Интересует мнение об антивирусе для Linux

Как и всегда – сделаешь по уму – никого не заразишь, сделаешь как придётся – как повезёт.

On-demand сканнер ~/.wine, проверяющий вредоносное ПО Windows, теоретически повышает безопасность. ClamAV, вроде, предназначен для этой цели.

Однако, полагаться на это недостаточно. Лучше ещё добавить запуск в реальной песочнице, под отдельным непривилегированным пользователем.

Если вирус заработает под wine то и вся его функциональность, в том числе заражение файлов до которых он может дотянуться, попытки заражать другие машины через сеть, тоже должна работать.

тоесть папка /Home ,cмонтированные и/или подключенные по локальной сети устройства до перезагрузки в этом случае в зоне риска?

Вирус можно запустить и без wine. Не надо думать что все вирусы делают только под винду.

И ещё, имеется распространённое заблуждение о том, будто через wine доступны только те диски, которые ты в этом самом wine настроил. Это не так, программе в wine доступно всё то же самое, что и остальным программам, запущеным от того же linux-пользователя. Wine никаким образом не регулирует права доступа, это просто библиотека для совместимости winapi с линуксовыми api, а так же загрузчик для формата PE. Единственное, на что можно надеяться, так это то что вирус для винды не догадается что кроме эмулированной винды рядом есть ещё нативный линукс и не будет пытаться его заразить. Но это зависит исключительно от желаний и компетенции автора вируса.

В целом, если ты запускаешь какой-то софт, авторам или распространителям (где скачал) которого ты не доверяешь, следует заранее озаботиться ограничением его прав: запускать его от отдельного пользователя в отдельном сеансе, или запускать из виртуалки, или ещё через какие-то инструменты ограничения прав. В таком случае у тебя будет оставаться возможность просто удалить все файлы этого отдельного пользователя или виртуалки. Однако даже тут следует учитывать, что в линуксе время от времени находят уязвимости для поднятия себе прав (за последние 2 месяца их вроде штук 5 способов нашли и уже исправили если ты обновляешься), и даже в виртуалочных гипервизорах тоже случаются подобные дыры, через которые вредоносный софт может несанкционированно вылезти наружу на физический комп.

https://ns.fiber-gate.ru/uploads/images/img_1781891365375_63ec13b8.png

Вот только заниматься никто этим не будет. Ну почти никто. Линуксам десктопным давно нужна доработка в этом плане, но какая - я не могу представить пока.

Я занимался когда игры всякие не пойми откуда скачивал. Но уже перестал (скачивать).

Вирус можно запустить и без wine

(просто для примера) скачаю Tarball с Firefox nightly (условно зараженный) и запущу от непривелигированного пользователя,будет ли вариант с заражением всей системы?

Нужно уже давно массовое решение для десктопов «из коробки».

Качая тарболл с мозиллы ты наверно рассчитываешь на добросовестность мозиллы, что они вряд ли будут сувать вирусы в свои сборки.

Но если предположить что мозилла решила тебя взломать, то скорее всего ей это удастся не одним так другим способом.

Антивирус, как и остальные меры безопасности, закрывает часть способов, но не все. В современных ОС полно дыр на всех уровнях, к сожалению.

Если речь про ширпотребный вирус, написанный нубом для винды, то его нейтрализовать скорее всего будет несложно.

Ok.В целом ситуация понятна.Всем спасибо за «ликбез». Вопрос предлагаю считать закрытым.

Если вопрос закрыт - поставь галочку, что решено.

Вот только заниматься никто этим не будет. Ну почти никто.

Хорошо, что оговорился про почти, а то я хотел уже возразить. Там «заниматься» особо нечего — разобрался один раз с bwrap или если совсем лень — с firejail, да пользуйся потом. Я без песочницы никакую проприетарщину не запускаю, например (правда из проприетарщины у меня только игры да стим для них же). Да и для свободного тоже бывает полезно иногда — и не только на случай намеренного вреда со стороны разработчика.

