Какой универсальный способ защиты большинства установленных дистрибутивов Linux от малвари и т.п.?

Question

[DefectedToster]

...Чтобы вы понимали, вопрос задан пользователем(мной), который плавно пытается перейти с Windows на Linux, и освоить его, для начала, на уровне уверенного пользователя. ...
Существует ли универсальный способ защиты большинства вариантов дистрибутивов Linux от малвари и т.п.? Приведу аналогию, понятную мне: на Винде это можно достигать связкой антивирус-файрвол + холодный разум при посещении сайтов и выборе источников с ПО. Такая оборона на мой взгляд эффективно-примитивно-актуальная. Зато справляется))
Как тоже самое достигается в Linux'е?
P.S. Планирую начать с настройки Linux в контексте безопасности, а уж потом переходить к остальному. Поэтому, кроме основного вопроса, прошу поправить мое непонимание в алгоритме знакомства с Linux, если таковое имеется.
P.S.S. Про универсальность дистрибутивов упомянул потому, что собираюсь использовать как минимум несколько. Например сборку Mint и Manjaro.

Answer 1

[Saboteur]

Чтобы "полностью" защитить свой Линукс от взлома, отключите его от интернет и не вставляйте в него никакие диски/флешки.

Или попустите немного свой уровень паранойи.

" и все таки не хочется подвергать себя даже малейшему риску(как миниум наслышан о популярных ныне шифровальщиках)."
От шифровальщиков отлично спасают регулярные бэкапы всей важной информации на внешний диск.

"на Винде это можно достигать связкой антивирус-файрвол + холодный разум при посещении сайтов и выборе источников с ПО. Такая оборона на мой взгляд эффективно-примитивно-актуальная. Зато справляется))
Как тоже самое достигается в Linux'е?"
Файрвол в Линуксе появился гораздо раньше, чем в Windows - разберитесь с тем, как работает популярный iptables. Антивирусов под Линукс конечно меньше, но они тоже есть. С другой стороны холодный разум при посещении сайтов и работа с правами обычного пользователя - практически залог спокойной жизни.

Ну и нужно осознать, что не являясь хорошим специалистом в Линукс, вы не сможете понять как именно его защитить, поскольку вы не всегда будете даже осознавать где именно оно уязвимо. И почитав десяток-другой ответов на тостере, специалистом стать невозможно. К сожалению им невозможно стать даже прочитав 1-2 книги. Поэтому не заморачивайтесь идеальной защитой, и освойте те же методы, которыми вы пользовались под Windows (firewall, не лазить по непонятным сайтам, не выполнять непонятные команды файлы и скрипты)

Comments

[abs0lut]

От шифровальщиков отлично спасают регулярные бэкапы всей важной информации на внешний диск.

а что если вирус доберется до этого диска в момент копирования данных?

[DefectedToster]

abs0lut: предполагаю что автор в данном случае рассчитывает на замороченность бэкапера, который будет делать операцию копирования из под другой системы(live-cd), либо так, чтобы не задействовать "уязвимую" систему.

[Saboteur]

abs0lut: Предполагается, что копирование данных на внешний диск происходит с непосредственным участием пользователя. Можно будет заметить, что данные какие-то не те...

[abs0lut]

Saboteur: то есть обычной проверкой хэшей можно обезопасить бэкап даже с, возможно, зараженной системы?

DefectedToster: это уж как то слишком заморочено. Хотя, меры безопасности всегда должны соответствовать ценности защищаемых данных. Кто знает, что у кого на хардах пылится)

[Saboteur]

abs0lut:
Ну и в принципе да, простая проверка хешей может вполне помочь - поместить пару десятков контрольных документов в разные папки, и скрипт, который перед автоматическим бэкапом будет проверять, не изменились ли эти документы.

Но вообще, бэкап на внешний винт выполняется вместе с подключением внешнего винта. То есть при непосредственном участии пользователя.

Я не думаю, что шифровальщик настолько незаметен, что если я сижу на компе и собираюсь что-то скопировать, вдруг не пойму что у меня документы покоцаны, картинки переименованы и на рабочем столе никто не требует денег.

[abs0lut]

Saboteur: Да я вот задумался не о незаметности шифровальщика(что, в общем-то, очевидно), а о том, что если он доберется до внешнего диска с бэкапами, то бэкапы потеряют смысл, ибо восстановиться с них нельзя будет

[Saboteur]

abs0lut: У меня бэкапы организованы следующим образом.

