Linux, безопасность и все такое… (вдогонку)

[Delsian]

Вот интересно от троллей хоть раз услышать коммент — что я такого ужасного написал, что мне накидали минусов в карму?

[init0]

В отличии от поста на который ссылаетесь в начале, ваш полезен, спасибо.

[rimmer333]

Это такая традиция тут.

[Delsian]

Это, подозреваю, какой-то скрипт у кого-то стоит. Я запостил статью, через 15 секунд открыл исправить опечатку, записываю — уже стоит -1 статье и -1 в карме. За такое время статью прочесть может только робот.
Ну или это происки виндузофила, минусующего все статьи про Линукс :)

[Delsian]

Ничего подобного. Я сам дома и на ноуте держу убунту, удобно. Просто упомянуто для примера, ибо «поставить маме генту» звучит скорее как издевательство :)

[mkdotam]

Кто-то должен сильно не любить свою маму.

[Javoronok]

если маму садишь в первый раз за комп, и:
— показываешь где лежат картинки, музыка и кино и как их запускать
— куда надо тыцнуть, чтобы запустить маджонг или пасьянс,
то она будет считать эту ubuntu чем-то новым. Таким же точно, как и windows. А какой он, этот windows или эта ubuntu ей по барабану.

[mkdotam]

Я продолжил шутку про маму и генту. У самого вся родня сидит на Убунте. (:
После того как мама села за Винду после Убунты у нее было два нарекания:
1. мало игр и 2. Не нашла где Файрфокс.

[j1nn]

а моя сказала «ух ты, сколько новых игр!» :)

[elve]

Не соглашусь с вами =).
От мамы не требуется что-то собирать самой =). Все что нужно поставить и настроит сын заранее.

Раз в месяц можно даж обновить чего-то оставив комп на ночь.

Пользоваться и обслуживать это две разные вещи =). Наверное вы их путаете.

[mkdotam]

Да, вы правы. Но в случаи Генты о телефонном саппорте можно забыть. (:

[naryl]

Устанавливать, пользоваться и обслуживать — это три разные вещи. Пользование зависит только от качества настройки. Установка проще у Ubuntu, обслуживание — в Gentoo. (ибо сам систему собирал и знаешь где что чинить :) )

[Vasily_Pupkin]

Огадащас. Собирал портаж. А чинить чонить в openrc скажем не проще чем денить еще

[Vasily_Pupkin]

Минусующие никогда не сталкивались с внезапными багами в построении дерева зависимостей сервисов?

[naryl]

У меня заряд кончился, но, тем не менее, не сталкивались. Ни на нетбуке, ни на домашнем почто-ftp-много-чего-ещё-сервере.

[mkdotam]

Ну слишком он простой. Линуксоид привык гордится тем, что не ищет новых путей. (;
Когда я только вставал на юникс/линукс мне говорили: он юзер френдли, но он сам выбирает с кем дружить. А тут получается, что нет… со всеми дружит. Рушится ореол избранности (о;

[DarkboodZed]

Например vlc 1.02 из репозитария убунты имеет багу при питании от батарей при проигрывании видео отрубается экран и не блокируется заставка, в независимости от настроек vlc.
Если стыбрить 1.03 с лачпада проблема частично решается(ручной правкой конфига)
Предыдущая версия такой проблемы не имела.

[onix74]

Спасибо автору! Не знал о таких утилитах.

[Vasily_Pupkin]

Если вы домашний пользователь — пользуйтесь дистрибутивами с подписанными пакетами. Дебианом там, RPM'based и пр. ставьте пакеты только из репов. Это практически 90% гарантия того, что все будет ок. Периодически просматривайте netstat -ptun, getent passwd | grep ":0:", добавьте в /etc/security/access.conf только своего пользователя, запускайте сетевые сервисы с публичным доступом из chroot и смотрите хоть иногда в логи. Это 95% того, что с вами все будет хорошо. Существует некоторое количество случаев, когда вышеперечисленных мер может быть недостаточно — основная — это дыры в ядре, и дыры в башке администратора на сервере с шелл доступом. От первого вы едва ли можете быть защищены. Но ремот руты — достаточно редкое явление. Иногда бывают локал руты. Локал рут может быть опасен тогда, когда у вас в сетевом сервисе есть дыра. Например у вас старый дырявый phpbb, и старое дырявое ядро. Но в таком случае вам ваще ничего не поможет. Ни rkhunter, ни tripware.

