Антивирус Касперского будет предустанавливаться на андроид-смартфоны

в бубунте искаропки вроде вопрос решён.

Ты о чем? apparmor чтоль?

Единственное, там нужно двух юзеров делать, первый для администратора, а второй для повседневной работы

Зачем? Там же sudo на каждый чих, ты предлагаешь лишить стандартного пользователя sudo и постоянно перелогиниваться ?

ну во первых save as в браузере надо редко

Кому как, мне часто.

во вторых, зачем менять права?

Ну тогда браузер может испортить твои файлы.

По дефолту umask=0022, sudo его не меняет (хотя может), файлы пишутся в каталог 0777.

А толку то, пользователь может менять права на свои файлы.

Только там UID один и тот же, потому маркировка не имеет смысла.

ЩИТО?

Это таки безопасность, один из многих барьеров.

Во-первых, это не безопасность, во-вторых, пример андроида показывает что это не так, в-третьих, убунта это уже почти весь линукс ...

И это — дефолт

по-дефолту в убунте sudu включен

Так и знал, что скажешь об этом. Хорошо, что они есть. Пользователи эти приложения всеравно будут называть антивирусами.

юзеру эти приложения НЕ НУЖНЫ. Они ему всё равно НЕ помогут. Они помогут грамотному и квалифицированному админу, что-бы выяснить пути заражения, и разработать (доработать) защиту. Юзеру-то всё равно систему переставлять.

А если ты напишешь такое приложение, и решишь продать его в каком-нибудь google play, то назовешь его, я уверен, именно антивирусом, а не какой-нибудь нёх.

это будет по меньшей мере не честно. Систему не так надо защищать. Пойми, поздно пить боржоми, если почки отказали. Если ты руткит поймал, тебе уже НИЧЕГО не поможет. Тут уже секретность играет против тебя, ибо ты ВНЕЗАПНО оказываешься против враждебной ОС, которая управляется НЕ тобой.

А антивирус уже есть. Здесь лежит. Однострок на перле зовётся. Смысл его в том, что не надо всякую НЁХ запускать. А если очень хочется странного, делай песочницу, благо оно недолго.

Вот ты продолжаешь бесстыдно балаболить. Браузер запускаю от своего пользователя, но он внезапно не может не то, что удалить мои файлы, но и прочитать их. Как там живется в прошлом веке, СССР уже развалился?

А как оно в вашем? Ты скриншот можешь сделать и в файл сохранить? А можешь теперь этот файл прочитать, дабы его в интернеты выложить? Почему скриншоты читать можно, а другие файлы нельзя?

Ты точно здоровый? Если ты браузером подхватишь зловреда, то, скорее всего, ему не нужны будут твои файлы, ну разве что на почитать. Так что ты защищаешь то, что никому не нужно, но оставляешь злодеям то, что им от тебя и нужно.

злодеям нужны именно мои файлы, ибо они — ключ ко ВСЕМУ. Ботнет лучше засадить в мой ~/.xinitrc или ещё куда, есть Over9000 мест.

И еще ты, кажется, забыл про локальные уязвимости, повышающие привилегии. Твой вариант ответа, что PoC у тебя не завелся, как всегда не обнадеживает.

Ну ваще-то это первый PoC который хоть как-то сработал. Если его хорошо допилить, то может быть и получилось-бы.

зачем ку2 запускать в вайне?

и про это можно подробнее:

Только там UID один и тот же, потому маркировка не имеет смысла.

Ты о чем? apparmor чтоль?

ага. Я, правда, ещё не разбирался, как оно работает.

Зачем? Там же sudo на каждый чих, ты предлагаешь лишить стандартного пользователя sudo и постоянно перелогиниваться ?

зачем тебе рут на каждый чих? Один раз настроить слабо?

во вторых, зачем менять права?

Ну тогда браузер может испортить твои файлы.

не может. Браузер пишет в 0777 /home/share, а мой каталог 0700 /home/drb. Ты про какие права говоришь менять?

А толку то, пользователь может менять права на свои файлы.

да. Браузер может менять права на файлы, которые он скачал. Что дальше?

Только там UID один и тот же, потому маркировка не имеет смысла.

