Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Ubuntu tietokoneissa => Aiheen aloitti: Snufkin - 13.01.17 - klo:14.33
-
Moi!
Osaisiko joku hieman selventää minulle Ubuntun (16.04) tietoturvan tasoa. Käytän konetta työasemana (nettisurffaus, toimisto-ohjelmat, gimp, jne.) enkä ole kovin hyvin perillä tietotekniikasta sinänsä.
Olen ymmärtänyt, ettei mitään erillistä virustorjuntaa tarvita, koska tiedostojärjestelmä tehokaasti torppaa haittaohjelmien etenemisen. Onko silti olemassa joku riski saastuttaa kone esim. haitallisilla nettisivuilla tai sähköposteilla? Tai laajemmin, mitkä ovat ne todelliset uhat tavalliselle käyttäjälle nettimailmassa? Palomuuri on käytössä Ubuntun valmisasetuksilla. Ohjelmat olen asentanut pääosin Ubuntu software centerin kautta. Vain yksi kirjanpito-ohjelma (Tilitin) on asennettu ohjelman jakajan sivuilta.
Ts. onko jotain mitä pitää erityisesti välttää, jotta ei saastuta konettaan tai saa sitä kaapatuksi. Onko esim. avoin wlan-verkko riski tällaiselle vai vain tietojen menettämiselle?
Entä vaikuttaako salasana verkkoturvallisuuteen? Voiko siis verkon kautta helposti yrittää päästä koneen käyttäjäksi ja voiko sen jotenkin asetuksilla estää?
Varkauden varalta olen kryptannut kotikansion Ubuntua asentaessani.
-
Noin yleisesti ottaen ei tarvita mitään antivirusohjelmia, koska käytännössä Ubuntulle ei ole viruksia. Ja nekin antivirusohjelmat, joita Ubuntulle on saatavilla, etsivät windows -viruksia. Jos windows -viruksen onnistuisit jollain ilveellä Ubuntuusi saamaan, niin se on vain kasa bittejä makaamassa kiintolevyllä. Ubuntu on täysin immuuni windows -viruksille.
Verkossa aikuisviihteellä pörrätessä voi lähinnä saada selaimensa lukituksi tai tulla pöpön ladanneeksi esim. jonkin hämärän exe:n muodossa, mutta siinäpä se melkein on. Selainlukitus ei tosin liity millään tavalla Ubuntuun, tai käyttöjärjestelmiin ylipäätään, toiminee kaikilla alustoilla samaan tyyliin.
Salasanoilla on toki merkitystä, varsinkin jos konetta voi päästä käyttämään joku muukin, mutta sekin nyt on sama kaikissa käyttiksissä.
-
Myös reitittimen käyttäjätunnus ja salasana kannattaa vaihtaa. Jos käytössä on valmistajan oletukset (esim. admin/admin tai admin/password) selaimessa toimiva javascript haitake voi muuttaa reitittimen asetuksia ja mahdollistaa sen hallitseminen ulkoverkosta käsin. Sen jälkeen DNS:n avulla käyttäjä voidaan ohjata valesivustoille tai laittaa reititin palvelemaan osana bottiarmeijaa.
Artikkelissa ei mainita Linuxia, mutta tuo haitake näytti toimivan jotakuinkin kaikilla muilla alustoilla, joten tuskinpa Linux on immuuni tuon kaltaisille hyökkäyksille: https://www.proofpoint.com/us/threat-insight/post/home-routers-under-attack-malvertising-windows-android-devices (https://www.proofpoint.com/us/threat-insight/post/home-routers-under-attack-malvertising-windows-android-devices)
-
Ok, eli aika hyvin olen sitten turvassa. Minulla ei ole reititintä, vaan Microsoft Lumia kännykkä toimii wlan-asemana. Tiedä sitten miten turvallinen se on?
Mutta miten helppo perus-Ubuntu on kaapata verkon kautta, jos joku sitä haluaa? Ja näkyykö tuollainen kaappaus minulle jotenkin? Tällä koneellä siis vain yksi käyttäjätili, jota itse käytän.