[naryl]

> Если вы домашний пользователь — пользуйтесь дистрибутивами с подписанными пакетами. Дебианом там, RPM'based и пр.
Или Gentoo. Там даже архивы исходников, скачиваемых с сайта разработчика подписываются. Бывают проблемы, если разработчик, ничего не сказав выпускает какой-нибудь hotfix, не изменяя имя архива.

[Vasily_Pupkin]

В генте что-то подписывается? Где? Покажите плз

[an0n1m0us]

в манифестах к ebuild'ам

[Vasily_Pupkin]

sources.gentoo.org/viewcvs.py/gentoo-x86/dev-util/qt-creator/Manifest?view=markup

К примеру. И где там подпись?

[hanzhinstas]

Очевидно. MD5? ^.^

[Vasily_Pupkin]

Вы хэши от подписей отличить можете?

[an0n1m0us]

прошу прощения, ввёл вас в заблуждение. да, в манифестах содержатся только хеш-суммы файлов, загружаемых в процессе emerge. а снепшоты дерева портежей, которые включают в себя и манифесты в свою очередь подписываются. обратите внимание на файлы с подписями (gpgsig) в ваших distfiles. не забывайте ставить webrsync-gpg в FEATURES и обновляйте дерево портежей через emerge-webrsync

[Deepwalker]

Я ожидал selinux и apparmor, а это так, когда почки отвалились.

[Vasily_Pupkin]

SELinux это круто конечно, но кажется единственные дистрибутивы где оно работает искаробке — это всякие редхеты.

[OLS]

Вот экземплярчик с закрученными донельзя гайками из коробки:
www.engardelinux.org/

[minicon]

Если исключить всякие редхеты (fedora,centos, etc) selinux есть в последних версиях openSUSE. Так же в ubuntu есть пакеты для selinux.

[ivlis]

Везде оно работает, если руки прямые.

[Vasily_Pupkin]

… после недель сношания на рисование политик и с внеапными проблемами

[ivlis]

Ну мне хватило двух дней чтения документации.

[Vasily_Pupkin]

Двух дней, что бы нарисовать политики ко всему в системе? Вы просто волшебник

[ivlis]

Зачем всей системе? Только то, что не входит в стандартную поставку.

[SADKO]

А для серверов они самое оно.
Для home user есть Suse с её apparmor.

[spxnezzar]

по поводу рута…
Была у меня такая фишка во времена паранойи. У меня, по входу рута в систему, высылалось мыло на почту с данными откуда вошли. Одна строчка в .bashrc, а столько приятного. так же и пользователей можно отслеживать, если совсем уж почтовый трафик девать некуда.

[Vasily_Pupkin]

> Одна строчка в .bashrc

Лучше в pam модуль, .bashrc — одноразовая фигня ))

[spxnezzar]

А в случае со входом рута или юзверя не с того адреса больше и не надо =)
Вот у меня встречный вопрос: pam штатными средствами? я просто не видел такого функционала.

[Vasily_Pupkin]

pam очень просто дописывается. API простой как угол дома. К тому же если вы точно знаете, с каких адресов можно заходить, просто добавьте соответстующие записи в access.conf (=

[spxnezzar]

я порой с 3G модема хожу, порой прям с телефона, иногда (каюсь) из публичных мест. Так что access.conf не вариант. =(

[Vasily_Pupkin]

Письмо с IP вам тогда тоже ничего не даст. Вообще самая нормальная тема — сетевой лог. Если домашняя машина, то вообще можно расслабиться. Только надо поставить в ssh клиенте принудительно протокол 2, и фингерпринты установить как положено

[belunix]

rkhunter -update
rkhunter --update

[Delsian]

Спасибо, исправил. Что-то меня проглючило, когда писал.

