exelens 25.01.2010 10:12
Я Фанатег! — Есть ли у нас желающие ответить на топик Linux, безопасность, подумаем о будущем
Этот топик Linux, безопасность, подумаем о будущем заметили многие =) + некоторые там зажлги =) а кое кто и слил =)Есть желающие написать топик ответ? Но нормальным языком, а?
h0rr0rr_drag0n 25.01.2010 11:15 #
+ 0 -
Я хочу. Вначале запощу его здесь, если все будет ок - запощу на хабр (ух ты, мой первый псто на хабре!!!11)
Вначале запощу его здесь, если все будет ок - запощу на хабр
тогда делай это посто-ссылкой на хабр. Дабы не нарушать их правила.
А что тут писать?
Автозапуск
пока есть такое количество популярных и непопулярных DE/WM, замучаешься определять, куда себя прописывать.
Маскировка
Тут что-то сказать трудно. Только откуда появится неизвестный исполняемый файл в ~?
Вредительство
Ну-ну rm -rf / уже давно не работает. А вот всё остальное не без смысла.
И да, автор - параноик. Идеально защищенности не бывает, и чем больше защищенность, тем хуже работать за компом
Автозапуск
пока есть такое количество популярных и непопулярных DE/WM, замучаешься определять, куда себя прописывать.
Маскировка
Тут что-то сказать трудно. Только откуда появится неизвестный исполняемый файл в ~?
Вредительство
Ну-ну rm -rf / уже давно не работает. А вот всё остальное не без смысла.
И да, автор - параноик. Идеально защищенности не бывает, и чем больше защищенность, тем хуже работать за компом
Половина коментящих на хабре, как и Вы, незаметила, что:
не "rm -rf /", а "rm -rf ~/"
Разница есть, и думаю, что работает) Правда некоторые файлы могут находиться в использовании.
не "rm -rf /", а "rm -rf ~/"
Разница есть, и думаю, что работает) Правда некоторые файлы могут находиться в использовании.
некоторые файлы могут находиться в использовании.
И что? Это не помешает им удалиться.
не "rm -rf /", а "rm -rf ~/"
Простите, недоглядел :( Спасибо за поправку
Ну, собственно, в этом пункте всё хорошо. Только одно но! Этот самый вирус должен как-то попасть в систему и запуститься.
Ну способы запуска приведены. Дыра в ФФ например. ФФ запущен от текущего пользователя, через него этот злодей проникает в систему и выполняется с правами текущего пользователя, что позволяет ему делать все, что доступно пользователю.
Именно поэтому меня удивляют товарищи, которые разрешают себе делать судо без пароля.
Именно поэтому меня удивляют товарищи, которые разрешают себе делать судо без пароля.
у меня sudo su дабы не ипаться....
система живет года полтора....
это же ноут, а не сервак и не нравиться мне каждый раз пароль вбивать
система живет года полтора....
это же ноут, а не сервак и не нравиться мне каждый раз пароль вбивать
это же ноут, а не сервак и не нравиться мне каждый раз пароль вбивать
А что, для Вас данные на сервере важнее Ваших личных данных?
бэкапы на сервере есть.
Контроль версий ведется - тоже на сервере.
Пару строк кода, если что - я перепишу! Не готов ради пары фоток, еще не ушедших на сервер или пары строк кода жертвовать временем и удобством.
Контроль версий ведется - тоже на сервере.
Пару строк кода, если что - я перепишу! Не готов ради пары фоток, еще не ушедших на сервер или пары строк кода жертвовать временем и удобством.
Кстати! Как показывает практика ( и личная в том числе ), человеческий фактор (наприер rm -rf some_folder ) гораздо опаснее самых страшных угроз извне!
Ну способы запуска приведены. Дыра в ФФ например. ФФ запущен от текущего пользователя, через него этот злодей проникает в систему и выполняется с правами текущего пользователя, что позволяет ему делать все, что доступно пользователю.
И там же приведен пример с selinux. FF дальше своего конфига не дернется.
ну вот у меня selinux не стоит, да и не везде он по дефолту. Что говорит о том, что нужно его ставить)) Сделает ли это школьник кубунтовод, когда подсадит маму на линух?)))
Так и прецедентов нет, появится необходимость - будет selinux по дефолту везде. В федоре уже.
Очень жаль, что не дернется! Мне иногда фотки надо на сайты загружать
Видимо правильно, что я SELinux не пользую
Видимо правильно, что я SELinux не пользую
Согласен, что ВМ\ДЕ много и прописывать себя везде в автозагрузку жестоко. Но, скажем, появятся разновидности.
"Сегодня 1000 пользователей КДЕ заразились страшным Касперо-вирусом. Автор сия поделия неизвестен"
Разнообразие, конечно, на нашей стороне. Однако задумался о смене владельца на рута у некоторых файлов.
С другой стороны - если ты хочешь внести изменения в .bashrc, или какой-нить автостарт, то ты должен понимать что делаешь. Потому по дефолту эти файлы лучше с правами только на чтение делать, либо отдавать руту. Но тогда не будут работать автоконфигураторы всяческие.
Ну или как выход безумное количество пользователей, групп. Каждому из которых разрешено только что-то одно делать. Слишком муторно.
Сам сегодня сделаю chown root:root на .bashrc и .muscastart
Больше у меня пользователь ниоткуда не запускает приложения при старте.
"Сегодня 1000 пользователей КДЕ заразились страшным Касперо-вирусом. Автор сия поделия неизвестен"
Разнообразие, конечно, на нашей стороне. Однако задумался о смене владельца на рута у некоторых файлов.
С другой стороны - если ты хочешь внести изменения в .bashrc, или какой-нить автостарт, то ты должен понимать что делаешь. Потому по дефолту эти файлы лучше с правами только на чтение делать, либо отдавать руту. Но тогда не будут работать автоконфигураторы всяческие.
Ну или как выход безумное количество пользователей, групп. Каждому из которых разрешено только что-то одно делать. Слишком муторно.
Сам сегодня сделаю chown root:root на .bashrc и .muscastart
Больше у меня пользователь ниоткуда не запускает приложения при старте.
noexec на хомяк и /tmp и 90% всех проблем решается. ну а прослойка между монитором и стулом всегда будет самым слабым местом и это не зависит от ОС =)
А что белать с ~/programming? Нарушать Filesystem Hierarchycal Standard? =)
Ну почему же. Все каталоги, которым противопоказан noexec выносить на отдельный раздел. А там пусть они где угодно будут, хоть в ~/, хоть в /.
~/programming как уже сказали выше на другой раздел или mount -bind но уже с exec
ЕМНИП были еще скрипты автозапуска в конфигах, например ~/.config/autostart/, хотя тут могу ошибаться.
у меня такого нет ^_^ если память не изменяет там не скрипты а десктоп файлы на приложения, не?
Значит я ошибся. Но в .kdemod4/Autostart/ скрипты по-моему помещать можно было.
может можно скомпилировать материал от нескольких авторов?
я вот попробовал пользоватся сканером руткитов...
я вот попробовал пользоватся сканером руткитов...