Természetesen, ha egy alkalmazásban van biztonsági rés, az jelenthet gondot. Persze, hogy a file-ra nincs futási jog, de olvasási jog nyilván van, a futó alkalmazás pedig mint valami script-et, értelmezheti azt, s a már futó alkalmazás csinálhat valamit, amelyet a script mond neki. De ne feledd, az alkalmazásnak még mindig csak sima felhasználói joga van, tehát a rendszerfile-ok módosítására továbbra sincs esélye.
Hosszú ez nekem. Mindenesetre megjegyzem, hogy az Ubuntu nem azonos a GNU/Linux-szal, továbbá a default beállításon lehet változtatni. Bár az kétségkívül nem helyes, ha esetleg az alapértelmezés nagyon megengedő. Fedorán alapértelmezésben talán az ssh-n kívül minden tiltva van. Ha indítasz mondjuk egy httpd-t, akkor a 80-as portra érkező kéréseket neked kell engedélyezned a tűzfal beállításainál.
Ja, hogy ki lett moderálva. De sajnálom. Hivatkozott egy másik fórumban tett ámokfutására is, azt is elolvastam. Tele volt tételesen cáfolható téveszmékkel.
viszont kérdés: ez a legutóbbi pdf-es móka Linuxon elképzelhető valamilyen formában? mert persze, hogy nincs futtatási jog a letöltött fájlokon, és eddig a szkripttel indított progiknál kiírta, hogy egy futtatható szöveges fájl.
azért ne húzd fel magad ennyire. :) inkább arra gondolj, hogy ő ezt szokta meg, ebből tud kiindulni. amúgy nem látszik egyik hsz-e sem, így azt nem tudom, ő mit írt, csak a ti válaszaitokból gondoltam erre.
Az engem hol érdekel, hogy miből indul ki? Ne mossa össze a rétegeket! Ha a windows-os tűzfalba raktak egy képnézegetőt, abból még nem következik, hogy a tűzfallal nyaralási képeket kellene tudni nézegetni.
valószínűleg a windowson megszokott tűzfalprogramokból indult ki, ahol több ilyen tűzfal (pl. a Comodo is) a programok egymáshoz férhetőségét is szűri, így jogosultságokat is kezel. gyakorlatilag azt, amit a vista-tól az uac csinál.
Ami a linkelt topic-ban feszegetett kérdést illeti, vírusirtó valóban nem kell. A vírusirtás, mint technológia, mint szemléletmód eleve hibás. Egyrészt azért, mert eső után köpönyeg, azaz ha már létezik a kártékony kód, akkor azt felismerjük, nem hagyjuk cselekedni. Igen ám, de ehhez előbb léteznie kell, addig viszont szabadon garázdálkodhat. A heurisztikát, különböző támadáspontok vizsgálatát ne vegyük ide, mert az már inkább a jogosultságkezelés témaköre, nem klasszikus vírusirtás.
Másfelől viszont azért, mert úgy gondolom, a védelemnek preventívnek kell lennie, azaz a kártékony kódnak már elvi lehetősége sem szabad, hogy legyen az adatok ellopására. Mit segít a vírusirtó, ha én most írok egy trójait, és eljuttatom a gépedre? Semmit. Az viszont megoldás, ha nincs lehetőségem a kártékony kódot eljuttatni a gépedre, vagy ott az nem futtatható. Teszem azt, azért, mert hiába küldök neked programot, amikor lemented, annak nincs futtatási joga, így nem tudod elindítani. Ha meg adsz rá futtatási jogot, az már a szándékos, tudatos döntésed következménye. Albán vírus ellen meg nincs mit tenni, ilyennel a Linux rendszerszinten is rendelkezik. Egyetlen paranccsal törölheted root joggal az egész filerendszert. De ez is szándékos lehet, tehát kívül esik a biztonság tárgykörén.
