Безопасность в Linux (Накопились вопросы)

[svk__wlad]

Здравствуйте.
Я уже пару лет ковыряю/изучаю ubuntu (и другие дистрибутивы). Несколько раз хотел перейти полностью на Ubuntu так и не получилось (всегда были какие то косяки, на которые на этом форуме (и на англоязычных) не смогли ответить).

Многие кричат что Linux это супер не уязвимая ОС, специалисты знают что это не так. В июне я себе ставил и настраивал ArchLinux и он меня порадовал своей скоростью работы (Ubuntu помедленнее будет и пакеты не такие свежие) и там наткнулся на тему про AUR репозиторий. В Ubuntu таких аналогов полно, но никто не подчеркивает опасность их использования. Все сводиться к тому что "Если вы нам доверяете то ставьте пакеты из нашего репозитория". А в этих пакетах может сидеть вирус и его обнаружить будет сложно.
Вопрос: как проверить скачиваемый пакет на вирус?

Теперь про браузеры. В ubuntu как я понял могут спокойно утащить куки... последствия могут быть печальными. А если могут утащить куки то потерять свои пароли можно навсегда.
Из выше написанного следует, что использовать webmoney опасно из-за соображений безопасности .
Вопрос: как себя обезопасить при использовании браузера? (отключить куки, javascript - это печально)

Установка антивируса в Ubuntu. Многие скажут что это лишнее и только для windows вирусов. Если вы читали текст написанный выше то уже поняли, что необходимость есть. И антивирус нужен не для поиска windows вирусов, а для вирусов угрожающих Linux.

Если кому интересно то у меня ноут samsung r519-js01 и поддержка железа не очень хорошая (как минимум проблема с видеокартой g105m)


Все что написал выше это мой личный опыт и мое мнение. Я просто хочу узнать ответы на мои вопросы. Может что то забыл написать, но основное написал.

[БТР]

Если за два года ты так и не понял разницы между Ubuntu и виндой, то объяснять что-то бесполезно.

[svk__wlad]

БТР,
Если не сложно то можно было и ответить нормально. Разницу я вижу. Если бы я был тупой то не поставил бы и не настроил ArchLinux (это не ubuntu устанавливать)

[Дмитрий Бо]

А в этих пакетах может сидеть вирус и его обнаружить будет сложно.

ЕМНИП термин "вирус" предполагает самораспространение, так что вряд ли.
А если речь идёт о бэкдоре или ботнете, то как же ты их обнаружишь.

Теперь про браузеры. В ubuntu как я понял могут спокойно утащить куки...

с чего вдруг?

[БТР]

Все сводиться к тому что "Если вы нам доверяете то ставьте пакеты из нашего репозитория".

это сокращённая форма от "если вы нами доверяете и у вас не хватает мозгов проверить код на наличие вирусов, бэкдоров, троянов или самостоятельное компилирование, то ставьте пакеты из нашего репозитория".

Вопрос: как проверить скачиваемый пакет на вирус?

как минимум посмотреть DEBIAN/pre -post и т.п. install скрипты - онина bash, разобраться не так сложно.

Теперь про браузеры. В ubuntu как я понял могут спокойно утащить куки... последствия могут быть печальными. А если могут утащить куки то потерять свои пароли можно навсегда.
Из выше написанного следует, что использовать webmoney опасно из-за соображений безопасности .
Вопрос: как себя обезопасить при использовании браузера? (отключить куки, javascript - это печально)

Для работы использовать один, для хождения по помойкам и т.п. сомнительным ресурсам другой профиль

Установка антивируса в Ubuntu. Многие скажут что это лишнее и только для windows вирусов. Если вы читали текст написанный выше то уже поняли, что необходимость есть. И антивирус нужен не для поиска windows вирусов, а для вирусов угрожающих Linux.

Если вы скачали пакет, который по ходу установки делает эрэм эрэф /* , никакой антивирус не спасёт, т.к. это не вирус, а обычный кусок командного сценария.

[svk__wlad]

А в этих пакетах может сидеть вирус и его обнаружить будет сложно.

ЕМНИП термин "вирус" предполагает самораспространение, так что вряд ли.
А если речь идёт о бэкдоре или ботнете, то как же ты их обнаружишь.

Да речь идет о них.

Теперь про браузеры. В ubuntu как я понял могут спокойно утащить куки...

с чего вдруг?

Со словом "спокойно" я преувеличил. Например вот https://forum.ubuntu.ru/index.php?topic=98937.msg752317#msg752317

Все сводиться к тому что "Если вы нам доверяете то ставьте пакеты из нашего репозитория".

это сокращённая форма от "если вы нами доверяете и у вас не хватает мозгов проверить код на наличие вирусов, бэкдоров, троянов или самостоятельное компилирование, то ставьте пакеты из нашего репозитория".

