Какие существуют политики безопасности для пакетов и скриптов?

5

Я использовал Microsoft Windows с Windows 98 до Windows 7 . Я сам обнаружил множество уязвимостей безопасности о о том, как заражаются вирусы, черви, шпионское ПО и т. Д. .

Microsoft Windows Vista & amp; Windows 7

UAC ( Контроль учетных записей пользователей ) и Drives Autorun запрашивает Windows Vista и Windows 7 могут предотвратить некоторые уязвимости.

Linux

Теперь я использую Ubuntu 11.10, и я понял, что большинство (кроме одного) уязвимостей не существует в Linux из-за многопользовательской системы.

Проблема

Люди (даже я) использовали для хранения *.exe , *.cmd , *.deb , *.sh и других исполняемых файлов и файлов сценариев (установщики, переносные браузеры, скрипты и т. д.) в ручных дисках (флэш-памяти) и другие съемные носители.

  • Когда в Windows 7 (также в старых версиях)

      

    Если целевой съемный носитель подключается к зараженной системе,
      затем подключитесь к новой системе,
      и запустите файл *.exe , *.cmd или *.bat (неподписанный исполняемый файл или сценарий)

      который может вызвать диалог UAC
      и нажмите кнопку Yes

         
        

    это может привести к вредоносному коду как Administrator , введенному в неподписанный исполняемый файл или файл сценария

      
         

    Я не знаю о подписанных исполняемых файлах. Никогда не тестировалось.
    Я думаю, что они не могут быть заражены или зараженный файл не может быть выполнен.

  • Что делать, если в Linux?

      

    Будет ли то же самое в *.deb , *.sh или любых других исполняемых файлах или файлах сценариев в Linux?

         

    Я имею в виду

         
        

    Может ли *.deb & amp; другие файлы должны быть заражены? (Я думаю, что они могут )

             

    Есть ли в Linux механизм для проверки содержимого в файлах *.deb ?

             

    Должен ли я не оставлять root доступ к исполняемым файлам и файлам сценариев на съемных носителях? Если я не должен , то какой самый простой способ вручную проверить, было ли изменено содержимое файла или нет?

             

    Как насчет репозиториев и пакетов из Интернета?
        используя http , ftp (не https ), репозитории и пакеты могут быть заражены злоумышленником при транспортировке или прокси-серверах (если они используются).

             

    Также есть ли что-то вроде Windows Autorun в Linux? (Я думаю, что не )

      

Я просто хочу, чтобы Linux был лучше обеспечен в любом состоянии (даже от небольших ошибок от пользователей).
Я спрошу о дальнейших возможных проблемах безопасности, которые я нашел.

    
задан Naveen 04.08.2012 в 23:42
источник

1 ответ

7
  • Безопасность дебета и других файлов

Вы можете найти файл .deb для пакета где-нибудь в Интернете. Затем вы можете использовать dpkg -i package.deb и установить его. Это не лучше, чем собирать установку для Windows где-то в Интернете. Не делайте этого , если вы не уверены в источнике, и даже тогда убедитесь, что у вас уже установлены все необходимые пакеты.

Deb-файлы, безопасные или нет, следуют формату с хэшами и т. д., чтобы их можно было перестроить, если они были изменены.

Пакет (файлы .deb) в репозиториях Ubuntu, как правило, создается из источника на компьютерах сборки Launchpad, поэтому содержимое файла .deb соответствует источнику, и источник может быть просмотрен кем угодно. Во многих пакетах есть команды, которые поддерживают их, которые следят за ними, и находятся в поиске проблем безопасности. Новые версии исходного пакета должны быть правильно подписаны с помощью клавиш gpg с использованием криптографии с открытым ключом, прежде чем они могут быть построены.

В Центре программного обеспечения Ubuntu теперь доступны только двоичные пакеты, поэтому публика не может просматривать их источник. Я не знаю об этом точно, но я считаю, что они будут рассмотрены, прежде чем они станут доступными.

Обычно вам не нужно устанавливать пакет с dpkg -i package.deb , но вместо этого используйте apt-get или программный центр, загружаясь из репозитория Ubuntu. Вы также должны избегать использования любого другого сценария, который вы не можете смотреть и понимать полностью, прежде чем запускать его.

Многопользовательская система Unix-подобных систем означает, что если вы допустили ошибку, вы можете испортить свою учетную запись и ее файлы, но не учетные записи и настройки других пользователей, которые были установлены в одной и той же системе, и самой операционной системы.

Исключение - это когда вы запускаете команду с sudo или должны вводить пароль для установки пакета или другого обслуживания. Это время, чтобы быть очень осторожным в отношении источника того, что вы делаете. Это очень похоже на использование UAC.

  • Исполняемые файлы на съемных носителях

Пока вы пользуетесь должным вниманием, я не думаю, что вам нужно поддерживать программы на съемных носителях. Как и в случае с Windows, большинство программ устанавливаются как пакеты и, следовательно, не выполняются со съемных носителей (хотя вы можете поместить весь Ubuntu на флеш-накопитель, если хотите).

  • Хранилища

Как я уже упоминал выше, файлы .deb используют хеши для файлов, которые они включают, чтобы увидеть, что они не изменены злоумышленником. У репозиториев Ubuntu также есть ключи gpg, хранящиеся в вашей системе, когда вы устанавливаете Ubuntu, и есть подпись и цепочка хэшей, которые следуют за файлами .deb, чтобы обеспечить безопасность. Ubuntu происходит от Debian, и этот проект создал этот подход.

  • Autorun

Там есть такие вещи, как автозапуск в Linux и другие Unix-подобные системы. При установке пакетов эти пакеты могут привести к запуску программ во время загрузки или при входе пользователя в терминал или при входе пользователя в сеанс графического интерфейса пользователя. Большинство пользователей имеют (скрытый по умолчанию) .bashrc-файл в своих домашних каталогах, которые выполняются, когда пользователь входит в терминал.

  • Безопасность CD

Веб-сайт загрузки Ubuntu имеет не только файлы .iso для CD и DVD, но также и дайджесты сообщений (хэши), которые вы можете проверить, чтобы убедиться, что полученный файл аутентичен до бита.

  • Текущая безопасность

Несмотря на все остальное, разработчики делают ошибки, и потенциальные проблемы с безопасностью могут проникать в программное обеспечение. Запуск поддерживаемых версий Ubuntu означает, что вам будут предложены исправления безопасности для элементов в основных хранилищах Ubuntu и часто для элементов в юниверсе и других репозиториях. Вы должны применить эти исправления. Долгосрочные версии поддержки, такие как 12.04 (Precise), предлагают эту услугу на долгий срок, чем другие версии Ubuntu.

Я не могу лично гарантировать, что меры предосторожности прекрасны, но я думаю, что они очень хороши для современного уровня техники.

    
ответ дан John S Gruber 05.08.2012 в 00:31
источник