Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Debian/Ubuntu - Смена владельцев в /home -- опасно ли для всей системы?

Ответить
Настройки темы
Debian/Ubuntu - Смена владельцев в /home -- опасно ли для всей системы?

Пользователь


Сообщения: 59
Благодарности: 0

Профиль | Отправить PM | Цитировать


Debian Etch, всего два юзера. *Установлен WINE* (если это что-нибудь даст), защиту специально не ставил, ни iptables, ни других файрволов (возможно, напрасно), антивирей тоже. Внешнего IP нету, в инете через вот этот маршрутизатор с заводской (необновлённой) прошивкой и провайдерский нат. Жена под своим акком что-то сделала, говорит, попыталась загрузить со злосекты ВКонтакте какую-то картинку, -- но не ту, о которой ДРВеб предупреждал, что это, мол, вирус в жпеге, а вообще какую-то стороннюю безобидную картиночку. После чего, по её словам, в окошке IceWeasel'я "Сохранить как" в поле "название файла" бегущей строкой быстро побежали спецсимволы и вся система подвисла намертво вообще. Reset, и, по её словам (что выглядит опять же странно, я не видел), система после загрузки выдала ей консольное приглашение, в котором было написано слово *ROOT* -- и она выключила комп после этого.
Прихожу и вижу: у обоих наших пользователей в /home владельцы на все файлы стоят у одного 1000:1000, у другого 1002:1002, и только у /home/lost+found почему-то остались root:root. Ну ладно, перезашёл под Кноппиксом, через chroot сказал #chown -hR gene:gene /home/gene, для второго юзера по аналогии, сменил все пароли, вроде всё ОК, перезахожу в Дебиан -- опять владельцы послетали, на этот раз цифры поменьше были, но суть та же. Я ничего не понял, перезашёл в Мандриву, снова поменял всех владельцев, на этот раз не меняя пароли, -- вроде заработало всё в Дебиане. Кстати, после тотальной проверки Дебиана уже из Мандаривы обнаружил несколько включений с разрешениями 1002:1002 в системном /tmp -- прибил их совсем.
Кто подскажет, что это вообще было? И какая рекомендуется профилактика/проверка, чтобы если что-то уже сидит в системе, найти это и вычистить оттуда? Ставил klamav (это K-морда для clamav), попытался его запустить, но он сказал что-то про то, что virus base initialization failed и отказался проводить дальнейшую проверку, да и заодно комп опять же мне намертво завесил, допконсоли не работали, на клаву и мыш ноль реакции, пришлось просто перезагрузиться. И как защититься, если система была всё же скомпрометирована?

Отправлено: 15:56, 30-05-2008

 

Аватара для ruslandh

info man howto


Сообщения: 6949
Благодарности: 383

Профиль | Сайт | Отправить PM | Цитировать


Под Winе вирусы очень хорошо себя чувствуют. Поэтому Wine можно запускать только под пользователем и только в необходимых случаях, когда есть уверенность, что нет опасности заражения.

-------
Поспешай не торопясь


Отправлено: 16:40, 30-05-2008 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Пользователь


Сообщения: 59
Благодарности: 0

Профиль | Отправить PM | Цитировать


Согласен, я, наверное, тоже бы посчитал безумием запуск софта под вайн с рутовыми правами. Не, у меня жена пароля рута не знает, всё только под юзером работает. Какая на ваш взгляд дрянь могла мне перебить всех владельцев/группы в /home на свои собственные, да ещё и снова умудрилось сделать то же самое уже после того, как я сменил пароли через Кноппикс?

Отправлено: 16:48, 30-05-2008 | #3


Аватара для ruslandh

info man howto


Сообщения: 6949
Благодарности: 383

Профиль | Сайт | Отправить PM | Цитировать


В некоторых дистрибутивах демон Wine запускается c правами root.

-------
Поспешай не торопясь


Отправлено: 18:47, 30-05-2008 | #4


Ветеран


Сообщения: 716
Благодарности: 55

Профиль | Отправить PM | Цитировать


Собственно вирусы под WINE гадят только в ~/.wine/drive_c
Так что опасность в любом случае небольшая. Но запускать любые программы от root, которые этого не требуют - дикость.

Отправлено: 21:42, 30-05-2008 | #5


Аватара для ruslandh

info man howto


Сообщения: 6949
Благодарности: 383

Профиль | Сайт | Отправить PM | Цитировать


Envel, вы не учитываете,
1. что теоретически, вирус , поразив сам демон wine пакостит с правами демона там, куда имеет права доступа демон. А написать вирус под одну конкретную программу, да ёщё и зная её особенности (код и т.п.) гораздо проще, причём вирус может размножаться внутри среды wine, а пакостить как rootkit (которые есть и в *nix)
2. Некоторые расшаривают для Wine не только ~/.wine/drive_c, но и домашний каталог пользователя, а некоторые и весь корень. (причём в отдельных дистрибутивах, типа LinuxХР, это чуть-ли не из коробки так).

