Поговорим о безопасности линукса

Понятно, что специалист и Windows настроит так, что система не будет заражаться.

Это и не надо настраивать. Дефолт нормальный.

А времена, когда автозапуск был на флешках лет пятнадцать назад этак.

Если можно перенесите в болталку.

Если перенесут то ты не сможешь писать в теме ответы до тех пор, пока твой скор не вырастет не то до 50, не то до 100.

твой сервер взломают и установят вредоносное по.

Какой по вашему мнению самый защищённый дистрибьютив, равносильный по безопасности и удобства использования?

тот, который осилишь настроить.

Как сейчас с безопасностью линукса?

Ну время от времени находят эрические уязвимости, ну исправят, потом покричат на форумах, но на этом всё, такое впечатление что все эти ошибки и уязвимости в какой-то другой паралельной ОС с похожим названием.

Единственный раз когда у меня был абзац это когда я держал в системе позабытый вебсервер, притянутый им демон ssh и пользователя root с каким-то простым паролем, но это было очень давно.

Ну время от времени находят эрические уязвимости, ну исправят, потом покричат на форумах, но на этом всё, такое впечатление что все эти ошибки и уязвимости в какой-то другой паралельной ОС с похожим названием.

Как я понимаю эти критические уязвимости для серверов? С помощью них ломают сервера? А я с точки зрения пользователя. Чтобы зашёл на сайт и не боялся, что у тебя битки майнятся на компе начнут. Или кто-то удаленно твою камеру включит. Или часть файлов пропадет.

Например критическая уязвимость на мак ос, когда можно было на любую систему войти просто под рутом, т.к. он без пароля был( по крайней мере так блогеры говорили)

Например критическая уязвимость на мак ос, когда можно было на любую систему войти просто под рутом, т.к. он без пароля был( по крайней мере так блогеры говорили)

бред

А я с точки зрения пользователя. Чтобы зашёл на сайт и не боялся

Так это неуловимый Джо.

А так да, зачастую линуксоид сидит с дырами, когда в апстриме это залатано, ну и пользователя Windows тоже.

Хорошо, что он никому не нужен. А так бомбануть может.

https://habr.com/ru/post/343452/

Как я понимаю эти критические уязвимости для серверов?

Да нет: Уязвимость в sudo
Но тем не менее исправили, покричали и ничего не произошло.

Я знаю. Это не

когда можно было на любую систему войти просто под рутом

Видимо поэтому мне sudo не нравится, у меня ни один пользователь не имеет прав sudo, зато есть пароль на руле и если надо перехожу под рутом и выполняю то, что нужно. Естественно рут и пользователь имеют разные пароли. И рут закрыт по ssh

Я имел ввиду если есть доступ к устройству

я тоже, по дефолту это не прокатывало

https://twitter.com/Megaseppl/status/935637289815937026

безопасность в голове

если нет понимания, что происходит, когда жмешь кнопку, и чем это чревато, то даже анально огороженный макинтош не спасет

самый защищённый дистрибьютив

базовая часть системы любого базового дистрибьютива - никакие флешки сами не монтируются, обновления сами не ставятся, браузеров вообще нет, а дальше уже все от тебя зависит - настроишь автомонтирование будет монтироваться, настроишь автообновление будет обновляться, вытащишь порт наружу - взломают и установят вредоносное по…

Как сейчас в линуксе были случаи, что зашёл не на тот сайт и подцепил что-то?

Зашел на лор, подцепил торвна.

Как сейчас с безопасностью линукса?

Как и 15 лет назад.

Какой по вашему мнению самый защищённый дистрибьютив, равносильный по безопасности и удобства использования?

Практически любой, который пользователь в состоянии осилить.

Под браузерами устанавливаются расширения и они могут быть вредоносными.

Не слышал о такой массовой проблеме в linux.

Как сейчас в линуксе были случаи, что зашёл не на тот сайт и подцепил что-то?

Как и 15 лет - практически никогда.

линукс безопаснее всего, вот…

Как сейчас в линуксе были случаи, что зашёл не на тот сайт и подцепил что-то?

Как-то я зашёл в ВК и подцепил бабу, а через пол-года понял, что не только бабу я подцепил.

Владимир

А я с точки зрения пользователя. Чтобы зашёл на сайт и не боялся, что у тебя битки майнятся на компе начнут.

Виндовс с дополнительным антивирусом (встроенный хорош, но от js-майнеров не защитит). Под Линукс защиты нет.

Или кто-то удаленно твою камеру включит.

selinux (если осилишь настройку) или винда с каким-нибудь касперским.

Или часть файлов пропадет.

Для этого и зловред не нужен, достаточно выбрать btrfs, как ФС для хомяка.