-
Ubuntussa ei ole palomuuri päällä oletuksena, kytke palomuuri käyttöön kun ei ole reititintä välissä.
sudo ufw enable
-
Mutta miten helppo perus-Ubuntu on kaapata verkon kautta, jos joku sitä haluaa? Ja näkyykö tuollainen kaappaus minulle jotenkin? Tällä koneellä siis vain yksi käyttäjätili, jota itse käytän.
Mitäänhän en ko. asiasta tiedä, joten ilman muuta kommentoin siis. Joo, sinä aikana, kun olen Ubuntu -käyttäjä ollut (vuodesta 2008 muistaakseni), en ole esim. tämän foorumin kautta kertaakaan kuullut moisesta. Tai en ainakaan muista. Muisti ei tosin ole enää ihan sitä, mitä se joskus oli... Eli vankalla takapuolituntumalla sanoisin, että anna palaa vaan.
-
Ubuntussa ei ole palomuuri päällä oletuksena, kytke palomuuri käyttöön kun ei ole reititintä välissä.
sudo ufw enable
Minulla on Ubuntu 16.04 ja kokeilin laittaa palomuurin päälle tuon ohjeesi avulla, ilmoitti, että palomuuri on jo päällä ja asetettu jo käynnistyksen aikana. :-X
-
Olen ymmärtänyt, ettei mitään erillistä virustorjuntaa tarvita, koska tiedostojärjestelmä tehokaasti torppaa haittaohjelmien etenemisen. Onko silti olemassa joku riski saastuttaa kone esim. haitallisilla nettisivuilla tai sähköposteilla? Tai laajemmin, mitkä ovat ne todelliset uhat tavalliselle käyttäjälle nettimailmassa?
Tiedostojärjestelmä (https://fi.wikipedia.org/wiki/Tiedostoj%C3%A4rjestelm%C3%A4) itsessään tuskin juuri suojaa haittaohjelmilta. Enemmänkin siitä on apua, että useimmat virukset ovat tehty Windows-käyttöjärjestelmälle eivätkä siis myöskään toimi Linuxissa.
Ts. onko jotain mitä pitää erityisesti välttää, jotta ei saastuta konettaan tai saa sitä kaapatuksi. Onko esim. avoin wlan-verkko riski tällaiselle vai vain tietojen menettämiselle?
Suosittelen välttämään hämärämpiä nettisivustoja ja välttämään roskapostiviestien lukemista tai varsinkaan niiden linkkien tai liitteiden avaamista. Avoin wlan tuskin on sen enempää riski kuin muukaan julkinen verkko, johon kuka tahansa voi yhdistää. Toisaalta tuo toimii toisinpäinkin eli avoin wlan on juurikin sellainen julkinen verkko, johon kuka tahansa voi yhdistää, ja siellä ei ole mahdollisen hyökkääjän ja käyttäjän välillä erillistä palomuuria kuten tavallisesti kotiverkkoa ja internettiä erottaa NAT (https://fi.wikipedia.org/wiki/Osoitteenmuunnos). NAT:ia eli osoitteenmuunnosta ei ole suunniteltu kuitenkaan suoranaisesti suojaamaan hyökkäyksiltä se vain vaikeuttaa yhteyden ottamista käyttäjän koneelle. Todennäköisimmin haittaohjelman saa päivittämättömän internetselaimen (tai muun käyttämänsä ohjelman) kautta, jolloin sillä ei ole juuri väliä missä verkossa on. Toki selaimessa voi olla nollapäiväaukkoja, jolloin ajan tasalla pitäminenkään ei estä hakkerointia.
Entä vaikuttaako salasana verkkoturvallisuuteen? Voiko siis verkon kautta helposti yrittää päästä koneen käyttäjäksi ja voiko sen jotenkin asetuksilla estää?