-------
Поспешай не торопясь

Это сообщение посчитали полезным следующие участники:

Отправлено: 08:42, 31-05-2008 | #6


Аватара для Coutty

Кот Ти


Сообщения: 7318
Благодарности: 1204

Профиль | Отправить PM | Цитировать


ruslandh, после такого что-то я не могу линукс считать свободным от вирусов... Может быть тогда лучше вместо wine использовать виртуализацию?
Хотя там я тоже расшариваю корень... В сомнениях прям.

Отправлено: 08:53, 31-05-2008 | #7


Аватара для ruslandh

info man howto


Сообщения: 6949
Благодарности: 383

Профиль | Сайт | Отправить PM | Цитировать


Coutty, всякая среда, в которой может выполняться Win программа - потенциальная дыра, если такая среда не запускается от root, то это уже пол-дела - она может изменить только файлы с правами пользователя, от имени которого запушена (а их свести к минимуму - только то, что нужно этой среде). Наверное, правильней c точки зрения безопасности, запускать такие вещи под правами псевдопользователя в контейнере. типа chroot а к хостовой машине давать доступ через сетевые интерфейсы (samba, ftp и т.п.).

-------
Поспешай не торопясь

Это сообщение посчитали полезным следующие участники:

Отправлено: 09:39, 31-05-2008 | #8


Ветеран


Сообщения: 716
Благодарности: 55

Профиль | Отправить PM | Цитировать


Цитата ruslandh:
1. что теоретически, вирус , поразив сам демон wine пакостит с правами демона там, куда имеет права доступа демон. А написать вирус под одну конкретную программу, да ёщё и зная её особенности (код и т.п.) гораздо проще, причём вирус может размножаться внутри среды wine, а пакостить как rootkit (которые есть и в *nix)
2. Некоторые расшаривают для Wine не только ~/.wine/drive_c, но и домашний каталог пользователя, а некоторые и весь корень. (причём в отдельных дистрибутивах, типа LinuxХР, это чуть-ли не из коробки так). »
1. Вирус, написанный для Windows даже теоретически не может причинить вред системе, организованной как *nix. Там нет ни Program Files, ни Windows, они есть только в виртуальном пространства ~/.wine/drive_c
2. Согласен. Часто даже по умолчанию открыт домашний каталог в качестве отдельного диска. Это может привести только к потери всех данных в домашнем каталоге (чисто теоретически). Потому этого делать не надо.
Но вопрос! Вы видели rootkit под linux? Я с ними, честно, не сталкивался ни разу. И вообще, по наличию вирусов под linux могу судить только по отчетам лаборатории Касперского (не знаю, где они их выкапывают).

Конечно, потенциально в системе может быть куча дыр даже без Wine, но реально оказывается так, что работать вирус может только у пользователя, который своей головой не умеет управлять. Средний уровень интеллекта пользователей Linux значительно выше такового у пользователей, например, Windows (я, например, и на ней ловлю вирусы очень редко).

Пока вирусы в среде linux распространение не получили. Связано это и с объективными причинами (другая маркетинговая модель, открытое ПО, слабая в процентном соотношении распространенность, особая модель системы) и субъективными (как я уже сказал, достаточно высокий уровень подготовки пользователей).

Отправлено: 13:55, 31-05-2008 | #9


Аватара для Coutty

Кот Ти


Сообщения: 7318
Благодарности: 1204

Профиль | Отправить PM | Цитировать


Envel, так я вот что думаю: если ~ расшарен для виртуальной машины, то вирус, активированный под виртуализированной windows сотрёт содержимое домашнего каталога. Или нет? Думаю, что всё-таки сотрёт.
Но вот через ftp связь организовывать... Хм... Это уж слишком Пожалуй, можно монтировать каталоги только на чтение.

Отправлено: 14:02, 31-05-2008 | #10



Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Debian/Ubuntu - Смена владельцев в /home -- опасно ли для всей системы?

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
HDD - Громкий хруст и тормоза всей системы New York Накопители (SSD, HDD, USB Flash) 19 21-09-2013 13:53
Загрузка - [решено] Программа для создания образа всей системы Glebush Программное обеспечение Windows 7 10-01-2010 09:27
разгон всей системы benwar Разгон, охлаждение и моддинг 4 28-10-2009 01:11
[решено] Неизвестные,временные тормоза всей системы nikitooz Непонятные проблемы с Железом 12 17-06-2009 19:08
Mandriva/Mandrake - Backup всей системы Coutty Общий по Linux 27 24-12-2007 09:35




 
Переход