ЩИТО?

ну есть Вася, есть логин vasya, есть UID==666. Откуда там логин 123?

Я, правда, ещё не разбирался, как оно работает.

если кратко, то никак :)

зачем тебе рут на каждый чих? Один раз настроить слабо?

убунта раз в день обновления ставит, через sudo :)

Браузер пишет в 0777 /home/share

это чужие файлы? а кукисы и пароли браузера? это же очень полезная информация для злоумышленников

Что дальше?

он их может испортить или отправить злому дяде

ну есть Вася, есть логин vasya, есть UID==666. Откуда там логин 123?

очевидно, что системные процессы работают под своими пользователями, сюрприз, да ?

А у тебя кроме браузера что-нибудь еще в интернет ходит? Не знаю, git или какие-нибудь десктопные свистелки :)

Во-первых, это не безопасность, во-вторых, пример андроида показывает что это не так, в-третьих, убунта это уже почти весь линукс ...

1. безопасность. Безопасность - это не Абсолютная Защита. Это система мер. В частности на su права 4711, и узнать её версию юзер не может. Пруф:

$ md5sum /bin/su
md5sum: /bin/su: Отказано в доступе

последний эксплоит без su тупо зависает, ему su нужно, и именно не просто su, а нужной версии. Этот SUID бит — опасный костыль, потому и защищён данный код даже на чтение. Помогает, как видишь.

2. андроид это не весь линукс, и да такая централизация вредна для безопасности.

3. см. пункт 2, ты сам себе противоречишь, кроме бубунты полно тех же андроидов.

по-дефолту в убунте sudu включен

только для первого юзера, который является администратором, который настраивает рабочее место. Да, ВНЕЗАПНО, убунта разрабатывалась не для SOHO, а для нормальных организаций, в которых есть грамотный администратор.

Если ты руткит поймал

А если не руткит?

Ты скриншот можешь сделать и в файл сохранить? А можешь теперь этот файл прочитать, дабы его в интернеты выложить?

Могу. Может не все в той последовательности, но только потому, что нет необходимости.

Почему скриншоты читать можно, а другие файлы нельзя?

Потому что они располагаются в разных каталогах, на которые разные права.

злодеям нужны именно мои файлы, ибо они — ключ ко ВСЕМУ

Я уже говорил, что ты болен?

Ботнет лучше засадить в мой ~/.xinitrc или ещё куда, есть Over9000 мест.

И на дискеты копироваться. Но в наш век зловреду вообще можно не заморачиваться с продолжительностью жизни. Отработал до первого ребута и ок, и ты даже всем доволен и даже весь такой крутой на ЛОРе.

Ну ваще-то это первый PoC который хоть как-то сработал.

Ты понимаешь, что твой аргумент был актуален до первого фейла?

Да, ВНЕЗАПНО, убунта разрабатывалась не для SOHO, а для нормальных организаций, в которых есть грамотный администратор.

внезапно, убунта разрабатывалась именно для хомячков :)

если кратко, то никак :)

А если подробнее? А то я как раз в процессе. Хотел бы SELinux осилить, но остановился на Apparmor, т.к. он уже был в системе.

убунта раз в день обновления ставит, через sudo

пусть ставит. По crond, от имени Администратор, без пароля, автоматом.

если кратко, то никак

ещё раз: для бубунт нужен грамотный администратор. Так оно было задумано. А проблемы хомячков никого не волнуют, смирись. Если ты хомячок, то проще дождаться ответа от Патрега.

Браузер пишет в 0777 /home/share

это чужие файлы? а кукисы и пароли браузера? это же очень полезная информация для злоумышленников

печеньки и пароли пишутся в /home/web/.mozilla

Для работы с банками и платёжными системами у меня есть другой браузер, в другом хомячке.

он их может испортить или отправить злому дяде

хватит демагогии. Мне наплевать, что если я скачал какой-то файл у одного злого дяди, он(файл) отправится к другому дяде.

очевидно, что системные процессы работают под своими пользователями, сюрприз, да ?

