Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти
 
Страницы: 1
RSS
Firewall i antivirusnaya zashita v LINUX
 
Привет люди любезные и добрые.

Я читал что в линух некогда не попадает вирусы. так ли это??

потом у сомой системы нет свои файрволлы??   Люди говорят что лучше Squid.

Я просто не хочу установить лишные проги в систему..

Как вы думаете об о всем этом.
ICQ: 411-140-624
"Ну к чему все это, лучше бы водки выпили"
Из писем Белинского Гоголю
 
думаем, что вирусы в linuxсистемах все-таки бывают... но распространяюца куда хуже. средства защиты от них не знаю, разве что tripwire, НО грамотный программер tripwire обойдет..

firewall имееца - iptables(в старых версиях ipchains). squid это все-таки не firewall.
bash# cp /bin/bash /bin/nologin
 
squid+iptables+clamav - последнее анвир, жрет немного работает хорошо
 
squid - это прокси-сервер. Не более того и не менее. Антивирус, указанный выше предназначен для проверки почтового трафика. Про вирусо-трояны -могу сказать, что было парочку на моей памяти. Raven и ещё какой-то - но были и трояны, которые использовали дыры в стороннем ПО для своего распространения. Предложенный тут трипвайр является некой защитой. Но лучшек использовать патчи к ядру - например owl от Солнечного_Дезигнера и grsecurity. Ну и не запускать всякую бяку рутом (да и вообще - работать рутом - есть моветон ;)).
Пока красота спасёт мир, уроды его погубят
 
а как grsecurity защитит от перезаписи elf бинарника? ..а от перекрытия syscalla?
bash# cp /bin/bash /bin/nologin
 
Цитата
SOLDIER пишет:
Антивирус, указанный выше предназначен для проверки почтового трафика. .
??? помоему он отлично цепляется на squid и мониторит трафик, пусть это не АВП но все же (как вариант в кач-ве десктопного антивира можно юзать ДрВеб, но за $ :()
 
Цитата
nmkr пишет:
Цитата
SOLDIER пишет:
Антивирус, указанный выше предназначен для проверки почтового трафика. .
??? помоему он отлично цепляется на squid и мониторит трафик, пусть это не АВП но все же (как вариант в кач-ве десктопного антивира можно юзать ДрВеб, но за $ :()

Наверное ошибаюсь все же, перечитал пост, тебе нужен для прокси или домашней (дескптопной) машинки ?
 
Цитата
.cens пишет:
а как grsecurity защитит от перезаписи elf бинарника? ..а от перекрытия syscalla?

.cens - в комплексе.
Пока красота спасёт мир, уроды его погубят
 
Цитата
.cens пишет:

а как grsecurity защитит от перезаписи elf бинарника?
Политикой ролевого доступа RBAC, аналогом SELinux, когда, к примеру, named кроме доступа на чтение к своим конфигам в /etc/bind/, и прослушивания портов udp/53,tcp/53,udp/953,tcp/953,udp/32768,udp/32769, не имеет прав делать исходящие соединения и получать доступ к любым другим файлам.

Цитата
.cens пишет:

..а от перекрытия syscalla?
Read-Only /dev/kmem

А вообще, GRSEC не допустит взлома, т.к. PAX, входящий в состав GRSEX   делает стек и хип неисполнимыми, рандомизует адресное пространство, защищает от брютфорса, защищает от symlink атак, усиливает chroot, ... Вобщем, <a href=/bitrix/exturl.php?goto=http://www.grsecurity.org/papers.php rel="nofollow" target="_blank">http://www.grsecurity.org/papers.php</a>;
 
И, разумеется. существенно усложняет работу. Впрочем - это закономерно. "Вам шашечки или ехать?".
Пока красота спасёт мир, уроды его погубят
 
r00t, на счёт read only /dev/kmem не пробывал, но обязательно попробую... неужели после этого нельзя будет выполнить insmod evilmod.ko?
на счёт доступа к любым файлам - после того, как перекроешь какой-нибудь sys_open доступ появица...
хотя.. я не претендую на эксперта по grsecurity - это всё теоретически...

а с основными фичами знаком, tnx за сцылку )
bash# cp /bin/bash /bin/nologin
 
Цитата
gnome пишет:

Я читал что в линух некогда не попадает вирусы. так ли это??
Да, фактически это так, хотя и существовали немногочисленные червяки(phpbb-червяк, apache-червяк), трояны и вирусы для *nix, но они живут недолго ввиду отсуствия достаточной питательной среды и причин тому много - это и серьезные различия *nix систем и различия в архитектурах платформ(x86,SPARC,Alpha,MIPS,PPC,s390,..), отсутвие служб, которые запущены по умолчанию на всех *nix системах, более продуманная безопасность(изоляция сервисов с помощью chroot, jail), непривилегированные псевдоаккаунты, под которыми работают демоны (а не LOCAL SYSTEM у большинства сервисов windows), на некоторых хостах может стоять защита от переполнения буфера(W^X, exec-shield, grsecurity,ow,propolice) в том числе по умолчанию, некоторые архитектуры не подвержены исполнению кода при определенных типах переполнений (не-x86 архитектуры), может быть настроен ролевой доступ(selinux,rbac,cerber), может быть настроен запрет запуска на исполнение из скриптов(safe_mode, disable functions,open_base_dir) и т.д.
Вобщем разношерстное семейство *nix это очень сложная цель для вирусов, в отличие от винды.

