Vīrusi GNU / Linux: fakts vai mīts?

Kad vien debates beidzas vīruss y GNU / Linux nav vajadzīgs ilgs laiks, līdz parādās lietotājs (parasti Windows) ko tas saka:

«Linux nav vīrusu, jo šo ļaunprātīgo programmu veidotāji netērē laiku, darot kaut ko operētājsistēmas labā, ko gandrīz neviens neizmanto »

Uz ko es vienmēr esmu atbildējis:

"Problēma nav tā, taču šo ļaunprātīgo programmu veidotāji netērēs laiku, radot kaut ko tādu, kas tiks labots ar pirmo sistēmas atjauninājumu pat mazāk nekā 24 stundu laikā"

Un es nekļūdījos, jo šis izcilais raksts tika publicēts 90 numurs (2008. gads) no žurnāla Todo Linux. Viņa aktieris Deivids Santo Orcero nodrošina mūs tehniskā veidā (bet viegli saprotams) paskaidrojums, kāpēc GNU / Linux trūkst šāda veida ļaunprātīgas programmatūras.

100% ieteicams. Tagad viņiem būs vairāk nekā pārliecinošs materiāls, lai apklusinātu ikvienu, kurš runā bez stingra pamata par šo tēmu.

Lejupielādēt rakstu (PDF): Mīti un fakti: Linux un vīrusi

Rediģēts:

Šis ir pārrakstītais raksts, jo mēs uzskatām, ka šādi lasīt ir daudz ērtāk:

================================================== ======================

Debates par Linux un vīrusiem nav nekas jauns. Tik bieži mēs sarakstā redzam e-pastu ar jautājumu, vai Linux ir vīrusi; un automātiski kāds atbild apstiprinoši un apgalvo, ka, ja tie nav populārāki, tas notiek tāpēc, ka Linux nav tik izplatīta kā Windows. Ir arī bieži antivīrusu izstrādātāju paziņojumi presei, sakot, ka viņi izlaiž Linux vīrusu versijas.

Personīgi man ir bijušas citas diskusijas ar dažādiem cilvēkiem pa pastu vai pa adresātu sarakstu par to, vai Linux ir vai nav vīrusu. Tas ir mīts, bet mītu vai, drīzāk, mānīšanu ir grūti nojaukt, it īpaši, ja to izraisa ekonomiskas intereses. Kāds ir ieinteresēts nodot domu, ka, ja Linux nav šāda veida problēmu, tas ir tāpēc, ka ļoti maz cilvēku to izmanto.

Šī ziņojuma publicēšanas laikā es vēlētos uzrakstīt galīgu tekstu par vīrusu esamību Linux. Diemžēl, kad māņticība un ekonomiskā interese plosās, ir grūti izveidot kaut ko galīgu.
Tomēr mēs centīsimies šeit sniegt pietiekami pilnīgu argumentu, lai atbruņotu uzbrukumus ikvienam, kurš vēlas strīdēties.

Kas ir vīruss?

Pirmkārt, mēs sāksim definēt, kas ir vīruss. Tā ir programma, kas pati kopē un darbojas automātiski, un kuras mērķis ir mainīt datora normālu darbību bez lietotāja atļaujas vai ziņas. Lai to izdarītu, vīrusi aizstāj izpildāmos failus ar citiem, kas inficēti ar viņu kodu. Definīcija ir standarta, un tā ir vienas rindas kopsavilkums par Vikipēdijas ierakstu par vīrusiem.
Šīs definīcijas vissvarīgākā daļa, kas vīrusu atšķir no citas ļaunprātīgas programmatūras, ir tā, ka vīruss pats instalējas bez lietotāja atļaujas un ziņas. ja tas pats neinstalējas, tas nav vīruss: tas var būt rootkit vai Trojas zirgs.

Rootkit ir kodola ielāps, kas ļauj paslēpt noteiktus procesus no lietotāja apgabala utilītprogrammām. Citiem vārdiem sakot, tā ir kodola avota koda modifikācija, kuras mērķis ir tāds, ka utilītas, kas ļauj mums visu laiku redzēt, kas tiek izpildīts, nevizualizē noteiktu procesu vai noteiktu lietotāju.