Согласен, но не будите же вы проверять каждый пакет который вы устанавливаете и его обновления?, это трудоемкий процесс. Проще свой код написать чем в чужом разобраться.(программисты поймут)

[censor]

Теперь про браузеры. В ubuntu как я понял могут спокойно утащить куки... последствия могут быть печальными. А если могут утащить куки то потерять свои пароли можно навсегда.
Из выше написанного следует, что использовать webmoney опасно из-за соображений безопасности .
Вопрос: как себя обезопасить при использовании браузера? (отключить куки, javascript - это печально)

утащить куки (если такая возможность есть) могут и в windows.
в платежных системах при регистрации требуются паспортные данные и в случае возникновения спорных ситуаций ими весьма удобно восстанавливать доступ к своим учетным данным, что же касается форумов и сайтов при регистрации там указывается почтовый ящик на который нормальные сайты отправляют запросы-подтверждения той или иной операции производимой с профилем пользователя.
пользуюсь деньгами яндекса более двух лет, не так давно получил пластиковую карточку яндекса, проблем с пользованием нет.
у мозилы есть замечательные расширения noscript и adblock, выставить в дефолт блокоровать все кроме разрешенных и не замарачиваться.

[svk__wlad]

censor,
Про windows и речи нет (конечно можно), но windows пытается защищать антивирус и файрвол.

Кто нибудь может поделиться хорошими ссылками по данной теме, где подробно рассматриваются вопросы безопасности ОС.

[Dragon112]

Я поставил себе антивирус от DrWeb для Linux
А про мифическую неуязвимость я даже слышать не хочу...
Вообще говоря по жизни - наивность и доверчивость - самые дорогие удовольствия.

[narsilandruil]

Я поставил себе антивирус от DrWeb для Linux
А про мифическую неуязвимость я даже слышать не хочу...
Вообще говоря по жизни - наивность и доверчивость - самые дорогие удовольствия.

Такими же "мыслями" пользуются Антивирусопейсатели  и маркетологи, которые это втюхивают юзерам.

Если кому-то станет нужно ломануть ваш комп. Никакой DrWeb за over9000$ (или ещё что) вас не спасёт.
Нет ничего неуязвимого.

[Дмитрий Бо]

Если человек сам  установил программу, то что может сделать антивирус? имхо, после этого отличить вредоносное ПО от нормального нет никакой возможности.

[track]

Если бы я был тупой то не поставил бы и не настроил ArchLinux (это не ubuntu устанавливать)

О да! Это такой веский аргумент

[ubuntulyb]

Если кому-то станет нужно ломануть ваш комп. Никакой DrWeb за over9000$ (или ещё что) вас не спасёт.
Нет ничего неуязвимого.

но можно свести до 999% эту возможность при личном присутствии рядом с включенной машиной, если что дергать шнур чтобы при малейшем неравновесии силы во вселеной

[arch!ver]

Не знаю, шифруются ли пароли на уровне куков?... Но от знакомых админов слышал, что на большинтве поп-сайтов и форум-флудилок пароли вообще лежат в открытом виде ... По этому в первую очередь стоит трясти администрацию ресурсов, к которым у вас есть претензии... Но это не самое главное и не самое важное, ибо в половине случаев администратору ваши личные данные и секреты - просто нафик не нужны, - дороже потом самому себе выйдет, если чо...

Но оптимальным на данном этапе вариантом будет умение составить хороший, стойкий пароль для ресурса или системы, с элементами мнемотехнических технологий (мнемотехника - способ запоминания)

Пароль должен состоять из латинских букв, как больших так и малых, цифр и символов... Минимальное колличество знаков каждого, должно быть не менее 3-х..., буквы не должны быть словом, цифры не должны идти подряд - 1,2,3,4...

Могу привести пример:

1. Берём слово мама и искажаем его - мано - исключая повторы букв
2. Берём слово папа - искажаем - патре птре - исключая повторы букв
3. Берём наугад любые символы - %, $, *,@
4. Берём известные цифры, например день рождения и год - или 4 цифры из номера телефона, без повторов: 1,5,7,0

Потом придумываем два алгоритма:

1. Алгоритм перемешивания знаков
2. Правило для больших и малых букв, например слова MANO - будет большими буквами, а слово ptre - малыми.

Далее смешиваем по алгоритму, например - большая буква + цифра + малая буква+ символ:

M1p%A5t$N7r*O0e@ ... Примерная энтропия пароля равна 36 Бит

Получаем пароль с очень хорошей стойкостью не только для веба, но и для самой системы, который достаточно не сложно вспомнить, зная алгоритмы и правила по которым он создавался Вами же...

Хороший пароль - это не значит что его нельзя сломать, по этому менять пароли нужно достаточно часто... Самое короткое - через месяц, самое долгое - через 5-6 месяцев... Для данного пароля - раз в месяц можно менять алгоритм перемешивания, ну а через пол-года можно и сам пароль махнуть на другой...

Я вам привёл пароль из смешивания 4-х значных слов и наборов символов... Но можно попробовать и 5, 6, 8 - на сколько у вас хватит терпения и мнемотехнических данных, - чем длиннее тем в принципе лучше...

____________________________________

http://ru.wikipedia.org/wiki/%D0%A1%D0%BB%D0%BE%D0%B6%D0%BD%D0%BE%D1%81%D1%82%D1%8C_%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8F

[Дмитрий Бо]

Не знаю, шифруются ли пароли на уровне куков?...

В печеньках нет паролей.

Но от знакомых админов слышал, что на большинтве поп-сайтов и форум-флудилок пароли вообще лежат в открытом виде

Писать свой движок хлопотно, проще взять готовый, а писатели движков обычно такого не допускают.

А вот на ЛОРе до недавних пор лежал текстом