Ubuntussa tai yleensä Linux-jakeluissa salasana ei taida juuri vaikuttaa siihen, miten helposti koneelle voi päästä, sillä käynnissä ei ole palveluja, joilla konetta voitaisiin hallita etänä. Toki siinä vaiheessa, kun hyökkääjä on koneella jonkin tietoturva-aukon kautta tavallisen käyttäjän oikeuksin, hyvä salasana voi estää käyttämästä tietokonetta root-oikeuksin.
Pelkällä salasanallahan ei ole juuri väliä, jos tietokoneeseen pääsee fyysisesti käsiksi. Silloin vain kryptaus auttaa.
Varkauden varalta olen kryptannut kotikansion Ubuntua asentaessani.
Tuo on ihan hyvä idea, kunhan muistaa pitää tiedostoista varmuuskopioita ja säilyttää myös ne jotenkin turvallisesti. Oikeintehtynä varmuuskopiointikin on yksi tietoturvaa lisäävä asia, vaikkei se vähennäkään tietojen leviämisen riskiä. Erityisesti Windows-käyttäjiä nykyään vaivaava ilmiö ovat kiristyshaittaohjelmat, jotka kryptaavat käyttäjän tiedostot omalla avaimellaan ja vaativat lunnaita avainta vastaan. Erittäin ikävää, jos tiedostoista ei ole varmuuskopioita.
Huomautan, että minäkään en ole tietoturva-alan asiantuntija, vaan ihan tavallisena Linux-käyttäjänä kommentoin omia mielipiteitäni kirjoitellen. Itse käytän ainakin seuraavia asioita pitääkseni yllä tietoturvaa:
- Ajantasaiset varmuuskopiot
- Ajantasaiset ohjelmistot eli päivitykset asennetaan tarpeeksi usein
- Hyvät salasanat sekä netissä että tietokoneella. Ne ovat muistettavia ja tarpeeksi vaikeasti arvattavia
- Kännykän/tabletin lukituskoodi
- Erityisesti kannettavan tapauksessa levyn salaus juurikin varkauden varalta
- Näytön lukitseminen kun en käytä tietokonettani
- Reitittimien ja muiden laitteiden salasanat vaihdetaan pois oletuksiltaan ja jos mahdollista niissä käytetään vapaita laiteohjelmistoja
- Varovaisuus tuntemattomien sähköpostien ja nettilatauksien kanssa
- En kytke tuntemattomia muistitikkuja tai kiintolevyjä tietokoneisiini
- En käytä Windowsia omilla koneillani ;) (kevennys, mutta totta, pl. mahdollinen virtuaalikone tarpeen vaatiessa)
-
Varkauden varalta olen kryptannut kotikansion Ubuntua asentaessani.
Kotikansion kryptauksessa on yksi ongelma, joka minulla tuli vastaan. Salasin kotikansioni asennuksen yhteydessä. Jossain vaiheessa päivitin Kubuntun epäonnistuneesti. Kubuntu ei käynnistynyt aluksi ollenkaan graafiseen tilaan, nyt ei edes tekstitilaan. Nyt en saa tiedostojani talteen, koska kryptasin kotihakemistoni. En siis pääse kaivelemaan tiedostoja toisella osiolla olevasta Ubuntusta käsin.
Ymmärrän kuitenkin Snufkinin ratkaisun salata kotihakemisto varkauksien varalta, mikä voi olla tarpeen liikuttaessa paljon koneen kanssa.
-
Tuollaisessa tilanteessa ne ajantasaiset varmuuskopiot ratkaisisi ongelman. Ubuntussa on helppokäytöinen varmistusohjelma jolla varmuuskopioita voi vaikka ajastaa viikottain otettavaksi.
Minulla on Ubuntu ollut käytössä 2010 saakka päivittäin ja varmuuskopioista pidän huolen, lisäksi vahvat salasanat eri palveluihin, reititimen salasanat pois oletuksilta. Virustorjuntaa en ole koskaan käyttänyt Ubuntussa. Siinä ne.
-
Ubuntussa ei ole palomuuri päällä oletuksena, kytke palomuuri käyttöön kun ei ole reititintä välissä.
sudo ufw enable
Minulla on Ubuntu 16.04 ja kokeilin laittaa palomuurin päälle tuon ohjeesi avulla, ilmoitti, että palomuuri on jo päällä ja asetettu jo käynnistyksen aikana. :-X
Samaa ilmoitti mullakin.