Trojas zirgs ir analogs: tā ir konkrēta pakalpojuma avota koda modifikācija, lai slēptu noteiktas krāpnieciskas darbības. Abos gadījumos ir nepieciešams iegūt precīzu Linux datorā instalētās versijas avota kodu, ielāpīt kodu, atkārtoti kompilēt, iegūt administratora privilēģijas, instalēt ielāpīto izpildāmo failu un inicializēt pakalpojumu - Trojas zirga gadījumā - vai operētājsistēma. pabeigta -
rootkit–. Process, kā mēs redzam, nav mazsvarīgs, un neviens to visu nevar izdarīt "kļūdas pēc". Viņi abi instalācijā prasa, lai kāds ar administratora tiesībām apzināti izpildītu virkni darbību, pieņemot tehniska rakstura lēmumus.

Kas nav mazsvarīga semantiska nianse: lai vīruss pats instalētos, mums atliek tikai palaist inficēto programmu kā kopēju lietotāju. No otras puses, lai instalētu rootkit vai Trojas zirgu, ir svarīgi, lai ļaunprātīgs cilvēks personīgi ievadītu mašīnas saknes kontu un neautomātiskā veidā veiktu virkni darbību, kuras ir iespējams noteikt. vīruss izplatās ātri un efektīvi; rootkit vai Trojas zirgam ir jābūt īpaši mērķētam uz mums.

Vīrusu pārnešana Linux:

Tādēļ vīrusa pārnešanas mehānisms ir tas, kas to faktiski definē un ir pamats to pastāvēšanai. operētājsistēma ir jutīgāka pret vīrusiem, jo ​​vieglāk ir izveidot efektīvu un automatizētu pārraides mehānismu.

Pieņemsim, ka mums ir vīruss, kurš vēlas pats izplatīties. Pieņemsim, ka to palaists normāls lietotājs nevainīgi, palaižot programmu. Šim vīrusam ir tikai divi pārnešanas mehānismi:

• Atkārtojiet sevi, pieskaroties citu procesu atmiņai, izpildes laikā noenkurojot tos.
• Failu sistēmas izpildāmo failu atvēršana un to koda –payload– pievienošana izpildāmajam failam.

Visiem vīrusiem, kurus mēs varam uzskatīt par tādiem, ir vismaz viens no šiem diviem pārnešanas mehānismiem. O Divi. Vairs nav mehānismu.
Attiecībā uz pirmo mehānismu atcerēsimies Linux virtuālās atmiņas arhitektūru un to, kā darbojas Intel procesori. Tiem ir četri gredzeni, kas numurēti no 0 līdz 3; jo mazāks skaitlis, jo lielākas privilēģijas ir kodam, kas darbojas šajā gredzenā. Šie gredzeni atbilst procesora stāvokļiem un tāpēc to, ko var darīt, ja sistēma atrodas noteiktā gredzenā. Linux kodolam izmanto gredzenu 0 un procesiem gredzenu 3. nav procesa koda, kas darbojas ar gredzenu 0, un nav kodola koda, kas darbojas ar gredzenu 3. Ir tikai viens koda ievadīšanas punkts no 3. gredzena: 80 h pārtraukums, kas ļauj pāriet no apgabala, kur tas atrodas lietotāja kodu apgabalam, kurā atrodas kodola kods.

Unix kopumā un it īpaši Linux arhitektūra nepadara vīrusu izplatīšanos iespējamu.

Kodols, izmantojot virtuālo atmiņu, liek katram procesam uzskatīt, ka tam ir visa atmiņa. Process, kas darbojas 3. gredzenā, var redzēt tikai tam konfigurēto virtuālo atmiņu gredzenam, kurā tas darbojas. Nav tā, ka citu procesu atmiņa ir aizsargāta; ir tas, ka vienam procesam citu atmiņa atrodas ārpus adreses vietas. Ja process pārspētu visas atmiņas adreses, tas pat nevarētu atsaukties uz cita procesa atmiņas adresi.

