Bezpieczeństwo systemu Linux

[Niktistotny]

0

Bo wszędzie piszą super bezpieczny - a potem podają wszędzie sprzeczne z tym twierdzeniem informacje poboczne sami ludzie.

Sam jestem zielony w tej tematyce. Chcę się na niego przesiąść - ale jest to dziwne, bo o ile w W jest jakoś jednorodne opiniowanie to w Linux sa ze sobą sprzeczne informacje niemal w każdej sferze.

Bezpieczeństwa czy nawet programów i wielu rzeczy.

Wciąga minie Linux od strony graficznej - ale go nie znam i się boję tych sprzeczności.

Na Windows potrafiłem sobie ustawić Comodo CIS ręcznie aby czuć się bezpiecznie - na linux nie mam takiego narzędzie i na razie jeszcze nie wiem jak się zabezpieczyć bez czegoś bardzo jak dla mnie skomplikowanego w tym środowisku.

[mati75]

0

To jest mit który pojawił się w czasach windowsa xp. Na dobrze w okolicach ubuntu 6.06, czyli z czerwca 2006. Upłynęło ponad 18 lat i jest to warte tyle, że linux da się lepiej zabezpieczyć jak windows. Problem polega na tym, że trzeba mieć doświadczenie w tym. W wielu przypadkach powoduje tylko problemy. Znam przykład jednej osoby, która zgłaszała problem z internetem do operatora, a problemem był jego system. Tak zabezpieczył system że dostęp do internetu przestał działać.

Dokładnie takim samym mitem jest, że linux nadaje się na starszy komputer. Tutaj na forum jest parę osób, które mają starsze mocne komputery gdzie linux będzie działał dobrze. Wiele osób za to próbuje uruchamiać na marketowych laptopach które nadają się tylko do elektrośmieci.

Do linux nie ma potrzeby instalowania antywirusa skanującego cały czas w tle system. Wystarczy uważać tylko to co się robi.

[morfik]

0

@Niktistotny -- nie wszędzie piszą -- np. ja od lat piszę ludziom, że linux jest niebezpieczny[0]. Ludzie z openwall'a[1] (w tym sam Alexander Popov, aka Solar Designer) też mają podobne zdanie, tak samo ci z mailing listy poświęconej tematyce kernel hardening [2]. Nawet sam Linus Torvalds na szczytach/konferencjach od czasu do czasu mówi, że linux nie został stworzony po to być bezpiecznym, on ma być używalny, oraz że z ludźmi od bezpieczeństwa bardzo trudno się rozmawia. Kiedyś był przytoczony przykład zapisu dysku przez dd if=/dev/zero of=/dev/sda... czy innego rm -Rf /... i, że ludzie powinni mieć możliwość popsuć swoje systemy w sposób taki jak uważają za stosowne i my nie powinniśmy im stać na drodze i im w tym przeszkadzać oraz, że ogromna większość problemów w linux bierze się z faktu, że ludzie robią (albo chcą robić) wyjątkowo głupie rzeczy...

Idąc dalej Solar Designer stworzył kilka fajnych projektów, np. LKRG[3] czy kernel-hardening-checker[4], które pokazują dobitnie jak kernel linux'a potrafi być szalenie niebezpieczny. Dlatego ja w oparciu czy to o informacje zwracane przez kernel-hardening-checker, czy też o info zawarte w dokumentacji KSPP[5], buduję sobie własny kernel, który ma sporo rzeczy powyłączanych/pozmienianych w przeciwieństwie do tych dystrybucyjnych kerneli. I jakiś syf, który na dystrybucyjnym kernelu będzie działał, u mnie nie zadziała. Także podkreślę jeszcze raz -- linux nie jest bezpieczny ale może stać się nieco bardziej bezpieczny, jeśli za jego sterami posadzi się odpowiedzialnego użytkownika.

@Niktistotny to, że czujesz się bezpiecznie nic w zasadzie nie zmienia. Powiem więcej, fałszywe poczucie bezpieczeństwa jest gorsze od świadomości jego braku, bo jak czujesz się bezpieczny, to do głowy może przyjść ci zrobienie czegoś, czego byś nie zrobił wiedząc, że to coś może nieść ze sobą złe konsekwencje. Dlatego dla ludzi korzystających z windows, czasami lepiej jest, by zostali na windows, bo wtedy się pilnują, wszędzie widzą zagrożenia i starają się nie robić głupich rzeczy albo przynajmniej pomyśleć i zastanowić się parę razy zanim to coś zrobią. A jak tylko przechodzą na linux'a to zaraz wątki na forum jaki to linux jest zły i, że wracają na windows...

[0]: https://morfikov.github.io/
[1]: https://www.openwall.com/
[2]: https://lore.kernel.org/linux-hardening/
[3]: https://lkrg.org/
[4]: https://github.com/a13xp0p0v/kernel-hardening-checker
[5]: https://kspp.github.io/

[magnus]

1

Bo wszędzie piszą super bezpieczny - a potem podają wszędzie sprzeczne z tym twierdzeniem informacje poboczne sami ludzie.

