Изпечатай

[makeme]

Аз си мислех че когато сърфирам в нета или когато отварям поща не мога да си заразя с вируси компютъра, понеже браузъра и пощенския клиент нямат права за запис извън потребителската директория, а пък в нея не можеш да стартираш програми (вируси) ако не им дадеш права да се изпълняват като програми. Сега обаче като чета темата, виждам че съм грешал - или това което съм чел досега е било грешно или пък аз съм го разбрал погрешно.

Много от написаното тука е твърде преувелиено. Повечето неща се отнасят до Windows. Казвамг го с ръка на сърцето, че под линукс 99% няма шанс да цъкнеш нещо от пощата си и то да ти срине компа. Това е така, защото тези червеи са писани Windows. Специално по тази причина шефката ми е на дебиан и няколко пъти, преди да се научи, че някои писма са спам/скам, е цукала на такива линкове и ми се обажда и ме пита защо неможе да отвори прикачения файл. Влизам, поглеждам и разбирам. Машината е сложена преди 3 години върви чудесно. Вчера имаше 90 ден ъптайм, но я рестартирах, защото имаше ъпдейт с нов кернел.
Пак казвам, ако щете ми вярвайте - поне за момента, под линукс сте мноо по сигурни, ОСОБЕНО ако сте и зад някакъв рутер! Единствено трябва да сте достатъчно добри в настройките, за да не оставите някаква дупка. Да се правят редовни ъпдейти и това е.

Напълно съм съгласен с това. Причината поради, която изброих тези рискове обаче е , че прочетох темата на @lipa Взлом в системата Линукс Минт и според мен там не са му "хакнали" системата чрез някакъв експлойт или заразяване, а по скоро нещо от сорта на взет достъп до teamviewr-a му или просто брутфорснат мейл смесен с параноя Та с написаното от мен исках да му обърна вниманието върху простичките неща, които вероятно са го сполетели.

[makeme]

   Ами не е нужно всеки път да пускаш/спираш виртуалка,просто
виртуалката си работи посточнно и при нужда се ползва ...
   Ето и съвсем конкретен пример:
   В много фирми/организации те задължават да ползваш windows,
меринджеите ти го спускат отгоре и толкоз ...
   Много често се ползва Microsoft Exchange, който пък изисква Outlook ...
   Доколко са сигурни тези продукти сещайте се 
   Затова, съгласно здравия разум  windows се качва на виртуалка ,
барабар с Outlook,  и така евентуалните щети се минимизират.

Това фирмите го правя по-скоро за да не плащат лицензи, ако питаш мен (личен опит), но иначе си прав за секюрване на уиндоъс чрез виртуализация.

[sudo]

Ето малко инфо как се хаква Линукс
http://linuxblog.darkduck.com/2017/05/the-linux-virus-how-it-can-be.html

[deant01]

Ето малко инфо как се хаква Линукс
http://linuxblog.darkduck.com/2017/05/the-linux-virus-how-it-can-be.html

тва рулира 

[ddantgwyn]

Никъде не съм твърдял, че важната информация трябва да е на виртуална машина. Напротив, наистина важната информация трябва да е на физическа машина, и разбира се,трябва достатъчно често да се правят архиви.

Така е, точно това не си казал, но беше написал, че проверката на връзки от електронната поща трябва да става _само_ във виртуална машина.

Представи си обикновен потребител, който ползва Linux  и който идея си няма от системна поддръжка на Linux (и на Windows). Как очакваш такъв потребител да знае как да инсталира и конфигурира виртуална машина? Затова подходът при подобни потребители е малко по-различен -- трябва да ги научиш да не отварят изобщо писма от непознати потребители или такива, които изглеждат съмнително. Макар, че и това не е много лесно, но ще е по-полезно (imho).

Просто по-горе написах, че експерименти трябва да се правят на виртуалки, поради изолацията от физическия хардуер. Не е невъзможно да се атакува хипервайзора "отвътре", но е много малко вероятно такава атака да сполучи, много по-малко вероятно, отколкото да се презапише биоса при атака на вирус на физическата машина.

И в двата случая се очаква потребителя да направи определени действия. Затова подхода трябва да е насочен към потребителя, а не някъде другаде.

За съжаление има вируси, които могат да "прецакат хардуера", спомнете си така наречения "Чернобилски вирус".

Така че, много по-добре е да се рискува на виртуалка, отколкото на реална, физическа машина.

Смятам, че аргументирано изложих моето становище.

Донякъде -- да, аргументирано е

[spec1a]

ddantgwyn:
"Представи си обикновен потребител, който ползва Linux  и който идея си няма от системна поддръжка на Linux (и на Windows). Как очакваш такъв потребител да знае как да инсталира и конфигурира виртуална машина? Затова подходът при подобни потребители е малко по-различен -- трябва да ги научиш да не отварят изобщо писма от непознати потребители или такива, които изглеждат съмнително."
   Донякъде мога да се съглася с това,само че ,по отношение на
подхода: пробвал ли си да обясниш на кифла от офис планктона как
да отваря мейл,особено ако е близка с някой от меринджейте ?
   По отношение на конфигурирането: това се върши от сисадмин,и
съответно потребителите влизат в съотв. виртуалка напр. с vnc.
На локалната им машина може напр. да няма мейл клиент, а
браузъра да е със сериозни ограничения.
   Така е с една идея по-сигурно ...

