Despre securitatea in Linux...

shogun1, on 06 ianuarie 2019 - 12:10, said:

E un risc mai mare fiindca poate afecta partitia sistem daca ruleaza ceva malitios, nu de pe ce a montat dar creanga de pe net.

karax, on 06 ianuarie 2019 - 12:28, said:

Pai salveaza numai sub userul curent fiindca are drepturi (de aici nu poate compromite intreg sistemul). Daca vrea altundeva inseamna ca-i dubioasa (mai putin procesul de instalare).

Edited by neagu_laurentiu, 06 January 2019 - 12:53.

neagu_laurentiu, on 06 ianuarie 2019 - 12:47, said:

problema e in momentul ala CUI da sistemul drept de modificare. Ca se  poate intampla caz ciudat dar  posibil, ca softul malitios sa aiba drept de scriere si modificare si tu , user agent-ul ,sa n-ai... De aia eu as crea un user agent legat de inputul tastaturii ....ala sa aiba ultima decizie ... si care sa nu poata fi override de nimic , nici macar de softuri care primesc si folosesc inputuri de la tastatura si interactioneaza cu tastatura ....

Edited by karax, 06 January 2019 - 12:54.

karax, on 06 ianuarie 2019 - 12:54, said:

Inseamna ca ai configurat prost sau n-ai fost atent cand te-a intrebat daca-i dai voie.

karax, on 06 ianuarie 2019 - 12:54, said:

Lasa bre ce ai face tu, stim ca esti inventator, discutam despre ce exista. Iar aplicatiile ruleaza in spate si fara tastatura, se numesc servicii.

karax, on 06 ianuarie 2019 - 12:54, said:

Nu iei in calcul ca atunci cand un virus intra in inima sistemului, el e stapanul, nu ce ai facut tu candva, totul trece pe la poarta lui mai intai.

Edited by neagu_laurentiu, 06 January 2019 - 13:03.

neagu_laurentiu, on 06 ianuarie 2019 - 13:02, said:

1 evident , si asta tine de userul din fata calculatorului. Si de cat de alambicate sunt chestiunile astea cu drepturi si privilegii. Spre exemplu la un antivirus trebuie sa ii dai voie sa modifice si sa stearga date , la un soft malitios nu. Deci cum stabilesti chestia asta cu write and modify? Antivirusul tine de user sau tine de adminul sistemului ascuns? Si alte softuri de cine tin? Daca interzic unui guest user sa scrie pana si un txt cu ce il ajuta si ma ajuta? Dar daca acel txt contine ceva malitios? Deci antivirusul trebuie sa faca diferenta intre chestii , date in format txt si spre exemplu cum avem  la cstrike , configul e in format txt si citit de joc.
Pentru mine cel  mai simplu e  in felul urmator: orice data care se scrie si se modifica trebuie sa ceara un accept , sa solicite un input de la tastatura. Si astea le gasesti cu antivirusul care cauta cod cheie in malware-ul respectiv. In rest ca avem si servicii, pai de ce exista optiunea ca servicii ale windows-ului sa fie rulate din aplicatii 3rd party? Pai normal ca no sa stai sa dai ok la fiecare serviciu in parte ca sunt zeci si sute de ok-uri. Astfel trebuie un accept mai generalist pe care userul sa il faca. Si as mai face ceva. Un tip anume de fisier pe care il poti face cu click dreapta si new din mouse ... care sa fie din start catalogat ca "personal data file".
In rest orice virus trebuie in mod implicit ca mai intai sa ceara acordul sa ajunga admin  , altfel n-are cum...
Eu m-as concentra pe etichetarea fisierelor de catre user ca fiind date sensibile si aceste date sa zica antivirusul de fiecare data cine si ce face cu ele..
Dar furtul de date e doar o infractiune. O alta infractiune e cand sa zicem esti deprivat de dreptul de a naviga pe net. Si asta inseamna alti tipuri de virusi si alte chestii decat modifcarea si furtul de  date.

Edited by karax, 06 January 2019 - 14:09.

karax, on 06 ianuarie 2019 - 13:53, said:

Antivirusul nu lucreaza sub drepturile utilizatorului curent ci mai spre inima sistemului. La alte aplicatii te documentezi care-i rolul lor.

karax, on 06 ianuarie 2019 - 13:53, said:

Nu-i interzici in locatiile userului in cauza (are si el casa lui, nu umbla peste tot).

karax, on 06 ianuarie 2019 - 13:53, said:

Lasa antivirusul, asta e o terta aplicatie. Vorbim despre sistemul de operare.

karax, on 06 ianuarie 2019 - 13:53, said:

Fiindca ele ofera ceva util, nu-s degeaba acolo.

karax, on 06 ianuarie 2019 - 13:53, said:

Ba are. Lasa scenariile cu utilizatori care nu stiu sa configureze dar cand intra astea mai cu cap, ele exploateaza gauri de securitate unde nici dracu' nu pazeste. De asta se cheama "gaura". Si intra, se pune sef apoi trebuie sa razi sitemul ca nu-l mai dai jos.