Цитата
gnome пишет:

потом у сомой системы нет свои файрволлы??   Люди говорят что лучше Squid.
Squid это прокси-сервер. Брандмауэр штатный Netfilter в ядре, управляемый пользовательскими утилитами iptables(или устаревшим ipchains).
Для *nix сетевой экран значит гораздо меньше, в отличие от винды, потому как она просто не выставляет лишние сервисы в сеть(вроде десятка портов DCOM,SMB,NBT в винде), в сеть выставляются только те сервисы, что явно поднял админ, при чем в конфигурации демонов обычного присутствует привязка только к определенным интерфейсам и существует механизм tcpwrapper, который позволяет ограничивать доступом к сервисам с опреденных хостов без привлечения средств брандмауэра. Фактически *nix с выключенным брандмауэром работают годами без серьезной угрозы для безопасности системы.
 
Цитата
.cens пишет:
не пробывал....неужели после этого нельзя будет выполнить insmod ?

read only /dev/kmem - это защита на альтернативный способ перехвата syscall-ов, а непосредственно /dev/kmem - это область всего доступного adress spase(включая кстати swap-space)...
при чем здесь лкм-то ???
это совершенно другая техника, описанная Silvio Cesare (p58-0x07 (кстати там-же опмсана очень интересная техника "портирования" sys_call_table[arch/i386/kernel/entry.S], когда запрещено
Код
extern void *sys_call_table[];
портирование
)).
Если вкратце, то имея полный доступ к адресному пространству ядра, здесь мы можем получить весь контент sys_call_table, т.е. адреса всех системных функций.
Потом Изменив адрес любого сисколла, мы, тем самым, осуществляем его перехват.

никаких тебе тут модулей тут нет!
no fate
 
а если по теме, то действительно:
....Считается, что в UNIX-системах вирусы не живут – они там дохнут. Отчасти это действительно так, однако не стоит путать принципиальную невозможность создания вирусов с их отсутствием как таковых. В действительности же, UNIX-вирусы существуют, и на настоящий момент (начало 2004 года) их популяция насчитывает более двух десятков. Немного? Не торопитесь с выводами. "Дефицит" UNIX-вирусов носит субъективный, а не объективный характер. Просто в силу меньшей распространенности UNIX-подобных операционных систем и специфики их направленности в этом мире практически не встречается даунов и вандалов.....(с) КК.
от себя: не вижусмысла спорить с умными людьми :)
способов же заражения эльфов ничуть не меньше, чем пешек(fe: расширения последней секции файла, Сжатие части оригинального , расширение .code , cдвиг .code, entry point correction и еще несколько), что не говорит о том что юних-like - uninfecteble.
Тем не менее ввиду практически отсутствующей возможности планирования эпидемии вирусы в юниксах больше напоминают экзотические виды животных в зоопарке, нежели стаи опасных голодных лесных хищников на свободе...
no fate
 
apple.
Я с Вами не могу согласиться.
Вирусов в Unix/Linux не так много не потому , что система мало расспостранена(весьма спорное кстати утверждение), а потому что архитектура системы настолько грамотно продумана , что в такой среде вирусы просто не выживают.
А почему ?
А потому, что в Unix/Linux четко разграничиваються права и
область действия каждого процесса.
Потому что в архитектуре уже заложен принцип - пользователь мешает только себе.
И никому более.
Если гора не пришла к Магомеду,
это хороший повод что бы сравнять ее с землей
 
Цитата
.cens пишет:

r00t, на счёт read only /dev/kmem не пробывал, но обязательно попробую... неужели после этого нельзя будет выполнить insmod evilmod.ko?
CONFIG_MODULES=n - планарное ядро.
 
r00t, я про перекрытие sys_calla загружаемым модулем говорю.. иво readonly /dev/kmem по-моему не закрыть
действительно, разве что монолитным ядром... но это уже другой разговор )

а статью с phracka я читамшы )

я к тому, что эффективную защиту под линукс можно осуществить только если применять комплекс мер, многие из которых составляют большое неудобство в работе... тот же grsecurity + readonly разделы + chroot... ну ведь не удобно же! :)
bash# cp /bin/bash /bin/nologin
 
Цитата
.cens пишет:

я про перекрытие sys_calla загружаемым модулем говорю.. иво readonly /dev/kmem по-моему не закрыть
действительно, разве что монолитным ядром... но это уже другой разговор )
Ну планарное ядро без поддержки LKM + /dev/kmem R/O из grsex закрывает возможность протроянить ядро полностью.
 
Однажды слышал такую шутка: "Чтобы запустить вирус в Linux, его надо сначала скомпелировать". А вообще, главное под rootом не работать, тогда все нормально будет, т.к. вирус будет распространяться только в домашнем каталоге пользователя.

Если говорить про антивирусное ПО, то я пользуюсь f-prot antivirus. Жрет мало ресурсов и работает довольно шустро.
Страницы: 1
Читают тему (гостей: 1)