Как и 15 лет - практически никогда.

На майнингклабе полгода назад была слезная история о пропавшем битке с компьютера на дебиане, использовавшегося исключительно для продажи криптофантиков.

Не слышал о такой массовой проблеме в linux.

Новости об удаленных из магазина зловредных расширениях для хрома принципиально не читаешь? И да, они кроссплатформенные.

Что конкретно ты хочешь узнать? Я мог бы пересказать анекдот про Неуловимого Джо, но ты и сам должен понимать, что, скорее всего, тебя взломают, если захотят.

Всё сказанное дальше - лютое ИМХО.

Безопасность Linux обусловлена прежде всего тремя факторами:

1. Архитектура. В целом Linux устроен таким образом, что ты не сможешь вмешаться в работу системы, не сделав это осознанно. Конечно, ты всё ещё можешь найти вирус, залить его на флешку, воткнуть её в порт с автомонтированием… Но дальше будь любезен сходить и запустить его ручками с повышенными правами, введя пароль. Иначе же он сможет что-то делать исключительно в рамках твоего пользователя без доступа к другим программам или системе.
2. Разнообразие. Любой эксплоит так или иначе основан на какой-то уязвимости. Но в семействе Linux туча дистрибутивов, пакетов, решений… Шанс того, что именно ты выиграешь лотерею и из всех возможных пакетов именно используемый тобой окажется дырявый совершенно не равен 100%.
3. Обновления. Благодаря пакетной структуре Linux практически каждый день в моей системе что-нибудь обновляется. А чем короче период между обнаружением уязвимости и выходом патча, её затыкающим - тем меньше шанс на что-нибудь нарваться.

Ты привёл в пример обновления - но они не ставятся сами, ТЫ ставишь их, когда открываешь пакетный менеджер с повышенными правами, вводишь пароль и тем самым даёшь добро на установку. К тому-же все обновления накатываются из стандартных реп, куда их добавляют мейнтрейнеры. И в большинстве дистрибутивов даже справляются с этим. (Привет из Debian)

Что касается расширений для браузера - браузер как и остальные программы пользователя работает без повышенных привилегий, если ты не скажешь ему сделать обратное. Да и магазины дополнений популярных браузеров мониторятся на наличие всякой гадости. Те расширения, которые были заблокированы, и о которых говорили выше, всего-лишь крутили видео с рекламой вне окна, зарабатывая на этом бабки. Если интересно - почитай про Frigate, Frigate CDN и SaveFrom.

Что касается выбора дистрибутива - традиционно наиболее безопасными в общем смысле считаются RHEL и его форки/тестовые площадки, такие, как, например, Fedora. Впрочем, я не считаю использование их на десктопах удачным решением, но это тема для отдельного холливара. Всё ещё на правах ИМХО скажу, что для среднего пользователя на десктопе более, чем достаточно, какой-нибудь бубунты/минта с минимальными настройками. Менять же дистрибутив на что-то более специфическое стоит тогда, когда ты начинаешь понимать, зачем ты это делаешь и почему он будет устраивать тебя больше.

Чтобы зашёл на сайт и не боялся, что у тебя битки майнятся на компе начнут.

Можно в удачный момент зайти на тот сайт, на который тебя твой же любимый браузер за расширениями отправляет и немедленно что-то установить. Позже, конечно, это что-то оттуда выкинут. Но у тебя оно успеет и битков намайнить, и голые фотки твоих котиков в даркнете продать.

Но дальше будь любезен сходить и запустить его ручками с повышенными правами, введя пароль. Иначе же он сможет что-то делать исключительно в рамках твоего пользователя без доступа к другим программам или системе.

.bashrc, кеулогеры, https://www.opennet.ru/opennews/art.shtml?num=54474

Разнообразие

Но 90% использует Ubuntu.

Обновления

В винде уже автоматические.

Про обновления я уже выше писал.

Пока пользователь Windows сидит с закрытыми дырами. Средний пользователь линукс, этак на Ubuntu 20.04 LTS сидит с дырявым почтовиком месяцами. Хорошо, что он никому не нужен…

Какой по вашему мнению самый защищённый дистрибьютив

Любой, какой сможешь осилить. Говорят даже сраная бубунта вполне пригодна для этого.

Ты прежде чем такие вопросы писать осиль хоть пару книжек по linux и будет торт.

бред

Проверял, не бред. Правда апд быстро выпустили, но лулзов словили многие.

UPD:

Это не

когда можно было на любую систему войти просто под рутом

А..ну если так придираться к словам, то да.

Зашел на лор, подцепил торвна.

Это скорее он подцепил тебя.