1. Каждую ночь все важные документы архивируются в специальной папке, если там архив уже есть - то инкрементально.
Занимает от 5 до 20 минут.

2. Примерно раз в месяц я подключаю внешний USB диск
2.а) на который копирую эти архивы вручную (при этом я обращаю внимание, что если размер архивов значительно меняется, то вспомнить/посмотреть почему).
2.б) вручную запускаю программу односторонней синхронизации всех папок с фотками/видео (40-50 гб).

Занимает тоже минут 10-20, в зависимости от количества новых данных. Отключаю диск.

Вероятность, что я не замечу того, что шифровальщик уже на компе и он запорет мой внешний диск- практически нулевая.

[abs0lut]

Saboteur: Спасибо, хорошая схема. Возьму на вооружение)

Answer 2

[Армянское Радио]

Linux и так в достаточной мере неплохо защищен. Не ставьте пакеты непонятно откуда, не запускайте скрипты неизвестного происхождения, и держите браузер в отдельном контейнере.

Состояние системных файлов и библиотек всегда можно проверить, используя пакетный менеджер.

Запуск файлов из домашнего раздела лучше просто запретить.

Comments

[DefectedToster]

Прошу развернуть Твой ответ подробней либо отправить почитать по теме:
- Что значит в отдельном контейнере? Что это?
- Пакетный менеджер, это тот, с помощью которого в дистрибутив ставятся приложения, которые допущены к использованию в данной Linux-сборке?
- Домашний это который характеризуется как /home? Тогда не понимаю, если так, то чем может быть опасен запуск из этого раздела, если я буду уверен в "чистоте" файлов?

[cijiw]

Да ты что? Неужели Линукс защищен?
https://habrahabr.ru/post/132668/

В настоящее время Windows лучше защищена. Другое дело, что под Windows соблазнов поставить каку - больше. Но это психологическая, а не техническая проблема.

[DefectedToster]

cijiw: в данном случае, меня не устраивает жертвовать необъявленными сторонами данных собственной системы, от проделок Мелкомягких. Поэтому взят плавный курсе на миграцию в Linux

[sim3x]

cijiw: лучше покажи свой топик по исследованию бинарников и пути заражения системы, хватит уже линкать етот топик

[cijiw]

sim3x: мне не нужно ничего показывать.
обычный малоквалицифированные и даже среднеквалифицированный админ линукса не способен не только противостоять подобным заражениям, а не способен даже детектировать, что компьютер заражен.
но все эти школьники с пеной у рта рады кричать что "Линукс не взломать".
Винду ломали потому что она самая популярная.
Серверный и десктопный Линукс сейчас очень популярен. И методов взлома миллионы.
С МакОсью или Андроидом та же ерунда.
Все они давно уже взламываемые. И хорошо так взламываемы.

[DefectedToster]

cijiw: с другой стороны ты просто напросто поменял сторону "защиты", оставив аргументацию такой же, какую "презираешь". Теперь ты говоришь что совершенно все ОС'и уязвимы. Но ведь куда интересней вести разговор о правильном выстраивании защиты, даже априори уязвимой системы, вместо того чтобы разводить флейм :)

[cijiw]

DefectedToster: Да. Это интересно.
Я про то, что тебе следует игнорировать дураков, которые пишут, что "Линукс не взломать и ничего делать не нужно это Винда дырявая как решето". Давным-давно это не так. А в руках этих горе-Линуксятников, скорее, даже наоборот, более дырявым является Линукс, чем современная Win 10.

[DefectedToster]

cijiw: мне невозможно их игнорить как минимум по той причине, что Android - Linux-based оболочка, а у меня на телефоне, не стоит ни какой антивирус и никакая защита. ОСь просто зашифрована под хитровыгнутый пароль))) Потому я и не могу сомневаться в их заявлениях о том, что линукс защищать не надо. Для меня наглядный пример - Android)) Хотя я понимаю, что меня спасает лишь понимание того, какие и откуда приложения ставить можно, и как вообще НЕ заразиться на ведроиде.

[cijiw]

DefectedToster: С десктопом - аналогично. Не ставь че попало откуда попало. Как правило в больших дистрибутивах (типа Убунту) основной софт (Браузер, ОпенОфис и т.п.) хорошо проверен.