юзеру плевать на твои svchost.exe, которые непонятно что делают непонятно с каким UID. Сюрприз, да? Ему нужно, что-бы фотки в Сеть попадали не сами по себе, а только если он их явно положил в специальную папку.

По crond, от имени Администратор, без пароля, автоматом.

за это руки отрывать

ещё раз: для бубунт нужен грамотный администратор. Так оно было задумано.

это не так

печеньки и пароли пишутся в /home/web/.mozilla

и? к ним браузер имеет доступ? имеет!

Для работы с банками и платёжными системами у меня есть другой браузер, в другом хомячке.

3.1415здец

Мне наплевать, что если я скачал какой-то файл у одного злого дяди, он(файл) отправится к другому дяде.

будет не наплевать, когда с твоего счета вдруг уведут бабло или купят что-то без твоего ведома, или этот аккаунт уведут

Ему нужно, что-бы фотки в Сеть попадали не сами по себе, а только если он их явно положил в специальную папку.

они туда попадут ровно с той же вероятностью что и у тебя, но с одним отличием — ты устраиваешь себе геморрой на пустом месте, а обычный пользователь этого не делает

А если не руткит?

а что?

Потому что они располагаются в разных каталогах, на которые разные права.

видел семёрочку у друга, у него не так.

Я уже говорил, что ты болен?

ты не впервые пытаешься перейти на личность. Радуйся, получилось ☺

Ты понимаешь, что твой аргумент был актуален до первого фейла?

прав рута я так и не получил.

А если подробнее?

проблем и неявных косяков слишком много, поэтому лучше сделать apt-get purge apparmor :)

Да, ВНЕЗАПНО, убунта разрабатывалась не для SOHO, а для нормальных организаций, в которых есть грамотный администратор.

внезапно, убунта разрабатывалась именно для хомячков

сам подумай, зачем хомячку нужен стабильный цикл релизов и LTS? Хомячку отлично подходит «цикл» мысы и Патрега, когда новая версия выходит по желанию левой пятки. Стабильный цикл — как раз то, что нужно нормальной организации, не ты-ли мне это говорил? И это — единственная фича бубунты by design. А всё остальное, в том числе рассылка дисков для нищебродов, было уже потом.

А то я как раз в процессе. Хотел бы SELinux осилить, но остановился на Apparmor, т.к. он уже был в системе.

для начала обычные права осиль, иначе у тебя всё будет работать «никак».

проблем и неявных косяков слишком много, поэтому лучше сделать apt-get purge apparmor

«неосилил» короче и честнее.

а что?

Бота, который спамит или пароли подбирает.

видел семёрочку у друга, у него не так.

Я о линуксе. Винда у меня на корпоративном ноутбуке, где применяются групповые политики, стоит антивирус и нет важной информации, так что тут я просто полагаюсь на грамотность админов, которые если не пресекут вторжения в мою систему, то хотя бы отследят подозрительную активность.

прав рута я так и не получил.

я

Ок.

К чему ты это опять сбалаболил?

Это все же не на столько подробно, ка сколько хотелось бы. Это какие-то косяки, которых лишены другие подобные системы, или присущие всем им?

Ну вот пример, поднимаешь ты виртуалку libvirt'ом, всё зашибись, все права есть, а в логах невменяемые permission denied сыпятся и сыпятся, дебажишь дебажишь это дело, а потом выясняется, что оказывается apparmor на машине стоит и мешает нормальной работе :) И вот такая свистопляска почти с каждым приложением.

Чуть ли не каждый мануал в интернете говорит о том, что нужно отключить SELinux. Та же ситуация, видимо, и с Apparmor. Я как раз и хотел изучить SELinux, чтобы затачивать его под приложения, а не отключать. Но сейчас надобность отпала - пилю Apparmor на десктопе. Что меня больше расстраивает, так это довольно глубокая вложенность дефолтных конфигов, которые позволяют слишком многое. Такое чувство, что проще с нуля писать и пройтись по всем граблям.

Бота, который спамит или пароли подбирает.

для этого нужно дырявый браузер иметь. Но в принципе, да, можно.

Я о линуксе.

как в твоём линуксе система отличает твой браузер например от твоей консоли, или удалённого меня под твоим именем?

Ок.