Как-то я зашёл в ВК и подцепил бабу, а через пол-года понял, что не только бабу я подцепил.

Главное в ЗАГС не ходил?

Во первых сами векторы атак и то чем занимается вирус изменились. Как среднестатистический лоровец определит, заражён его компьютер или нет? И что вообще считать заражением?

Сайт открытый в браузере, которому доступны все порты во внутренней сети и все файлы хомяка, это вирус? А система, которая такое позволяет (по умолчанию) безопасна? Почитайте новости новых версий браузеров - тут уже не волосы, тут зубы стынут в жилах. И кто из местных суёт браузер, ну, хотя бы, в файрджейл? А кто из лоровцев блокирует порты изнутри и снаружи? Толпа Неуловимых Джо :)

На майнингклабе полгода назад была слезная история о пропавшем битке с компьютера на дебиане, использовавшегося исключительно для продажи криптофантиков.

Этого одного человека взломали?

Новости об удаленных из магазина зловредных расширениях для хрома принципиально не читаешь? И да, они кроссплатформенные.

И скольких людей так взломали? Точнее какой % от базы пользователей?

Один мальчик с убунтой вставил флэшку в линукс и тут же умер.
А одна девочка с федорой подключила в кафе вайфай и тоже умерла.
А еще один мальчик ставил линукс и умер, но все равно сидит, конпеляет, конфигурит что-то, общается с такими же.

Бред несешь бот.

Сейчас в линуксе по умолчанию слишком много разрешений,

Не сейчас и далее тоже. Линукс системы в основном используются без гуи. Тобой описаны десктопы. А это другой раздел ЛОРа.

Какое отношение этот поток сознания имеет к безопасности? 🤔

Спасибо за большой пост из него могу сделать вывод, что ставить нужно какой-то экзотический линукс, потому что он мало распространен и экспорт на нем не запустится.

Ты привёл в пример обновления - но они не ставятся сами, ТЫ ставишь их, когда открываешь пакетный менеджер с повышенными правами, вводишь пароль и тем самым даёшь добро на установку. К тому-же все обновления накатываются из стандартных реп, куда их добавляют мейнтрейнеры

Ну вот тут вы не правы, только в соседней теме Fedora 33 не спрашивая меня после перезагрузки пользователя, у которого нет sudo прав установило приличное количество обновлений, включая новое ядро. Именно после такого обновления и возмутился и создал этот пост.

Также очень спорное решение отказа от рута и переход на sudo. Раньше такое было на убунте, а теперь и на Федоре, когда при установке ты получаешь пользователя с sudo привилегиями. И большинство пользователей так и остаются работать на этом пользователе. Для чего это сделано? Мне кажется ради лени, чтобы не переключаться в рута, а сразу выполнить под администратором все, что нужно

Вот тут ты не прав. Void специально сделан так, чтобы ненужно было быть суперпользователем для обновлений. Обновляться можно хоть по расписанию, хоть каждые 3 часа. И о какой безопасности речь, когда в рхеле системд? Ты погляди примечания к выпускам. Там каждый раз исправляют крупную проблему, если осилили. OpenRC, Runit и другие скриптовые системы запуска проблем практически не имеют и запускают систему намного быстрее с жесткого диска/флешки.

…чтобы ничто никогда не пропало

не надо с ними связываться.

Вот зацени

В опубликованном на прошлой неделе выпуске криптографической библиотеки Libgcrypt 1.9.0, которая используется в GnuPG, выявлена легко эксплуатируемая критическая уязвимость, позволяющая добиться переполнения буфера при попытке расшифровки специально оформленных данных, на стадии до верификации или проверки цифровой подписи. Уязвимость затрагивает GnuPG, systemd (библиотека используется для DNSSEC) и другие приложения, использующие уязвимую версию Libgcrypt. 

https://www.opennet.ru/opennews/art.shtml?num=54489

Сайт открытый в браузере, которому доступны все порты во внутренней сети и все файлы хомяка, это вирус? А система, которая такое позволяет (по умолчанию) безопасна?

Система, такое позволяющая - не нужен. И да, с браузерами совсем полный аллес капут. Уже кто-нибудь запилите, пожалуйста, браузер без телеметрии и трекеров.

Почитал про firejail, благодарю.

И кто из местных суёт браузер, ну, хотя бы, в файрджейл?

Firejail – дыра дырявая, зачем запускать через него браузер? Если так нужна песочница, то есть bubblewrap.

А кто из лоровцев блокирует порты изнутри и снаружи?

Почему-то информации о том, как перименовать «папку» в разы больше, чем как firewall грамотно настроить. «Шарящие» отправляют всех читать документацию, которая скучнее, чем русская классическая литература.