A SELinuxot meg arra találták ki, hogy a process-ek adott kontextusban futnak, s csak a kontextusba illő erőforrásokat igénybe véve, a megfelelő címkékkel ellátott file-okon végezhetnek előre definiált típusú műveleteket. Így például hiába van biztonsági rés az Apache webszerveren, s az hiába fut root joggal, és hiába tudsz kódot injektálni a memóriába a httpd egy buffer túlcsordulását kihasználva, nem fogod tudni olvasni azzal a kóddal az én személyes mappámat. Álljon itt néhány példa, ami kéznél van, hiszen fut a httpd is éppen:
ls -dZ /var/www/ drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/
ps -ZC httpd | head -n2 LABEL PID TTY TIME CMD system_u:system_r:httpd_t:s0 2531 ? 00:00:00 httpd
Ugyanakkor:
ls -dZ .mozilla/ drwx------. locsemege users unconfined_u:object_r:mozilla_home_t:s0 .mozilla/
Előre bocsájtom, nem értek a SELinuxhoz, viszont a környezet neveiből azért sejthető, mi nem illik mire. Az, hogy működik a védelem, objektív tény, a fedorás topic-ban írtam róla. Nevezetesen a hangszerverem nem működött system-wide módban, mert erre nem tesztelték a szabályokat. Bugot jeleztem, aztán egy idő után lerövidítendő a kommunikációt, egy Red Hat-es fejlesztőt beengedtem a gépemre. Kb. 20 perc alatt kifaragta a helyes szabályt rá. Azóta a hivatalos javításban is megtalálhatod ezt, nézd csak meg:
- Allow pulseaudio sys_tty_config capability
Tehát éppen a SELinux akadályozta meg a hangszerverem system-wide daemonként futását. A másik ilyen eset pedig az volt, amikor az ősszel találtak egy súlyos hibát a kernelben, melyet kihasználva root jogot lehetett szerezni. Megvolt hozzá az exploit is. Kipróbáltam a még hibás kernellel, de a SELinux megakadályozta az exploitot abban, hogy root jogra tegyen szert. Aztán persze frissítettem az ezen hiba miatt nagyon hamar megjelent új kernelre.
Mi való másra? Most éppen azt szeretnéd mondani, hogy nem is tűzfalat keresel? Jó, mondd azt. Akkor előbb fogalmazd meg a kérdésed, s ha elkészültél, gyere vissza!
Valóban. Ez olyan, mintha meglátnád a daruban a kezelőszerveket, nem tudnád, mi mire való, majd megkérdeznéd, hogy ettől az izétől lesz-e házad. És igen, az a daru fogja felépíteni javarészt, függetlenül attól, hogy nem tudod kezelni a darvat.
Mi köze a tűzfalnak ahhoz, hogy mit csinálnak az alkalmazások, process-ek? Ne mosd össze a rétegeket! A tűzfal a hálózati csomagokat irányítja, szűri. Hálózati csomagok különböző szabályokra illeszkedése alapján csinál valamit a csomaggal. Legtöbbször eldobja, vagy továbbengedi, de tehet mást is. Ez a tűzfal dolga.
Olyan is van, amire te gondolsz. Az egyfelől a jogosultságkezelés. Vannak a standard unixos jogok, vannak ACL-ek, és ott van a SELinux. Ez utóbbi még az Egyesült Államok nemzetbiztonsági igényeit is kielégíti. Részben ők fejlesztették:
Szívesen olvasnék valami komolyabb linuxos tűzfalról.
Az iptables mitől nem elég komoly? Ha azt a szabályt alkotod meg, hogy valamilyen tulajdonságokkal rendelkező csomagot dobjon el, hidd el, el fogja dobni. Teljesen komolyan.
Persze, hogy kivágtak, le is írták, miért. Továbbá sületlenségeket ténykét próbálsz beállítani bizonyítás nélkül.
Nincs kedvem most felrakni egy Ubuntut, de erősen kétlem, hogy az Ubuntun semmiféle iptables szabály ne lenne beállítva a default telepítés után. Fedorán biztos, hogy be van állítva, s ez az alapbeállítás nagyjából az, hogy semmilyen porton érkező csomagot sem enged be a kernel.
Amikor azt állítod, hogy a Linux semmivel sem biztonságosabb, mint más, azzal megint nem mondasz semmit. Ugyanis ahhoz, hogy valamit összehasonlítsunk, előbb a körülményeket kellene tisztázni. Pontosan milyen konfiguráció, melyik disztribúció, milyen beállításokkal. Aztán mivel hasonlítod össze? Egy Solaris-szal? Egy BSD-vel? Netán MacOS-sel? Egy Windows 7-tel? Annak melyik változatával? Milyen konfigurációban? Szóval az állításodon csiszolni kellene ahhoz, hogy egyáltalán bármit is mondhassunk róla akár pro, akár kontra.
Itt és most, ahogy ezt a választ írom, látom az adblock plus listáját, hogy mennyi szemetet szűrtek ki a szabályaim... kezdve az audit.median.hu-val, folytatva a www2.keymedia.hu-val és befejezve www.google-analytics.com-mal
Továbbá: próbáljuk ki a netstat -tanp | grep LISTEN parancsot Amiről nem tudjuk, hogy micsoda, az valószínűleg nem is kell nekünk... én például épp most állítottam le az NFS-t.
