Autor |
Sõnum |
parimmax
Pingviini aktivist
Vanus: 59
Liitunud: 21.03.2009
Postitused: 367
Distributsioon: estobuntu,ubuntu
|
|
Rünnete ennetamine Linux ja Mac keskkonnas
Siim Karus, 22, July 2009
Eelmisel korral kirjutasin rünnete ennetamisest Windows keskkonnas. Windows ei ole aga mitte ainus keskkond, mida rünnatakse. Järgnevalt teen ülevaate, kuidas ennetada ründeid Linux, Mac ja BSD keskkondades.
Elementaarne turve
Kui Windows puhul näib loomulik, et arvutis on olemas nii personaalne tulemüür kui ka antiviirus (ning pahavara vastane rakendus), ei ole need rakendused sugugi mitte levinud teistes keskkondades. Elementaarne tulemüür on siiski enamikes olemas, kuid tavaliselt piirdutakse ip või pordi järgi siseneva liikluse filtreerimisega. See ei ole tihti siiski piisav ning soovitav on omada tulemüüri, mis kontrollib suhtlust ka rakenduste järgi ning võimaldab filtreerida väljuvat suhtlust. Tegelikkuses on see kõik võimalik ka operatsioonisüsteemidega Linux ja BSD tihti kaasas oleva iptables tarkvaraga, Maci tulemüür aga nii detailset konfigureerimist ei toeta. Linuxi tavakasutajatele mõeldud distributsioonid sisaldavad tihtipeale ka graafilist rakendust tulemüüri seadistamiseks ning mõnel juhul on ka vaikimisi seadistus juba päris korralik. Sealjuures on kasutajaliides tihti sarnane Windowsi tulemüürile, mis küsib väljuva võrguliikluse korral kasutajalt, kas ta soovib rakendust võrku lubada. Maci tulemüüri seadistamise juhendi leiate siit, iptables seadistamise graafilise rakenduse Firewall Builder kohta leiate infot siit.
Linuxi (ja kohati ka Mac) kasutajate seas on levinud arvamus, et nende platvormi niikuinii ei rünnata, mistõttu pole ka arvutit aeglasemaks tegevat antiviirusprogrammi vaja. See arvamus kaob pärast paari intsidenti viiruse või kahtlase võrguliiklusega (Linux ja Mac on eelistatud/levinud botnettide juhtimisserverite platvormid). Parem on olla valmis ning kasutada antiviirusprogrammi – see võib leida üht-teist huvitavat ja teie jaoks tundmatut teie arvutist. Antiviirusprogramme on nii Linux-le, BSD-le kui ka Mac-le mitmeid, sealjuures ka vabavaralisi. Valiku vabavaralisi antiviirusprogramme võite leida VabaVaraVeebist. KDE kasutajate jaoks on tõenäoliselt mugavaim kasutada KlamAV-d, Gnome kasutajate jaoks ClamTk-d. Mõlemad neist on ClamAV graafilised kasutajaliidesed. ClamAV omab versioone ka Windowsil, Solarisel ja mitmetel teistel operatsioonisüsteemidel (Mac-i tuge tal pole). Tuntuim vabavaraline Mac antiviirus on iAntivirus, mille leiate siit. Veel aasta tagasi soovitas Apple Mac OS kasutajatel kasutada Mac OS platvormil korraga vähemalt kahte erinevat antiviirusprogrammi. Nüüdseks on soovitus muutunud ning soovitatakse kasutada vähemalt ühte antiviirusprogrammi.
NX/XD bitt (riistvaraline DEP)
Windowsis vastas protsessori NX (No eXecute) / XD (eXecution Disabed) võimalusele DEP (Data Execution Prevention) tehnoloogia. NX/XD tähistab protsessori oskust eristada käitatavaid andmeid mitte-käitatavatest (kirjutatavast mäluosast).
NX/XD bitti toetavad nii BSD, Linux kui ka Mac OS. Erinevalt Windowsist, kus biti kasutamine on lihtsalt sisse-välja lülitatav, oleneb nii Linux kui Mac OS puhul biti kastumine kasutatavast tuumast. Uuemad Mac OS X-d (alates versioonist 10.5) on NX biti kasutamine sisse lülitatud, vanematel see puudub (10.4.4 omas piiratud NX biti kasutamise tuge). Ka uuemad Linuxi distributsioonid omavad NX biti tuge, kuid tihti on see tuumas välja lülitatud, et tagada paremat ühilduvust vanema riistvaraga. Näiteks on Fedora Linux puhul NX biti kasutamiseks vajalik vaiketuuma (kernel) asendamine “kernel-PAE” paketiga. Linuxi distributsioonide turvatud (hardened) versioonid reeglina kasutavad NX bitti. Uuemad BSD distributsioonid (alates FreeBSD 5.3 ja OpenBSD 3.4) kasutavad NX bitti.
