Предотвращение руткита биоза на ubuntu Linux

7

Помимо стандартных «лучших практик» безопасности, таких как наличие хорошего брандмауэра, strong пароль администратора, обеспечение последних патчей безопасности и повышение безопасности маршрутизатора, есть ли что-то более конкретное, что может помочь предотвратить (в частности) руткит биоза через Ubuntu?     

задан user637251 14.01.2017 в 20:26
источник

5 ответов

5

Будьте осторожны при установке программного обеспечения из неизвестных источников.

Вы можете получить больше идей безопасности, посмотрев на этот проект:

Ссылка

Этот проект разработан экспертами по безопасности.
Идея состоит в том, чтобы изолировать работу, дом, игру и т. Д.

Вы можете использовать эту идею изоляции самостоятельно, используя VirtualBox, KVM, гостевой гостевой клиент Qemu для «игры», поэтому у вас есть определенная изоляция от ваших реальных важных вещей.

Установлен ли rkhunter ? Это программа обнаружения руткитов. Вы можете установить его и запустить

sudo dpkg-reconfigure rkhunter

, чтобы настроить параметры по своему вкусу. Вы также можете установить пакет chkrootkit , но chkrootkit может дать вам больше ложных тревог (в зависимости от того, какие другие программы вы будете устанавливать или запускаете . Это нормально, если можно узнать, что вызывает ложную тревогу).

Ссылка

Ссылка

Кроме того, вы можете установить Lynis , чтобы выполнить проверку безопасности на вашем компьютере.

Ссылка

    
ответ дан albert j 14.01.2017 в 20:51
источник
4

Afaik не наблюдал за вредоносными программами BIOS rootkit в дикой природе до сих пор, только другие типы руткитов. Поэтому в этом аспекте ваш вопрос звучит довольно гипотетично, но я все равно буду побаловать вас.

Все, что вы перечисляете в качестве примеров, - это общие советы по безопасности против всех типов вредоносных программ.

Если вы ищете защиту специально от вредоносного ПО в BIOS, то ваш лучший вариант Безопасная загрузка , который помогает предотвратить впрыскивание неподписанных загрузчиков и модулей ядра в процесс загрузки. Это предполагает, что руткит BIOS удалось помещать себя в прошивку системы, но не отключать или обходить безопасную загрузку. Эта ситуация может возникнуть, если вредоносное ПО поставляется в виде модуля UEFI, который не изменяет поведение основной прошивки UEFI.

Кроме этого, не запускайте ненадежное программное обеспечение в надежной среде, особенно не в качестве суперпользователя или в ядре, и не давайте ненадежным людям физический доступ к вашему компьютеру, чтобы доверенная среда не испортилась, чтобы стать не заслуживает доверия.

    
ответ дан David Foerster 14.01.2017 в 21:17
3

Нет, вы уже накрыли все базы.

Если вы понимаете и следуете основным протоколам безопасности (как вы уже обсуждали в своем сообщении) и не позволяете неавторизованным пользователям использовать ваш компьютер, вам нечего делать, чтобы предотвратить руткиты или подобное.

Наиболее распространенная точка входа в хорошо укомплектованную и безопасную систему будет заключаться в использовании ночных или раскрытых, но еще не зафиксированных эксплойтов, но это в основном неизбежно.

Еще один совет, который может быть полезен, заключается в том, чтобы избежать создания ненужной поверхности для атаки. Если вам не требуется что-то установленное, избавитесь от него, чтобы он не использовался против вас. То же самое касается PPA и тому подобного. Кроме того, он помогает очистить вашу машину и упростить администрирование.

В противном случае установите и используйте rkhunter и аналогичные защитные стратегии, и продолжайте делать то, что вы обычно делаете. Изоляция разрешений Linux по своей сути безопасна, поэтому, если вы не делаете что-то, чтобы нарушить это (например, запускать все, что вы можете, с помощью sudo ), произвольно исполняемые исполняемые файлы, используя неизвестные / ненадежные PPA, вы должны быть в порядке.

Что касается исключения рутинов в BIOS, проверьте, есть ли в вашем BIOS режим проверки подписи или аналогичный. Такой режим предотвратит обновление BIOS, если он не обнаружит действительную криптографическую подпись, которая обычно присутствует только в законных обновлениях от вашего производителя.

    
ответ дан Kaz Wolfe 14.01.2017 в 21:21
2

Да, не загружайте и не запускайте этот корневой набор. Достаточно легко получить руткит: загрузите его, скомпилируйте, если он источник, запустите его и дайте ему пароль администратора (...).

Ubuntu Software Center не содержит руткитов, вирусов и вредоносных программ. Launchpad PPA не так безопасны, как USC, но он имеет хорошую репутацию. С некоторыми расследованиями о PPA вы добавляете (то есть, проверяете askubuntu, ubuntuforums и понравившиеся отзывы для других пользователей).

Не произвольно загружать программное обеспечение. Не используйте Windows. Не используйте WINE.

И, на мой взгляд, детекторы Rootkit - это пустая трата ресурсов. Даже если они когда-нибудь обнаружат руткит, вам придется пробираться сквозь столько ложных срабатываний, что делает его бесполезным. Не стесняйтесь думать по-другому, но я еще не видел, чтобы кто-то действительно находил руткит. Не говоря уже о том, который нацелен на BIOS из Linux. Темы в Интернете, связанные с linux и руткитами, где он заканчивается ложными срабатываниями, намного далеки от тем, где есть реальный руткит. Отходы ресурсов. Шутки в сторону.

Если вы считаете, что детектор руткитов - это хорошая вещь, вы должны установить TWO из них и сравнить результаты. Если вы утверждаете, что есть руткит, а другой нет, вы можете предположить, что это ложный позитив. И даже если оба утверждают, что есть руткит, он скорее всего будет ложным.

    
ответ дан Rinzwind 14.01.2017 в 21:10
1

Если вы используете проводной ethernet на процессоре Intel vPro (Intel Core i3, i5, i7 и др.), вы можете не знать о «Intel Management Engine» - отдельном процессоре и рабочей среде, подключенной к Ethernet-порту.

Ссылка

Эта подсистема способна:

  • «Удаленное перенаправление ввода / вывода системы через перенаправление консоли через последовательную связь по локальной сети (SOL). Эта функция поддерживает удаленное устранение неполадок, удаленный ремонт, обновление программного обеспечения и аналогичные процессы».
  • «Удаленный доступ и изменение настроек BIOS.Эта функция доступна, даже если питание ПК выключено, ОС выключена или аппаратное обеспечение не работает. Эта функция предназначена для удаленного обновления и исправления параметров конфигурации. Обновления BIOS, а не только изменения определенных настроек. "

Это, по-видимому, дает физическому-ethernet, по существу, физический доступ к устройству. Если вы беспокоитесь, возможно, отключите устройство от сети.

В то время как я вижу некоторую полезность всего этого в корпоративной среде, могут возникнуть некоторые проблемы с такой подсистемой ... Google «уязвимость движка для интеллектуального управления», и вы найдете много ссылок.

    
ответ дан user621557 23.01.2017 в 20:48