Linux biztonság

nagy.zsolt

üdv. Mint az köztudott, a linux biztonságosabb, mint a windows: akárkit megkérdezek, hogy miért, azt a választ kapom, hogy egyszerűen nem írnak rá vírust. Nos, ez így szép ... de felmerült bennem ezzel kapcsolatban pár kérdés: -ha a linux elterjedtebb lesz (vagy lenne), és akarnak rá vírust írni, akkor van valami, ami miatt az a vírus nehezebben fertőzné meg a rendszert, mint most windows esetében? (tehát nehezebb vírust írni linuxra, mint windowsra?) -sok exploit a beépülők hibáját használja ki, a beépülők kódja pedig többé-kevésbé azonos linuxban, és windowsban (javítsatok ki, ha tévedek), tehát így a böngészőn(és a beépülőn) keresztül ugyanúgy bejuthat a vírus a linuxba? -wine-al elindulhat vírus?, az addig tiszta, hogy megfertőzni nem tudja a windows rendszerfájlokat, mert nem találja őket, de a PC kikapcsolásáig a memóriában van az adott program, és 'dolgozik', vagy tévedek? bocs, ha láma kérdések

Sinistral

nagyon azért nem értek hozzá, de mivel a linux nyilt forráskódú sztem sokkal könnyebb hozzá virust irni (ebböl a szempontból) söt könnyebb is eldugni a felh. elöl. Hogy miért nem irnak rá? Mert Win-t még mindig 95% használ (tipp). Én ugy tom, h wine alatt "dolgozik" a virus, legalábbis annyi, amennyi töle kitelik, mivel nem tud rendszerbe túrni, nem sokat tud csinálni és keresheti is nyugodtan a system value-t, system32-t és a többit is... :D

cypress

Sinistral"nagyon azért nem értek hozzá, de mivel a linux nyilt forráskódú sztem sokkal könnyebb hozzá virust irni (ebböl a szempontból) söt könnyebb is eldugni a felh. elöl." Miért gondolod ezt?

inigo

Sinistralén pl a keepass oldalán ami egy jelszó kezelő azt olvastam, hogy a fickó úgy gondolja és azért is csinálja nyílt forrással, mert hogy ahol a biztonság kiemelten fontos, ott nagyon fontos lesz, hogy nyílt legyen a kód és legyen lehetőség az ellenőrzésre. Szerintem ez igaz a linuxra is. Mert pl az is egy biztonsági kérdés, ami winnel kapcsolatban fel szokott újra és újra merülni, hogy van e benne valaki kis kapu, amit az amerikai kormány követel meg a microsofttól. nos ilyen kérdések a nyilt kód esetében könnyen megválaszolhatók. itt egy idézet a keepass oldalról: Yes, KeePass is really free, and more than that: it is open-source (OSI certified). You can have a look at its full source and for example check if the encryption algorithms are implemented correctly. Perhaps you wonder why I decided to make it open-source. The answer is relatively simple: in my opinion all software that has something to do with security should be open-source. Here's a quote of Bruce Schneier that sums it up pretty good: As a cryptography and computer security expert, I have never understood the current fuss about the open source software movement. In the cryptography world, we consider open source necessary for good security; we have for decades. Public security is always more secure than proprietary security. It's true for cryptographic algorithms, security protocols, and security source code. For us, open source isn't just a business model; it's smart engineering practice. Bruce Schneier, Crypto-Gram 1999/09/15

wylow

:) Nem láma kérdések. exploit ellen Selinux vagy Appamor a megoldás (főleg azért jó mert kernel szinten működik). Vírusok ellen pedig a megfelelő jogosultság kezelés az orvosság és az admin funkciók alapos ismerete.

[törölve]

wylow:) Az SElinux pont a jogosultságokra helyezi a fő hangsújt.

Sinistral

cypressabból indultam ki, h mivel nyilt forráskód => teljesen át lehet tekinteni a müködést, nem ugy mint a win-ben. Arra irhatsz egy két okosságot, de az opr. müködés mélyét nem fogod megérteni pontosan.

ricsi-pontaz

SinistralIgen jobban átlátja bárki a forráskódot és ha talál valaki egy kiskaput, szól és javítják (igen hamar). Ezt a "könnyebb eldugni nyílt forráskódban" dolgot nem értem, hogy érted? Szerintem sokkal nehezebb, mert bárki megnézheti, hogy mit írtál oda bele, ellentétben a zárt forrással.

