Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Безопасность в Linux (Накопились вопросы)  (Прочитано 4180 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн svk__wlad

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Здравствуйте.
Я уже пару лет ковыряю/изучаю ubuntu (и другие дистрибутивы). Несколько раз хотел перейти полностью на Ubuntu так и не получилось (всегда были какие то косяки, на которые на этом форуме (и на англоязычных) не смогли ответить).

Многие кричат что Linux это супер не уязвимая ОС, специалисты знают что это не так. В июне я себе ставил и настраивал ArchLinux и он меня порадовал своей скоростью работы (Ubuntu помедленнее будет и пакеты не такие свежие) и там наткнулся на тему про AUR репозиторий. В Ubuntu таких аналогов полно, но никто не подчеркивает опасность их использования. Все сводиться к тому что "Если вы нам доверяете то ставьте пакеты из нашего репозитория". А в этих пакетах может сидеть вирус и его обнаружить будет сложно.
Вопрос: как проверить скачиваемый пакет на вирус?

Теперь про браузеры. В ubuntu как я понял могут спокойно утащить куки... последствия могут быть печальными. А если могут утащить куки то потерять свои пароли можно навсегда.
Из выше написанного следует, что использовать webmoney опасно из-за соображений безопасности .
Вопрос: как себя обезопасить при использовании браузера? (отключить куки, javascript - это печально)

Установка антивируса в Ubuntu. Многие скажут что это лишнее и только для windows вирусов. Если вы читали текст написанный выше то уже поняли, что необходимость есть. И антивирус нужен не для поиска windows вирусов, а для вирусов угрожающих Linux.

Если кому интересно то у меня ноут samsung r519-js01 и поддержка железа не очень хорошая (как минимум проблема с видеокартой g105m)


Все что написал выше это мой личный опыт и мое мнение. Я просто хочу узнать ответы на мои вопросы. Может что то забыл написать, но основное написал.

Оффлайн БТР

  • Заслуженный пользователь
  • Модератор форума
  • Старожил
  • *
  • Сообщений: 5407
    • Просмотр профиля
Re: Безопасность в Linux (Накопились вопросы)
« Ответ #1 : 30 Июль 2012, 07:57:26 »
Если за два года ты так и не понял разницы между Ubuntu и виндой, то объяснять что-то бесполезно.

Оффлайн svk__wlad

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Безопасность в Linux (Накопились вопросы)
« Ответ #2 : 30 Июль 2012, 08:04:31 »
БТР,
Если не сложно то можно было и ответить нормально. Разницу я вижу. Если бы я был тупой то не поставил бы и не настроил ArchLinux (это не ubuntu устанавливать)

Оффлайн Дмитрий Бо

  • Погонщик серверов
  • Модератор раздела
  • Старожил
  • *
  • Сообщений: 3540
  • Я не техподдержка, я за порядком слежу
    • Просмотр профиля
    • dihoc.ru - контекстный вьетнамско-русский словарь
Re: Безопасность в Linux (Накопились вопросы)
« Ответ #3 : 30 Июль 2012, 08:19:38 »
А в этих пакетах может сидеть вирус и его обнаружить будет сложно.
ЕМНИП термин "вирус" предполагает самораспространение, так что вряд ли.
А если речь идёт о бэкдоре или ботнете, то как же ты их обнаружишь.

Цитировать
Теперь про браузеры. В ubuntu как я понял могут спокойно утащить куки...
с чего вдруг?
Не опускай рук, а то пропустишь в бороду

Оффлайн БТР

  • Заслуженный пользователь
  • Модератор форума
  • Старожил
  • *
  • Сообщений: 5407
    • Просмотр профиля
Re: Безопасность в Linux (Накопились вопросы)
« Ответ #4 : 30 Июль 2012, 08:21:23 »
Все сводиться к тому что "Если вы нам доверяете то ставьте пакеты из нашего репозитория".
это сокращённая форма от "если вы нами доверяете и у вас не хватает мозгов проверить код на наличие вирусов, бэкдоров, троянов или самостоятельное компилирование, то ставьте пакеты из нашего репозитория".

Вопрос: как проверить скачиваемый пакет на вирус?
как минимум посмотреть DEBIAN/pre -post и т.п. install скрипты - онина bash, разобраться не так сложно.

Теперь про браузеры. В ubuntu как я понял могут спокойно утащить куки... последствия могут быть печальными. А если могут утащить куки то потерять свои пароли можно навсегда.
Из выше написанного следует, что использовать webmoney опасно из-за соображений безопасности .
Вопрос: как себя обезопасить при использовании браузера? (отключить куки, javascript - это печально)
Для работы использовать один, для хождения по помойкам и т.п. сомнительным ресурсам другой профиль

Установка антивируса в Ubuntu. Многие скажут что это лишнее и только для windows вирусов. Если вы читали текст написанный выше то уже поняли, что необходимость есть. И антивирус нужен не для поиска windows вирусов, а для вирусов угрожающих Linux.
Если вы скачали пакет, который по ходу установки делает эрэм эрэф /* , никакой антивирус не спасёт, т.к. это не вирус, а обычный кусок командного сценария.