Seega lihtsam viis kontrollimiseks, kas teie Linux, Mac OS X või BSD kasutab protsessori pakutavat NX bit tuge, on kontrollida oma operatsioonisüsteemi (või selle tuuma) versiooni ning vajadusel uuendada seda. Riistvaralise DEP-i kasutamise ja sisse lülitamise kohta saab lugeda ka NSA juhendist.
Kasutajakonto turve
Peamine reegel kasutajakontode kasutamisel on, et alati tuleks kasutada kasutajakontot, millel on igapäevategevusteks piisavad õigused ja vähe õigusi, mida igapäevaselt ei kasuta. See tähendab, et arvuti igapäevaseks kasutamiseks peaks alati kasutama piiratud õigustega kasutajakontot, mitte administraatori (root) kontot. See vähendab võimalust, et sinu külastatava veebilehe või avatava e-kirja (või käivitatava programmi) tulemusel saab ründaja või pahavara ligi sinu operatsioonisüsteemi kriitilistele osadele ning ei põhjusta süsteemi töökõlbmatuks muutumist.
Peaaegu kõigis uuemates operatsioonisüsteemides on võimalik käivitada rakendusi mõne teise kasutajana kui aktiivne töölaua kasutaja. Nii on Windowsis käsk runas (menüüvalik “käivita kui …”) ja Linuxis käsk su (ja selle sarnased sudo, kdesu jt.). Nende käskude kasutamine on eelistatud viis operatsioonisüsteemi konfigureerimistegevuste teostamiseks (sh. uute rakenduste paigaldamine). Viimasel ajal on populaarne automaatne administraatori konto andmete küsimine juhul kui operatsioonisüsteem tuvastab, et rakendus vajab administraatori õigusi. Tihtipeale on selline küsimine seotud tegevustele kinnituse küsimisega. Windowsis nimetatakse sellist käitumist UAC-ks (User Access Control), kuid selline käitumine on olemas ka turvalisusele orienteeritud Linuxi versioonides (sh. Fedora Linux).
Kokkuvõtteks
Kuigi Linux, BSD ja Mac OS X puhul ei räägita palju rünnete ennetamise tehnoloogiatest nagu DEP, UAC, ASLR jt., on neil vastav tugi olemas. Nende tehnoloogiate kasutamine on aga vähem tähele pandav kui Windowsi puhul. See tähendab, et nende võimaluste sisse/välja lülitamine või töös oleku kontrollimine on tihti keerulisem või lausa võimatu. Seega eeldab näiteks Linuxi turvaline kasutamine enamasti paremaid teadmisi operatsioonisüsteemi ja süsteemsete rakenduste kohta, kui Windowsi (või Mac OS X) turvaline kasutamine.
Suurim probleem Linux, BSD ja Mac OS X platvormidel on vähene pahavara vastaste rakenduste (nt. antiviirused, pahavara eemaldajad) levik. Seda peamiselt seetõttu, et neid platvorme reklaamitakse kui pahavara vabasid, mida nad tegelikult ei ole. Kaspersky Labs asutaja Eugene Kaspersky ennustab nendel platvormidel pahavara leviku kiiret kasvu juba lähitulevikus. Sama meelt on ka mitmed teised turvakonsultandid, kelle arvates ei ole Linux, BSD ega Mac OS X kasutajaskond veel ületanud piiri, millest alates nende ründamine annab märgatava tulemuse. Seega tuleks nende platvormide kasutajatel kindlasti veenduda, et nad kasutavad antiviirust, tulemüüri ja administraatori konto on kasutusel vaid eriolukordades (nt. uue rakenduse paigaldamine või olemasoleva ümber konfigureerimine või eemaldamine).
|
|
|
|
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
onul on osaline päikesepiste, muud midagi....
Palju juttu on õige kuid ei ole absoluutselt mingit põhjust paanikaks, kuna enamus juttu on teooriapõhine ja reaalsesse ellu 100% mitte sobiv...
http://www.arvutikaitse.ee/?p=2026
|
|
|
|
Viimati muutis illukas 09.08.2009, 09:24; muudetud 1 kord
|
|
|
|
imapi
Vana Pingviin
Vanus: 44
Liitunud: 01.12.2005
Postitused: 567
Asukoht: Rakvere
Distributsioon: Mageia Cauldron
|
|
Noh nii mõnigi koht pani mõtlema, et inimene ei ole just kõige täpsemini asjadega kursis.
|
|
|
|
_________________ More than once my wife has asked why I don't do Windows, because that's where the money is. Why don't I just sell drugs or produce porn - there's money in those things, right?
|
|
|
|
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857
Distributsioon: Ubuntu
|
|
Tundub tüüpilise Windowsi kasutajaga, kelle teadmised näiteks Linuxist näikse olevat rohkem paarist raamatust ja naised saunas rääkisid allikatest.