-
Suosittelen välttämään hämärämpiä nettisivustoja ja välttämään roskapostiviestien lukemista tai varsinkaan niiden linkkien tai liitteiden avaamista.
Näin toki, mutta olisi mielenkiintoista tietää, miten tuolta nuo haittaohjelmat pääsevät omalle koneelle? Ymmärtääkseni juuri tiedostojärjestelmän käyttöoikeudet estävät haittaohjelmia asentumasta, koska se vaatii pääkäyttäjän oiekudet (salasanan).
Muuten kiitos hyvästä tiivistyksestä tietoturvasta. Itselläni on kaksi kopioita kovalevystä, joista toinen kryptattuna vanhalla läppärillä eri rakennuksessa, toinen kryptaamaton, mutta lukitussa teräskaapissa. Varkauden lisäksi kannattaa muistaa tulipalo, joka myös tuhoaa helposti kaikki tiedot, jos koti palaa.
-
Varkauden varalta olen kryptannut kotikansion Ubuntua asentaessani.
Kotikansion kryptauksessa on yksi ongelma, joka minulla tuli vastaan. Salasin kotikansioni asennuksen yhteydessä. Jossain vaiheessa päivitin Kubuntun epäonnistuneesti. Kubuntu ei käynnistynyt aluksi ollenkaan graafiseen tilaan, nyt ei edes tekstitilaan. Nyt en saa tiedostojani talteen, koska kryptasin kotihakemistoni. En siis pääse kaivelemaan tiedostoja toisella osiolla olevasta Ubuntusta käsin.
Ymmärrän kuitenkin Snufkinin ratkaisun salata kotihakemisto varkauksien varalta, mikä voi olla tarpeen liikuttaessa paljon koneen kanssa.
Kuten jo mainittu, varakopiointi on oikea ratkaisu tällaisiin ongelmiin. Joko ulkoinen kovalevy tai vanha tietokone on edullinen tapa tehdä tiedoista varakopio.
-
En käytä Windowsia omilla koneillani ;) (kevennys, mutta totta, pl. mahdollinen virtuaalikone tarpeen vaatiessa)
Mä joudun käyttämään välillä windows 7:kaa ja XP:tä (virtualikonetta tuossa seiskassa) jotta saan kaikki tarvittavat ohjelmat toimimaan. Sen aikana kuitenkin netti on poissa päältä. En usko, että sita kautta voisi haittaohjelmat juuri tehdä tuhoja, kun ei windows ymmärrä Ubuntun tiedostoja. Ainakaan ei näy resurssienhallinnassa.
-
Suosittelen välttämään hämärämpiä nettisivustoja ja välttämään roskapostiviestien lukemista tai varsinkaan niiden linkkien tai liitteiden avaamista.
Näin toki, mutta olisi mielenkiintoista tietää, miten tuolta nuo haittaohjelmat pääsevät omalle koneelle? Ymmärtääkseni juuri tiedostojärjestelmän käyttöoikeudet estävät haittaohjelmia asentumasta, koska se vaatii pääkäyttäjän oiekudet (salasanan).
Käyttämällä tietoturva-aukkoja. Ei tuohon yleensä oikein muita keinoja ole.
-
Suosittelen välttämään hämärämpiä nettisivustoja ja välttämään roskapostiviestien lukemista tai varsinkaan niiden linkkien tai liitteiden avaamista.
Näin toki, mutta olisi mielenkiintoista tietää, miten tuolta nuo haittaohjelmat pääsevät omalle koneelle? Ymmärtääkseni juuri tiedostojärjestelmän käyttöoikeudet estävät haittaohjelmia asentumasta, koska se vaatii pääkäyttäjän oiekudet (salasanan).
Käyttämällä tietoturva-aukkoja. Ei tuohon yleensä oikein muita keinoja ole.
