Pa naravno da ima razlike. Root može da radi sve a user ima ograničenja. Što znači da je mnooogo sigurnije i pametnije da se radi kao user a u root account ide samo po potrebi. A što se tiče zaštite, anti-virus gotovo da i nije potreban a od firewallova imaš iptables.

Thanx na odgovoru, ali mene je vise zanimalo koliko je linux siguran od upadanja na komp (on ima neki svoj firewall, jel?) i ako su upadi moguci, znaci da je bolje da se kacim kao user nego kao root? Ili da ne brinem oko toga?

Pa pazi, i windows je siguran ako ga podesiš kako treba. To važi za sve OS-ove pa i za linux. A što se tiče firewallova najbolje je da pročitaš iptables how to i sam središ stvari.

oko podesavanja firewall-a preporucio bih da pogledas man stranu, (man iptables) i da skines ovaj fajl http://gazette.linux.ru.net/ru...orial/iptables-tutorial.tar.gz

E sada sto se sigurnosti tice bezbednije je da radis kao obican user, jer svaki program koji pokrenes ima prava usera koji ga je pokrenuo, tako recimo ako pokrenes virus kao obican user on nece moci da napravi mnogo stete na tvom sistemu jer user nema prava da menja vitalne fajlove najgore sto moze da ti uradi jeste da ti pobrise sve iz tvog home direktorijuma. Dok ako virus pokrenes kao root onda taj virus moze da radi sta ga je god volja.


O tome sam vec pricao na slicnu temu tako da pogledaj http://www.elitesecurity.org/tema/10776#80637

Pri teranju linuxa kao root veci je rizik da ti sam sebi neshto zeznesh nego neki "faktori sa strane" ...

ako ti zatrebaju root privilegije u Linuxu ne morash da se logujesh kao root na nachin kao na Win 2000/XP, dovoljno je da otvorish konzolu i kucash su i posle starujesh sta ti vec treba sa ovlashcenjima root-a ili da pokrenseh npr.
"kdesu ime_programa" da bi startovao neki program kao root ...

MIslim da ce se bas zbog ovakve filozofije i vjerovanje u svemoc firewallova u ne bas tako dalekoj buducnosti biti svasta.

Umesto komande su daleko bolje je koristi sudo. Kad koristis su, gotovo da i nema razlike u odnosu na root login. Ovako sa sudo svaki put kad nesto moras kao root uradis to i samo to. Manja je mogucnost greske a brze je nego su, password, komanda, exit.
Dakle, "man sudo" i to je to!
Linux je malo "imuniji" na viruse od windowsa, i uz noramlnu dozu opreznosti, anti-virus nije potreban. Firewall je uvek dobra ideja.

U vindozima vrijedi ista stvar vise manje. Koristi updatove stavi firewall i gledaj sto i kako skidas pa neces imat iviriia , a opet smo svjedoci svakodnevnih epidemija.Mozda je glavni razlog zasto nema puno virusa pod linuxom je ta sto ih se ne pravi bas puno. No u dogledno vrijeme cini mi se da ce se to promijenit. Pa i same analize strucanjaka ( nemojte me tjerat da trazim po netu citate) govore da ce su u ovoj godini povecat kolicina virusa na linuxu.

Ala ti bulaznis. Glavni razlog zasto je windows toliko podlozan na viruse je taj sto SVI rade kao ROOT. Odnosno, imaju sva moguca prava na sistemu. Na linuxu samo maloumi su non-stop logovani kao root.

A onaj citat gore si potpuno izvukao iz konteksta. Nisam ja rekao da je firewall svemocan vec da virusa ima u toliko maloj meri da je to zanemarivo, a i oni nisu toliko opasni kao sto su win virusi jer, naravno, ne radis kao root.