Mina ei mäleta lähiajaloost ühtegi Linuxi remote ründe võimalust. Alati on kasutatud kooslust - enne mõne service kaudu süsteemi sisenemine ja siis juba kohaliku turvaauku kasutades süsteemi üle võtmine. Sellistel puhkudel ei pruugi ka tulemüürmidagi aidata, kui ikka vananenud BIND või Apache või SSH töös on.
Ka antiviiruste osas olen sama meelt - Linuxi viirus peab kas konkreetset turvaauku ära kasutama, et root kasutaja õigustesse pääsema või peab kasutaja ta ise käivitama root kasutaja õigustes, et tõesti mingi suurem pahandus korda saata.
|
|
|
|
_________________ Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu
|
|
|
|
elari
Pingviini kasutaja
Vanus: 36
Liitunud: 12.02.2008
Postitused: 86
Distributsioon: Karmic Koala
|
|
Kas neid linke mis sul seal tekstis on tuleb mõttejõul avada?
|
|
|
|
|
|
|
|
v6lur
Vana Pingviin
Vanus: 37
Liitunud: 08.07.2005
Postitused: 667
Asukoht: Kopenhaagen/Tartu
Distributsioon: Arch
|
|
elari kirjutas: | Kas neid linke mis sul seal tekstis on tuleb mõttejõul avada? | Linkidega teksti saad Illuka antud lingilt (2. postituses).
|
|
|
|
_________________ "Sleep, she is for the weak."
|
|
|
|
indrek
Vana Pingviin
Vanus: 46
Liitunud: 08.07.2005
Postitused: 412
Asukoht: Tallinn
Distributsioon: Kubuntu
|
|
spott kirjutas: |
Ka antiviiruste osas olen sama meelt - Linuxi viirus peab kas konkreetset turvaauku ära kasutama, et root kasutaja õigustesse pääsema või peab kasutaja ta ise käivitama root kasutaja õigustes, et tõesti mingi suurem pahandus korda saata. |
No piisavalt suurt jama saaks põhimõtteliselt vabalt tekitada ka tavakasutajaõigustes (dokumendid maha tappa, levida jne jne). Lihtsalt selliseid pole in the wild veel nähtud.
Ainus asi, mida ma igapäevaselt oma logides näen, on ssh brute-force. Normaalse parooli korral (ja juurkasutaja sisselogimise keelamisel) pole väga suur probleem, aga ise olen ikka esimese asjana denyhosti peale pannud (blokeerib peale mõnda valelogimist vastava ip-aadressi ära).
|
|
|
|
|
|
|
|
veeall
Pingviini aktivist
Vanus: 50
Liitunud: 27.09.2006
Postitused: 264
Distributsioon: Slackware64 14.2
|
|
Tsitaat: | Kuigi Linux, BSD ja Mac OS X puhul ei räägita palju rünnete ennetamise tehnoloogiatest nagu DEP, UAC, ASLR jt., on neil vastav tugi olemas. Nende tehnoloogiate kasutamine on aga vähem tähele pandav kui Windowsi puhul. See tähendab, et nende võimaluste sisse/välja lülitamine või töös oleku kontrollimine on tihti keerulisem või lausa võimatu. Seega eeldab näiteks Linuxi turvaline kasutamine enamasti paremaid teadmisi operatsioonisüsteemi ja süsteemsete rakenduste kohta, kui Windowsi (või Mac OS X) turvaline kasutamine. |
Kokkuvõte on totter, jääb mulje, et parem on siiski windowsi kasutada, kuna linuxi "turvalisus" on vaja eelnevalt "sisse lülitada" ja see nõuab eriharidust.
|
|
|
|
|
|
|
|
zeratul
Pingviini aktivist
Vanus: 40
Liitunud: 22.02.2006
Postitused: 120
Asukoht: Kiili
Distributsioon: Ubuntu
|
|
Pole sõnagi mainitud selle kohta, et linuxi antiviiruste ainus funktsionaalsus on leida üles windoosa viiruseid kandvad failid, mis linuxile mitte mingisugust ohtu ei kujuta ning suudavad levida ainult käsitsi kopeerides. Julgen kahelda, et Siim Karus väga linuxiga sinapeal on.
|
|
|
|
|
|
|
|
elari
Pingviini kasutaja
Vanus: 36
Liitunud: 12.02.2008
Postitused: 86
Distributsioon: Karmic Koala
|
|
Kes viimasel ajal mõne eestikeelse arvutiajakirja on ostnud võib samuti veenduda, et pea igaühes neist mõni artikkel Ubuntust, mis kirjutatud wini-mehe käe läbi ning täis üsna ebamäärast juttu, mis minu arust pigem kahjustab linuxi mainet.
