Какие политики безопасности существуют для пакетов и скриптов?

Я использовал Microsoft Windows начиная с Windows 98 до Windows 7. Я сам обнаружил множество уязвимостей в том, что вирусы, черви, шпионские программы и т. Д. Могут скомпрометировать систему.

Microsoft Windows Vista и Windows 7

Система контроля учетных записей пользователей и Drives Autorun Подсказки в Windows Vista и Windows 7 могут предотвратить некоторые уязвимости.

Linux

Сейчас я использую Ubuntu 11.10, и я понял, что большинство (кроме одной) уязвимостей не существует в Linux из-за многопользовательской системы.

Эта проблема

Люди (даже я) использовали для хранения *.exe, *.cmd, *.deb, *.sh и другие исполняемые файлы и файлы сценариев (установщики, переносные обозреватели, сценарии и т. д.) на флэш-накопителях (флэш-памяти) и других съемных носителях.

  • Когда в Windows 7 (также в более старых версиях)

    Если целевой съемный носитель подключается к зараженной системе,
    затем подключитесь к новой системе,
    и запустить *.exe, *.cmd или же *.bat (неподписанный исполняемый файл или скрипт)
    это может вызвать диалог UAC
    и пользователь нажмите Yes

    это может выполнить вредоносный код как администратор, внедренный в неподписанный исполняемый файл или файл сценария

    Я не знаю о подписанных исполняемых файлах. Никогда не проверял.
    Я думаю, они не могут быть заражены или зараженный файл не может быть выполнен.

  • Что делать, если в Linux?

    Произойдет ли то же самое в *.deb, *.sh или любые другие исполняемые файлы или файлы сценариев в Linux?

    Я имею в виду

    Может ли *.deb и другие файлы будут заражены? (Я думаю, что они могут)

    Есть ли механизм в Linux для проверки содержимого в *.deb файлы?

    Разве я не должен хранить права доступа к исполняемым файлам и файлам сценария на съемном носителе? Если я не должен, то какой самый простой способ вручную проверить, был ли изменен контент файла или нет?

    А как насчет репозиториев и пакетов из Интернета?
    используя http, ftp (не https) репозитории и пакеты могут быть заражены злоумышленником при транспортировке или через прокси-серверы (если используются).

    Также есть что-то похожее на Windows Autorun в линуксе? (Я думаю, что это не так)

Я просто хочу, чтобы Linux был лучше защищен в любых условиях (даже от небольших ошибок пользователей).
Я спрошу о дальнейших возможных проблемах безопасности, которые я нашел.

Источник

1 ответ

Решение
  • Безопасность Deb и других файлов

Вы можете найти файл.deb для пакета где-нибудь в Интернете. Тогда вы можете использовать dpkg -i package.deb и установите его. Это не лучше, чем выбрать установку для Windows где-нибудь в Интернете. Не делайте этого, пока вы не будете абсолютно уверены в источнике, и даже тогда убедитесь, что у вас уже установлены все необходимые пакеты.

Файлы Deb, безопасные или нет, следуют формату с хэшами и т. Д., Поэтому их необходимо перестраивать в случае их изменения.

Пакет (файлы.deb) в репозиториях Ubuntu обычно создается из исходного кода на компьютерах сборки Launchpad, поэтому содержимое файла.deb совпадает с исходным, и источник может просмотреть любой. Во многих пакетах есть команды, которые следят за ними и следят за проблемами безопасности. Новые версии пакетов с исходным кодом должны быть надлежащим образом подписаны ключами gpg с использованием криптографии с открытым ключом, прежде чем их можно будет построить.

В настоящее время в Центре программного обеспечения Ubuntu доступны только двоичные пакеты, поэтому публика не может просмотреть их источник. Я не знаю об этом наверняка, но я считаю, что они проверяются, прежде чем они будут доступны.

Как правило, вы не должны устанавливать пакет с dpkg -i package.deb, но используйте вместо этого apt-get или центр программного обеспечения, загружая из репозитория Ubuntu. Вам также следует избегать использования любых других сценариев, которые вы не можете просмотреть и полностью понять, прежде чем запускать их.

Многопользовательские системы Unix-подобные системы действительно означают, что если вы допустите ошибку, вы можете испортить свою учетную запись и ее файлы, но не учетные записи и настройки других пользователей, которые были установлены в той же системе, ни саму операционную систему.,

Исключение составляют случаи, когда вы запускаете команду с sudo или нужно ввести пароль для установки пакета или сделать другое обслуживание. Это время быть очень осторожным с источником того, что вы делаете. Это очень похоже на использование UAC.

  • Исполняемые файлы на съемных носителях

Пока вы пользуетесь должным вниманием, я не думаю, что вам нужно поддерживать программы на съемных носителях. Как и Windows, большинство программ устанавливаются в виде пакетов и, следовательно, не запускаются со съемных носителей (хотя при желании вы можете поместить всю Ubuntu на флэш-накопитель).

  • Хранилища

Как я упоминал выше, файлы.deb используют хэши для включаемых файлов, чтобы убедиться, что они не изменены злоумышленником. В репозиториях Ubuntu также есть ключи gpg, хранящиеся в вашей системе при установке Ubuntu, и есть подпись и цепочка хэшей, которые следуют до файлов.deb для обеспечения безопасности. Ubuntu является производной от Debian, и этот проект создал этот подход.

  • Автозапуск

Существуют такие вещи, как автозапуск в Linux и других Unix-подобных системах. При установке пакетов эти пакеты могут привести к запуску программ во время загрузки, или когда пользователь входит в терминал, или когда пользователь входит в сеанс графического интерфейса пользователя. Большинство пользователей имеют (скрытый по умолчанию) файл.bashrc в своих домашних каталогах, который запускается при входе пользователя в терминал.

  • CD Security

На веб-сайте загрузки Ubuntu есть не только файлы.iso для компакт-дисков и DVD-дисков, но и дайджесты сообщений (хэши), которые вы можете проверить, чтобы убедиться, что полученный вами файл является подлинным вплоть до бит.

  • Постоянная безопасность

Несмотря на все остальное, разработчики допускают ошибки, и потенциальные проблемы с безопасностью могут проникнуть в программное обеспечение. Запуск поддерживаемых версий Ubuntu означает, что вам будут предложены исправления безопасности для элементов в основных репозиториях Ubuntu и часто для элементов в юниверсе и других репозиториях. Вы должны применить эти исправления. Выпуски с долгосрочной поддержкой, такие как 12.04 (Precise), предлагают эту услугу на более длительный срок, чем другие выпуски Ubuntu.

Я не могу лично гарантировать, что меры предосторожности идеальны, но я думаю, что они очень хороши для современного уровня техники.

Источник
Другие вопросы по тегам