Pa struktura samog unixolikog sistema je takva da ne moze svako da pise i cita po svemu sto mu se svidi. Sa tog aspekta gledano linux i BSD je teze zaraziti virusima i zato ih ima neuporedivo manje takoreci mislim da se mogu prebrojati na prstima dve ruke. Opet tu dodaj ceo spektar hardvera na kojima radi linux. Pa onda svi virusi koji rade na ia32 arhitekturi mogu samo da placu kada neko startuje to na PPC ili Sparku.

Koliko ljudi koriste Linux na PPC ili Sparc-u? Zanemarljivo mali procenat (ionako malog procenta koji na trzistu ima Linux). Propusta u kodu aplikacija, servisa i jezgra ima dosta i jedini razlog zbog cega ljudi ne pisu viruse za Linux je sto on uzima 2% trzista. Kombinovanjem propusta moze se vrlo efikasno prenositi zaraza sa racunara na racunar, bez obzira kako je korisnik prijavljen (root ili obican nalog).

Dejan Lozanovic:


Da teze je napisat virii za linux zbog strukture njegove s kojom ja jos nisam na ti :) sto bi opet trebalo znaciti kad netko bude radio virus za linuxe znat ce sto radi. Kao sto je popeye rekao ima mali milijun gresaka u kodu aplikacija jezgre i servisa. Ak netko nadje neki bug il nesto sto moze da iskoristi ne mora nuzno to odmah iznijeti u javnost. Moze jednostavno sjesti i dvadesetak dana tipkat virus i eto ti kolapsa. Uzmi u obzir nemal broj korisnika koji nema primjerenu zastitu i bit ce stvarno veselo. Uostalom ak se ne varam u kernelu 2.4.22 je bio bug ( citaj backdoor) koji je omogucavao korisniku sa mreze da dodje do root sifre bez da uopce ima account na tom stroju. Ko garantuje da toga nece biti jos il nedaj boze nesto gore.

Greskom si napisao da citiras mene.
Kad budes sa strukturom na ti, pogotovo malo vise, shvatices da je linux jos isgurniji nego sto si mislio. Default instalacija neke siroko rasprostranjene distribucije ne nudi mnogo, ali ako se malo potrudis, tvoj linux moze biti prava tvrdjava. Koliko para (za admina), toliko i muzike. Linux nikad nece biti toliko podlozan kao windows, to je sigurno!

Al opet ne mozete otklonit ni minimalnu mogucnost da ce netko napravit virus prema kojem bi blaster trebao biti mala beba. A zbog te male mogucnosti ja opet tvrdim da ce biti svasta u buducnosti. A jedan od razloga sto ce prvi veci virus pod linuxom uciniti astronomsku stetu bas ta sto su admini opusteni i kontaju ma koji bi divljak pisao viruse za linux. Bas kao i vi.

Sistem je moguce srediti tako da i ako ti dam root pristup ti mu nista ne mozes. Veruj mi! Imas odlicnu knjigu "RH Linux Security and Optimization. Negde na [es]u imas link za download. Takodje imas i nekoliko clanaka o tome na sajtu Brajana Heca (hackinglinuxexposed.com). Sto vise imas iskustva sa linuxom to je verovatnoca da ces napisati virus ne veca, nego manja, jer ces shvatiti koliko je neprobojan.
Linux se ne hakuje virusima. Kako? Exploitovanjem deamona koji rade na njemu. Koliko su oni sigurni, toliko je siguran i sistem.

A ako pisac virusa racuna na ljudsku glupost kao sto je bilo u vezi blastera tj neredoviti updet ( kod linux korisnika bi trebala biti veca osvjestenost) i na poveci broj korisnika koji nema primjerenu zastitu . Ne vjerujem da bas ima previse fantika koji ce osiguravat svoj stroj do te mjere da ce i u pentagon biti lakse uci nego u njihove masine. Pisac ce racunat na masu a ne na manjinu. Na kraju krajeva i windoze mos vise manje drzat "neozlijedjenim" uz primjerenu zastitu. :)

A sta virusi rade? Nimda, CodeRed, Slammer i da ne nabrajam svakog pojedinacno, koriste upravo to - propuste u servisima (daemonima). Da li se rucno ili automatski (virus) iskoriscava propust u servisima je nebitno, zbog cega pravis razliku?