ага. Иногда надо обновлять.

как в твоём линуксе система отличает твой браузер например от твоей консоли

По пути к исполняемому файлу, например.

Но сейчас надобность отпала - пилю Apparmor на десктопе. Что меня больше расстраивает, так это довольно глубокая вложенность дефолтных конфигов, которые позволяют слишком многое.

мне всё-же интересно: чего тебе в стандартных правах не хватает-то?

По пути к исполняемому файлу, например.

путь к файлу — штука в Linux эфемерная. Он может измениться и даже исчезнуть. В отличие от UID, который намертво пришпилен.

Если твой браузер шерстит хомяк на наличие .doc файлов, то для тебя это не страшно, браузер работает от другого пользователя. Но сам факт того, что это происходит, тебя тоже не волнует? А если волнует, как ты решил это с помощью стандартных прав?

Не имеешь.

Да, там есть ограничения, в которые я могу и не вложится, а могу и вложится, и условия применения этого права. Это надо консультироваться с юристами.

Потому что иначе ногу сломают тебе, чтобы ты в вероятном будущем не пошел в магазин и не украл там плавленый сырок. Мало ли, а вдруг тебе захочется это сделать?

Пример абсолютно не удачный. Как раз те ограничения и не дадут им права сделать это со мной. Условия главное соблюсти. Иначе можно загреметь по полной программе. Читай законы, и найди пример получше.

Если твой браузер шерстит хомяк на наличие .doc файлов, то для тебя это не страшно, браузер работает от другого пользователя. Но сам факт того, что это происходит, тебя тоже не волнует?

если честно — не очень и волнует. Пусть шерстит. Там маленький хомяк, времени много не займёт.

А если волнует, как ты решил это с помощью стандартных прав?

я не считаю, что защита «не пускать программу XXX к файлам *.YYY» нужна. Хотя-бы потому, что *.YYY ни о чём не говорит, если у тебя не MS-DOS. То, что браузер что-то там в своём хомяке шуршит, так оно так и должно быть.

Т.е. непонятно, что ты хочешь?

То, что браузер что-то там в своём хомяке шуршит, так оно так и должно быть.

Ок. У тебя должен, у меня - нет, и я хочу знать, когда такое происходит. А уж тем более я хочу знать о том, что какой-нибудь апач шерстит фс на доступные ему каталоги, даже с учетом того, что он весь в чруте на виртуалке в ЦОДе хостера.

Когда ты создаешь в системе нового пользователя, сколько служебных пользователей ты к нему создаешь? А ярлыки они себе сами переписывают или запускают браузер от своего пользователя? Почему бы просто не воспользоваться ACL?

Ок. У тебя должен, у меня - нет, и я хочу знать, когда такое происходит.

т.е. ты намекаешь на то, что у злоумышленника должна быть возможность засрать мои логи кучей сообщений EACCESS, просто путём попыток доступа туда, куда ему нельзя?

А уж тем более я хочу знать о том, что какой-нибудь апач шерстит фс

у апача свой лог есть, если что. Есть inotify.

Когда ты создаешь в системе нового пользователя, сколько служебных пользователей ты к нему создаешь?

а зачем?

А ярлыки они себе сами переписывают или запускают браузер от своего пользователя?

в зависимости от задачи. Quake2 да, общий. Как и вся wine. О да, жена может мои сейвы испортить…

Почему бы просто не воспользоваться ACL?

почему-бы тебе просто не сгонять за водкой на авианосце? Почему ты не забиваешь гвозди головой в бетонную стену в каске? Почему ты вообще IRL не занимаешься ненужной х**й, а в компьютер как попадаешь, начинаешь заниматься?

Ненужно будет предустанавливаться на почти ненужно.

Значит линукс все же нуждается в антивирусе.

т.е. ты намекаешь на то, что у злоумышленника должна быть возможность засрать мои логи кучей сообщений EACCESS

Нет, я открыто заявляю, что у него не должно быть такой возможности, а если она все же появилась, об этом нужно знать.

у апача свой лог есть, если что.

И ты, конечно же, парсишь их ежедневно, сказочник? Они скорее для того, чтобы разобраться с проблемой нужны.