[Алексей Черемисин]

cijiw: оба-на, прошел по ссылке на хабр... И что же я вижу. Скорее всего систему взломали изнутри! Либо просто пренебрегли элементарными мерами безопасности, не настроили фаерволл, не за chrootили php, либо он вообще от рута работал. Да и сколько видел всяких взломов, никто и никогда не ковырялся в скрине на взломанной системе, что указывает на старого сисадмина!!!

[Алексей Черемисин]

Что касается взломов линукса, в основном их ломают через php, очень редко с подбором пароля. И никогда никто не будет сидеть в скрине, взломав систему. Для этого есть куча средств удаленной работы.

[cijiw]

Алексей Черемисин: 99,9% взломов - это взломы изнутри по причине недостатка внимания к безопасности, которое невозможно в принципе из-за недостатка квалификации.

[cijiw]

Алексей Черемисин: для десктопа - это 99,9999999% сам пользователь закачивает и запускает зловреда.

[cijiw]

Алексей Черемисин: но самое смешное - что взлом был выявлен косвенно, из-за слишком большой активности зловреда. то есть все эти эти "советчики" в стиле, что "с Линукс ничего делать не нужно она не взламываемая" могут быть членами бот-сетей и не знать об этом.

[Алексей Черемисин]

cijiw: это вы все про виндовс? Если про линукс, то взломы в основном извне. Так как скачать и поставить зловреда - нужна квалификация и доступ в систему с правами!

[cijiw]

Алексей Черемисин: да ты че? ко мне вон друзья регулярно обращаются. "Сидящие на невзламываемом Линуксе". Наустанавливают плагинов в Firefox, а я - чисти.

[DefectedToster]

В данной ветке всех услышал. Выражаю благодарность :)

Answer 3

[cijiw]

Если речь идет о серверном использовании, то изоляция приложений по пользователям или по контейнерам, вход по ключу а не по паролю и т.п.
Если речь идет о десктопном использовании, то не ставить чё попало непонятно откуда, в том числе обращать внимание, когда тебе предлагают с сайта скачать что-то чтобы можно было "круто игрануть", "удобно скачивать фильмы" и пр. и пр..
От Windows здесь ни в чем нет принципиальных отличий. Минимизация непонятного ПО на компьютере - универсальное решение для всех. Не работать под root/Администратором - универсальные решения для всех.
Антивирусы и на Linux и на Windows помогают постольку-поскольку.

Comments

[Равиль Шаймарданов]

ну вот , хоть что то по делу сказал , я согласен с твоим мнением.

[DefectedToster]

"Не работать под root/Администратором" - как это делается в Линукс?

[cijiw]

DefectedToster: скажем в десктопной Убунте каждый раз просит ввести пароль root в явном виде.

[DefectedToster]

cijiw: для меня это размытый ответ :) Но...если я верно понял, то сидеть под админом, это значит выполнять команды/запуск(и прочее) предварительно вводя пароль?

[cijiw]

DefectedToster: изначально вы будете сидеть под обычным пользователем. всегда. при некоторых операциях, требующих рута, Убунту будет вас просить пароль рута.
Думайте каждый раз - а зачем вас простят это сделать, а уместно ли в данном случае. Кроме изменения системных настроек и кроме установки ПО это незачем.
И, разумеется, не ставить че попало.

[DefectedToster]

cijiw: а вот теперь это выглядит предельно ясно :) P.S. Убунту слишком цветастая. Я пожалуй Минт или Manjaro ))

[Adamos]

cijiw: "От Windows здесь ни в чем нет принципиальных отличий" - два навскидку:
1. Если под Линь программа требует админских прав - значит, они ей реально нужны. Под Виндами достаточно кривых рук разработчика-велосипедиста, учившегося по примерам из прошлого века.
2. В Линуксе действительно есть репозитории, из которых можно безбоязненно ставить софт, и их для обычного пользователя достаточно. В Виндах даже официальный магазин не вызывает особого доверия, и софт в массе ставится откуда попало.
Если это не принципиальные отличия, то я готов признать Линукс небезопасным для пользователя...

[cijiw]

Adamos:
Криворуков полно под любой ОСью.

Я понимаю конечно что вы этого не знали, но аналог Докера, изолирующего приложение от ОС и позволяющего ставить что угодно изолировано, появился под Виндой лет на 5 раньше.

[cijiw]

ставить что угодно требующее админовских прав на деле в изолированную среду (не виртуальная машина).