Sto se tice osiguravanja sistema sprecavanjem izvrsavanja koda na stack-u/heap-u, ogranicavanjem mogucnosti (capabilities-a) root naloga, te koriscenjem read-only medija za /usr, sve to ima efekata na serverima. Na racunarima koje koristi mali Perica da opali Warcraft i odgleda Gospodara prstenova je to jednostavno previse slozeno za svakodnevnu upotrebu. Inace ode Perica po Windows instalacioni disk, kako ne bi potrosio mladost uceci kako da natera Linux da pusti 'ziku.

Virusi na Linux sistemima ce, ubedjen sam, sigurno cvetati kad i ako Linux zauzme recimo 30-40% trzista stonih racunara.

oh zaboga ...

dd if=/dev/zero of=/dev/hda .... itd... :)
ko razume shvatice... shta ima pishe virus ...
ako uspe da natera ovo da odradi 1% od tih 30-40% rachunara pod linuxom :)
luuuudilo :0)))) ...

Bosanski virus, a? :)

Dopunjena verzija je bolja: prvo se rasiri na tih 1%, a onda ide dd...

Manca nedavno nije razumeo upravo taj "virus".


Malom Perici bezbednost i nije tako bitna.
Desktop makina nema dignutih deamona, tako da se nema sta exploitovati. Ako zelis, dogovoricemo se pa skeniraj moju makinu. U najboljem slucaju zaglupices mi X. A cak nemam ni firewall. Ovo mu dodje neki poziv na wargame
Kad bi ja kao korisnik pokrenuo bilo koji virus na linuxu u najgorem slucaju sredio bi sve svoje podatke. Nijedan drugi korisnik za to ne bi ni znao. To je poenta svega. Ja kao korisnik jako tesko mogu da oborim sistem.
Uostalom, lanac je jak onoliko koliko je jaka najslabija karika. Nije sve u sistemu.

dobro, chovek mozda nije ub'o odgovarajucu analogiju, ali je potpuno u pravu. Kao i u biologiji, shto je raznolikost veca virusima je teze da se prilagode. a raznolikost kod *nixa je daleko veca nego kod win-a. oni su svi unificirani ...



nisam bash siguran da pisci virusa prate zakonitosti trzishta, jer nije da bash postoji regularna potraznja za njihovim proizvodima ... inache, linuxi imaju primetan udeo u serverima pa ipak nema poshtenog virusa za linux, tj unix servere.

takodje, propusti u open source softveru se po pravilu vrlo brzo krpe, jer je dovoljan jedan chovek koji ima znanja i interesa da reshi problem, shto rezultira time da za vecinu oktrivenih bug-ova patch izadje za manje od dan, nasuprot proprietary softveru, gde se izmene po pravilu vrshe kada postoji interes za to, tj kada kritichnom broju ljudi odredjeni bug zasmeta ... dobar primer moze biti RPC propust u Win-u otkriven koju godinu ranije, a uzet u razmatranje tek kada su svi zapatiili po blastera ...

Mada sam početnik s linuxom ali koliko sam shvatio filozofiju rada onda mislim da bi taj virus trebao biti koji megabajt veličine,kao prvo. Kao drugo problem je što većina vas nas zna da se traži konfirmacija za ovo ili ono a svi podešavamo svoje sisteme prema sopstvenoj želji jer je "open source" postoji default ali ja želim da kod mene bude ovako . Eh da vidim sad tog gospidina koji će uzeti i napraviti virus na linuxu jer sam čeprkao prepravljao, preimenovao, ograničio....i ne znam šta još?