Есть inotify.

И ты, конечно же, им пользуешься ежедневно, чтобы мониторить подозрительную активность, сказочник? Зачем ты придумываешь костыли, когда есть простое средство? Не осилил что ли? Ок, я это давно понял.

а зачем?

Тебе на локалхосте незачем, я не спорю.

почему-бы тебе просто не сгонять за водкой на авианосце?

Ты просто мастер аналогий, как и пердежа в лужу. Свои велосипеды ты считаешь идеальными только потому что они твои, а использование заточенных под задачу средств ущербной практикой только потому что не осилил?

т.е. ты намекаешь на то, что у злоумышленника должна быть возможность засрать мои логи кучей сообщений EACCESS

Нет, я открыто заявляю, что у него не должно быть такой возможности, а если она все же появилась, об этом нужно знать.

и как эта хотелка решилась у тебя?

И ты, конечно же, им пользуешься ежедневно, чтобы мониторить подозрительную активность, сказочник? Зачем ты придумываешь костыли, когда есть простое средство? Не осилил что ли?

да, не осилил.

у апача свой лог есть, если что.

Лог обращений добропорядочных клиентов, а не шастания по fs. Ну и если взлом апача произошел, уж что то а логи злоумышленник за всегда почистить сумеет. Права позволяют.

Есть inotify.

Не рекурсивен, и посему бесполезен для аудита чуть менее чем полностью

Не то слово. Недавно видел человека, которому по долгу службы понадобились линуксы. После рассказа о какой-либо программе первый вопрос: где скачать кряк.

Когда ты создаешь в системе нового пользователя, сколько служебных пользователей ты к нему создаешь? Тебе на локалхосте незачем, я не спорю.

а зачем тебе, на твоём сервере? На вопрос ответишь, демагог?

Ты просто мастер аналогий, как и пердежа в лужу. Свои велосипеды ты считаешь идеальными только потому что они твои

если ты не знал, то это совсем не мои велосипеды, а древняя unix-like изоляция юзеров, которая до сих пор отлично работает практически на любом сервере. Я лишь предложил её юзать на десктопе.

И практически единственное, что я добавил: вызов программ юзером(обычным) через sudo, тогда, когда это надо на десктопе. Ибо на сервере программы обычно запускаются один раз в момент старта, и потому sudo там не нужно. А в десктопе пользователь запускает программы когда ему захочется.

А всё остальное как и всегда: httpd не может попасть в /var/lib/mysql/, а вот mysqld не имеет прав для доступа к /var/www/. Потому-что оно этим демонам не нужно. И оба демона работают от разных юзеров. Причём НЕ от root'а.

и как эта хотелка решилась у тебя?

Аудит.

да, не осилил.

Создавай тему, тебе тут помогут.

Лог обращений добропорядочных клиентов, а не шастания по fs. Ну и если взлом апача произошел, уж что то а логи злоумышленник за всегда почистить сумеет. Права позволяют.

знаешь, если враг порутал сервер, то при чём тут апач? А речь шла именно о том, что «апачь шуршит по ФС».

Как я понимаю, это возможно например на сайте с картинками. Апач легально отдаёт картинки из какого-то каталога. Ну например http://localhost/porno/1.jpg А вот злоумышленник пишет такую ссылку http://localhost/../../../boot/config и получает доступ к конфигу ядра этого сервера. Так вот, в этом случае, в логе доступа будет запись о чтении, а если чтение запрещено, то запись будет в логе ошибок. Несложно сделать оповещение для обоих случаев.

Не рекурсивен, и посему бесполезен для аудита чуть менее чем полностью

если тебе нужен аудит, используй audit. При чём тут вообще права доступа и ЗАЩИТА сервера?

знаешь, если враг порутал сервер, то при чём тут апач?

Тема про антивирус не ?

А речь шла именно о том, что «апачь шуршит по ФС».

Шуршит, например conf файлы читает, и в логе это никак не отражается и чего ?

если тебе нужен аудит, используй audit. При чём тут вообще права доступа и ЗАЩИТА сервера?

Прости, а причем тут упомянутый тобой inotify +_= ? Каким образом ты его собирался использовать раз упомянул ?