[ddantgwyn]

Ако периодично се правят снапшотове, рискът от загуба на информация е минимален.

А с какво периодичните снапшотове на виртуална машина се различават от периодичното правене на резервни копия на реална машина?

с много

Поименно, колега, поименно.

Без значение дали ползваш виртуалка или не, винаги трябва да правиш бекъп на физическата си машина, най-малко на 2 места. Но ако си решил всичката си важна информация да я пазиш във виртуалка - това е контрапродуктивно! Най-малкия проблем е дузпата в производитеността, ако вършиш сериозна работа във виртуалка, другото е че ако ползваш специфичен софт, той може и да не работи добре или даже никак във виртуална среда, след това идва хамалогията да ги свързваш едни с други в мрежата. И накрая когато правиш бекъм, вместо да бекъпнеш само променените файлове, от масива който бекъпваш, ще трябва да бекъпваш 20-30 (или кой знай колко) гигабайта имидж файл на виртуалката... Но така и не споменахте каква ос ще има във виртуалката ...

Ох, взели сте въпроса ми присърце

Благодаря за което, но смисълът на въпроса ми към колегата беше, с какво правенето на резервни копия на една реална машина се различава от правенето на снапшотове на виртуална машина по отношение на запазването на информацията.

От това, което сте написал, следва че е по-добре да се работи на реална машина, а не във виртуална, което го приемам по-скоро за подкрепа на моята теза, а не на другата.

И дано колегата spec1 прочете аргументите, които привеждате и дано да са му от полза. Не за друго, а при обмисляне на бъдещи решения на ситуации, с които може да се сблъска в реалния живот.

Моля те мини на ТИ

[ddantgwyn]

ddantgwyn:
"Представи си обикновен потребител, който ползва Linux  и който идея си няма от системна поддръжка на Linux (и на Windows). Как очакваш такъв потребител да знае как да инсталира и конфигурира виртуална машина? Затова подходът при подобни потребители е малко по-различен -- трябва да ги научиш да не отварят изобщо писма от непознати потребители или такива, които изглеждат съмнително."

Донякъде мога да се съглася с това, само че, по отношение на подхода: пробвал ли си да обясниш на кифла от офис планктона как да отваря мейл,особено ако е близка с някой от меринджейте ?

В такъв случай, обясняваш на меринджея, че ако не вземе мерки да научи кифлата освен да прави кратки музикални форми и на елементарна компютърна култура, проблеми освен тя, ще има и той и то от различни естества. Както беше казал един американец -- с блага дума и Колт може да постигнеш много повече, отколкото само с блага дума.

По отношение на конфигурирането: това се върши от сисадмин, и съответно потребителите влизат в съотв. виртуалка напр. с vnc. На локалната им машина може напр. да няма мейл клиент, а браузъра да е със сериозни ограничения.

Tака е с една идея по-сигурно ...

А тук вече се отклоняваш -- досега не ставаше дума за системни администратори и VNC. Между другото, вместо VNC предпочитам ssh и rdesktop

И накрая -- не отричам ползата от виртуализацията, но и с нея, както и с всяко друго нещо, не трябва да се злоупотребява.

[jet]

Аз бекъп на Линукс не правя. Правя бекъп на данните ми (home), /etc и листа с инсталираните пакети (като пазя и версиите). Всички репозитори по света са ми бекъп-а на Линукс-а.
Нет-а ми е 256МБ/с (да мегабайта, не мегабита), диска ми е ССД - Нет инстала на Дебиан е по-бърз от качване на бекъп.
А за хакването на Линукс - дръжте системата ъп то дейт, като се появи файла: /var/run/reboot-required - рестартирайте, монтирайте хоме директорията в отделен партишън с noexec и кракерите да го духат (късмет им желая).
Добре е също банкирането да си правите с браузъра стартиран с друг юзер. Махнете всички права:  chmod /home o-rwx -R - да не се шпионират юзерите ти. Ползвайте адекватни пароли и никога дефолтни.

[Naka]

Ето така се хаква. С Албанският txt Email вирус:

Здравейте, това е Албански вирус.
Както знаете, ние не сме много напреднали с технологията. Затова ще ви помолим ръчно да изтриете всички ваши файлове и да изпратите този е-мейл на всичките ви приятели.
С уважение,
Албанските Хакери.

[spec1a]

   Разбира се, не е задължително с vnc , може и с ssh, или ssh
с "-X" опция (последното всъщност понякога не е за препоръчване,
може да има проблеми със сигурността).
   Основната идея е: настройвате защитната стена на физ. машина с
iptables така ,че и "пиле да не може да прехвръкне".
   Подозрителните ОС-бози и тем подобни:задължително на виртуалки.
И в най-лошите случай:  wannacry,petya и т.н. поражениятя са
минимални и лесно и бързо преодолими,при достатъчно често правене на архиви и снапшоти.
   Така,че хахорите ще го духат,и то под родопско одеяло