|
|
|
|
| Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Debian/Ubuntu - Смена владельцев в /home -- опасно ли для всей системы? |
|
||||
|
|
Debian/Ubuntu - Смена владельцев в /home -- опасно ли для всей системы?
|
|
Пользователь Сообщения: 59 |
Debian Etch, всего два юзера. *Установлен WINE* (если это что-нибудь даст), защиту специально не ставил, ни iptables, ни других файрволов (возможно, напрасно), антивирей тоже. Внешнего IP нету, в инете через вот этот маршрутизатор с заводской (необновлённой) прошивкой и провайдерский нат. Жена под своим акком что-то сделала, говорит, попыталась загрузить со злосекты ВКонтакте какую-то картинку, -- но не ту, о которой ДРВеб предупреждал, что это, мол, вирус в жпеге, а вообще какую-то стороннюю безобидную картиночку. После чего, по её словам, в окошке IceWeasel'я "Сохранить как" в поле "название файла" бегущей строкой быстро побежали спецсимволы и вся система подвисла намертво вообще. Reset, и, по её словам (что выглядит опять же странно, я не видел), система после загрузки выдала ей консольное приглашение, в котором было написано слово *ROOT* -- и она выключила комп после этого.
Прихожу и вижу: у обоих наших пользователей в /home владельцы на все файлы стоят у одного 1000:1000, у другого 1002:1002, и только у /home/lost+found почему-то остались root:root. Ну ладно, перезашёл под Кноппиксом, через chroot сказал #chown -hR gene:gene /home/gene, для второго юзера по аналогии, сменил все пароли, вроде всё ОК, перезахожу в Дебиан -- опять владельцы послетали, на этот раз цифры поменьше были, но суть та же. Я ничего не понял, перезашёл в Мандриву, снова поменял всех владельцев, на этот раз не меняя пароли, -- вроде заработало всё в Дебиане. Кстати, после тотальной проверки Дебиана уже из Мандаривы обнаружил несколько включений с разрешениями 1002:1002 в системном /tmp -- прибил их совсем. Кто подскажет, что это вообще было? И какая рекомендуется профилактика/проверка, чтобы если что-то уже сидит в системе, найти это и вычистить оттуда? Ставил klamav (это K-морда для clamav), попытался его запустить, но он сказал что-то про то, что virus base initialization failed и отказался проводить дальнейшую проверку, да и заодно комп опять же мне намертво завесил, допконсоли не работали, на клаву и мыш ноль реакции, пришлось просто перезагрузиться. И как защититься, если система была всё же скомпрометирована? |
|
|
Отправлено: 15:56, 30-05-2008 |
info man howto Сообщения: 6958
|
Профиль | Сайт | Отправить PM | Цитировать Под Winе вирусы очень хорошо себя чувствуют. Поэтому Wine можно запускать только под пользователем и только в необходимых случаях, когда есть уверенность, что нет опасности заражения.
|
|
------- Отправлено: 16:40, 30-05-2008 | #2 |
|
Пользователь Сообщения: 59
|
Профиль | Отправить PM | Цитировать Согласен, я, наверное, тоже бы посчитал безумием запуск софта под вайн с рутовыми правами. Не, у меня жена пароля рута не знает, всё только под юзером работает. Какая на ваш взгляд дрянь могла мне перебить всех владельцев/группы в /home на свои собственные, да ещё и снова умудрилось сделать то же самое уже после того, как я сменил пароли через Кноппикс?
|
|
Отправлено: 16:48, 30-05-2008 | #3 |
|
info man howto Сообщения: 6958
|
Профиль | Сайт | Отправить PM | Цитировать В некоторых дистрибутивах демон Wine запускается c правами root.
