Вопрос
мигрируя с windows, я заказал у человека debian 4 (нет возможности качать большие файлы), поставил.
Меня интересует такой вопрос: возможно ли "встроить" в дистриб. троян ?
безопасно ли выходить в сеть с такой системой ?
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
комментариев: 1515 документов: 44 редакций: 5786
Разумеется, при желании можно встроить троян в любую программу, в том числе и дистрибутив Linux'а, и потому советуют проверять чексуммы ;-) Однако, это не спасёт от того случая, когда сами же разработчики встроят троян в свою систему.
Что значит "безопасно" в вашем понимании? "Жить в принципе не безопасно: от этого умирают" © не помню кто. Антивирус можно не держать, а только следить за обновлениями ;-)
комментариев: 1515 документов: 44 редакций: 5786
Создавать "неинформативные" названия топиков запрещено: старайтесь давать сколь-нибудь внятные названия, раскрывающие суть вашего поста на форуме (например, "Вопрос о безопасности Debian"). На сей раз, думаю, верховные поправят, но на будущее учтите – могут удалить без предупреждения.
комментариев: 9796 документов: 488 редакций: 5664
и ещё про secure apt.
Кроме того можно посчитать сумму и сверить подпись самого iso образа.
с помощью checkiso
См.: http://www.debian.org/CD/faq/#verify
комментариев: 1515 документов: 44 редакций: 5786
Скорей всего даже для md5 теория, не говоря уже про sha-1.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 1515 документов: 44 редакций: 5786
- На взломанном сервере (gluck) работали одновременно: "Primary web server, CVS server, People server" ©.
- Была разрешена аутентификация на SSH по паролю (подчёркиваю, это был тестовый сервер для разработчиков дебиана, а не для деток, которые впервые nix увидели). Вы много видели людей на свете которые дружат с головой и ходят по SSH удалённо по паролю? Я – нет. Для слабопомнящих: есть такое понятие как "аутентификация по ключам".
- Даже открыв апрольную аутентификацию, они не проверяли пароли на слабость: "An investigation of developer passwords revealed a number of weak passwords whose accounts have been locked in response."
- На столь важный сервер поставили столь свежее ядро что не каждый его на обычный десктоп поставит. Последнее дало возможность кому-то всалдить руткит, подобрав пароль для локального пользователя.
- Всаживание руткита было возможным в силу того, что core-dump'ы были разрешены. Все в курсе, что на production-серверах, а уж тем более "people server" core dump'ы должны были быть запрещены?
- Функциональность ядра 2.6 действительно была нужна для функционирования всего того что там функционировало?
- Есть ещё такая вещь как включение неисполнимости стека. Тоже, как оказалось, не про их честь.
- Взломщик в данном случае не ограничился взломом gluck. Имея права доступа на него, были установлены руткиты на ещё 3 сервера (если мне не изменяет память), что не стало бы возможным при адекватной модели безопасности, где взлом одного из серверов не упрощает взлом последующих.
Вывод: если Debian-team ставит админами своих основных серверов таких людей, то остаётся лишь сказать "видел я такой дистрибутив в гробу и в белых тапках". Столь обширный набор одновременных фактов на случайность не тянет, а если они так относятся к своей безопасности, то откуда основания думать что к безопасности пользователей они относятся лучше?комментариев: 1515 документов: 44 редакций: 5786
комментариев: 11558 документов: 1036 редакций: 4118
Это не проблема, если удалённый хост аутентифицируется по ключу (сертификату).
комментариев: 1515 документов: 44 редакций: 5786
Что такое аутентификация "хоста"? Удалённый маунт NFS? Речь идёт об аутентификации обычных пользователей по обычному SSH.
комментариев: 9796 документов: 488 редакций: 5664
http://www.debian.org/News/2003/20031202
http://www.debian.org/News/2006/20060713
комментариев: 11558 документов: 1036 редакций: 4118
А я о чём говорю? SSH допускает (хотя и не предписывает) взаимную аутентификацию клиента и сервера. Сервер аутентифицируется первым, клиент — вторым (как с SSL). Если установлена аутентификация сервера, то клиент может авторизоваться и по паролю (в надежде, что он достаточно стойкий; эту проблему и решает использование клиентских ключей).
комментариев: 1515 документов: 44 редакций: 5786
Я их осуждаю не за взлом, и да, это похвально что они раскрыли подробности взлома. Вопрос в другом: кем надо быть чтобы чтобы сделать всё возможное к тому, чтобы сервер был взломан? Раздавать SSH кому попало на сервере, где крутится cvs и www – это оригинально. Кстати, насколько я слышал от админов, www среднетипичной организации вообще всегда ставится на отдельный сервер.
комментариев: 11558 документов: 1036 редакций: 4118
Ну, вот, например. :-)
комментариев: 1515 документов: 44 редакций: 5786