Sinistral

ricsi-pontazigen, de nem hiszem, h minden nap átnézed az egész gépet, h nem-e került bele egy újabb sor vhova. Persze win alatt se, (föleg h nem is tudsz :) ), de ott vannak virusirtók. (tom itt is, de elenyészö)

ricsi-pontaz

SinistralÉn nem, de sokan igen. ;) Én meg Winen se használtam soha vírusirtót, körültekintőbben neteztem és ha mégis bekaptam valamit akkor meg az a 2 perces ghost nem sok vizet zavart. :)

DcNdrew

SinistralA forráskód nem egyenlő a bináris fájlokkal, amik az operációs rendszer esetén futnak. :) Amiért a Linux biztonságosabb, amit korábban is említettek, hogy megfelelő jogok nélkül nem nyúlhatsz a rendszerfájlokba. A másik ok a Linuxok különbözősége. Még az is előfordul, hogy a rendszermagjaik sem azonosak. TFH: egy régebbi kernelben van egy pont, ahová a megfelelő üzenetet küldve a rendszer automatikusan root jogot ad a programnak, ami az üzenetet küldte. Erre ír valaki egy vírust, ami ezt kihasználja. Igen ám, de ez a hiba csak teszemazt az Ubuntu 2.6.akárhanyas kernelében van, ezért a pl Mandrivára nincs hatással, mert ott egy másfajta módszert használnak, vagy csak egy zárójellel több van. Ergo ez a hiba a többi rendszermagra nincs veszéllyel. Windowsnál rendszerfrissítéskor vagy valaki nem frissít, és ugyanúgy sebezhető marad a régebbi típusú támadásokkal szemben, vagy frissít, ezáltal csak az újabbak jelenthetnek rá veszélyt. Mivel a Windowsban kevesebb a variáció, nagyobb tömegeket érint a sebezhetőség. Ezen felül pl az Ubuntu rengeteg ellenőrzött szoftvert biztosít, nemigen van szükséged külső helyről való telepítésre. Most hirtelen ennyi jutott eszembe. :)

stage

Szia, Amit kérdezel, az láma is, meg nem is, valamint erősen off-ba csap, szerintem. Azért válaszolok, amennyire tőlem telik. Egy biztonsági rendszerben minden esetben az emberi tényező a leggyengébb láncszem, annak ellenére, hogy még soha-senki nem készített tökéletes (értsd: hibátlan) programot. A winek nagyrésze úgy fertőződik meg, hogy a felhasználóik nem megfelelően használják (3. féltől származó - hitelesítetlen - programokat telepítenek; olyan oldalakat látogatnak meg, melyeket nem kellene; vagy felelőtlenül mindenhonnan e-maileket fogadnak, és olvasnak; stb.) Magától még soha, semilyen pc nem "fázott" meg... szóval száz szónak is egy a vége: minden - pc-n használt - oprendszerre lehet vírust készíteni, NINCS KIVÉTEL!!! Az érdekesebb kérdés inkább az, hogy melyik os hogyan próbálja meg az ilyen jellegű támadásokat visszaverni, megakadályozni. Egy olyan rendszerben, ahol az alap színtű felhasználó bármit megtehet, telepítgethet, törölgethet, jóval nehezebb egy vírusveszélyt , -crack veszélyt- elhárítani, mint egy olyan rendszerben, ahol az alapszintű felhasználónak még orrotfújni sincs joga a rendszergazda engedélye nélkül. Ha a felhasználó rendszergazda is egyben, akkor ott ette meg a fene az egészet. A vírus is root jogokkal fut, bármihez hozzáférhet. Többek között ezért is tiltja defaultként jópár distro a root-ként való bejelentkezést. Wine-nal is tudsz futtatni vírusokat, sőt akár meg is fertőzheti a windows rendszerfájlokat! Mint említettem, a hiba többnyire a szék és a klaviatúra között helyezkedik el. Ha valaki odafigyel, és megteszi a szükséges "óvintézkedéseket", nem kell tartania vírus támadástól - win alatt sem! Üdv.: Stage

cypress

stage[Ez a PEBKAC (problem exists between keybord and chair) tetszik.:-] Programot a tárolókból kell telepíteni, és kell, hogy meg legyen a digitális aláírás. A synaptic figyelmeztet, ha nincs. Ez nagyon fontos.

nagy.zsolt

stagepersze, odáig már én is eljutottam, hogy lehetőleg ne csináljak hülyeségeket, ezért majdnem felesleges volt koptatnod a billentyűzetet :) és nem is ezt kérdeztem... mindenesetre köszönöm, hogy válaszoltál..

g_zoli

cypressÉs a firefox kiegészítőkkel mi a helyzet? Mert külső forrásból nem telepítek progit (csekély kivétellel -sztakker, skype-) de a böngésző kiegészítőinél is figyelmeztet, hogy csak a megbízhatót telepítsem... Zoli szerk.: dupla küldés volt, bocsi

Simonyi Gyula

cypressAmikor a Windows XP nem tartotta hitelesnek az alaplapomhoz tartozó CD-ről származó egyik illesztőprogram digitális aláírását, rájöttem, hogy a "kizárólag hitelesített programok használata" egy rózsaszínű álom.

