ウイルス対策をインストールできます お望みならば。マシンに損害を与えるべきではありませんが、システムの保護を期待しないでください。また、完全に安全だと考えないでください。 .ウイルス対策ソフトウェアの有効性は非常に相対的であり、特にエコシステムに Windows マシンがある場合に、古いマルウェアの拡散を避けるために使用されます。現時点では Linux での AV パフォーマンスのベンチマークがないため、定量化することはできませんが、パフォーマンスの低下が予想されます。
ウイルス対策だけでは安全ではないのはなぜですか?必要なメカニズムの一部にすぎないからです。 現時点では、Linux のデスクトップ セキュリティ用に不足しているツールが多数あります。デスクトップに関連するさまざまなセキュリティ メカニズムは何ですか?
- グラフィック スタックのセキュリティ (キーロガー、クリックジャッキング、画面録画、クリップボード スニッフィングなどを防ぐため)
- アプリ配布スキーム セキュリティ チェック (アプリの静的分析を行うアプリ ストアとリポジトリ) と迅速なセキュリティ アップデート
- マルウェアの検出 :シグネチャ ベース (特定された脅威から保護するため) およびヒューリスティック ベース (つまり、私はヒューリスティック ベースの AV を使用したことがなく、これは主に「大量のセキュリティ警告をスローする」というマーケティング トークであると思われます)新しいアプリを使用するときの顔に")
- サンドボックス化 (設計によってアプリを互いに分離することで構成されます)
- デバイスとユーザー データを使用するコンテキスト認証 指定によるセキュリティ/ユーザー主導のアクセス制御/パワーボックス/契約;サンドボックスが必要
現在、Linux でまともなのは、リポジトリを介したアプリのセキュリティ アップデートだけです。残りはすべて規格外です。
グラフィック スタックのセキュリティ
私たちは皆、X11 グラフィカル サーバーに依存しています。 X.Org は 30 年間存在し、元の設計はサーバーでまだ使用されています。昔は、デスクトップのセキュリティの問題はありませんでした。まったく安全ではないことを知っても驚くことはありません。キーロガーの実装、ユーザーがルート コンソールを開いている場合のリモート コードの悪用、パスワードを盗むためのセッション ロッカーの置き換えなどを行うための API をすぐに使用できます。
グラフィック スタックの実装に関する詳細な説明が見つからなかったため、このトピックで Windows 8 と OS X がどのように機能するかを評価するのは困難です。彼らのサンドボックス化されたアプリは、ほとんどの明白な攻撃ベクトルへのアクセスを制限していますが、これがどれだけうまく設計され、実装されているかは本当に不明です. Win 8 は Store Apps をフルスクリーンで実行することを強制しているように思えます。考慮すべき問題はたくさんあります。セキュリティを念頭に置いてウィンドウマネージャを実装する場合、ウィンドウの位置とサイズ、透明度とフルスクリーンの使用など。 OS X がどのように動作するかわかりません。
Linux は今後数年間で、セキュリティを考慮して設計された Wayland に切り替わる予定です。どのような機能が存在する必要があるかについての明確なモデルと、これらがどのように実施され、どのように承認を取得できるかについての一般的な考え方があります。この作業の背後にいる主な人物は Martin Peres ですが、私はたまたま機能の背後にあるユーザーと開発者のエクスペリエンスについて話し合うことに関与しています。設計と開発は進行中ですので、すぐに何かを期待しないでください.詳細については、この投稿をお読みください。 Wayland は、アプリのサンドボックス化と組み合わせて使用すると、シームレスにセキュリティを提供します。
アプリの配布
Linux には、さまざまなレベルの信頼を持つリポジトリのシステムがあり、提供されたアプリのみに依存し、独自のコードには注意するようユーザーを訓練しました。これは理論的には非常に優れています。
実際には、パッケージ化されたアプリに最も基本的なセキュリティ チェックを実施しているディストリビューターを 1 つも知りません .奇妙なシステム コールの静的分析はまったく行われておらず、どのようなコミュニティでも、(root として実行される) インストール前およびインストール後のスクリプトが明らかに悪いことについて検証されているかどうかはまったく明らかではありません.
GNOME シェルの拡張機能で行われるセキュリティ チェックは非常に軽く手動ですが、少なくとも存在します。 KDE の拡張機能や他のアプリについては知りません。
私たちが得意とする分野の 1 つは、セキュリティ更新プログラムを非常に迅速に取得できることです。通常、セキュリティ上の欠陥については数日以内です。最近まで、Microsoft は追いつきましたが、それよりもはるかに遅かったです。
マルウェア検出
私が知っている Linux 用のウイルス対策ソフトウェアは ClamAV だけです。署名に基づいてのみ機能するように思えますが、ご指摘のとおり、保護すべき特定のデスクトップ マルウェアはありません。
APT の世界では、Linux デスクトップ マルウェアを作成している人がおそらくいるでしょう。 例については、マスクを参照してください。通常、APT マルウェアの作成者はゼロデイ エクスプロイトを考え出すのに十分な才能を持っているため、標準の AV がそれらに対して何もできるとは考えにくいです。
現在、Microsoft は、Linux エコシステムに安全なコーディング プラクティスが事実上まったくないのとは対照的に、すべてのソフトウェアを何万時間にもわたってファズ テストすることを宣伝しています。ファジングに関する個人的な実験から、いくつかの一般的な Linux ソフトウェアには、簡単に手に入るゼロデイ エクスプロイトがいくつかあると確信しています。 .これは、ありふれたマルウェア作成者にとって経済的に実行可能なユーザーベースを手に入れる日に私たちを襲うでしょう.ClamAVがどれほど優れているかがわかりますが、アプリの更新メカニズムが対処に大きな影響を与えると思います.