E sada jedno pitanjce za RAIN-SONG

Jesi li vidio možda ovo izdanje "linuxlive cd"? Onih samo 185 MB? Onaj virtualni linux?
Ubacis CD root toor, da ,da, da, i evo me. Ako je hardver ok i imas malkice volje,surfaš, čitaš mail,... logout. Izvadi CD

To za početak testiraju jer cu jednog dana svoj podešeni linux kopirati isto na CD i nosati samo tu mediju i gdje god mi zatreba par slova po tastaturi i evo me
Kakvi ba virusi da mi poremete sistem? CD je non recordable

O tome ti i pricam, mali Perica ce da brine o zakrpama na Linuxu isto koliko i na Windowsu ili bilo kom drugom sistemu. A ne moze mu se dati sistem na kome se sprovede bolja sigurnosna politika, jer podizanje sigurnosti uvek ide na ustrb lakoce koriscenja.

Sto se tice servisa na radnoj stanici, identifikovao si potencijalno najbolniju tacku: X, koji podrazumevano slusa na portu 6000. Doticni radi pod root privilegijama i zahteva mogucnost izvrsavanja koda na heapu. Osnova koda je stara 20 godina, a cak i da nije - nemoguce je napisati toliko linija bez propusta. Uostalom, vec ima nekoliko gotovih programcica (mada lokalno, no ne menja puno stvar) koji koriste propuste i obicnom korisniku daju administratorske (root) privilegije.

Sto se tice mogucnosti da virus radi po privilegijama obicnog korisnika, to nije nimalo bezazleno. Ranije sam istakao mogucnost naizmenicnog iskoriscavanja propusta radi postepenog podizanja privilegija. Virus bi pod korisnickim privilegijama prvo prepoznao mogucnosti daljeg napada (propusta u suid programima), preuzeo sa neke lokacije alat i nakon toga dobio administratorske privilegije. Za pisanje takvog virusa, koji koristi paket gotovih exploit-a, nije potrebno ni neko narocito znanje, poznavanje Perla na nekom srednjem nivou bi bilo sasvim dovoljno.

Slazemo se da je lanac jak koliko i najslabija karika, u ovom slucaju (radna stanica, kucni racunar) to je korisnik.

PS. Sto se "ratnih igara" tice, to bi bilo izvodljivo na lokalnoj mrezi, jednog dana kada obojica budemo zaludni. Ameri to ionako svake godine organizuju... ;)

Cak i danas, glavninu Linux distribucija cini par velikih imena kao sto su Mandrake, SuSe i RedHat. Dodaj tu jos par imena (Slackware i Debian) sa potrebnim duzinama i memorijskim adresama ponaosob i imas Linux virus koji bi zahvatio 90% Linux trzista.

Da skratim:



Ko razume, shvatice.




Kao sto rekoh, serveri imaju (ili bi trebalo da imaju) odgovorne i strucne ljude za odrzavanje sistema, sto otezava sirenje virusa. Na kucnim racunarima ce biti upravo suprotno. Prednost otvorenog koda je u tome sto ne moras cekati proizvodjaca da ispravi gresku, vec to mozes slobodno sam da ucinis. No kako se siri krug ljudi koji koriste pomenute proizvode, otvorenost koda gubi smisao. Koliko "hakera" je pokrenulo kod za koji su mislili da je exploit, a u stvari je bio trojanski konj? Sta slepom coveku znaci azbuka?

Gledaju, a ne vide.

Ovo je jako zanimljiva diskusija. U raspravi da li je bezbedniji Linux ili Windows ucestvuju samo korisnici linuxa.
X nije najbolnija tacka. Ne znam zasto to kazes.
Ti (popeye) stalno ponavljas da linux koji nije na bilo koji nacin odrzavan, na kome radi imbecil, nije bezbedan sistem.
Ako i dalje zelis da branis to glediste, nije potrebno, slazem se.
Ako zelis da diskutujemo o malo ozbiljnijim korisnicima i sistemima, e to je onda vec nesto.