cypress

nagy.zsoltÉn meg nem is Neked írtam, ezt mondjuk nem írtam oda. Egyébként meg nem "hülyeség", ugyanis többen telepítenek ilyen programokat, mint gondolnád. Tele van az internet .deb Ubuntu csomagokkal, amiket letöltés után, egyszerűen telepíthetsz. Nekem pl. így volt PyTube-om és acetoneiso-m is. Az utóbbi nagyon jó program, Ubi tárolóból viszont nem telepíthető. Ezért fontos, hogy mégis mit kellene csinálni? Telepítünk, nem csak .deb-ből, hanem .tar-ból is. Sőt átalakítjuk az .rpm-et .deb-bé és azt is telepítjük... Ma még gond nélkül tesszük ezt, de ki tudja, mi lesz holnap. Ezt akartam mondani azzal, amit írtam. OFF: Neked nem tetszik a PEBKAC kifejezés? Nekem nagyon tetszik. :-)

stage

g_zoliPersze, megfertőződhet ez által a gép egy linuxvírus által, de komoly kárt nem tud okozni, kivéve, ha root-ként böngészel. De ne aggódj, nem kell mindenben rémeket látni. Mint N-Drew is írta, a vírusok legtöbbször egy kernel hibát próbálnak kihasználni, a kernel kódját pedig többezer programozó pásztázza folyamatosan, hibákat keresve, hogy azt minél előbb javítani lehessen. Ez egy bevált módszer. (Itt ajánlom olvasmánynak a "A katedrális és a bazár" irományt, mely sokmindent megmagyarázhat) Mondok egy példát: Ms nagysikerű oprendszerét, az ikszpét kb 8 éve adták ki. A 8 év alatt 3 azaz három darab patch készült hozzá. A 2.6-os kernel kb 3 éve került bele a distrókba. Jelenleg a 2.6.24-19 verziószámnál tartunk, ami legalább 12 stabil kiadást jelent - aki pontosan tudja, az kiokosíthat minket :-) -! Ez természetesen nem azt jelenti, hogy az ikszpé kevésbé van tele hibákkal, mint a linux rendszermag - sőt... -, hanem azt, hogy az ms-nek nincs elég kapacitása a hibák felderítésére és azok javítására - főleg, ha Billy fiú is belekotnyeleskedik a kernel kódba - . Ha egy átlagon felüli biztonsággal rendelkező otthoni rendszert szeretnél kivitelezni - paranoia, vagy bármely más okból kifolyólag - , úgy a következőket kell elvégezned: - Tűzfal beállítása (IPTABLES, vagy erre épülő szoftok használata) - Vírusírtó használata (Nem tudok egyet sem mondani, nem használtam még soha) - Rendszeren belüli jogrendszer kialakítása (Ez természetesen vonatkozik az egyfelhasználós rendszerekre is !!!) - Alapvető szabályok betartása (nem netezünk root-ként, nem pakoljuk ki a felhasználó nevünket meg jelszavunkat a weboldalunkra, meg ilyen apróságok) Ezeket még lehet olyannal fokozni, hogy titkosított fájlrendszer, meg ilyenek. Üdv.: Stage

lurko

Szvsz azért mondható desktop felhasználásra biztonságosabbnak a linux, mivel elég csekély (mondhatni semmi) a warez.. A programok ingyenesek (nagyrészben, ami felhasználónak kell azok szinte mind) nem úgy mint windows alatt, ahol azért (a berögződéseknek köszönhetően is) magasabb a szoftver warezolás aránya...

Saboteur777

Szerintetek melyik jobb? Hogy kell használni őket? Mit kell feltelepíteni, hogy menjenek? Mit érdemes (mert láttam, hogy elég sok ilyen policy van selinux-hoz, pl.) Mennyire változtatják meg a rendszert láthatóan? (Kicsit fárasztó kérdések... :D)

[törölve]

Saboteur777Az SElinux a jogosultságokat szabja át (még azt is korlátozni tudod, hogy a rendszergazda mit tehet), nagyon megváltoztatja. Külön engedély kell szinte mindenhez. :) Én egyébként az SElinux mellett tenném le a voksom (NSA - amerikai nemzetvédelmi hivatal fejleszti :) ), de a telepítését ha nem csomagból végzed és nem vagy elég szakértő a biztonsági kérdésekben akkor nem ajánlom, de mondjuk csomagból telepítés is feltesz neked jó pár kérdést amire ha nem tudod a választ eléggé elcseszheted a rendszert, akár még te sem férsz hozzá bizonyos dolgokhoz. :D link a telepítéshez: http://www.foogazi.com/2008/03/20/selinux-available-on-ubuntu-804-hardy-heron/ Egyébként google selinux UI: Személyes használatra (desktop) semmi képpen nem ajánlom. Fedora-val alapból települ ott egyszerűen ki lehet próbálni.

[törölve]

stageNem akarok kötekedni, de én úgy tudom, hogy "2.6.24-19" az 24 stabil kiadást jelent a 2.6-on belül. Ha jól tudom csak a második páratlan számok jelentik az unstable-t. Tehát pl: 2.5 -volt illetve mondjuk ha lesz 2.7. Ha tévedtem javítsatok ki. :) Vírusirtó: clamav Rootkit felderítő: chkrootkit (ha még van ilyen), vagy amit én is használok md5sum fájt készítek a kritikus programokról, és ha felmerülne valamilyen probléma csak összevetném őket. :)

stage

[törölve]"24 stabil kiadást jelent" : Annál jobb :-) Köszi a frissítést, nem emlékeztem már rá pontosan, hogyan is verziózzák a kerneleket. Ez van, ha az ember folyamatosan tömi a fejét új infókkal... a régieket felejti ;-) Üdv.: Stage

Következő oldal »