, что-бы фотки в Сеть попадали не сами по себе, а только если он их явно положил в специальную папку.

они туда попадут ровно с той же вероятностью что и у тебя, но с одним отличием — ты устраиваешь себе геморрой на пустом месте, а обычный пользователь этого не делает

Reset ★★★★★
() автор топика
Ответ на: комментарий от winlook38

А если не руткит?

а что?

Потому что они располагаются в разных каталогах, на которые разные права.

видел семёрочку у друга, у него не так.

Я уже говорил, что ты болен?

ты не впервые пытаешься перейти на личность. Радуйся, получилось ☺

Ты понимаешь, что твой аргумент был актуален до первого фейла?

прав рута я так и не получил.

drBatty ★★
()
Ответ на: комментарий от winlook38

А если подробнее?

проблем и неявных косяков слишком много, поэтому лучше сделать apt-get purge apparmor :)

Reset ★★★★★
() автор топика
Ответ на: комментарий от Reset

Да, ВНЕЗАПНО, убунта разрабатывалась не для SOHO, а для нормальных организаций, в которых есть грамотный администратор.

внезапно, убунта разрабатывалась именно для хомячков

сам подумай, зачем хомячку нужен стабильный цикл релизов и LTS? Хомячку отлично подходит «цикл» мысы и Патрега, когда новая версия выходит по желанию левой пятки. Стабильный цикл — как раз то, что нужно нормальной организации, не ты-ли мне это говорил? И это — единственная фича бубунты by design. А всё остальное, в том числе рассылка дисков для нищебродов, было уже потом.

drBatty ★★
()
Ответ на: комментарий от winlook38

А то я как раз в процессе. Хотел бы SELinux осилить, но остановился на Apparmor, т.к. он уже был в системе.

для начала обычные права осиль, иначе у тебя всё будет работать «никак».

drBatty ★★
()
Ответ на: комментарий от Reset

проблем и неявных косяков слишком много, поэтому лучше сделать apt-get purge apparmor

«неосилил» короче и честнее.

drBatty ★★
()
Ответ на: комментарий от drBatty

а что?

Бота, который спамит или пароли подбирает.

видел семёрочку у друга, у него не так.

Я о линуксе. Винда у меня на корпоративном ноутбуке, где применяются групповые политики, стоит антивирус и нет важной информации, так что тут я просто полагаюсь на грамотность админов, которые если не пресекут вторжения в мою систему, то хотя бы отследят подозрительную активность.

прав рута я так и не получил.

я

Ок.

winlook38 ★★
()
Ответ на: комментарий от Reset

Это все же не на столько подробно, ка сколько хотелось бы. Это какие-то косяки, которых лишены другие подобные системы, или присущие всем им?

winlook38 ★★
()
Ответ на: комментарий от winlook38

Ну вот пример, поднимаешь ты виртуалку libvirt'ом, всё зашибись, все права есть, а в логах невменяемые permission denied сыпятся и сыпятся, дебажишь дебажишь это дело, а потом выясняется, что оказывается apparmor на машине стоит и мешает нормальной работе :) И вот такая свистопляска почти с каждым приложением.

Reset ★★★★★
() автор топика
Ответ на: комментарий от Reset

Чуть ли не каждый мануал в интернете говорит о том, что нужно отключить SELinux. Та же ситуация, видимо, и с Apparmor. Я как раз и хотел изучить SELinux, чтобы затачивать его под приложения, а не отключать. Но сейчас надобность отпала - пилю Apparmor на десктопе. Что меня больше расстраивает, так это довольно глубокая вложенность дефолтных конфигов, которые позволяют слишком многое. Такое чувство, что проще с нуля писать и пройтись по всем граблям.

winlook38 ★★
()
Ответ на: комментарий от winlook38

Бота, который спамит или пароли подбирает.

для этого нужно дырявый браузер иметь. Но в принципе, да, можно.

Я о линуксе.

как в твоём линуксе система отличает твой браузер например от твоей консоли, или удалённого меня под твоим именем?

Ок.

ага. Иногда надо обновлять.

drBatty ★★
()
Ответ на: комментарий от drBatty

как в твоём линуксе система отличает твой браузер например от твоей консоли

По пути к исполняемому файлу, например.

winlook38 ★★
()
Ответ на: комментарий от winlook38

Но сейчас надобность отпала - пилю Apparmor на десктопе. Что меня больше расстраивает, так это довольно глубокая вложенность дефолтных конфигов, которые позволяют слишком многое.