Mutta eikö Linuxissa ole tilanne se, että pelkkä pääsy koneelle ei riitä, vaan jonkin toimivan ohjelman asentamiseen tarvitaan pääkäyttäjän salasana? Voiko jokin haittaohjelma asentua ilman sitäkin jonkun tietoturva-aukon kautta?
-
Perusasetuksilla ohjelman voi ajaa myös kotihakemistosta. Sellainen ohjelma voi tehdä kaikkea mitä sinäkin voit ilman sudottamista.
-
Mutta eikö Linuxissa ole tilanne se, että pelkkä pääsy koneelle ei riitä, vaan jonkin toimivan ohjelman asentamiseen tarvitaan pääkäyttäjän salasana? Voiko jokin haittaohjelma asentua ilman sitäkin jonkun tietoturva-aukon kautta?
Järjestelmänlaajuiseen asentamiseen toki. Toisaalta käyttäjänä voi jo kuunnella käyttäjän näppäimistöä jo sillä yksinään saa salasanat kaapattua. Jos koneelle pääsee selaimen tietoturva-aukon kanssa ja voi suorittaa mitä haluaa, niin kotihakemistoon voi ladata vaikka uusia binäärejä, joita sitten laittaa käynnistyväksi, kun kirjaudutaan sisään.
Toki se voi asentua root-käyttäjänäkin koko järjestelmään, jos on root-oikeudet antava aukko. Niitä on nähty ja ne paikataan yleensä äkkiä eli päivitykset kannattaa asentaa.
-
Heitänpä tähän jatkoksi tyhmän kysymyksen: Miten on sen .MP3 "exploitin" kanssa, josta on viime aikoina puhuttu?
Kuinka suuri riski tuo on ja mitä se oikeastaan tekee? Oletan että mikään antivirus-ohjelma Linuxissa ei tuota blokkaa? Uskallanko siis käyttää mitä tahansa .MP3-tiedostoja normaaliin tapaan vai en?
Olen niin kyllästynyt Windowsiin, tekisi mieleni siirtyä täysin Linuxiin. Mutta en tiedä uskallanko luottaa siihen paljon mainostettuun turvallisuuteen vai en, varsinkin em. haavoittuvuuksien osalta. Vai onko tuo aukko kenties jo ajat sitten tukittu ja sen voi unohtaa?
-
Noin yleisesti ottaen ei tarvita mitään antivirusohjelmia, koska käytännössä Ubuntulle ei ole viruksia. --
Väärin. Tästä voi aloittaa asiaan perehtymisen yleisellä tasolla: https://en.m.wikipedia.org/wiki/Linux_malware
-
Perusasetuksilla ohjelman voi ajaa myös kotihakemistosta. Sellainen ohjelma voi tehdä kaikkea mitä sinäkin voit ilman sudottamista.
Eli voi napata salasanan, kun seuraavan kerran käytät sudo:a? Tai lisätä tunnuksellesi esim. cron jobin, joka lähettää keräämänsä datan hämäräveikoille?
-
Heitänpä tähän jatkoksi tyhmän kysymyksen: Miten on sen .MP3 "exploitin" kanssa, josta on viime aikoina puhuttu?
Tarkoitatko tätä: http://scarybeastsecurity.blogspot.fi/2016/11/0day-exploit-compromising-linux-desktop.html
Kuinka suuri riski tuo on ja mitä se oikeastaan tekee?
Aukko paikattiin Ubuntussa samana päivänä, medium-tason riskinä: http://changelogs.ubuntu.com/changelogs/pool/universe/g/gst-plugins-bad0.10/gst-plugins-bad0.10_0.10.23-7.2ubuntu1.3/changelog
Oletan että mikään antivirus-ohjelma Linuxissa ei tuota blokkaa?
Ei blokkaa. Linuxissa tuollaiset aukot paikataan nopeasti, kun vain pidät järjestelmän päivitettynä. Virustorjuntaa ei tarvita, kun mahdollisten haittaohjelmien käyttämät tietoturva-aukot tukitaan samassa ajassa kuin torjuntaohjelma päivittyisi.