Kāpēc to nevar apkrāpt?
Lai modificētu komentēto - piemēram, ģenerējiet ieejas punktus gredzenā 0, modificējiet pārtraukuma vektorus, modificējiet virtuālo atmiņu, modificējiet LGDT ... - tas ir iespējams tikai no gredzena 0.
Tas ir, lai process varētu pieskarties citu procesu vai kodola atmiņai, tam jābūt pašam kodolam. Fakts, ka ir viens ieejas punkts un parametri tiek nodoti caur reģistriem, sarežģī slazdu - faktiski to, kas ir jādara, nodod reģistrs, kas pēc tam tiek ieviests kā gadījums uzmanības rutīnā. .
Cits scenārijs ir operētājsistēmas ar simtiem nedokumentētu zvanu uz 0 zvanu, kur tas ir iespējams - vienmēr var būt slikti izpildīts aizmirsts zvans, uz kura var izveidot slazdu, bet operētājsistēmas gadījumā ar šādu vienkāršs solis mehānisms, tā nav.

Šī iemesla dēļ virtuālās atmiņas arhitektūra novērš šo pārraides mehānismu; nevienam procesam - pat tiem, kam ir root tiesības - nav iespējas piekļūt citu atmiņai. Mēs varētu apgalvot, ka process var redzēt kodolu; tas ir kartēts no loģiskās atmiņas adreses 0xC0000000. Bet tā procesora gredzena dēļ, kurā tas darbojas, to nevar modificēt; radītu slazdu, jo tie ir atmiņas apgabali, kas pieder citam gredzenam.

"Risinājums" būtu programma, kas modificē kodola kodu, kad tas ir fails. Bet fakts, ka šie tiek apkopoti, padara to neiespējamu. Bināru nevar aizlāpīt, jo pasaulē ir miljoniem dažādu bināro kodolu. Vienkārši to, ka, pārkompilējot, viņi kaut ko bija ievietojuši vai izņēmuši no kodola izpildāmā faila vai arī ir mainījuši dažu etiķešu lielumu, kas identificē kompilācijas versiju - kaut kas tiek darīts pat nejauši - bināro plāksteri nevarēja izmantot. Alternatīva būtu avota koda lejupielāde no interneta, ielāpīšana, konfigurēšana atbilstošai aparatūrai, kompilēšana, instalēšana un ierīces pārstartēšana. Tas viss būtu jādara programmai automātiski. Diezgan liels izaicinājums mākslīgā intelekta jomai.
Kā redzam, šo barjeru nevar pārspēt pat vīruss kā sakne. Vienīgais atlikušais risinājums ir pārsūtīšana starp izpildāmajiem failiem. Kas arī nedarbojas, kā mēs redzēsim tālāk.

Mana pieredze kā administratoram:

Vairāk nekā desmit gadu laikā, kad es vadu Linux, ar instalācijām simtiem mašīnu datu centros, studentu laboratorijās, uzņēmumos utt.

• Es nekad neesmu "dabūjis" vīrusu
• Es nekad neesmu saticis nevienu, kam būtu
• Es nekad neesmu saticis nevienu, kurš būtu saticis kādu, kurš ir

Es zinu vairāk cilvēku, kuri ir redzējuši Loch Ness Monster, nekā Linux vīrusus.
Personīgi es atzīstu, ka esmu bijis neapdomīgs, un esmu uzsācis vairākas programmas, kuras pašpasludinātie "speciālisti" sauc par "vīrusiem Linux" - turpmāk es tos saukšu par vīrusiem, lai tekstu nepadarītu pedantisku - no plkst. mans parastais konts pret manu mašīnu, lai pārbaudītu, vai ir iespējams vīruss: gan Bash vīruss, kas tur cirkulē - un kurš, starp citu, neinficēja nevienu failu -, gan vīruss, kas kļuva ļoti slavens un parādījās presē. Es mēģināju to instalēt; un pēc divdesmit minūtēm darba es atteicos, kad ieraudzīju, ka viena no viņa prasībām bija tmp direktorija ievietošana MSDOS tipa nodalījumā. Es personīgi nezinu nevienu, kurš izveidotu īpašu nodalījumu tmp un formatētu to FAT.
Patiesībā dažiem tā sauktajiem vīrusiem, kurus esmu testējis Linux, ir nepieciešamas augsta līmeņa zināšanas un root paroles instalēšana. Mēs vismaz varētu kvalificēties par “nežēlīgu” vīrusu, ja tam nepieciešama mūsu aktīva iejaukšanās, lai inficētu mašīnu. Turklāt dažos gadījumos viņiem ir nepieciešamas plašas zināšanas par UNIX un saknes paroli; kas ir diezgan tālu no automātiskās instalēšanas, kā paredzēts.