Оффлайн svk__wlad

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Безопасность в Linux (Накопились вопросы)
« Ответ #5 : 30 Июль 2012, 08:46:58 »
А в этих пакетах может сидеть вирус и его обнаружить будет сложно.
ЕМНИП термин "вирус" предполагает самораспространение, так что вряд ли.
А если речь идёт о бэкдоре или ботнете, то как же ты их обнаружишь.
Да речь идет о них.

Цитировать
Цитировать
Теперь про браузеры. В ubuntu как я понял могут спокойно утащить куки...
с чего вдруг?
Со словом "спокойно" я преувеличил. Например вот https://forum.ubuntu.ru/index.php?topic=98937.msg752317#msg752317

Цитировать
Цитировать
Все сводиться к тому что "Если вы нам доверяете то ставьте пакеты из нашего репозитория".
это сокращённая форма от "если вы нами доверяете и у вас не хватает мозгов проверить код на наличие вирусов, бэкдоров, троянов или самостоятельное компилирование, то ставьте пакеты из нашего репозитория".
Согласен, но не будите же вы проверять каждый пакет который вы устанавливаете и его обновления?, это трудоемкий процесс. Проще свой код написать чем в чужом разобраться.(программисты поймут)

Оффлайн censor

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Re: Безопасность в Linux (Накопились вопросы)
« Ответ #6 : 30 Июль 2012, 09:10:08 »
Теперь про браузеры. В ubuntu как я понял могут спокойно утащить куки... последствия могут быть печальными. А если могут утащить куки то потерять свои пароли можно навсегда.
Из выше написанного следует, что использовать webmoney опасно из-за соображений безопасности .
Вопрос: как себя обезопасить при использовании браузера? (отключить куки, javascript - это печально)
утащить куки (если такая возможность есть) могут и в windows.
в платежных системах при регистрации требуются паспортные данные и в случае возникновения спорных ситуаций ими весьма удобно восстанавливать доступ к своим учетным данным, что же касается форумов и сайтов при регистрации там указывается почтовый ящик на который нормальные сайты отправляют запросы-подтверждения той или иной операции производимой с профилем пользователя.
пользуюсь деньгами яндекса более двух лет, не так давно получил пластиковую карточку яндекса, проблем с пользованием нет.
у мозилы есть замечательные расширения noscript и adblock, выставить в дефолт блокоровать все кроме разрешенных и не замарачиваться.

Оффлайн svk__wlad

  • Автор темы
  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
Re: Безопасность в Linux (Накопились вопросы)
« Ответ #7 : 30 Июль 2012, 10:27:32 »
censor,
Про windows и речи нет (конечно можно), но windows пытается защищать антивирус и файрвол.

Кто нибудь может поделиться хорошими ссылками по данной теме, где подробно рассматриваются вопросы безопасности ОС.

Dragon112

  • Гость
Re: Безопасность в Linux (Накопились вопросы)
« Ответ #8 : 30 Июль 2012, 10:41:16 »
Я поставил себе антивирус от DrWeb для Linux
А про мифическую неуязвимость я даже слышать не хочу...
Вообще говоря по жизни - наивность и доверчивость - самые дорогие удовольствия.
« Последнее редактирование: 30 Июль 2012, 10:49:58 от Dragon112 »

narsilandruil

  • Гость
Re: Безопасность в Linux (Накопились вопросы)
« Ответ #9 : 30 Июль 2012, 10:56:31 »
Я поставил себе антивирус от DrWeb для Linux
А про мифическую неуязвимость я даже слышать не хочу...
Вообще говоря по жизни - наивность и доверчивость - самые дорогие удовольствия.
Такими же "мыслями" пользуются Антивирусопейсатели  и маркетологи, которые это втюхивают юзерам.

Если кому-то станет нужно ломануть ваш комп. Никакой DrWeb за over9000$ (или ещё что) вас не спасёт.
Нет ничего неуязвимого.
« Последнее редактирование: 30 Июль 2012, 11:06:08 от |\|аrsil/-\ndruil »

Оффлайн Дмитрий Бо

  • Погонщик серверов
  • Модератор раздела
  • Старожил
  • *
  • Сообщений: 3540
  • Я не техподдержка, я за порядком слежу
    • Просмотр профиля
    • dihoc.ru - контекстный вьетнамско-русский словарь
Re: Безопасность в Linux (Накопились вопросы)
« Ответ #10 : 30 Июль 2012, 11:05:12 »
Если человек сам  установил программу, то что может сделать антивирус? имхо, после этого отличить вредоносное ПО от нормального нет никакой возможности.