Tässäkin tapauksessa kyseessä oli akateeminen demonstraatio, ei oikea haittaohjelma.
Uskallanko siis käyttää mitä tahansa .MP3-tiedostoja normaaliin tapaan vai en?
No itse en käyttäisi mitään epämääräisistä lähteistä tulevia tiedostoja missään käyttöjärjestelmässä, mutta Linuxissa riskit ovat pienempiä kuin muissa järjestelmissä riippumatta virustorjuntaohjelmista.
Olen niin kyllästynyt Windowsiin, tekisi mieleni siirtyä täysin Linuxiin. Mutta en tiedä uskallanko luottaa siihen paljon mainostettuun turvallisuuteen vai en, varsinkin em. haavoittuvuuksien osalta. Vai onko tuo aukko kenties jo ajat sitten tukittu ja sen voi unohtaa?
En ole tässä 20 vuoden aikana itse törmännyt tai kuullut keneltäkään omakohtaista kokemusta Linuxiin tarttuneesta haittaohjelmasta. Jos käyttää Linuxia työpöydällä (eikä esimerkiksi ylläpidä avoimia verkkopalveluja), ja tietoturvapäivitykset ovat ajan tasalla, riskit ovat hyvin teoreettisia.
-
OK, tämä selvensi asiaa ja rauhoitti mieltä Linuxin käytön suhteen. Alanpa harkita pääsääntöisesti siihen siirtymistä.
Kiitos :)
-
Noin yleisesti ottaen ei tarvita mitään antivirusohjelmia, koska käytännössä Ubuntulle ei ole viruksia. --
Väärin. Tästä voi aloittaa asiaan perehtymisen yleisellä tasolla: https://en.m.wikipedia.org/wiki/Linux_malware
Lainaus linkistäsi, kohdasta "Threats": The following is a partial list of known Linux malware. However, few if any are in the wild, and most have been rendered obsolete by Linux updates or were never a threat.
Juu, tuota kommenttia seuraava lista ei varmastikaan ole täydellisen kattava, ja tilanteet muuttuvat ja kaikkea sellaista, mutta kyllä se ainakin minulle kertoo sen, ettei antivirus -ohjelmille tavallisessa työpöytäkäytössä ole Ubuntussa mitään tarvetta. Ja sitähän tässä ketjun aloittaja kyseli.
Vielä käytännön huomio maanpinnan tasolta, en muista tältäkään foorumilta yhtään tapausta (olen lueskellut juttuja vuodesta 2008 eteenpäin), missä olisi selkeästi todettu jonkun Ubuntu viruksesta tms. saastuneeksi. Muistaako joku muu...? Ei niitä montaa ainakaan ole.
-
Vielä käytännön huomio maanpinnan tasolta, en muista tältäkään foorumilta yhtään tapausta (olen lueskellut juttuja vuodesta 2008 eteenpäin), missä olisi selkeästi todettu jonkun Ubuntu viruksesta tms. saastuneeksi. Muistaako joku muu...? Ei niitä montaa ainakaan ole.
Nämä taitavat olla tuota lähimpänä:
https://forum.ubuntu-fi.org/index.php?topic=45860.0
https://forum.ubuntu-fi.org/index.php?topic=46046.0
Kyseessä ei ole varsinaisesti Ubuntuun (tai Linux-jakeluihin) kohdistuva haittaohjelma, vaan Firefox-käyttäjiä huijannut koodinpätkä. Mitään tuota varoitusta vakavampaa tuo ei aiheuttanut.
-
Toisaalta myös eräs tor-verkossa Freedom Hosting -casen yhteydessä levinnyt vakoiluohjelma olisi voinut levitä linux-käyttäjien koneisiin toimivana, jos ko. ohjelman suunnitellut FBI:n alihankkija olisi tehnyt siitä erikseen linux-yhteensopivan. Kyseinen ohjelma toimi kuitenkin vain Windows-koneissa, vaikka JavaScriptin kautta ohjelmabinaari sinällään levisi myös linux-koneisiin, muttei kuitenkaan toiminut niissä.