Izpildāmo failu inficēšana Linux:

Operētājsistēmā Linux process var vienkārši izdarīt to, ko ļauj tā efektīvais lietotājs un efektīvā grupa. Ir taisnība, ka pastāv mehānismi, kā apmainīt patieso lietotāju ar skaidru naudu, bet maz kas cits. Ja paskatāmies, kur atrodas izpildāmie faili, redzēsim, ka tikai root ir rakstīšanas tiesības gan šajos direktorijos, gan saturošajos failos. Citiem vārdiem sakot, tikai root var modificēt šādus failus. Tas notiek Unix kopš 70. gadiem, Linux kopš tā pirmsākumiem un failu sistēmā, kas atbalsta privilēģijas, vēl nav parādījusies neviena kļūda, kas pieļautu citu rīcību. ELF izpildāmo failu struktūra ir zināma un labi dokumentēta, tāpēc šāda veida failam ir tehniski iespējams ielādēt kravu citā ELF failā ... ja vien pirmās vai efektīvās grupas efektīvais lietotājs vispirms ir piekļuves tiesības. lasīšana, rakstīšana un izpildīšana otrajā failā. Cik failu sistēmas izpildāmos failus tas varēja inficēt kā parasts lietotājs?
Uz šo jautājumu ir vienkārša atbilde. Ja mēs vēlamies uzzināt, cik daudz failu mēs varētu "inficēt", mēs palaižam komandu:

$ find / -type f -perm -o=rwx -o \( -perm -g=rwx -group `id -g` \) -o \( -perm -u=rwx -user `id -u` \) -print 2> /dev/null | grep -v /proc

Mēs izslēdzam / proc direktoriju, jo tā ir virtuāla failu sistēma, kas parāda informāciju par operētājsistēmas darbību. Failu tipa faili ar izpildes privilēģijām, kuras mēs atradīsim, problēmas nerada, jo tās bieži ir virtuālas saites, kuras, šķiet, ir lasītas, rakstītas un izpildītas, un, ja lietotājs mēģina, tas nekad nedarbojas. Mēs arī izslēdzam kļūdas, kas ir bagātīgas, jo, it īpaši / proc un / home, ir daudz direktoriju, kuros parasts lietotājs nevar iekļūt -. Šis skripts prasa ilgu laiku. Mūsu konkrētajā gadījumā mašīnā, kurā strādā četri cilvēki, atbilde bija:

/tmp/.ICE-unix/dcop52651205225188
/tmp/.ICE-unix/5279
/home/irbis/kradview-1.2/src
/kradview

Rezultātā tiek parādīti trīs faili, kas varētu būt inficēti, ja palaistu hipotētisku vīrusu. Pirmie divi ir Unix kontaktligzdas tipa faili, kas tiek izdzēsti startēšanas laikā - un vīruss tos nevar ietekmēt -, bet trešais ir izstrādes programmas fails, kas tiek izdzēsts katru reizi, kad tas tiek kompilēts. No praktiskā viedokļa vīruss neizplatīsies.
No tā, ko mēs redzam, vienīgais veids, kā izplatīt lietderīgo slodzi, ir saknes. Šajā gadījumā, lai vīruss darbotos, lietotājiem vienmēr jābūt administratora tiesībām. Tādā gadījumā tas var inficēt failus. Bet šeit nāk nozveja: lai inficētu infekciju, jums jāņem cits izpildāmā programma, jānosūta tas citam lietotājam, kurš tikai izmanto mašīnu kā sakni, un jāatkārto process.
Operētājsistēmās, kur nepieciešams būt parasto uzdevumu administrators vai palaist daudzas ikdienas lietojumprogrammas, tas tā var būt. Bet Unix ir jābūt administratoram, lai konfigurētu mašīnu un modificētu konfigurācijas failus, tāpēc lietotāju skaits, ko saknes konts izmanto kā ikdienas kontu, ir mazs. Tas ir vairāk; dažos Linux izplatījumos nav pat iespējots saknes konts. Gandrīz visās no tām, ja piekļūstat grafiskajai videi kā tādai, fons mainās uz intensīvi sarkanu, un tiek atkārtoti nemainīgi ziņojumi, kas atgādina, ka šo kontu nevajadzētu izmantot.
Visbeidzot, visu, kas jādara kā root, var izdarīt ar sudo komandu bez riska.
Šī iemesla dēļ Linux izpildāmā programma nevar inficēt citus, ja vien mēs neizmantojam saknes kontu kā koplietošanas kontu; Kaut arī antivīrusu kompānijas uzstāj, ka Linux ir vīrusi, tiešām vistuvākais, ko var izveidot Linux, ir Trojas zirgs lietotāju zonā. Vienīgais veids, kā šie Trojas zirgi var kaut ko ietekmēt sistēmā, ir palaist to kā root un ar nepieciešamajām privilēģijām. Ja mēs mašīnu parasti izmantojam kā parastus lietotājus, parastā lietotāja uzsāktais process nevar inficēt sistēmu.