мне всё-же интересно: чего тебе в стандартных правах не хватает-то?

drBatty ★★
()
Ответ на: комментарий от winlook38

По пути к исполняемому файлу, например.

путь к файлу — штука в Linux эфемерная. Он может измениться и даже исчезнуть. В отличие от UID, который намертво пришпилен.

drBatty ★★
()
Ответ на: комментарий от drBatty

Если твой браузер шерстит хомяк на наличие .doc файлов, то для тебя это не страшно, браузер работает от другого пользователя. Но сам факт того, что это происходит, тебя тоже не волнует? А если волнует, как ты решил это с помощью стандартных прав?

winlook38 ★★
()
Ответ на: комментарий от vurdalak

Не имеешь.

Да, там есть ограничения, в которые я могу и не вложится, а могу и вложится, и условия применения этого права. Это надо консультироваться с юристами.

Потому что иначе ногу сломают тебе, чтобы ты в вероятном будущем не пошел в магазин и не украл там плавленый сырок. Мало ли, а вдруг тебе захочется это сделать?

Пример абсолютно не удачный. Как раз те ограничения и не дадут им права сделать это со мной. Условия главное соблюсти. Иначе можно загреметь по полной программе. Читай законы, и найди пример получше.

FeyFre ★★★★
()
Ответ на: комментарий от winlook38

Если твой браузер шерстит хомяк на наличие .doc файлов, то для тебя это не страшно, браузер работает от другого пользователя. Но сам факт того, что это происходит, тебя тоже не волнует?

если честно — не очень и волнует. Пусть шерстит. Там маленький хомяк, времени много не займёт.

А если волнует, как ты решил это с помощью стандартных прав?

я не считаю, что защита «не пускать программу XXX к файлам *.YYY» нужна. Хотя-бы потому, что *.YYY ни о чём не говорит, если у тебя не MS-DOS. То, что браузер что-то там в своём хомяке шуршит, так оно так и должно быть.

Т.е. непонятно, что ты хочешь?

drBatty ★★
()
Ответ на: комментарий от drBatty

То, что браузер что-то там в своём хомяке шуршит, так оно так и должно быть.

Ок. У тебя должен, у меня - нет, и я хочу знать, когда такое происходит. А уж тем более я хочу знать о том, что какой-нибудь апач шерстит фс на доступные ему каталоги, даже с учетом того, что он весь в чруте на виртуалке в ЦОДе хостера.

winlook38 ★★
()
Ответ на: комментарий от drBatty

Когда ты создаешь в системе нового пользователя, сколько служебных пользователей ты к нему создаешь? А ярлыки они себе сами переписывают или запускают браузер от своего пользователя? Почему бы просто не воспользоваться ACL?

winlook38 ★★
()
Ответ на: комментарий от winlook38

Ок. У тебя должен, у меня - нет, и я хочу знать, когда такое происходит.

т.е. ты намекаешь на то, что у злоумышленника должна быть возможность засрать мои логи кучей сообщений EACCESS, просто путём попыток доступа туда, куда ему нельзя?

А уж тем более я хочу знать о том, что какой-нибудь апач шерстит фс

у апача свой лог есть, если что. Есть inotify.

drBatty ★★
()
Ответ на: комментарий от winlook38

Когда ты создаешь в системе нового пользователя, сколько служебных пользователей ты к нему создаешь?

а зачем?

А ярлыки они себе сами переписывают или запускают браузер от своего пользователя?

в зависимости от задачи. Quake2 да, общий. Как и вся wine. О да, жена может мои сейвы испортить…

Почему бы просто не воспользоваться ACL?

почему-бы тебе просто не сгонять за водкой на авианосце? Почему ты не забиваешь гвозди головой в бетонную стену в каске? Почему ты вообще IRL не занимаешься ненужной х**й, а в компьютер как попадаешь, начинаешь заниматься?

drBatty ★★
()

Ненужно будет предустанавливаться на почти ненужно.

SjZ ★★★★★
()

Значит линукс все же нуждается в антивирусе.

TGZ ★★★★
()
Ответ на: комментарий от drBatty

т.е. ты намекаешь на то, что у злоумышленника должна быть возможность засрать мои логи кучей сообщений EACCESS

Нет, я открыто заявляю, что у него не должно быть такой возможности, а если она все же появилась, об этом нужно знать.

у апача свой лог есть, если что.

И ты, конечно же, парсишь их ежедневно, сказочник? Они скорее для того, чтобы разобраться с проблемой нужны.