言うまでもなく、Windows と OS X は、この基準で Linux よりもはるかに優れています。
サンドボックス化とコンテキスト認証
OS X と Windows 8 の両方が、ストアでホストされているアプリのサンドボックス化を提供します。 OS X の癖についてはまだ調べていませんが、Windows 8 ストア アプリには、サポートされている言語と API、利用可能な機能、提供できる一般的なユーザー エクスペリエンスに関して、非常に深刻な制限があります。つまり、サンドボックス化されていないデスクトップ アプリが定着し、Microsoft のサンドボックス化は変わらないことを意味します マルウェアから保護します。バグのある (ストア アプリ) ソフトウェアで細工されたドキュメントに対してのみ保護します。ストア以外のアプリもサンドボックス化されていませんが、OS X の方がはるかに優れているようです。
Linux には、現時点でシームレスに動作する GUI アプリ サンドボックスはありません。 基盤となる閉じ込め技術があります (最適な候補は、Linux 名前空間に基づくコンテナーです。LXC と Docker を参照してください。次に最適なのは、ある程度の動的性をサポートするために開発する必要がある MAC 強制システムです)。 kdbus と systemd での素晴らしい成果のおかげで、これらのサンドボックス化されたアプリをデプロイして処理するために必要な IPC とプロセス管理メカニズムがほぼ完成しました。欠けている部分がいくつかありますが、主に GNOME Foundation によって推進されている提案がいくつかあります (GUADEC 13 でのサンドボックスに関するこのビデオを参照してください)。また、データへのアクセスと承認がどのように行われるかについての議論にも関与していますが、関心のある少数の人々の間でコンセンサスが得られず、設計と開発に時間がかかります。適切なプロトタイプが存在し、サンドボックスが適切な規模で Linux に展開されるまでには、おそらくあと数年かかるでしょう。
すべてのプラットフォームで直面する大きな問題の 1 つは、アプリが適切な規模でデータとデバイス機能にアクセスできるようにする方法を見つけることです。つまり、アプリが特権を悪用するのを防ぎながら、認証プロンプトでユーザーを困らせることなく、必要なことを実行させる方法です。 Windows 8 で Store Apps が最近のドキュメントとアプリの futureAccessList を処理できるようにする方法には、深刻な抜け穴があります。この段階では、開発者とユーザーのセキュリティ コストを悪化させることなくドキュメント アクセスをさらに保護することは未解決の問題であり、たまたま多くの人々が同様に取り組んでいます :)
マルウェアは、「標準インストールの Ubuntu デスクトップのみ」を実行しているかどうかを気にしません。システムが ELF バイナリがコンパイルされた正しい命令セットをサポートしている限り、マルウェアは実行されます。 Ubuntu は debian ベースで、IA-32、x86-64、ARMv7、ARM64、PowerPC の命令セットをサポートしています。一般に、ほとんどが IA-32 または x86-64 システム上に構築されていることがわかります。
私の仕事はマルウェアを逆転させることであり、それを介してデバッグする必要がある場合があるため、IDA を介して Linux マルウェアのリモート デバッグを日常的に行うために使用する Ubuntu デスクトップ エディション (32 ビットと 64 ビットの両方) の VM があります。
感染方法について話したい場合は、Windows よりも Linux の方がドライブバイを受ける可能性が低いことは確かです。しかし、ここ数か月、いくつかのドライブバイ PHP スクリプトをいじっていて、Windows 以外のプラットフォームをより多くサポートしていることに気付きました。ブラウザが発表しているプラットフォームを確認し、関連するエクスプロイトを配信するだけです。
TL;DR- Linux マルウェアをリバースしながら、Ubuntu デスクトップ インストール (VM) を毎日感染させています。
質問は Ubuntu について尋ねられます。質問を Linux デスクトップ エディションに広げることができれば、SELinux は「Walled Garden」と入力します。 SELinux では、必須のアクセス制御ポリシー (MAC) により、感染の試みによる被害を阻止または制限できます。OS に負担をかける別のプロセスとして実行される AV とは異なり、SELinux は Linux カーネルとセキュリティによるネイティブ サポートを備えています。ラベルは inode に保存されます。
長所:
非常に複雑なセキュリティ ポリシーを実装できます。 (つまり、Web ブラウザーは ~/.mozilla 以外のフォルダーにアクセスできません)
短所:
ただし、SELinux では適切なセキュリティ ポリシーが必要になります。欠点は、これらのポリシーの編集が複雑なことです。
私が知っているように、Ubuntu はデフォルトで SELinux をサポートしていません。しかし、Fedora のような OS はそうです。
結論:
要するに、Linux には確かに優れたセキュリティ メカニズム (File Permission、SELinux) が備わっているため、マルウェアをめちゃくちゃにしない限り、マルウェアの生存は非常に困難になります。