Mīti un meli:

Mēs atrodam daudz mītu, viltus un vienkārši melus par vīrusiem Linux. Sastādīsim to sarakstu, pamatojoties uz diskusiju, kas notika pirms kāda laika ar antivīrusu Linux ražotāja pārstāvi, kuru ļoti aizvainoja šajā pašā žurnālā publicētais raksts.
Šī diskusija ir labs piemērs, jo tā skar visus Linux vīrusu aspektus. Mēs izskatīsim visus šos mītus pa vienam, kā tie tika apspriesti šajā konkrētajā diskusijā, bet kas tik daudzkārt atkārtojās citos forumos.

1. mīts:
"Ne visām ļaunprātīgām programmām, jo ​​īpaši vīrusiem, inficēšanai ir nepieciešamas root tiesības, it īpaši izpildāmo vīrusu gadījumā (ELF formāts), kas inficē citus izpildāmos failus".

Atbilde:
Tas, kurš izvirza šādu prasību, nezina, kā darbojas Unix privilēģiju sistēma. Lai ietekmētu failu, vīrusam ir nepieciešama lasīšanas privilēģija - tas ir jāizlasa, lai to modificētu, un rakstīšana - tā ir jāuzraksta, lai modifikācija būtu derīga, - izpildāmajā failā, kuru tā vēlas izpildīt.
Tas vienmēr notiek bez izņēmumiem. Katrā izplatīšanā lietotājiem, kas nav root, nav šo privilēģiju. Tad vienkārši, ja nav saknes, infekcija nav iespējama. Empīriskais tests: Iepriekšējā sadaļā mēs redzējām vienkāršu skriptu, lai pārbaudītu to failu diapazonu, kurus infekcija var ietekmēt. Ja mēs to palaidīsim savā datorā, mēs redzēsim, kā tas ir nenozīmīgs, un attiecībā uz sistēmas failiem tas ir null. Tāpat, atšķirībā no operētājsistēmām, piemēram, Windows, jums nav nepieciešamas administratora privilēģijas, lai veiktu kopīgus uzdevumus ar programmām, kuras parasti izmanto parastie lietotāji.

2. mīts:
"Viņiem nav jābūt arī saknēm, lai piekļūtu sistēmai attālināti, tārpa Slapper gadījumā, kurš, izmantojot Apache SSL ievainojamību (sertifikātus, kas nodrošina drošu komunikāciju), 2002. gada septembrī izveidoja savu zombiju mašīnu tīklu.".

