Изпечатай

[plandz]

@ gat3way
"...Друг пример - привилегиите на файловата система - в юникс позволенията се "назначават" с ужасно голяма гранулярност. Няма начин няколко потребителя да имат write права върху един файл без да са в една и съща група и файла да е собственост на тази група и group-writable. Това не е ли малоумно? Малоумно е. ОК, разрешава се с extended ACL, но аз мога да се хвана на бас, че 90% от хората, ползващи линукс, никога не са ползвали setfacl командата...."

Признавам,че те уважавам страшно много и има защо.Може ли да разясниш малко като за обикновени потребители как да се ползва тази команда,за да се увеличи сигурността на системата?
Четох това,което ми даде Гугъл,но не ми стана ясно.
Благодаря предварително!

[gat3way]

Това не увеличава сигурността на системата само по себе си, просто дава по-фина гранулярност при позволенията върху файловете.

Един пример - с cron демона. При мен (дебиан testing, crontab-овете на потребителите се пазят в /var/lib/cron/crontabs:

drwx-wx--T 2 root   crontab 4096 2010-04-30 19:22 crontabs

Какво ще рече това? В директорията могат да се създават файлове от root потребителя и от crontab групата (която няма членове). Вдигнат е sticky бита, което означава, че единствено root-а и собственика на файла могат да затриват файлове в тази директория. Ако погледнем вътре, установяваме примерно това:

-rw------- 1 gat3way crontab 247 2011-07-22 23:02 gat3way
-rw------- 1 root    crontab 585 2010-04-30 19:22 root

Това са два crontab-а на два потребителя - root и gat3way. Как работи това? Нека погледнем crontab изпълнимия файл:

-rwxr-sr-x 1 root crontab 33200 2009-05-13 03:36 /usr/bin/crontab

Сега нещата стават ясни. crontab е setgid изпълним файл, демек при изпълнението му ефективната група е crontab. Това позволява да ти се запише файла с командите в /var/spool/cron/crontab/<user> тъй като изпълнявайки crontab ефективният ти gid е този на crontab.

Сега да предположим че зъл хакер открие бъг в crontab който може да се експлойтне и да се изпълнява код с неговите sgid привилегии. Ако няма root-ски crontab, просто създаваш такъв с команди каквито искаш, те ще се изпълнят с административни права и машината е твоя. Ако има - тогава можеш да направиш доволно много поразии (примерно изпълнявайки команди с правата на mysql потребителя, затривайки mysql бази)...или пък да имаш повече късмет и да го докараш до административни права индиректно. Ако има поне един потребител в staff групата при дебиан без crontab, това е почти еквивалентно на root-ски права, поради ред причини. Да не говорим колко гаври можеш да сътвориш на останалите потребители на системата. И така нататък.

Ако нещата бяха решени с extended ACL вместо това, spool директорията щеше да е отново sticky, но в нея ще пишат само определени потребители, които се добавят със следната команда:

setfacl -m u:potrebitel:w /var/spool/cron/crontabs

Проблемът със setgid привилегиите на crontab е решен, просто нуждата от тях отпада, защото ти можеш да си създаваш crontab файл и да пишеш в него с твоите си привилегии. Това означава, че евентуална пробойна в crontab няма потенциала да създаде толкова проблеми за системата.

Примерът не е много добър и точен (номерът няма да мине, защото крон демона ще провери собственика на кронтаба и ще изреве), но предполагам илюстрира проблема. Съществуването на extended ACL-и на практика премахва нуждата от доста setuid/setgid програми и това като цяло е добре за сигурността на системата. Също така решава доста проблеми със споделени директории между различни потребители и възможностите някой да злоупотреби (волно или неволно).

[bot]

... съжалявам човече, пийнал съм и те обърках с бактублак

[Ipolit]

Туй пък къде го прочете за набирането на популярност. Вярно, че се продават доста компютри с предварително инсталиран линукс, ама познай колко от тях остават така.

