Bezpečnosť GNU/Linux


Začal by som asi citáciou zo svojho staršieho blogu ešte pre LM portál.

Občas sa objavia články o zraniteľnosti Linuxu a v podstate jeho nebezpečnosti voči Windows.

Ako je to v skutočnosti?

1.) V základe (by default) v linuxovej distribúcií je oddelený účet administrátora od bežne používaného účtu aj keď má príslušnosť ku skupine administrators bežne nepracuje s povýšeným oprávnením a preto užívateľ nie je oprávnený modifikovať súbory a oprávnenia k nim, na rozdiel od Windows kde väčšina užívateľov pracuje s právami administrátora…

2.) Väčšina programov sa inštaluje z repozitárov. Pokiaľ sa nepoužíva repozitár vo väčšine prípadov je možné si skontrolovať kontrolný súčet u tvorcu daného programu viď bod 3.

3.) Pokiaľ sa používajú binárne inštalačné balíčky (deb, rpm a pod.) je daný balíček vždy podpísaný digitálne a je možné to overiť, podobne ako pri sťahovaní obrazov distribúcií.

4.) Rozšírenosť linuxu je relatívne malá, ak nerátame Android.

Aj v Androide je veľmi malá šanca chytiť škodlivý kód, pokiaľ si vyslovene užívateľ takú aplikáciu nenainštaluje, alebo ak nemá zariadenie takzvaný ROOT, a aplikácie sa sťahujú len z overených zdrojov ako GooglePlay či F-Droid.

5.) Víry, písané primárne pre Microsoft Windows platformu, nie sú spustiteľné pod linuxom ani pod MacOSX.

sha_checkObr. Overenie SHA1 binárneho balíčku Master PDF editoru. Cez príkaz sha1sum master-pdf-editor-4.3.61_qt5.amd64.deb

To samo o sebe ale nie je zárukou nenapadnuťeľnosti GNU/Linux systému. Pre napadnutie systému, však musia byť splnené isté podmienky, bez ktorých je akýkoľvek malware / vírus neškodný.

1. Musí byť určený pre platformu GNU/Linux, a často ešte aj špecificky pre danú distribúciu, keďže často sa aj distribúcie postavené na GNU/Linux odlišujú medzi sebou.
2. Musí sa dostať do počítača.
3. Musí byť spustený
4. Musí mať povýšené oprávnenia.
5. Musí, pre ovládnutie alebo poškodenie systému, poznať a vedieť využiť zraniteľnosť, alebo chybu systému. Napríklad ako bol Hartbleed (chyba v zabezpečení OpenSSL implementácií), ktorá je ale všade, nielen v Linuxe či chyba Shellshock spojená s Apache. Taktiež ako malware je možné označiť aj niečo také ako projekty tajných služieb, zverejnené pod označením Vault7 

Týchto 5 musí bodov tvorí základný predpoklad možnosti infikovania daného systému, to však nezaručuje, že malware bude úspešný. Totiž z pohľadu GNU/Linux je malware len ďalší program, a ako taký nemá prístup k systémovým veciam. A systém ako taký ma aj ďalšie roviny zabezpečenia ako Apparmor či SELinux.

Vcelku zaujímavý je článok o malware a linuxe na wikipédií (v angličtine)  vrátane čiastkového zoznamu malware pre GNU/Linux alebo vírusová stránka na UBUNTU.

SELinux, alebo správne celým názvom NSA Security-Enhanced Linux je defacto rozšírenie jadra Linuxu o MAC (Mandatory Access Control), čím dochádza k zaisteniu a zvýšeniu zabezpečenia celého systému. SELinux je bezpečnostným rozšírením pre jadro GNU/Linuxu kde každý bežiaci program je v Sandboxe a je tak oddelený od zvyšku systému a neumožnuje danému procesu, vrátane tých, ktoré bežia pod rootom, opustiť sandbox. Je to síce náročnejšie na systém, ale chráni to systém pred kompromitáciou. Subjekt, ktorý vyžaduje prístup k niektorému objektu musí byť SELinux Security Serverom povolený alebo zamietnutý.
Samozrejme to zvyšuje nároky na systém, ale v porovnaní s výkonom súčasných počítačov je to zanedbateľná záťaž.

Oproti tomu AppArmor, ktorý tiež patrí do rodiny bezpečnostných rozšírení jadra GNU/Linuxu a bol pôvodne určený práve na boj so škodlivým softvérom a až neskôr sa vyvinul do plnohodnotného rozšírenia, ktoré filtruje prístupy a práva subjektov a objektov.
AppArmor pracuje inak ako SELinux, na systéme databázy profilov s oprávneniami pre subjekty alebo skupiny subjektov, rovnako ako SELinux, ale aplikácie nebežia v sandboxe.
AppArmor, na rozdiel od bezpečnostných kontextov v SELinuxe môže práva subjektov a objektov aj dediť, poprípade dediť s obmedzením.

No a pre GNU/Linux je vírus len ďalší program.

Takže na koniec ako sa správať aby bola naďalej infekcia počítača na GNU/Linux nulová?

1. Inštalovať programy len z dôveryhodných zdrojov – repozitáre, PPA, alebo zdroje autorov, s overením si pravost.
2. Používať Flatpak. Minimálne na webový prehliadač, keďže aplikácie bežia v sandboxe.
3. Vždy inštalovať bezpečnostné aktualizácie.
4. Zálohovať.
5. Neinštalovať zbytočne veľa programov, alebo spúšťať služby. Ak nepoužívate Virtualbox alebo Orca, je zbytočné nechávať ich nainštalované, alebo spustené ich služby na pozadí.
6. Je vhodné mať na GNU/Linux antivírus už aj preto, že môže pomôcť zistiť hrozby na zdielaných diskoch cez Sambu. Pre bežné používanie na desktope to nutné ale nie je.
7. Nespúšťať skripty, ktoré nepoznáme alebo nemáme celé prekontrolované

Rovnaké alebo veľmi podobné veci ako o GNU/Linux v podstate platia aj pre OSX od Apple či rôzne verzie BSD.

Reklamy
This entry was posted in bezpečnosť, Linux, Nezaradené. Bookmark the permalink.

Pridaj komentár

Zadajte svoje údaje, alebo kliknite na ikonu pre prihlásenie:

WordPress.com Logo

Na komentovanie používate váš WordPress.com účet. Odhlásiť sa /  Zmeniť )

Google+ photo

Na komentovanie používate váš Google+ účet. Odhlásiť sa /  Zmeniť )

Twitter picture

Na komentovanie používate váš Twitter účet. Odhlásiť sa /  Zmeniť )

Facebook photo

Na komentovanie používate váš Facebook účet. Odhlásiť sa /  Zmeniť )

Connecting to %s