-
Vielä käytännön huomio maanpinnan tasolta, en muista tältäkään foorumilta yhtään tapausta (olen lueskellut juttuja vuodesta 2008 eteenpäin), missä olisi selkeästi todettu jonkun Ubuntu viruksesta tms. saastuneeksi. Muistaako joku muu...? Ei niitä montaa ainakaan ole.
Nämä taitavat olla tuota lähimpänä:
https://forum.ubuntu-fi.org/index.php?topic=45860.0
https://forum.ubuntu-fi.org/index.php?topic=46046.0
Kyseessä ei ole varsinaisesti Ubuntuun (tai Linux-jakeluihin) kohdistuva haittaohjelma, vaan Firefox-käyttäjiä huijannut koodinpätkä. Mitään tuota varoitusta vakavampaa tuo ei aiheuttanut.
Joo, jotain tuollaisia minäkin muistelin joitain olleen, mutta siinäpä se taitaakin sitten olla.
Olen itse kaikkina näinä Linux -vuosinani liikkunut internetissä toisinaan hyvinkin rohkeasti, joskus mennyt "tieteen nimissä" ihan tarkoituksella sivulle, josta varoitellaan, enkä ole milloinkaan saanut sitä kautta selainlukitusta kummempaa koneellani aikaan. Tai muutakaan kautta. Jos ei Linuxia pidä riittävän turvallisena, niin lienee syytä pidättäytyä kokonaan koneen käytöstä. ;)
-
Juu, tuota kommenttia seuraava lista ei varmastikaan ole täydellisen kattava, ja tilanteet muuttuvat ja kaikkea sellaista, mutta kyllä se ainakin minulle kertoo sen, ettei antivirus -ohjelmille tavallisessa työpöytäkäytössä ole Ubuntussa mitään tarvetta. Ja sitähän tässä ketjun aloittaja kyseli.
Kannattaa etsiä googlella hakusanoilla linux, gpu, rootkit - löytyy esim. tämä: https://github.com/x0r1/jellyfish/blob/master/readme.md
Yksi skenaario:
Ubuntu-työpöytäkone tuunattu tietoturvalliseksi ohjeiden mukaan, käytetään maalaisjärjellä nettiä jne. Eli varmasti valveutunut tietokoneen käyttäjä.
Distron repository korkataan, ja vaikka ylläpito huomaisi murron tuntienkin sisällä (eos onko esim. Ubuntulla 24/7 valvonta ja reagointi näihin juttuihin), niin haittaohjelma on jo varmasti ehtinyt levitä eteenpäin osalle käyttäjistä.
Tai: käytetään hyväksi jotain paikkaamatonta 0day reikää, jota kautta saadaan käyttäjän koneelle tarvittava skripti, mikä lataa haitakkeen koneelle jne.
Tai: haitake valuu koneeseen liitetystä kännykästä.
Ei varmasti kovin todennäköistä, mutta _täysin mahdollista_ kenen tahansa työpöytä-linuxinkin käyttäjän kohdalla.
Pointtini on, että on hyvä tiedostaa se tosiasia ettei Linux ole varmasti koskaan ollut mikään korkkaamaton linnake haittaohjelmien suhteen. MOT. Esim. tuo uusi gpu rootkit on tosi mielenkiintoinen aluevaltaus, sen havaitseminen on hankalaa ja gpu:iden laskentatehon vuoksi ihan tavis pc-käyttäjän konekin muuttuu mielekkääksi kohteeksi esim. bitcoinien louhintaa varten.
Tämä on hyvä aihe keskustella ja hyvä myös muistaa pitää mieli avoimena.
