GNU/Linux >> Linux の 問題 >  >> Ubuntu

パッケージとスクリプトにはどのようなセキュリティポリシーがありますか?

Windows 98以来MicrosoftWindowsを使用していました Windows 7 ウイルス、ワーム、スパイウェアなどがシステムをどのように侵害するかについて、私自身が多くのセキュリティの脆弱性を発見しました。

MicrosoftWindowsVistaおよびWindows7

UAC(ユーザーアカウント制御 )システムとDrives Autorun Windows Vistaのプロンプト およびWindows7 一部の脆弱性を防ぐことができます。

Linux

現在Ubuntu11.10を使用していますが、マルチユーザーシステムのため、Linuxにはほとんど(1つを除く)の脆弱性が存在しないことに気付きました。

問題

*.exeを保存していた人(私も) 、*.cmd*.deb*.sh ペンドライブ(フラッシュメモリ)およびその他のリムーバブルメディア内のその他の実行可能ファイルおよびスクリプトファイル(インストーラー、ポータブルブラウザー、スクリプトなど)。

  • Windows 7の場合(以前のバージョンでも)

    ターゲットのリムーバブルメディアが感染したシステムに接続している場合は、
    次に新しいシステムに接続し直し、
    そして*.exeを実行します。 、*.cmd または*.bat (署名されていない実行可能ファイルまたはスクリプト)ファイル
    UACダイアログを表示する可能性があります
    ユーザーがYesを押す

    これにより、マルウェアコードが管理者として実行される可能性があります 、署名されていない実行可能ファイルまたはスクリプトファイルに挿入されます

    署名された実行可能ファイルについて知りません。テストしたことはありません。
    感染したり、感染したファイルを実行したりすることはできないと思います。

  • Linuxの場合はどうなりますか?

    *.debでも同じことが起こる可能性があります 、*.sh またはLinuxのその他の実行可能ファイルまたはスクリプトファイル?

    つまり

    *.debはできますか &他のファイルが感染していますか? (私は彼らができると思います )

    *.debの内容を検証するメカニズムはLinuxにありますか? ファイル?

    ルートアクセスに必要な実行可能ファイルとスクリプトファイルをリムーバブルメディアに保持するべきではありませんか? すべきではない場合 次に、ファイルの内容が変更されたかどうかを手動で確認する最も簡単な方法は何ですか?

    インターネットのリポジトリとパッケージはどうですか?
    httpを使用して 、ftphttpsではありません )リポジトリとパッケージは、プロキシの転送中またはプロキシ経由(使用されている場合)に攻撃者に感染する可能性があります。

    また、 Windows Autorunに似たものはありますか Linuxでは? (そうではないと思います )

Linuxをどんな状況でも(ユーザーからの小さなミスからでも)より安全に保護したいだけです。
私が見つけたセキュリティの問題についてさらに質問します。

承認された回答:

  • Debおよびその他のファイルのセキュリティ

パッケージの.debファイルはインターネットのどこかにあります。次に、dpkg -i package.debを使用できます。 そしてそれをインストールします。これは、インターネット上のどこかでWindowsのインストールを選択するのに勝るものはありません。 しないでください ソースを完全に確信している場合を除き、それでも、すべての前提条件パッケージがすでにインストールされていることを確認してください。

Debファイルは、安全かどうかにかかわらず、ハッシュなどの形式に従うため、変更された場合は再構築する必要があります。

Ubuntuリポジトリのパッケージ(.debファイル)は通常、Launchpadビルドコンピューターのソースからビルドされるため、.debファイルの内容はソースと一致し、ソースは誰でも表示できます。多くのパッケージには、それらをフォローし、セキュリティの問題に注意を払っているチームがいます。新しいソースパッケージバージョンは、ビルドする前に、公開鍵暗号を使用してgpgキーで適切に署名する必要があります。

現在、Ubuntu Software Centerで利用できるのはバイナリのみのパッケージであるため、一般の人々はそれらのソースを表示できません。これらについては確かにわかりませんが、利用可能になる前に確認されていると思います。

関連:1枚のDVDに複数のUbuntu isosを書き込む方法は?