Просто сейчас десктопные линуксы пракически не защищены. Я уже писал, что такое должно быть автоматически встроено в десктопе - ну что то вроде такого. Вот как в андроид: Автомаический вызов интерфейса при первом запуске с выбором что разрешить приложению.

Проблема тут как всегда с такими системами - юзер нихрена не понимает и просто будет принимать «запустить от админа», как всегда. Так что и это такое себе решение.

Просто сейчас десктопные линуксы пракически не защищены. Я уже писал, что такое должно быть автоматически встроено в десктопе - ну что то вроде такого. Вот как в андроид: Автомаический вызов интерфейса при первом запуске с выбором что разрешить приложению.

Я бы не хотел это видеть на своём десктопе. Но, конечно, не против того, чтобы в каком-то конкретном дистрибутиве так было из коробки. В целом для конкретно вот такого уже решения, чтобы всё запускалось с теми или иными ограничениями, лучше всего наверное подойдёт SELinux. Используется он в RHEL и Fedora по умолчанию, если не ошибаюсь, но «наполшишечки» — не так, что по умолчанию ничего нельзя, и без гуя.

Вот в этом то и проблема для массового юзера: без гуя и по умолчанию нигде нету. Среднестатистический юзер и с гуем то с трудом понимает чего от него хотят.

Вот возьми винду. Стандартная инструкция для любой софтины: «Отключите антивирус, фаервол и запусите от администратора». И это пишут не злоумышленники, замечу.

Я сам много раз так писал. Потому что юзер начинает твою софтину запускать и дегенеративная кривая «защита» начинает просто вставлять палки в колеса. Начиная с подписи файла - это они вообще здорово конечно придумали (нет) - брать плату за подписи.

Потом блокировать начнут антивирус и фаервол, ну просто потому что приложение работающее с файловой системой это ппц как подозрительно! Потом окажется, что приложение установлено в программ файлс, а работать с ним юзерским приложениям нельзя.

И что мы имеем? Казалось бы, здравое начинание превращено в клоунаду. Даже в андроиде не сильно, но лучше с этим - хотя бы видишь к чему требует приложение доступ изначально. Но думаю и там просто жмут «принять все».

Вот в этом то и проблема для массового юзера

Да, пожалуй. Но дело в том, что мне не особо интересны проблемы массового юзера. Я не знаю, почему так многие любят на это давить. И предполагая ответ «чтобы процент Линукса на десктопах не был 5, а был 95» — я и в этом не вижу для себя никакого интереса. Некоторый интерес к этому у меня есть разве что в разрезе большей вероятности выпуска нативной игры тем или иным разработчиком — но там важнее распространённость конкретно у геймеров, а ещё конкретнее у потенциальных покупателей, и вот от этогй всей изоляции оно зависит крайне слабо.

Вот возьми винду. Стандартная инструкция для любой софтины: «Отключите антивирус, фаервол и запусите от администратора». И это пишут не злоумышленники, замечу.

В том числе и поэтому я считаю, что как есть — вполне нормально. По умолчанию ничего не надо отключать, всё работает и так, на свой страх и риск (который можно снизить просто снизив круг доверия и, например, не запуская софт не из реп без проверки), а при желании оградить песочницей, это элементарно делается с помощью firejail, или чуть-чуть менее элементарно, но более гибко с помощью bwrap.

Подводя итоги. Я правильно понимаю,что вариантов убить систему зловредом не много (Где-то скачать/установить и запустить от Root) . Вредоносный код ,который работает под Wine ,сможет действовать с правами пользователя его запустившего в папке /home и смонтированных дисках (при условии,что вирус может работать как под Windows, так и на моей OC ) = могут пострадать файлы этих директорий (при наличии бэкап решаемо) ?

при условии,что вирус может работать как под Windows, так и на моей OC (сможет получить root )

ClamAV

Пользовался когда нибудь?

вопрос не мне был,но отвечу. windows версия Clamav и под wine работает. Обновлять: packages.microsoft.com/clamav/