Есть inotify.

И ты, конечно же, им пользуешься ежедневно, чтобы мониторить подозрительную активность, сказочник? Зачем ты придумываешь костыли, когда есть простое средство? Не осилил что ли? Ок, я это давно понял.

winlook38 ★★
()
Ответ на: комментарий от drBatty

а зачем?

Тебе на локалхосте незачем, я не спорю.

почему-бы тебе просто не сгонять за водкой на авианосце?

Ты просто мастер аналогий, как и пердежа в лужу. Свои велосипеды ты считаешь идеальными только потому что они твои, а использование заточенных под задачу средств ущербной практикой только потому что не осилил?

winlook38 ★★
()
Ответ на: комментарий от winlook38

т.е. ты намекаешь на то, что у злоумышленника должна быть возможность засрать мои логи кучей сообщений EACCESS

Нет, я открыто заявляю, что у него не должно быть такой возможности, а если она все же появилась, об этом нужно знать.

и как эта хотелка решилась у тебя?

И ты, конечно же, им пользуешься ежедневно, чтобы мониторить подозрительную активность, сказочник? Зачем ты придумываешь костыли, когда есть простое средство? Не осилил что ли?

да, не осилил.

drBatty ★★
()
Ответ на: комментарий от drBatty

у апача свой лог есть, если что.

Лог обращений добропорядочных клиентов, а не шастания по fs. Ну и если взлом апача произошел, уж что то а логи злоумышленник за всегда почистить сумеет. Права позволяют.

Есть inotify.

Не рекурсивен, и посему бесполезен для аудита чуть менее чем полностью

TEX ★★★
()
Ответ на: комментарий от pekmop1024

Не то слово. Недавно видел человека, которому по долгу службы понадобились линуксы. После рассказа о какой-либо программе первый вопрос: где скачать кряк.

actics
()
Ответ на: комментарий от winlook38

Когда ты создаешь в системе нового пользователя, сколько служебных пользователей ты к нему создаешь? Тебе на локалхосте незачем, я не спорю.

а зачем тебе, на твоём сервере? На вопрос ответишь, демагог?

Ты просто мастер аналогий, как и пердежа в лужу. Свои велосипеды ты считаешь идеальными только потому что они твои

если ты не знал, то это совсем не мои велосипеды, а древняя unix-like изоляция юзеров, которая до сих пор отлично работает практически на любом сервере. Я лишь предложил её юзать на десктопе.

И практически единственное, что я добавил: вызов программ юзером(обычным) через sudo, тогда, когда это надо на десктопе. Ибо на сервере программы обычно запускаются один раз в момент старта, и потому sudo там не нужно. А в десктопе пользователь запускает программы когда ему захочется.

А всё остальное как и всегда: httpd не может попасть в /var/lib/mysql/, а вот mysqld не имеет прав для доступа к /var/www/. Потому-что оно этим демонам не нужно. И оба демона работают от разных юзеров. Причём НЕ от root'а.

drBatty ★★
()
Ответ на: комментарий от TEX

Лог обращений добропорядочных клиентов, а не шастания по fs. Ну и если взлом апача произошел, уж что то а логи злоумышленник за всегда почистить сумеет. Права позволяют.

знаешь, если враг порутал сервер, то при чём тут апач? А речь шла именно о том, что «апачь шуршит по ФС».

Как я понимаю, это возможно например на сайте с картинками. Апач легально отдаёт картинки из какого-то каталога. Ну например http://localhost/porno/1.jpg А вот злоумышленник пишет такую ссылку http://localhost/../../../boot/config и получает доступ к конфигу ядра этого сервера. Так вот, в этом случае, в логе доступа будет запись о чтении, а если чтение запрещено, то запись будет в логе ошибок. Несложно сделать оповещение для обоих случаев.

Не рекурсивен, и посему бесполезен для аудита чуть менее чем полностью

если тебе нужен аудит, используй audit. При чём тут вообще права доступа и ЗАЩИТА сервера?

drBatty ★★
()
Ответ на: комментарий от drBatty

знаешь, если враг порутал сервер, то при чём тут апач?

Тема про антивирус не ?

А речь шла именно о том, что «апачь шуршит по ФС».

Шуршит, например conf файлы читает, и в логе это никак не отражается и чего ?

если тебе нужен аудит, используй audit. При чём тут вообще права доступа и ЗАЩИТА сервера?

Прости, а причем тут упомянутый тобой inotify +_= ? Каким образом ты его собирался использовать раз упомянул ?