Atbilde:
Šis piemērs attiecas nevis uz vīrusu, bet gan uz tārpu. Atšķirība ir ļoti svarīga: tārps ir programma, kas izmanto interneta pakalpojumu, lai pats to pārraidītu. Tas neietekmē vietējās programmas. Tāpēc tas ietekmē tikai serverus; nevis konkrētām mašīnām.
Tārpi vienmēr ir bijuši ļoti maz, un to sastopamība ir niecīga. Trīs patiešām nozīmīgie ir dzimuši 80. gados, laikā, kad internets bija nevainīgs, un visi visiem uzticējās. Atcerēsimies, ka tieši tie ietekmēja sendmail, fingerd un rexec. Šodien viss ir sarežģītāk. Lai gan mēs nevaram noliegt, ka tie paliek un ka, ja netiek kontrolēti, tie ir ārkārtīgi bīstami. Bet tagad reakcijas laiks uz tārpiem ir ļoti īss. Tas notiek ar Slapper: tārps, kas izveidots uz ievainojamības, tika atklāts un ielāpīts divus mēnešus pirms paša tārpa parādīšanās.
Pat pieņemot, ka visiem, kas lieto Linux, Apache ir instalēts un darbojas visu laiku, vienkārši ik mēnesi atjaunināt paketes būtu bijis vairāk nekā pietiekami, lai nekad neriskētu.
Taisnība, ka Slapper izraisītā SSL kļūda bija kritiska - faktiski lielākā kļūda visā SSL2 un SSL3 vēsturē - un kā tāda tika novērsta dažu stundu laikā. Kad divus mēnešus pēc šīs problēmas atrašanas un atrisināšanas kāds uztaisīja tārpu uz jau novērstas kļūdas un ka tas ir visspēcīgākais piemērs, ko var minēt kā ievainojamību, vismaz tas nomierina.
Parasti tārpu risinājums nav nopirkt antivīrusu, to instalēt un netērēt laiku skaitļošanai, saglabājot tā rezidentu. Risinājums ir izmantot mūsu izplatīšanas drošības atjaunināšanas sistēmu: atjauninot izplatīšanu, nebūs problēmu. Tikai vajadzīgo pakalpojumu sniegšana ir laba ideja divu iemeslu dēļ: mēs uzlabojam resursu izmantošanu un izvairāmies no drošības problēmām.

3. mīts:
"Es nedomāju, ka kodols nav neievainojams. Faktiski pastāv ļaunprātīgu programmu grupa ar nosaukumu LRK (Linux Rootkits Kernel), kuru pamatā ir tieši kodola moduļu ievainojamību izmantošana un sistēmas bināro failu nomaiņa.".

Atbilde:
Rootkit būtībā ir kodola plāksteris, kas ļauj slēpt noteiktu lietotāju un procesu esamību no parastajiem rīkiem, pateicoties tam, ka tie neparādīsies / proc direktorijā. Normāli ir tas, ka viņi to izmanto uzbrukuma beigās, pirmkārt, viņi izmantos attālo ievainojamību, lai piekļūtu mūsu mašīnai. Tad viņi veiks virkni uzbrukumu, lai palielinātu privilēģijas, līdz viņiem būs root konts. Problēma, kad viņi to dara, ir tas, kā mūsu mašīnā instalēt pakalpojumu, neatklājot to: tur ienāk rootkit. Tiek izveidots lietotājs, kas būs efektīvs tā pakalpojuma lietotājs, kuru mēs vēlamies paslēpt, viņi instalē rootkit un slēpj gan šo lietotāju, gan visus šim lietotājam piederošos procesus.
Kā paslēpt lietotāja esamību ir noderīgi vīrusam, mēs varētu ilgi apspriest, taču vīruss, kas pats instalēšanai izmanto rootkit, šķiet jautri. Iedomāsimies vīrusa mehāniku (pseidokodā):
1) vīruss iekļūst sistēmā.
2) Atrodiet kodola pirmkodu. Ja tā nav, viņš pats to instalē.
3) Konfigurējiet kodolu aparatūras opcijām, kas attiecas uz attiecīgo mašīnu.
4) Sastādiet kodolu.
5) Instalējiet jauno kodolu; vajadzības gadījumā modificējot LILO vai GRUB.
6) Pārstartējiet mašīnu.

5. un 6. solim ir nepieciešamas root tiesības. Ir nedaudz sarežģīti, ka inficētie neatklāj 4. un 6. posmu. Bet smieklīgākais ir tas, ka ir kāds, kurš domā, ka ir programma, kas var automātiski izpildīt 2. un 3. soli.
Papildus tam, ja mēs saskaramies ar kādu, kurš mums saka "kad būs vairāk Linux mašīnu, būs vairāk vīrusu", un iesaka mums "instalēt antivīrusu un pastāvīgi to atjaunināt", tas var būt saistīts ar uzņēmumu kas tirgo antivīrusu un atjauninājumus. Esiet aizdomīgs, iespējams, tas pats īpašnieks.