Pai in cazul acesta singura optiune e ca  antivirusul si sistemul de operare sa aiba capacitatea de a discerne intre date , ce e aia data sensibila sau serviciu sensibil si ce nu e, si sa analizeze fiecare particularitate in parte.
Ai avea ceva de genul
if x do  y but not z
mark as safe
sau
if  x keyword (din limbajul de programare, care sa insemne ca acceseaza date si servicii)  este alaturat cu y si z fara sa ceara acord
mark as unsafe
si lista continua over and over again ca sunt multe feluri de a scrie o chestie .....

Am citit cate ceva despre virusii polimorfici si metamorfici....aici orice antivirus trebuie sa recunoasca un bind , prin bind intelegand frazele de inceput prin care sunt asociate cuvinte si semne unor cuvinte din limbajul de programare pentru a pacali. De aici se practica recursiv pe metoda parcurgerii inapoi pe firul logic al operatiilor. Si decriptezi in plain text orice. Dar again astea sunt doar o parte din chestiunea cu siguranta pe net pentruca vorba ta,  o gaura e o gaura si daca  antivirusul nu acopera toata plaja de actiuni pe care o poate face un malware ....poate sa fie si in plain text ca nu te prinzi.

karax, on 06 ianuarie 2019 - 14:18, said:

Nu poti niciodata asta pentru ca sunt situatii cand eu vreu sa scriu niste date ce tu le vezi rau intentionate iar eu asa le vreu, nu fac ce crezi tu dar au rol inofensiv sau bine gestionat de mine.
Pana la urma nu calculatorul e seful in povestea asta ci omul. Calculatorul e doar un instrument. Cand el devine sef, putem sa ne dam foc la valiza.

shogun1, on 06 ianuarie 2019 - 12:01, said:

Adica cam asa:

Quote

Mai adaugam si umask 0077:

Quote

Si iptables, sub GNU/Linux parca controlez mai bine FW-ul ca in ferestre unde nu sunt sigur daca micromoale adera la principiul implicit deny sau nu desi default ferestre are nspe mii de reguli in firewall de ma scarpin in cap ca o maimuta proasta si ma intreb daca e chiar nevoie de toata mizeria aia sau nu.
Per total poate nu e mare diferenta intre ele insa in timp ce GNU/Linux a avut ideea de simplitate de la care a plecat la drum, micromoale a venit cu ideea de complex, complicat, alambicat, atat de complicat ca nici ei nu stiu ce si cate gauri au in OS.

MembruAnonim, on 06 ianuarie 2019 - 14:29, said:

Se poate seta cum vrei.

MembruAnonim, on 06 ianuarie 2019 - 14:29, said:

Le dai jos si le pui pe ale tale.

MembruAnonim, on 06 ianuarie 2019 - 14:29, said:

Si userii au vina lor, mereu cer de la MS lucruri care-s la limita securitatii, IE sa ruleze ActiveX cu dreptul full pe disc, sa le spuna Cortana unde le sunt chilotii, sa le faca la click nu stiu ce etc.si a rezultat ceva setabil dar complicat ca fiecare sa-si gaseasca locul

Edited by neagu_laurentiu, 06 January 2019 - 14:38.

neagu_laurentiu, on 06 ianuarie 2019 - 14:22, said:

spre exemplu  un software care imparte tabele office in retea, nu? a  lua acele date si a le imparti reprezinta un potential pericol tocmai pentru ca se iau date si se impart.... aici antivirusul trebuie sa verifice ce se face cu acele date, unde se duc ele , daca ai dat permisiunea unui lucrur in retea sa zicem , daca este vorba de un soft cu  lucru in retea sau sharing pe internet. Ar fi benefica existenta unui whitelist cu actiuni si softuri , mai ales cu softuri, care lucreaza cu documente in retea. Si ar mai fi benefica ideea de antivirus cumulat cum ar veni, pe mai multe calculatoare , intre care sa se impartaseasca date , un fel de antivirusi in comun al tuturor calculatoarelor din retea. Ar fi bine si niste mesaje de confirmare si colaborare intre windows-urile diferitelor calculatoare.
Dar asta e doar un exemplu asa ....in practica  AI DREEPTATE si asta e un subiect prea vast ca sa ma apuc sa il disec aici pe topicul asta.  Asa ca va las.... ma duc pe alte topicuri , decat sa trolez...

neagu_laurentiu, on 06 ianuarie 2019 - 14:38, said:

Si uite asa if-uri si else-uri pentru fiecare caz in parte cum ar veni.... pana se vor acoperi toata plaja de posibilitati pe care le poti face cu un set de date whatever care sunt ele...

MembruAnonim, on 06 ianuarie 2019 - 14:29, said:

Eu am 3 partiții: prima pentru Debian; a doua are filme, muzică, imagini, documente; a treia e în caz de nevoie, pentru testare sisteme de operare în principal.