[OxoTnicK]

это все прекрасно конечно, но что мне делать если rkhunter, после всех этих телодвижений, выдал ворнинги?

[Guria]

угу с инсталлом-то всё понятно, а дальше что?

[astenix]

Попробовать разобраться?!

[Idiff]

Чувствую подвох, а понять не могу, в чем :)

[naryl]

Соц. эксперимент очередной. Заплюсуют или заминусуют. Судя по динамике изменений, около 30-40% ставят +.

[Idiff]

а вы бесстрашный фантазер, однако :)

[lllypyn]

в избранное

[Guria]

Обращусь за ответами, как к посту приемнику со следующими вопросами:
habrahabr.ru/blogs/linux/81724/#comment_2428247
habrahabr.ru/blogs/linux/81724/#comment_2428291

[Delsian]

Если ты сам обновил какую-то часть системы, а потом заапдейтил эти изменения в базу — тут ни один тул не поможет. Разве что случай какого-то популярного руткита, тогда ркхантер сработает на него.

[Guria]

решение — не ставить ничего из PPA?

[Delsian]

Ну, можно еще на улицу не выходить, чтобы сосулька на голову не упала, и не трахаться, чтоб ничем не заразиться…
Главное — не заморачиваться, и все будет ок :)

[Guria]

Если честно, сильно не парюсь. Под виндой никогда самостоятельно вирусов не ловил, сидя за НАТом без антивирусом. В линуксе, соответственно переживаю ещё меньше, но вот это иногда и пугает. Полная уверенность может сыграть злую шутку. Я не знаю названия и предназначения всех стандартных процессов и вывод ls мне ничего не даст, и т.д. У меня нет опыта работы с паразитами под линукс и в случае их появления, я даже их не замечу

[litos]

А rkhunter ищет только известные ему руткиты и если написать новый то не найдет?

[Xobb]

Ну напишите новый и проведите тест. Очевидно же!

[Anton_Shevtsov]

Стоит упомянуть о классике жанра snort ну и ossec не забыть… а сколько всего самописных парсеров netstat и всяких logов с генерацией правил для iptables…

[axshavan]

rkhunter попросил установить для себя пакет unhide и сразу засунул его в warning при первой же проверке, и не нашёл php, хотя оно есть и устанавливалось из репозитория.
Тем не менее, после проверки я как-то спокойнее себя чувствую, спасибо.

[TiFFolk]

Коллеги, как назло вылето из головы название демона, который отслеживает все изменения файлов и находится во всех ОС Linux. Он стандартный, не tripware, вроде на 'a' начинается, напомните пожалуйста

[TiFFolk]

audit, вспомнил) Вот это замечательный демон, очень фнкциональный, а прекрасные правила для него можно взять в соответствующей рассылке.

[mocksoul]

> Но не стоит расслабляться — если уж злоумышленник получит рутовые права на вашей тачке, то ему не составит труда просто
> переустановить tripwire со своими ключами, и вы будете все так же получать репорты в стиле «Все хорошо, прекрасная маркиза»

вообще, если под линухом кто-то украл ваш пароль — то битву вы уже проиграли. Человек умелый (разумный) однозначно сможет замаскироваться в системе так, что его и под лупой не найдёшь. Только если специально не сесть и не начать искать, зная что что-то не так.

а в случае с серверами, доступ к закрытой информации уже будет получен и базы уже стырены, так что поздно.

следовательно, я бы советовал сосредотачиваться на превентивных мерах — частая смена паролей (а лучше и вовсе отказ в пользу ключей), обновление всего и вся регулярно (до стейбл), отказ от «не стейбл» пакетов и тому подобное.

а если же понадобится очень жесткий контроль на userspace программками, то это явно надо делать из kernelspace :). И, уверен, если понадобится — появится. Сейчас же надобности в этом нет вообще.

[cyberklin]

в указанном топике, в одном из комментариев упоминается отчет о взломе серверов debian. Так вот дебиановцы на своих серверах используют aide. Судя по описанию — нечто наподобие tripwire, т.е. отслеживает изменение файлов, заданных регулярными выражениями в конфиге, по контрольным суммам. как аналог tripwire предлагаю добавить с статью