[cijiw]

Adamos: Основной серьезный софт - можете взять прямо с сайтов производителей. Никто не будет туда троянов подкладывать.

А мелкие маловажные пакеты они и под Линуксами не досматриваются.

[Adamos]

cijiw: вот только Докер реально применяется, в отличие от того аналога - правда, в основном не для безопасности.

[Adamos]

cijiw: брэк. Если вы чувствуете себя в большей безопасности под Виндами - поговорите об этом лучше с наемным специалистом. А нас, давно от них отказавшихся - увольте от этих споров.

[cijiw]

Adamos: Докер применяется для разработки и на серверах. Ну как расскажи мне как ты применяешь Докер для защиты на десктопе под Линксом, скажем, для изоляции браузера?

[cijiw]

Adamos: Я себя прекрасно чувствую под всеми ОСями. И под яблочными и под пингвином и с чертиком и с окнами.

Защищенность у них идентичная.
И основная бяка лезет через самого хозяина компьютера.

[Adamos]

cijiw: я - о ужас! - не вижу никакой необходимости изолировать браузер. А вот чего вам неймется под всеми ОСями и надо обязательно доказать, что теоретически все они уязвимы - даже разбираться не хочу. Извините, но мне искренне неинтересен подобный диалог, я его прекрасно себе представляю на много реплик вперед.

[cijiw]

Adamos: Ну то есть - не можете? Слабо? ОК. Слив защитан.

Answer 4

[Karmashkin]

Бекапы+снапшоты и разделение на данные и среду выполнения. Данные всегда должны выжить. Среда должна быстро пересетапываться. :)

Comments

[DefectedToster]

Можете разъяснить чуть подробней без слэнговых оборотов либо отправить почитать по теме в доступной форме? :) P.S. Про бэкапы ясно а остальное темный лес.

[Karmashkin]

Да сленгом завязываю, прошу прощения.
Думаю разумно будет предположить, что сначала, пока разбираетесь, с новой для себя операционной системой, вы будете ее часто ломать.
Соответственно надо научиться ее быстро чинить или заново устанавливать.
Хотя нет, не так :) лучше даже предположить, что вы ее будете всегда ломать. (неудачные эксперименты например или если повезет - вирус)
Мне помогают снепшоты и бекапы.
Общие инструкции: "гуглим" для конкретной операционки как в ней делаются снепшоты и бекапы, например "lvm rootfs snapshots" "backup partition linux dd". Что бы все делать правильно, читаем не только частные случаи, но и сверяемся с оф. документацией, ее так же ищем в гугле.
Снапшоты это для сценария сохранился-попробовал-восстановился, а бекапы для плохих сценариев.
Да, думаю стоит, проговорить, что плохие сценарии надо проработать в первую очередь, распечатать с картинками и положить в сухое место.
Вот такой вот банальный совет.

Answer 5

[Юрий Чудновский]

1) Устанавливаем линукс с разбивкой на два раздела: / и /home.
2) Добавляем флаги монтирования для раздела /home: rw,noexec,nosuid,nodev.

Всё, теперь даже если вы догадаетесь запустить малварю из /tmp, она помрёт при перезагрузке.

Comments

[Adamos]

Если эта малварь будет шифровальщиком - его смерть будет слабым утешением...

[Юрий Чудновский]

Adamos: кстати, вы сколько знаете работоспособных малварей-шифровальщиков под линуксы? :)

[Adamos]

Юрий Чудновский: любой виндовский, запущенный Вайном. Внезапно.

[Юрий Чудновский]

Adamos: только вот вайт не будет работать при noexec на хомяке...

[Adamos]

Юрий Чудновский: значит, скорее всего, на хомяке не будет noexec.

Answer 6

[EPrush]

Ничего такого не надо делать. Вполне достаточно следить за тем какие репы и откуда ты добавляешь, и куда вводишь пароль от рута. Сейчас конечно набегут кукаретики с "ваши линукусы решето" и будут кидать ссылки на уязвимости в ядре, но это все от лукавого и быстро фиксится, да и такие атаки больше направлены на сервер сайд.

Comments

[DefectedToster]

В таком случае есть ли какие-то меры реализации подобной защиты для параноиков? Наверное вам смешно что об этом спрашивает виндузятник, и все таки не хочется подвергать себя даже малейшему риску(как миниум наслышан о популярных ныне шифровальщиках). И тут я не подразумеваю защиту, от целенаправленной атаки, от которой обычный линуксоид конечно не защитится, как я понимаю.

