GNU/Linux >> Tutoriels Linux >  >> Ubuntu

Quelles politiques de sécurité existent pour les packages et les scripts ?

J'ai utilisé Microsoft Windows depuis Windows 98 vers Windows 7 . J'ai trouvé moi-même de nombreuses failles de sécurité concernant la manière dont les virus, les vers, les logiciels espions, etc. compromettent le système .

Microsoft Windows Vista et Windows 7

UAC (Contrôle de compte d'utilisateur ) système et Drives Autorun invites dans Windows Vista et Windows 7 peut prévenir certaines vulnérabilités.

Linux

J'utilise Ubuntu 11.10 maintenant et j'ai réalisé que la plupart des vulnérabilités (sauf une) n'existent pas sous Linux à cause du système multi-utilisateurs.

Le problème

Les gens (même moi) stockaient *.exe , *.cmd , *.deb , *.sh et autres fichiers exécutables et scripts (Installateurs, navigateurs portables, scripts, etc.) dans des clés USB (mémoires flash) et autres supports amovibles.

  • Sous Windows 7 (également dans les anciennes versions)

    Si le support amovible cible se connecte à un système infecté,
    puis reconnectez-vous à un nouveau système,
    et exécutez un *.exe , *.cmd ou *.bat (exécutable ou script non signé)
    qui peut déclencher une boîte de dialogue UAC
    et l'utilisateur appuie sur Yes

    cela peut exécuter un code malveillant en tant qu'administrateur , injecté dans le fichier exécutable ou script non signé

    Je ne connais pas les fichiers exécutables signés. Jamais testé.
    Je pense qu'ils ne peuvent pas être infectés ou que le fichier infecté ne peut pas être exécuté.

  • Et si, quand sous Linux ?

    Est-ce que la même chose peut arriver dans *.deb , *.sh ou tout autre fichier exécutable ou script sous Linux ?

    Je veux dire

    Le *.deb peut-il &d'autres fichiers sont infectés ? (Je pense qu'ils peuvent )

    Existe-t-il un mécanisme sous Linux pour vérifier le contenu de *.deb fichiers ?

    Ne dois-je pas conserver les fichiers exécutables et scripts requis pour l'accès root sur un support amovible ? Si je ne devrais pas alors quel est le moyen le plus simple de vérifier manuellement si le contenu du fichier a été modifié ou non ?

    Qu'en est-il des référentiels et des packages d'Internet ?
    en utilisant http , ftp (pas https ) les référentiels et les packages peuvent être infectés par un attaquant lors du transport ou via des proxys (le cas échéant).

    Existe-t-il également quelque chose de similaire à Windows Autorun sous Linux ? (Je pense que ce n'est pas )

Je veux juste que Linux soit mieux sécurisé dans toutes les conditions (même à partir de petites erreurs des utilisateurs).
Je poserai des questions sur d'autres problèmes de sécurité possibles que j'ai trouvés.

Réponse acceptée :

  • Sécurité de Deb et d'autres fichiers

Vous pouvez trouver un fichier .deb pour un package quelque part sur Internet. Ensuite, vous pouvez utiliser dpkg -i package.deb et installez-le. Ce n'est pas mieux que de récupérer une installation pour Windows quelque part sur Internet. Ne le fais pas sauf si vous êtes absolument sûr de la source, et même dans ce cas, assurez-vous que tous les packages prérequis sont déjà installés.

Les fichiers deb, sûrs ou non, suivent un format avec des hachages, etc. de sorte qu'ils doivent être reconstruits s'ils sont modifiés.

Les packages (fichiers .deb) dans les référentiels Ubuntu sont généralement créés à partir de la source sur les ordinateurs de la version Launchpad, de sorte que le contenu du fichier .deb correspond à la source et que la source peut être consultée par n'importe qui. De nombreux packages ont des équipes de maintenance qui les suivent et sont à l'affût des problèmes de sécurité. Les nouvelles versions de paquetage source doivent être signées correctement par des clés gpg en utilisant la cryptographie à clé publique avant de pouvoir être construites.

Il existe désormais des packages binaires uniquement disponibles dans le centre logiciel Ubuntu, de sorte que le public ne peut pas en voir la source. Je n'en suis pas sûr, mais je pense qu'ils sont examinés avant d'être mis à disposition.