P.S. Keegi wini on seepärast maha installeerinud, et taustapilt pole meeldinud?
|
|
|
|
|
|
|
|
veeall
Pingviini aktivist
Vanus: 50
Liitunud: 27.09.2006
Postitused: 264
Distributsioon: Slackware64 14.2
|
|
Üldiselt, windows on platvorm millel viirusetõrje on kõige enam arenenud, linux ja mac on selles osas windowsist na 10 aastat maas. Palju õnne!
|
|
|
|
|
|
|
|
-ordi-
Vana Pingviin
Vanus: 32
Liitunud: 13.12.2008
Postitused: 821
Distributsioon: GNU/Linux
|
|
veeall kirjutas: | Üldiselt, windows on platvorm millel viirusetõrje on kõige enam arenenud, linux ja mac on selles osas windowsist na 10 aastat maas. Palju õnne! |
Millega ees, millega maas, vahet pole? Aga selles osas teeb Windows Linuxile pikka puuga ära
|
|
|
|
|
|
|
|
priit
Vana Pingviin
Vanus: 40
Liitunud: 04.08.2005
Postitused: 521
Asukoht: Tartu
Distributsioon: CentOS / OS X
|
|
See kogu jutt Linuxist ja antiivirusest on selline ... kahtlane. Olen kuulnud ka Linuxi jaoks tehtud viirustest, aga tõsiselt, kui paljud teist tõmbavad programme suvaliselt veebilehtedelt (nagu Windowsi-kasutajad teevad, et saada täisversiooni nt, mis on ka arvatavasti üks peamisi viise viiruse saamiseks), selle asemel, et tõmmata programm kasutatava distributsiooni hoidlast?
|
|
|
|
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Üldiselt sama meelt Spottiga mis puudutab seda "referaati"
Miks peaksin ma härra Kasperskyt uskuma ta ei ole ju mingil juhul erapooletu ekspert vaid üritab müüa oma tarkvara ka turgu hõivavale Linuxi platvormile ja kes on parem sihtrühm kui Windowsi kasutajad kes teevad tutvust Linuxiga.
Ja kus on eksperimendid ja kasvõi ainult laboris sooritatud testid pole ju raske tänapäeval asendada Linux emulaatorisse ja seal testida oma väiteid.
Kui ma ei pea oma juttu tõestama siis paber kannatab kõike ka digitaalses vormingus.
Selline jutt, et ma pean viiruse kompileerima ja seejärel linkima ning ise käivitama ei ole pädev viiruse idee on ikka see, et ta levib mingil moel iseseisvalt.
|
|
|
|
_________________ "Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
DaStoned
Pingviini aktivist
Vanus: 43
Liitunud: 11.01.2007
Postitused: 392
Asukoht: Tallinn
Distributsioon: Debian
|
|
Täiesti eluterve paranoia. Loomulikult on küsimus ainult kräkkerite motivatsioonis, sest keskmine Linuxi distributsioon on auke täis. Kui sajad miljonid pooletoobised tavakasutajad surfaksid pornot lappimata Windowsi asemel lappimata Linuxi purkidel, ei küsiks keegi kas tal on Linuxi peal viirusetõrjet vaja.
Aga neile kes seda ei usu, soovitan ka edaspidi käed kõrvadele suruda ja "lallallaa, linux on turvaline ja ma ei usu vastupidist" korrata.
illukas - sa oskad artikli kommentaaris täiesti suvalise infokillu pealt mõttetut ristiretke alustada. Loomulikult on botneti zombie masinad Windows purgid ja nende command-and-control server mõni 0wnz0red Linuxi (vm korraliku netiühenduse ja uptime-ga) server. Neil polegi midagi ühist. Igal asjal on botneti jaoks oma otstarve.