Mislim da ovde raspravljamo o sigurnosti Linuxa, bez poredjenja sa drugim (Windows) sistemima. Smatram da je sigurnost Linuxa postala dogma, a to ne vodi nicemu dobrom. Stvari treba gledati onakve kakve jesu, a malo ljudi to radi - uglavnom se ponavljaju fraze i stvaraju zablude. Linux pruza prilicnu slobodu u koncipiranju sistema i moguce je podici sigurnost servera na pristojan nivo i tu se slazemo.

Razlika je u vidjenju potrebnog nivoa sigurnosti koji bi jedan sistem trebao imati kako bi se sprecila pojava virusa/upada uprkos propustima u kodu (kojih je bilo, ima i bice). Moj stav je da bi radna stanica za prosecnog korisnika bila neupotrebljiva kada bi se sigurnost dovela na nivo koji mozemo priustiti na serverima (bez grafickog okruzenja).

Sto se X-a tice, odavno mi bode oci. Suid root, moras mu pustiti da izvrsava kod na heapu, podrazumevano otvara port, idealno za upad. Kod mu je glomazan, sporo se menja i malo ljudi ga ozbiljno odrzava (mada se eto i oni raspase). To sto se dosada nije pojavio javno dostupan exploit, ne znaci da propusta nema ili da exploit ne postoji.

Nicem dobrom. Ta sigurnost i dogma o neranjivosti linuxa je stvarno pretjerana. Nasao sam jedan tutorial na netu o rootkitovima cisto da vidim sto je u biti to i kako se toga rijesit i u uvodu stoji

But...

There's always one. You should remember this: there is ALWAYS, at least, one
flaw. Just one hole through which a cracker could get into your system and
do things you would not do to your worst enemy's laptop.

Talking seriously, the Golden Rule of Security is: "Security is just a
state of mind". That means that you THINK you are secured. When you come
to believe such a thing, you automatically stop worrying. And that is a Bad
Thing (tm).

This is, I am sad to say, what a lot of system administrators do. And that is
something attackers tend to take advantage of.
Sumnjam da ovom quotu gore treba ista vise dodat. Uostalom vrijeme ce pokazat ko je u pravu, Admin koji vjeruje u neranjivost sistema il neki divljak koji ce nastojat opovrgnut tu cinjenicu a rezultati mogu biti katastrofalni.

Ja sam inace relativno novi u linux sviijetu al kad ljudi govore o neranjivosti necega onda je cak i laiku (meni (nadam se samo privremeno laik :) )) jasno da to nicem dobrom ne ide.

Pobeci ne mozes, ali svakako mozes da trcis. Ako ne zelis da trcis, uhvatice te. Sta ima prostije od toga?

A čemu služi Brajevo pismo? :)

Lični primjer: 6 godina DOS, 11 godina Windows, Linux 1 godina
Sa Linuxom nema šale! Korisnik je jedno a administrator drugo. U svakom od OS-a. Ako cemo pricati kao korisnici okay,kao administratori okay. Ne vidim u čemu je problem. Od kako sam počeo raditi kao System administrator u jednom od lokalnih internet klubova tek sam shvatio šta je "open" a šta "closed" :)

Prijedlog: Instaliraj si Linux pa malkice čeprkaj. I ako me poslušaš za sljedeće što ću reći uspjećeš čak i u životu: Trudi se da budeš dobar prema svima, i od dva zla izaberi ono koje je manje.

Negdje prije je neko spomenuo postotke korištenja OS-a: Win ----- Linux :) A zapita li se iko zašto je tako? Lahkoća? Kvalitet? Ili je loša konkurencija?
Mislim da se uloži u razvoj Linux-a kao što se ulaže u "krparenje" Windowsa ... :)
Svakim danom potrebna je je jedna nova zakrpa :)