и как эта хотелка решилась у тебя?

Аудит.

ну молодец, садись, пять. А какое отношение это имеет к антивирусу и «моим» велосипедам? Зачем аудит для РЕШЕТА? И так понятно, что воду оно не удержит, если хоть кто-то попытается её туда налить? Если у тебя РЕШЕТО, то тебя и так сломают, и с аудитом в том числе, если захотят. А если не захотят, то никакой аудит тебе не поможет узнать, что у тебя РЕШЕТО.

Зачем аудит для РЕШЕТА?

Напиши Линусу, спроси. У него в ядре зачем то есть.

А если не захотят, то никакой аудит тебе не поможет узнать, что у тебя РЕШЕТО.

А так же ни логи, ни inotify, ни POSIX права. Как говориться здоровых людей не существует, есть недообследованные. Поэтому рекомендуется посещать хотя бы стамотолога, хотя бы раз в год.

а зачем тебе, на твоём сервере? На вопрос ответишь, демагог?

На десктопе. Там у меня несколько живых пользователей и пара служебных, как у тебя, от которых иногда запускаются разные приложения, но и для них у меня действуют правила AppArmor. А если я сменю десктоп или ОС, я просто перенесу настроенные правила для AppArmor.

если ты не знал, то это совсем не мои велосипеды, а древняя unix-like изоляция юзеров

знал, просто подчеркну ключевое слово

древняя

Вот это точно. Она не утратила своей мощи, но сейчас уже появились другие средства, которые ты почему-то воспринимаешь в штыки, когда крупные дистрибутивы давно их у себя используют.

А всё остальное как и всегда: httpd не может попасть в /var/lib/mysql/, а вот mysqld не имеет прав для доступа к /var/www/.

Ну ты считаешь, что взломанный сервис - это ок, т.к. он изолирован, а я считаю, что это плохо и нужно об этом сигнализировать, на этом и закончим.

знаешь, если враг порутал сервер, то при чём тут апач?

Тема про антивирус не ?

да. По твоему, если кепка от удара топора не поможет, то нужно всем без кепки ходить? И налысо брить голову? Антивирус от рута не помогает. И права не помогают, и аудит не помогает.

Шуршит, например conf файлы читает, и в логе это никак не отражается и чего ?

а того, что он и должен conf читать. Вот и отображается. А вот если пхпскрипт полезет туда, куда нельзя, то отобразится. Причём от скрипта это не зависит. И от настроек апача тоже, если админ не совсем болен.

если тебе нужен аудит, используй audit. При чём тут вообще права доступа и ЗАЩИТА сервера?

Прости, а причем тут упомянутый тобой inotify +_= ? Каким образом ты его собирался использовать раз упомянул ?

я? никаким. Это ты понятия подменяешь. Говоришь, что unix-like система защиты файлов плоха, потому-что не умеет аудит. А она и не должна уметь. Это совсем другая задача.

И да, если у тебя используется unix-like система защиты файлов, то работа аудита многократно упращается, ибо система знает, за кем ей следить. К примеру юзер wine вообще никуда НЕ ДОЛЖЕН лезть, кроме своего /home/wine/.wine/drive_c/.

А так же ни логи, ни inotify, ни POSIX права. Как говориться здоровых людей не существует

спасибо, я знаю.

Однако, что-бы порутать Linux, нужно какую-то дыру сначала найти. А вот права, и частично аудит, это существенно затрудняют. Т.е. даже если у тебя есть скажем дыра в твоём апаче, которая позволит мне получить shell, я всё равно не смогу стянуть с тебя какие-то файлы, к которым у апача нет доступа. Ибо shell у меня получится с именем apache, ну и скажем rm -rf кильнёт исключительно кеши этого апача, ну и максимум его каталог upload( и то не факт, кстати).

В десктопе же ситуация плачевна: получив дыру в каком-нить скайпе, враг получает права НА ВСЁ. Даже рута тут не надо, если у нас один юзер. Например rm -rf сотрёт все данные юзера, оставив лишь нафейхуя никому ненужную систему, которая и так на Over9000 зеркалах выложена.