[rumen6787]

Мисля, че да се зарази един компютър под линукс с вируси е доста трудна задача, май-често те се опитват да атакуват апачи сървъра, който е под линукс.
има един много полезен сайт, на който можем да намерим отговорите:
http://davestechsupport.com/faq/is_ubuntu_more_stable.html
Преди няколко дни попаднах на нея и в нея се казва, юе за хакерыт ще е трудно да се добере до целта си, за да я "намушка" с вируси. линукс е като планина, казва авторыт, той трябва да стигне до планината суперпотребител. и ако някой му даде привилегии ще има вируси или вирусите няма много или малко да засегнат линукс машинката.

ето част от цитата от сайта на автора:

"But the biggest mountain our poor hacker would have to climb is system administration privileges (also called root level access or Superuser authentication). What this means is, if anybody wants to install a program (such as a virus), modify system critical configurations or settings, or do anything at all that may affect the way the OS runs, a password is required. By default in Windows, all users are given administrator privileges and no password is required to log into the computer or modify system configuration. You could even open the Windows folder and start deleting random files and the operating system would allow it to happen with barely a peep. This is bad design and bad security, which happen to be two flaws you will never ever find on a Linux system. It's simply not built that way."

И като прочетем останалото изводът е следният: да бъдем по внимателни с кого се свързваме. Линукс е популярна сред умни хакери и програмисти. А тези, които са свикнали с Уиндоус, ще трябва да я научат само чрез демонстрационен диск. Ткива Линукс дистрибуции са Убунту и Минт, вероятно има и други такива (предполагам за Федора, Мандрива. Дженто, ОпенСУСЕ, Тиликс, УСУ).

Дори и много други хора ползващи Линукс са внимателни по оптношение на вирусите и троянските коне.

Имам и друг въпрос: Защо вирусите се пишат за Уиндоус, защото компании като Касперски, Ей Ви Джи, наемат хора-писачи на вируси за Уиндоус, за да си продават софтуера ли? Един познат ми казваше следното: тези, които създават антивирусните програми са самите създатели и писачи на вирусите под Уиндоус. Ако всички минат под Линукс тези компании вероятно ще останат без хляб и чак тогава ще атакуват линукс сървъри. Но какво толкова. Всеки си избира операционната система и антивирусната програма, при условие, че има пари да си ги плати.

Аз ползвам Линукйс само като обикновен потребител, но ако искам да я разуча, ако дам на някого право, може би ще хвана вируса му и той ще има контрол над машинката ми. но ако се науча как да я защитя, ще му е много трудно. всичко зависи от потребителската култура. Поне кажете как да се защитим от вируси, а не как се дават права.

[hristo1988]

И аз да се изкажа по темата... Ползвам и двете операционни системи. Някъде от 2008г. започнах да се заигравам с линукс. Няма да забравя как си бях поръчал цд от някакъв сайт и след 20-30дни чакане го получих Цд-то беше кубунту 8.04 и ми струваше 30-40ст  От тогава винаги на компютрите ми има инсталиран линукс. Абе общо взето съм тръгнал от 8.04 до 10.10 версия на Убунту. Там и се разделихме с убунту-то. В момента на нетбука(от който пиша) съм с windows xp sp2(легален) и fedora 15. windows-а го ползвам доста рядко, главно за да подкарам някои програми които няма как или не желая да тръгнат под линукс(като ваг-ком диагностиката ми за колата...). По принцип преминах към линукс, защото ми бе писнало да се занимавам с windows, вируси, антивирусни и преинстали. Проблемите ми до някъде идваха от това, че на настолния сяда цялото семейство и всеки си върши неговите си занимания(интернет, музика и филми най-вече). В крайна сметка винаги края беше еднакъв... след 4-5-6 месеца ползване, компютъра почваше да цикли яко и няма спасение. Откак съм с линукс ги нямам тези проблеми. Тъка че според мен е по-добре пц-то да е с линукс, особенно ако ще се ползва от доста хора... А и почти всяка една програма ти е на един терминал разстояние