[EPrush]

DefectedToster: часть написана ниже, еще часть в книге "линукс глазами хакера" и еще некоторые аспекты есть в интернетах.

[EPrush]

cijiw: наброс не засчитан. можешь еще пару раз кинуть эту ссылку мне и людям ниже\выше и тогда точно будет небезопасно.

[DefectedToster]

cijiw: правильно ли я понимаю, бегло прочитав статью, что причина уязвимости и по сей день МОЖЕТ быть в следующем:
- неосмотрительность самой жертвы взлома;
- целенаправленный взлом именно этой жертвы;
-

Кстати 2001 года вирус…

-- нерешаемая уязвимость в Linux которая была использована в 2011 году и может быть сейчас?

[cijiw]

DefectedToster: я про то, что вот эти пионеры-у-нас-самый-невзламываемый-линукс в мире - не правы.
Ни один из них не способен был бы противостоять этому хаку.

[sim3x]

cijiw: какому хаку?

[DefectedToster]

cijiw: понимаю, что подобные заявления неверны, но и всю подноготную того взлома, даже автор до конца не выяснил, оставив архив с взломанными исходниками на суд любопытных.

[cijiw]

DefectedToster: Дело в том, что проблема была замечана по косвенным признакам.
Бьюсь об заклад, что у всех этих "советчиков" в стиле "Линукс крут и ничего ему не надо для защиты" на домашнем компьютере может прекрасно жить по несколько клиентов бот-сетей, а они этого и не заметят.

[АртемЪ]

EPrush Так если следить за тем откуда ставишь программы, и не сидеть под админом - и винда безопасна.
Поэтому линукс в той же степени уязвим, когда за ним сидит пользователь под рутом, и ставит всякие приложения.

[DefectedToster]

АртемЪ: как не сидеть под админом/рутом в ЛинЕ? :)

[АртемЪ]

DefectedToster: Так же как и в винде - ставишь и настраиваешь все что надо под рутом, после чего работаешь исключительно под пользователем.

Но это блин неудобно - захотелось программку поставить, а прав нет. Обидно и работать мешает.

Answer 7

[Sanes]

Прежде чем отправить данные в поле на сайте, подумать головой. То же самое касается скачивания и запуска программ.

Comments

[DefectedToster]

Думая ваша мера предосторожности относится к работе с интернетом(серфинг),а остальное очевидно для всех ОС :)

[Sanes]

DefectedToster: От этого все беды. А ОС все примерно одинаково защищены. Тем более, если Вы Неуловимый Джо.

Answer 8

[Adamos]

И хоть бы один рассуждалец предупредил человека о главной опасности, которая подстерегает его при переходе с Виндов на Линукс.
Срываем покровы! Наш герой - Wine!
Потому что пользователь его все равно поставит. При этом Wine по умолчанию будет запускать по тычку все виндово-исполняемое. Например, .scr-файл с трояном-шифровальщиком, которому через Z:-диск доступно на запись все, что доступно пользователю. В том числе сетевые шары, например. И Wine, если что, прекрасно исполняет эти самые шифровальщики. Которые, невзирая на громкие вбросы о взломах Линуксов, по-прежнему пишут исключительно под Винды...

Comments

[DefectedToster]

бАааалин! А нельзя ли(в контексте безопасности), сделать альтернативой Wine'у например Виртуалку Винды(краем уха слышал об этом), чтобы избежать/сократить то, о чем вы предупредили?

[Adamos]

DefectedToster: можно, конечно. Никто не заставляет вас ставить Wine... собственно, можно обойтись полумерой - задать другое приложение по умолчанию для исполняемых файлов Виндов. Архиватор, например - он и с архивами-самораспаковщиками будет кстати.

[DefectedToster]

Adamos: после создания в виртуалке какой-нибудь Винды, она от циклов "запуск системы" - "завершение работы" каждый раз обнуляется, словно я ее только что установил? Или все-что сделано в среде виртуалки тоже сохраняется?

[Adamos]

DefectedToster: можно сделать и так, и так. Обычно по умолчанию все сохраняется.

Answer 9

[fpir]

Вопрос поднимался не раз. Можно посмотреть мой скромный ответ в этой теме Что сделать для безопасности в linux на домашней машине?