|
|
|
|
_________________ When the shit hits the fan, keep your mouth shut!
|
|
|
|
kessu
Vana Pingviin
Vanus: 49
Liitunud: 16.07.2007
Postitused: 1106
Distributsioon: Ubuntu 16.04 LTS 64bit
|
|
-ordi- kirjutas: | veeall kirjutas: | Üldiselt, windows on platvorm millel viirusetõrje on kõige enam arenenud, linux ja mac on selles osas windowsist na 10 aastat maas. Palju õnne! |
Millega ees, millega maas, vahet pole? Aga selles osas teeb Windows Linuxile pikka puuga ära |
Tuleb meelde laulva revolutsiooni aegne lööklause: "Elagu nõukogude mikroskeemid: kõige suuremad maailmas!"
|
|
|
|
_________________ Olen umbkeelne mulk ja ei saa võõrastest keeltest piisavalt aru
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
DaStoned kirjutas: | Täiesti eluterve paranoia. Loomulikult on küsimus ainult kräkkerite motivatsioonis, sest keskmine Linuxi distributsioon on auke täis. Kui sajad miljonid pooletoobised tavakasutajad surfaksid pornot lappimata Windowsi asemel lappimata Linuxi purkidel, ei küsiks keegi kas tal on Linuxi peal viirusetõrjet vaja.
Aga neile kes seda ei usu, soovitan ka edaspidi käed kõrvadele suruda ja "lallallaa, linux on turvaline ja ma ei usu vastupidist" korrata.
|
Pole mõtet filosofeerida teemal mis oleks. Antud artiklis on toodud väide nagu oleks praegu vaja Linuxil viiruse ja nuhkvaratõrjet muidu muutub süsteem aeglaseks.
Muidugi on ju võimalik puhtalt assembleriga kirjutada näiteks viirus mis töötab igas x86 -l jooksvas Linuxis kuna pole vaja ju sõltuvusi lahendada ainult laed kerneli funktsiooni numbri EAX registrisse. Linuxi viiruse kirjutamine nõuab antud platvormi tundmist seegi on takistuseks.
Tegelikult kui rääkida häkkerite motivatsioonist siis mis oleks kõvem viirus kui selline mis toob maha FreeBSD -l jooksvad root dns serverid peale mida internet kui selline enam ei tööta üldse. Kirjutada viirus mis toob maha kõik google serverid näiteid võib tuua lõputult. Kindlasti tooks sellise viiruse kirjutamine kuulsust rohkem kui mingi lihtsa winni viiruse panemine porrilehele.
Ma pean siis uskuma midagi mida ise kogenud pole ja mida isegi ei vaevuta kuidagi põhjendama(puuduvad eksperimedid,vaatlused,faktid,kontrollitavad andmed).
Ma ei väida nagu oleks kõik artiklis toodud jama väike paranoia on alati hea aga teatud väidete esitamine nagu oleks olukord selline ei pea paika.
|
|
|
|
_________________ "Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
zaxon
Vana Pingviin
Vanus: 47
Liitunud: 10.04.2006
Postitused: 478
Asukoht: Tartu
Distributsioon: Gentoo
|
|
tjah, selline promoparanoia on viimasel ajal kahtlaselt aktiivselt levima hakanud. minu tagasihoidliku hinnangu järgi maksab sellele sama palju tähelepanu pöörata, kui suvalisele rämpspostile kirjakastis.
|
|
|
|
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
DaStoned kirjutas: | illukas - sa oskad artikli kommentaaris täiesti suvalise infokillu pealt mõttetut ristiretke alustada. Loomulikult on botneti zombie masinad Windows purgid ja nende command-and-control server mõni 0wnz0red Linuxi (vm korraliku netiühenduse ja uptime-ga) server. Neil polegi midagi ühist. Igal asjal on botneti jaoks oma otstarve. |
jep, pisikesest killust pihta ja ma lootsin, et see tarkur seal tekitab arutelu aga ei miskit, siis oleks saanud pikemat arutelu korraldada teiste probleemidega
Tihtipeale on juhtunud sedasi, et kui kommenteerid kogu artikklit, siis inimene läheb "lukku" ja ei kipu üldse mulisema.
Sellega nõus et mõttetu on arutleda sellisel teemal, kuid selline ma olen, ikka vaja sõdida, hoolimata sellest kui mõttetu see oleks
|
|
|
|
|
|
|
|
zaxon
Vana Pingviin
Vanus: 47
Liitunud: 10.04.2006
Postitused: 478
Asukoht: Tartu
Distributsioon: Gentoo
|
|
antud juhul ei eksisteeri ju tegelikult üldse mingit probleemi. pigem üritatakse kõigest väest windowsi probleemi müüa asjatundmatutele linuxi kasutajatele. juhul, kui siinkohal üldse mingist probleemist rääkida, siis pigem peitub see kirjatüki kaheldavas eetilisuses.
|
|
|
|
|
|
|
|
|
|