Connexe :Comment graver plusieurs isos Ubuntu sur un seul DVD ?

Vous ne devriez généralement pas installer un paquet avec dpkg -i package.deb , mais utilisez plutôt apt-get ou le centre de logiciels, en téléchargeant à partir d'un référentiel Ubuntu. Vous devez également éviter de choisir tout autre type de script que vous ne pouvez pas regarder et comprendre complètement avant de l'exécuter.

Le système multi-utilisateurs Les systèmes de type Unix signifient que si vous faites une erreur, vous pouvez gâcher votre compte et ses fichiers, mais pas les comptes et les paramètres des autres utilisateurs qui ont été établis sur le même système, ni le système d'exploitation lui-même .

L'exception est lorsque vous exécutez une commande avec sudo ou devez entrer un mot de passe pour installer un package ou effectuer d'autres opérations de maintenance. C'est le moment de faire très attention à la source de ce que vous faites. Ceci est très similaire à l'utilisation de l'UAC.

  • Fichiers exécutables sur support amovible

Tant que vous faites preuve de prudence, je ne pense pas que vous ayez besoin de conserver des programmes sur des supports amovibles. Comme Windows, la plupart des programmes sont installés sous forme de packages et ne peuvent donc pas être exécutés à partir d'un support amovible (bien que vous puissiez mettre un Ubuntu entier sur un lecteur flash si vous le souhaitez).

  • Dépôts

Comme je l'ai mentionné ci-dessus, les fichiers .deb utilisent des hachages pour les fichiers qu'ils incluent pour voir qu'ils ne sont pas modifiés par un attaquant. Les référentiels Ubuntu ont également des clés gpg stockées sur votre système lorsque vous installez Ubuntu, et une signature et une chaîne de hachages sont suivies jusqu'aux fichiers .deb pour assurer la sécurité. Ubuntu est dérivé de Debian et ce projet a créé cette approche.

  • Exécution automatique

Il y a des choses comme l'exécution automatique sous Linux et d'autres systèmes de type Unix. Lorsque vous installez des packages, ces packages peuvent entraîner le démarrage de programmes au démarrage, ou lorsqu'un utilisateur se connecte à un terminal, ou lorsqu'un utilisateur se connecte à une session graphique. La plupart des utilisateurs ont un fichier .bashrc (masqué par défaut) dans leurs répertoires personnels qui s'exécute lorsqu'un utilisateur se connecte à un terminal.

  • Sécurité des CD

Le site Web de téléchargement d'Ubuntu contient non seulement les fichiers .iso pour les CD et les DVD, mais également des résumés de messages (hachages) que vous pouvez vérifier pour vous assurer que le fichier que vous avez récupéré est authentique jusqu'au moindre détail.

  • Sécurité continue

Malgré tout, les développeurs font des erreurs et des problèmes de sécurité potentiels peuvent se glisser dans les logiciels. L'exécution de versions prises en charge d'Ubuntu signifie que des correctifs de sécurité vous seront proposés pour les éléments des principaux référentiels Ubuntu, et souvent pour les éléments de l'univers et d'autres référentiels. Vous devez appliquer ces correctifs. Les versions de support à long terme comme 12.04 (Precise) offrent ce service à plus long terme que les autres versions d'Ubuntu.

Je ne peux pas personnellement garantir que les précautions sont parfaites, mais je pense qu'elles sont assez bonnes pour l'état actuel de la technique.


Ubuntu

  1. Top 6 des distributions Linux gratuites et open-source pour le piratage

  2. Comment vérifier la liste des dépendances pour un paquet Deb ?

  3. Gdomap et à quoi ça sert ?

  4. Qu'est-ce qu'une alternative XPerf pour Linux et Mac OS X ?

  5. Quelle est la raison pour laquelle rmdir(1) et rm(1) coexistent ?

Meilleures pratiques DNS pour la sécurité et les performances

Comment convertir des packages entre .deb et .rpm

Utilisez GDebi pour installer rapidement des packages DEB dans Ubuntu

Les pires distributions Linux pour les débutants [et quoi choisir]

Qu'est-ce qu'une base de données distribuée et à quoi servent les systèmes de données distribués ?

Les 8 meilleurs téléphones sécurisés Linux pour la confidentialité et la sécurité