TEX ★★★
()
Ответ на: комментарий от winlook38

и как эта хотелка решилась у тебя?

Аудит.

ну молодец, садись, пять. А какое отношение это имеет к антивирусу и «моим» велосипедам? Зачем аудит для РЕШЕТА? И так понятно, что воду оно не удержит, если хоть кто-то попытается её туда налить? Если у тебя РЕШЕТО, то тебя и так сломают, и с аудитом в том числе, если захотят. А если не захотят, то никакой аудит тебе не поможет узнать, что у тебя РЕШЕТО.

drBatty ★★
()
Ответ на: комментарий от drBatty

Зачем аудит для РЕШЕТА?

Напиши Линусу, спроси. У него в ядре зачем то есть.

А если не захотят, то никакой аудит тебе не поможет узнать, что у тебя РЕШЕТО.

А так же ни логи, ни inotify, ни POSIX права. Как говориться здоровых людей не существует, есть недообследованные. Поэтому рекомендуется посещать хотя бы стамотолога, хотя бы раз в год.

TEX ★★★
()
Ответ на: комментарий от drBatty

а зачем тебе, на твоём сервере? На вопрос ответишь, демагог?

На десктопе. Там у меня несколько живых пользователей и пара служебных, как у тебя, от которых иногда запускаются разные приложения, но и для них у меня действуют правила AppArmor. А если я сменю десктоп или ОС, я просто перенесу настроенные правила для AppArmor.

если ты не знал, то это совсем не мои велосипеды, а древняя unix-like изоляция юзеров

знал, просто подчеркну ключевое слово

древняя

Вот это точно. Она не утратила своей мощи, но сейчас уже появились другие средства, которые ты почему-то воспринимаешь в штыки, когда крупные дистрибутивы давно их у себя используют.

А всё остальное как и всегда: httpd не может попасть в /var/lib/mysql/, а вот mysqld не имеет прав для доступа к /var/www/.

Ну ты считаешь, что взломанный сервис - это ок, т.к. он изолирован, а я считаю, что это плохо и нужно об этом сигнализировать, на этом и закончим.

winlook38 ★★
()
Ответ на: комментарий от TEX

знаешь, если враг порутал сервер, то при чём тут апач?

Тема про антивирус не ?

да. По твоему, если кепка от удара топора не поможет, то нужно всем без кепки ходить? И налысо брить голову? Антивирус от рута не помогает. И права не помогают, и аудит не помогает.

Шуршит, например conf файлы читает, и в логе это никак не отражается и чего ?

а того, что он и должен conf читать. Вот и отображается. А вот если пхпскрипт полезет туда, куда нельзя, то отобразится. Причём от скрипта это не зависит. И от настроек апача тоже, если админ не совсем болен.

если тебе нужен аудит, используй audit. При чём тут вообще права доступа и ЗАЩИТА сервера?

Прости, а причем тут упомянутый тобой inotify +_= ? Каким образом ты его собирался использовать раз упомянул ?

я? никаким. Это ты понятия подменяешь. Говоришь, что unix-like система защиты файлов плоха, потому-что не умеет аудит. А она и не должна уметь. Это совсем другая задача.

И да, если у тебя используется unix-like система защиты файлов, то работа аудита многократно упращается, ибо система знает, за кем ей следить. К примеру юзер wine вообще никуда НЕ ДОЛЖЕН лезть, кроме своего /home/wine/.wine/drive_c/.

drBatty ★★
()
Ответ на: комментарий от TEX

А так же ни логи, ни inotify, ни POSIX права. Как говориться здоровых людей не существует

спасибо, я знаю.

Однако, что-бы порутать Linux, нужно какую-то дыру сначала найти. А вот права, и частично аудит, это существенно затрудняют. Т.е. даже если у тебя есть скажем дыра в твоём апаче, которая позволит мне получить shell, я всё равно не смогу стянуть с тебя какие-то файлы, к которым у апача нет доступа. Ибо shell у меня получится с именем apache, ну и скажем rm -rf кильнёт исключительно кеши этого апача, ну и максимум его каталог upload( и то не факт, кстати).

В десктопе же ситуация плачевна: получив дыру в каком-нить скайпе, враг получает права НА ВСЁ. Даже рута тут не надо, если у нас один юзер. Например rm -rf сотрёт все данные юзера, оставив лишь нафейхуя никому ненужную систему, которая и так на Over9000 зеркалах выложена.

drBatty ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.