-
Onhan tämäkin mahdollista Ubuntullekin ainakin teoriassa:
https://forum.ubuntu-fi.org/index.php?PHPSESSID=o36f6q96ostnpvdsbg84m97056&topic=50221.0
-
Kannattaako jotain muutoksia tehdä tuohon alla olevaan tiedostoon tietoturvan parantamiseksi? Sellaisia, jotka ei ainakaan huononna nyt helppoa käytettävyyttä. Nythän ne on kaikki kommentoitu pois käytöstä. Alla oleva tiedosto avautuu komennolla:
sudo gedit /etc/sysctl.conf
#
# /etc/sysctl.conf - Configuration file for setting system variables
# See /etc/sysctl.d/ for additional system variables.
# See sysctl.conf (5) for information.
#
#kernel.domainname = example.com
# Uncomment the following to stop low-level messages on console
#kernel.printk = 3 4 1 3
##############################################################3
# Functions previously found in netbase
#
# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
#net.ipv4.conf.default.rp_filter=1
#net.ipv4.conf.all.rp_filter=1
# Uncomment the next line to enable TCP/IP SYN cookies
# See http://lwn.net/Articles/277146/
# Note: This may impact IPv6 TCP sessions too
#net.ipv4.tcp_syncookies=1
# Uncomment the next line to enable packet forwarding for IPv4
#net.ipv4.ip_forward=1
# Uncomment the next line to enable packet forwarding for IPv6
# Enabling this option disables Stateless Address Autoconfiguration
# based on Router Advertisements for this host
#net.ipv6.conf.all.forwarding=1
###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0
#
# Do not accept IP source route packets (we are not a router)
#net.ipv4.conf.all.accept_source_route = 0
#net.ipv6.conf.all.accept_source_route = 0
#
# Log Martian Packets
#net.ipv4.conf.all.log_martians = 1
#
-
Kannattaako jotain muutoksia tehdä tuohon alla olevaan tiedostoon tietoturvan parantamiseksi? Sellaisia, jotka ei ainakaan huononna nyt helppoa käytettävyyttä. Nythän ne on kaikki kommentoitu pois käytöstä. Alla oleva tiedosto avautuu komennolla:
sudo gedit /etc/sysctl.conf
#
# /etc/sysctl.conf - Configuration file for setting system variables
# See /etc/sysctl.d/ for additional system variables.
# See sysctl.conf (5) for information.
#
#kernel.domainname = example.com
# Uncomment the following to stop low-level messages on console
#kernel.printk = 3 4 1 3
##############################################################3
# Functions previously found in netbase
#
# Uncomment the next two lines to enable Spoof protection (reverse-path filter)
# Turn on Source Address Verification in all interfaces to
# prevent some spoofing attacks
#net.ipv4.conf.default.rp_filter=1
#net.ipv4.conf.all.rp_filter=1
# Uncomment the next line to enable TCP/IP SYN cookies
# See http://lwn.net/Articles/277146/
# Note: This may impact IPv6 TCP sessions too
#net.ipv4.tcp_syncookies=1
# Uncomment the next line to enable packet forwarding for IPv4
#net.ipv4.ip_forward=1
# Uncomment the next line to enable packet forwarding for IPv6
# Enabling this option disables Stateless Address Autoconfiguration
# based on Router Advertisements for this host
#net.ipv6.conf.all.forwarding=1
###################################################################
# Additional settings - these settings can improve the network
# security of the host and prevent against some network attacks
# including spoofing attacks and man in the middle attacks through
# redirection. Some network environments, however, require that these
# settings are disabled so review and enable them as needed.
#
# Do not accept ICMP redirects (prevent MITM attacks)
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv6.conf.all.accept_redirects = 0
# _or_
# Accept ICMP redirects only for gateways listed in our default
# gateway list (enabled by default)
# net.ipv4.conf.all.secure_redirects = 1
#
# Do not send ICMP redirects (we are not a router)
#net.ipv4.conf.all.send_redirects = 0
#
# Do not accept IP source route packets (we are not a router)
#net.ipv4.conf.all.accept_source_route = 0
#net.ipv6.conf.all.accept_source_route = 0
#
# Log Martian Packets
#net.ipv4.conf.all.log_martians = 1
#
Ottamatta kantaa, mitä seikkoja tarkoitat helpolla käytettävyydellä, mutta kannattaa vilkaista mm. alla oleva:
https://github.com/konstruktoid/hardening/blob/master/README.adoc