Antivīruss operētājsistēmai Linux:

Tiesa, Linux ir labs antivīruss. Problēma ir tāda, ka viņi nedara to, ko apgalvo antivīrusu atbalstītāji. Tās funkcija ir filtrēt pastu, kas no ļaunprātīgas programmatūras un vīrusiem pāriet uz Windows, kā arī pārbaudīt Windows vīrusu esamību mapēs, kuras eksportē caur SAMBA; tādēļ, ja mēs izmantojam savu mašīnu kā pasta vārteju vai kā NAS Windows mašīnām, mēs varam tās aizsargāt.

Clam-AV:

Mēs nepabeigsim ziņojumu, nerunājot par galveno GNU / Linux antivīrusu: ClamAV.
ClamAV ir ļoti spēcīgs GPL antivīruss, kas apkopo lielāko daļu tirgū pieejamo Unix. Tas ir paredzēts, lai analizētu pasta ziņojumu pielikumus, kas iet caur staciju, un filtrētu tos, lai atrastu vīrusus.
Šī lietojumprogramma lieliski integrējas sendmail, lai ļautu filtrēt vīrusus, kurus var uzglabāt Linux serveros, kas uzņēmumiem nodrošina pastu; vīrusu datu bāzi, kas tiek atjaunināta katru dienu, ar digitālo atbalstu. Datu bāze tiek atjaunināta vairākas reizes dienā, un tas ir rosīgs un ļoti interesants projekts.
Šī spēcīgā programma spēj analizēt vīrusus pat pielikumos sarežģītākos atvēršanas formātos, piemēram, RAR (2.0), Zip, Gzip, Bzip2, Tar, MS OLE2, MS Cabinet faili, MS CHM (HTML COprinted) un MS SZDD .
ClamAV atbalsta arī mbox, Maildir un RAW pasta failus un Portable Executable failus, kas saspiesti ar UPX, FSG un Petite. Clam AV pāris un spamassassin ir ideāls pāris, lai aizsargātu mūsu Windows klientus no Unix pasta serveriem.

SECINĀJUMS

Uz jautājumu Vai Linux sistēmās ir ievainojamība? atbilde noteikti ir jā.
Neviens, kuram ir prāts, to neapšauba; Linux nav OpenBSD. Vēl viena lieta ir Linux sistēmas ievainojamības logs, kas ir pareizi atjaunināts. Ja mēs sev jautājam, vai ir kādi instrumenti, lai izmantotu šīs drošības nepilnības un tās izmantotu? Nu, jā, bet tie nav vīrusi, tie ir varoņdarbi.

Vīruss ir jāpārvar vēl vairākas grūtības, kuras Windows aizstāvji vienmēr ir izvirzījuši kā Linux kļūdu / problēmu, un kas sarežģī reālu vīrusu esamību - kodoli, kas tiek pārkompilēti, daudzas daudzu lietojumprogrammu versijas, daudzi izplatījumi, lietas, kas tās nav automātiski pārredzami nodots lietotājam utt. -. Pašreizējie teorētiskie "vīrusi" jāinstalē manuāli no saknes konta. Bet to nevar uzskatīt par vīrusu.
Kā es vienmēr saku saviem studentiem: neticiet, lūdzu. Lejupielādējiet un instalējiet datorā rootkit. Un, ja vēlaties vairāk, izlasiet tirgū esošo "vīrusu" pirmkodu. Patiesība ir avota kodā. "Pašpasludinātam" vīrusam ir grūti to tā nosaukt pēc koda izlasīšanas. Un, ja jūs nezināt, kā lasīt kodu, ieteicams veikt vienu vienkāršu drošības līdzekli: izmantojiet saknes kontu tikai mašīnas administrēšanai un atjauniniet drošības atjauninājumus.
Tikai ar to nav iespējams, ka vīrusi iekļūst tevī, un ir maz ticams, ka tārpi vai kāds veiksmīgi uzbruks jūsu mašīnai.