Linux jest uważany za bardziej bezpieczny ponieważ rzadziej jest celem ataków ze względu na to że tylko 2% komputerów osobistych używa tego systemu. Te 2% dodatkowo podzielone jest na wiele odmian Linuxa. Także te 2% użytkowników Linuxa postrzeganych jest jako bardziej zaawansowani, a społeczeństwo Linuxa jako potrafiące szybko reagować na zagrożenia. Z tych względów Linux jest uważany jako mniej opłacalny cel ataków.

Chcę się na niego przesiąść - ale jest to dziwne, bo o ile w W jest jakoś jednorodne opiniowanie to w Linux sa ze sobą sprzeczne informacje niemal w każdej sferze.

Dla mnie głównym powodem przejścia na Linuxa było posiadanie większej kontroli na systemem.

[Niktistotny]

0

Może coś z tego będzie, z racji że nie zniechęcam się tak łatwo. A na razie nie czuję z niechęcenia. Na pewno nie chcę już windowsa i ich polityki oraz ich ideologii.

Graficznie mnie linux wciąga i właśnie tymi dostosowaniami - których powali się uczę od strony graficznej.

A dzięki temu że mam teraz wiele nowej nauki - czuję że aż neurony rosną :-D

[morfik]

0

Tu bardziej chodzi o brak jednorodnego środowiska, które można zaatakować w jednym podejściu. Windows jest wszędzie taki sam. android podobnie, a linux na desktopach się potrafi dramatycznie różnić, a mój to już w ogóle. Jakby pozbierać ile jest linux'ów (desktopy, serwery, vps, IoT, telefony, telewizory, routery), to by się okazało, że linux'ów jest parę rzędów wielkości więcej niż wszystkich windowsów na desktopach. Także nie powiedziałbym, że nie ma co atakować.

Zabezpieczenia generalnie nie są po to by potencjalnego atakującego powstrzymać -- zabezpieczenia są po to by takiego osobnika zniechęcić od przeprowadzenia takiego ataku, np. musi on więcej czasu poświęcić a czas to pieniądz -- nikt nie będzie siedział miesiąca by zaatakować jednego kompa, by ci nagie fotki wykraść albo shakować konto w banku i ukraść ci 100zł. Ale jak masz takie samo środowisko i potencjalną grupę odbiorców takiego ataku liczącą wiele milionów użytkowników, to już nawet i miesiąc można poświecić, bo zawsze parę procent na taki atak się złapie, a to zwykle jest kilka-kilkadziesiąt tysięcy ludzi, i zysk takiej operacji wykładniczo wzrasta.

[omkar]

0

Bo wszędzie piszą super bezpieczny - a potem podają wszędzie sprzeczne z tym twierdzeniem informacje poboczne sami ludzie.

Sam jestem zielony w tej tematyce. Chcę się na niego przesiąść - ale jest to dziwne, bo o ile w W jest jakoś jednorodne opiniowanie to w Linux sa ze sobą sprzeczne informacje niemal w każdej sferze.

Bezpieczeństwa czy nawet programów i wielu rzeczy.

Wciąga minie Linux od strony graficznej - ale go nie znam i się boję tych sprzeczności.

Na Windows potrafiłem sobie ustawić Comodo CIS ręcznie aby czuć się bezpiecznie - na linux nie mam takiego narzędzie i na razie jeszcze nie wiem jak się zabezpieczyć bez czegoś bardzo jak dla mnie skomplikowanego w tym środowisku.

Używałem Comodo. Napisałem coś na ten temat - klik.

[morfik]

0

Warto też poczytać komentarze pod tym podlinkowanym artykułem (zwłaszcza te moje ), które swoją drogą pokazują, że firewall nas nie ochroni, gdy sami syf sobie wgramy i, że w większości przypadku bez FW można się obejść.

[sr-ol]

0

to może ja dopytam: jak się ma systemowy FW w przypadku wszystkich połączeń idących przez VPN?

[mati75]

0

Co za różnica którędy ruch idzie? Komercyjne vpn są warte tyle ile ich reklamy są warte, czyli 0. Ich ochrona to marketingowy bełkot.

Teraz świeży przykład pobierania paczek spoza repozytorium.

The last linux binaries ( yt-dlp_linux ) are contacting tor exit nodes and attempting to shutdown syslog starting from release 2024.10.22 according to virustotal.

3f6ab524d899f39ef46004a9db1f09ac8983aa5bd96243c417edf7c0c00627d7 yt-dlp_linux 2024.11.04 dcca6afb6ac9770d4d3425c35e415f4a8fc69b626c60f12ca899bfc05f6a72fc yt-dlp_linux 2024.10.22

https://news.ycombinator.com/item?id=42040600
https://github.com/yt-dlp/yt-dlp/releases

Ten program jest domyślnie zainstalowany w mincie.