通常、dpkg -i package.debを使用してパッケージをインストールしないでください。 、ただし、Ubuntuリポジトリからダウンロードして、代わりにapt-getまたはソフトウェアセンターを使用してください。また、実行する前に、完全に見て理解できない他の種類のスクリプトを取り上げないようにする必要があります。

マルチユーザーシステムUnixライクなシステムは、間違いを犯した場合、アカウントとそのファイルを台無しにすることができることを意味しますが、同じシステム上に確立された他のユーザーのアカウントと設定、またはオペレーティングシステム自体は台無しにすることはできません。

例外は、sudoを使用してコマンドを実行する場合です。 または、パッケージのインストールやその他のメンテナンスを行うためにパスワードを入力する必要があります。これらはあなたがしていることの源について非常に注意するべき時です。これは、UACの使用と非常によく似ています。

  • リムーバブルメディア上の実行可能ファイル

十分な注意を払っている限り、リムーバブルメディアでプログラムを維持する必要はないと思います。 Windowsと同様に、ほとんどのプログラムはパッケージとしてインストールされるため、リムーバブルメディアから実行することはできません(ただし、必要に応じてUbuntu全体をフラッシュドライブに配置することもできます)。

  • リポジトリ

上で述べたように、.debファイルは、攻撃者によって変更されていないことを確認するために、含まれるファイルにハッシュを使用します。 Ubuntuリポジトリには、Ubuntuをインストールするときにシステムに保存されたgpgキーもあり、安全を確保するために、署名とハッシュのチェーンが.debファイルに続きます。 UbuntuはDebianから派生しており、そのプロジェクトがこのアプローチを作成しました。

  • 自動実行

Linuxや他のUnixライクなシステムでの自動実行のようなもの。パッケージをインストールすると、それらのパッケージにより、起動時、ユーザーがターミナルにログインしたとき、またはユーザーがGUIセッションにログインしたときにプログラムが起動する可能性があります。ほとんどのユーザーは、ユーザーが端末にログインしたときに実行される(デフォルトでは非表示の).bashrcファイルをホームディレクトリに持っています。

  • CDセキュリティ

UbuntuのダウンロードWebサイトには、CDおよびDVDの.isoファイルだけでなく、取得したファイルが完全に本物であることを確認できるメッセージダイジェスト(ハッシュ)もあります。

  • 継続的なセキュリティ

他のすべてにもかかわらず、開発者は間違いを犯し、潜在的なセキュリティ問題がソフトウェアに忍び寄る可能性があります。サポートされているバージョンのUbuntuを実行すると、メインのUbuntuリポジトリ内のアイテム、および多くの場合、ユニバースやその他のリポジトリ内のアイテムのセキュリティ修正が提供されます。これらの修正を適用する必要があります。 12.04(Precise)のような長期サポートリリースは、Ubuntuの他のリリースよりも長期間このサービスを提供します。

予防策が完璧であることを個人的に保証することはできませんが、現在の最先端技術にはかなり適していると思います。


Ubuntu

  1. Linuxシステム管理者向けのトレーニングと認定

  2. Gdomapとそれは何のために使われますか?

  3. DEBまたはRPMLinuxアプリをダウンロードするための便利なWebサイト

  1. Linuxで測定されたブートと信頼できるブートの意味

  2. Linux および Mac OS X 用の XPerf の代替手段は何ですか?

  3. rmdir(1) と rm(1) が共存する理由は何ですか?

  1. ハッキングのためのトップ6の無料およびオープンソースのLinuxディストリビューション

  2. Debパッケージの依存関係リストを確認する方法は?

  3. NKubuntuのUpdateManager?