Mr_nobody_, on 06 ianuarie 2019 - 16:08, said:

Bravo, exact la asta se referea @MembruAnonim, o partitie pentru distributia Linux si inca cateva pentru filme, muzica, poze....! Cum de ți-ai dat seama?

Zici că

Mr_nobody_, on 06 ianuarie 2019 - 11:34, said:

????
Si ce ai facut cu el in toti anii astia? Ai instalat distributia cu next, next, next, te-ai dat pe net si ai vazut filme, poze si ascultat muzică?
"Ca cam" atat reiese.

Numarul de partitii e relativ la utilizator, nu conteaza OS-ul, fie ca e GTNU/Linux fie ca e ferestre e tot una, la final utilizatorul e cel care decide daca vrea o partitie sau mai multe. Nu orice persoana va merge pe o schema de partitionare ca mai jos:

Quote

Schema folosita de mine acum 2 ani cand distributie secundara era Slackware. De exemplu pe vremea lui ferestre am avut minim 3 partitii, de cand am avut primul PC si pana m-am lasat de sportul asta periculos, ferestre. Pana la urma in afara de numarul de partitii conteaza si ce se afla intre scaun si tastatura. La fel de mult ca si instalarea patch-urilor + update-urilor care se face fix de aceiasi entitate dintre scaun si tastatura. Poate parerea mea e afectata de faptul ca imi place GNU/Linux de jde miliarde de ori mai mult ca ferestre si poate de asta am impresia ca balanta ar trage mai mult spre GNU/Linux.

Ca orice alt rahat de pe lumea asta securitatea unui sistem informatic este definit de veriga cea mai slaba. Oricat de buna ar fi securitatea unui sistem IT atat timp cat acel sistem este deschis userilor atunci nivelul de securitate al acelui sistem este dat de cel mai slab pregatit si total dezinteresat user.

Edited by MembruAnonim, 06 January 2019 - 17:16.

trai_av, on 06 ianuarie 2019 - 16:51, said:

Zic că nu e nevoie de măsuri paranoice pentru securitate, un utilizator normal cu Ubuntu nu va avea probleme cu malware.

Hai totusi ca nu e asa. Un user de bubuntu e doar un average user nu poweruser, nu ca printre utilizatorii de bubuntu nu ar exista si poweruserii, asa ca riscul sa isi beleasca sistemul cand da click ca bezmeticul sau deschide orice rahat e la fel de mare ca si cum ar rula ferestre. Ca numarul de malware e mai mic pentru GNU/Linux e alta treaba. Dar daca un malware ar veni atat in varianta ferestre cat si GNU/Linux ambele sisteme ar fi infectate la fel de usor daca intre scaun si tastatura ar fi un average joe.

PS: Cand xic GNU/Linux ma refer de fapt la distributii GNU/Linux.

Edited by MembruAnonim, 06 January 2019 - 17:22.

MembruAnonim, on 06 ianuarie 2019 - 17:12, said:

Corect, dar unele sisteme de operare sunt mai foolproof decât altele. Greu va prinde cineva malware pe Linux, oricât e de atehnic.

Vad ca a raspuns deja @MembruAnonim, asa ca nu are rost sa spun ca doar reusesti sa confirmi parerea mea despre experienta ta de 12 ani de Linux, dar

Mr_nobody_, on 06 ianuarie 2019 - 17:22, said:

ia dezvolta (cu amanunte tehnice, nu abureala) ca sa reusesc si eu sa inteleg de ce ar fi atat de greu.

PS
Desi poti sa consideri intrebarea ca fiind retorica (caci raspunsul e mai mult decat evident in acest caz) sunt totusi curios:
Ai compilat macar o data in viata ta un pachet .bin?

Edited by trai_av, 06 January 2019 - 17:33.

MembruAnonim, on 06 ianuarie 2019 - 17:12, said:

cum ti-a mers bine asa? din cate stiu eu alea sunt fiecare foldere cu tipuri de fisiere din fiecare program. Adica in timp ce la windows ai in acelasi folder toate fisierele programelor in  linux le ai separat : toate binarele spre exemplu de la toate programele sunt puse in acelasi loc si toate temporarele sunt puse in acelasi loc. Ceea ce nu stiu daca face bine la viteza de lucru a pc-ului. Daca fisierele unui program sunt puse pe mediul de stocare in mod continuu atunci si accesarea e mai rapida, cel putin pe hdd... cum naiba ar veni  pe un hdd sa accesezi doua sau mai multe binare simultan cu acelasi cap? In mod continuu cel putin capul de citire face niste rotatii si trece pe la fiecare ... In  plus ce te  faci cand pe unele trebuie sa mergi cu sudo si pe altele nu chiar daca sunt  in /temp sau  /bin...si aici se pot face virusi si se pot gasi exploituri

Daca ai avea  un sistem de fisiere hibrid as mai intelege , asta ar fi cel mai potrivit , hibrid intre windows si linux