Не опускай рук, а то пропустишь в бороду

track

  • Гость
Re: Безопасность в Linux (Накопились вопросы)
« Ответ #11 : 03 Август 2012, 17:25:47 »
Если бы я был тупой то не поставил бы и не настроил ArchLinux (это не ubuntu устанавливать)
О да! Это такой веский аргумент :)

Оффлайн ubuntulyb

  • Новичок
  • *
  • Сообщений: 46
  • UBUNTU само СОВЕРШЕНСТВО
    • Просмотр профиля
Re: Безопасность в Linux (Накопились вопросы)
« Ответ #12 : 03 Август 2012, 17:51:28 »
Если кому-то станет нужно ломануть ваш комп. Никакой DrWeb за over9000$ (или ещё что) вас не спасёт.
Нет ничего неуязвимого.
но можно свести до 999% эту возможность при личном присутствии рядом с включенной машиной, если что дергать шнур чтобы при малейшем неравновесии силы во вселеной
Если бы не закон сохранения энергии

Оффлайн arch!ver

  • Забанен
  • Старожил
  • *
  • Сообщений: 1260
    • Просмотр профиля
Re: Безопасность в Linux (Накопились вопросы)
« Ответ #13 : 04 Август 2012, 04:17:41 »
Не знаю, шифруются ли пароли на уровне куков?... Но от знакомых админов слышал, что на большинтве поп-сайтов и форум-флудилок пароли вообще лежат в открытом виде ;)... По этому в первую очередь стоит трясти администрацию ресурсов, к которым у вас есть претензии... Но это не самое главное и не самое важное, ибо в половине случаев администратору ваши личные данные и секреты - просто нафик не нужны, - дороже потом самому себе выйдет, если чо...

Но оптимальным на данном этапе вариантом будет умение составить хороший, стойкий пароль для ресурса или системы, с элементами мнемотехнических технологий (мнемотехника - способ запоминания)

Пароль должен состоять из латинских букв, как больших так и малых, цифр и символов... Минимальное колличество знаков каждого, должно быть не менее 3-х..., буквы не должны быть словом, цифры не должны идти подряд - 1,2,3,4...

Могу привести пример:

1. Берём слово мама и искажаем его - мано - исключая повторы букв
2. Берём слово папа - искажаем - патре птре - исключая повторы букв
3. Берём наугад любые символы - %, $, *,@
4. Берём известные цифры, например день рождения и год - или 4 цифры из номера телефона, без повторов: 1,5,7,0

Потом придумываем два алгоритма:

1. Алгоритм перемешивания знаков
2. Правило для больших и малых букв, например слова MANO - будет большими буквами, а слово ptre - малыми.

Далее смешиваем по алгоритму, например - большая буква + цифра + малая буква+ символ:

M1p%A5t$N7r*O0e@ ... Примерная энтропия пароля равна 36 Бит

Получаем пароль с очень хорошей стойкостью не только для веба, но и для самой системы, который достаточно не сложно вспомнить, зная алгоритмы и правила по которым он создавался Вами же...

Хороший пароль - это не значит что его нельзя сломать, по этому менять пароли нужно достаточно часто... Самое короткое - через месяц, самое долгое - через 5-6 месяцев... Для данного пароля - раз в месяц можно менять алгоритм перемешивания, ну а через пол-года можно и сам пароль махнуть на другой...

Я вам привёл пароль из смешивания 4-х значных слов и наборов символов... Но можно попробовать и 5, 6, 8 - на сколько у вас хватит терпения и мнемотехнических данных, - чем длиннее тем в принципе лучше...

____________________________________

http://ru.wikipedia.org/wiki/%D0%A1%D0%BB%D0%BE%D0%B6%D0%BD%D0%BE%D1%81%D1%82%D1%8C_%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8F
« Последнее редактирование: 05 Август 2012, 05:13:21 от archiver »
Шизофреник админ, - горе в семье...

Оффлайн Дмитрий Бо

  • Погонщик серверов
  • Модератор раздела
  • Старожил
  • *
  • Сообщений: 3540
  • Я не техподдержка, я за порядком слежу
    • Просмотр профиля
    • dihoc.ru - контекстный вьетнамско-русский словарь
Re: Безопасность в Linux (Накопились вопросы)
« Ответ #14 : 04 Август 2012, 05:42:05 »
Не знаю, шифруются ли пароли на уровне куков?...
В печеньках нет паролей.

Цитировать
Но от знакомых админов слышал, что на большинтве поп-сайтов и форум-флудилок пароли вообще лежат в открытом виде
Писать свой движок хлопотно, проще взять готовый, а писатели движков обычно такого не допускают.

А вот на ЛОРе до недавних пор лежал текстом :)
Не опускай рук, а то пропустишь в бороду

 

Страница сгенерирована за 0.2 секунд. Запросов: 25.