|
|
------- Отправлено: 18:47, 30-05-2008 | #4 |
|
Ветеран Сообщения: 716
|
Профиль | Отправить PM | Цитировать Собственно вирусы под WINE гадят только в ~/.wine/drive_c
Так что опасность в любом случае небольшая. Но запускать любые программы от root, которые этого не требуют - дикость. |
|
|
Отправлено: 21:42, 30-05-2008 | #5 |
|
info man howto Сообщения: 6958
|
Профиль | Сайт | Отправить PM | Цитировать Envel, вы не учитываете,
1. что теоретически, вирус , поразив сам демон wine пакостит с правами демона там, куда имеет права доступа демон. А написать вирус под одну конкретную программу, да ёщё и зная её особенности (код и т.п.) гораздо проще, причём вирус может размножаться внутри среды wine, а пакостить как rootkit (которые есть и в *nix) 2. Некоторые расшаривают для Wine не только ~/.wine/drive_c, но и домашний каталог пользователя, а некоторые и весь корень. (причём в отдельных дистрибутивах, типа LinuxХР, это чуть-ли не из коробки так). |
|
------- Отправлено: 08:42, 31-05-2008 | #6 |
Кот Ти Сообщения: 7318
|
Профиль | Отправить PM | Цитировать ruslandh, после такого что-то я не могу линукс считать свободным от вирусов... Может быть тогда лучше вместо wine использовать виртуализацию?
Хотя там я тоже расшариваю корень... В сомнениях прям. |
|
Отправлено: 08:53, 31-05-2008 | #7 |
|
info man howto Сообщения: 6958
|
Профиль | Сайт | Отправить PM | Цитировать Coutty, всякая среда, в которой может выполняться Win программа - потенциальная дыра, если такая среда не запускается от root, то это уже пол-дела - она может изменить только файлы с правами пользователя, от имени которого запушена (а их свести к минимуму - только то, что нужно этой среде). Наверное, правильней c точки зрения безопасности, запускать такие вещи под правами псевдопользователя в контейнере. типа chroot а к хостовой машине давать доступ через сетевые интерфейсы (samba, ftp и т.п.).
|
|
------- Отправлено: 09:39, 31-05-2008 | #8 |
|
Ветеран Сообщения: 716
|
Профиль | Отправить PM | Цитировать Цитата ruslandh:
2. Согласен. Часто даже по умолчанию открыт домашний каталог в качестве отдельного диска. Это может привести только к потери всех данных в домашнем каталоге (чисто теоретически). Потому этого делать не надо. Но вопрос! Вы видели rootkit под linux? Я с ними, честно, не сталкивался ни разу. И вообще, по наличию вирусов под linux могу судить только по отчетам лаборатории Касперского (не знаю, где они их выкапывают). Конечно, потенциально в системе может быть куча дыр даже без Wine, но реально оказывается так, что работать вирус может только у пользователя, который своей головой не умеет управлять. Средний уровень интеллекта пользователей Linux значительно выше такового у пользователей, например, Windows (я, например, и на ней ловлю вирусы очень редко). Пока вирусы в среде linux распространение не получили. Связано это и с объективными причинами (другая маркетинговая модель, открытое ПО, слабая в процентном соотношении распространенность, особая модель системы) и субъективными (как я уже сказал, достаточно высокий уровень подготовки пользователей). |
|
|
Отправлено: 13:55, 31-05-2008 | #9 |
|
Кот Ти Сообщения: 7318
|
Профиль | Отправить PM | Цитировать Envel, так я вот что думаю: если ~ расшарен для виртуальной машины, то вирус, активированный под виртуализированной windows сотрёт содержимое домашнего каталога. Или нет? Думаю, что всё-таки сотрёт.
Но вот через ftp связь организовывать... Хм... Это уж слишком  Пожалуй, можно монтировать каталоги только на чтение. |
|
Отправлено: 14:02, 31-05-2008 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| HDD - Громкий хруст и тормоза всей системы | New York | Накопители (SSD, HDD, USB Flash) | 19 | 21-09-2013 13:53 | |
| Загрузка - [решено] Программа для создания образа всей системы | Glebush | Программное обеспечение Windows | 7 | 10-01-2010 09:27 | |
| разгон всей системы | benwar | Разгон, охлаждение и моддинг | 4 | 28-10-2009 01:11 | |
| [решено] Неизвестные,временные тормоза всей системы | nikitooz | Непонятные проблемы с Железом | 12 | 17-06-2009 19:08 | |
| Mandriva/Mandrake - Backup всей системы | Coutty | Общий по Linux | 27 | 24-12-2007 09:35 | |
|
|
Время: 13:22. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
