Differences between revisions 1 and 24 (spanning 23 versions)
Revision 1 as of 2008-08-14 09:45:39
Size: 13692
Editor: eSyr
Comment:
Revision 24 as of 2008-11-27 11:07:47
Size: 23262
Editor: FrBrGeorge
Comment:
Deletions are marked like this. Additions are marked like this.
Line 3: Line 3:
Контраф. ПО. Для проясн. этго дела чень помогает расск. пр свобдного-несвободного ПО (см. первую лекцию школы). Мжет быть имеет смылс обратить осн. пример на СПО. === Контрафактное ПО ===
Line 5: Line 5:
Есть ещё дна легенда --- СПО это халява, поэтому ничего не готово. В этом случае надо показать процесс разраб, надо сказать, что действ моног незак. проектов, но если судить п качеству, готовности и так далее, то то на то. н другя модель использ. Для прояснения этого мифа рекомендуется рассмотреть свободное и несвободное ПО (см. первую лекцию школы), при этом, возможно, имеет смысл обратить внимание на свободное программное обеспечение в качестве основного примера. Основные легенды:
Line 7: Line 7:
Уст. и удаление. Есть два мнения: 1. виндовс не надо обн., поск. испортится. У этого есть сн, поск. не только виндовз, ещё есть много тсоронних программ, и они в первую чередь пстрадают. 2. Система не залатанная --- система с дыркой. А вт этот близк к истине.  1. Ни одну программу копировать нельзя. Это неправда, всё зависит от условий распространения. Даже некоторые несвободные программы можно копировать.
Line 9: Line 9:
В случае в линуксом критических дырк бывает дна на неск. лет, и если приличный дистрибутив обн. через неск. часов после появл. CVE.  1. Программное обеспечение работает плохо потому, что оно контрафактное. В подавляющем большинстве случаев контрафактное ПО отличается от лицензионного лишь формально, сообразно тому, каким образом получен "регистрационный код" (или что-то аналогичное) -- путём оплаты или незаконным (не предусмотренным авторами) путём.
Line 11: Line 11:
Если вы уст. прграмму в дистр. и хтите уст. более новую программу, то всё зависит от того, что это за более новая программа. Если это крит. бновления, то они всяко будут в updates. Причём эта программа будет совместима. Если же болезнь новых версий, то сам себе злобный буратина. В случаеЮ, если берёте пакет из сизифа, т лучше брать src.rpm и сбирать его в своём окр. Если собрлся то прекрасно, если не собрался, то и хоршо, что не ставили.  1. Так как свободное программное обеспечение бесплатно, то оно производится неквалифицированными энтузиастами, и как следствие, ничего не готово к использованию прямо сейчас. В этом случае надо показать процесс разработки, надо сказать, что действительно есть много незаконченных проектов, но, если судить по качеству, готовности и так далее, ситуация схожа с ситуацией с несвободным программным обеспечением, просто модель распространения и использования --- другая.
Line 13: Line 13:
Эшелонирвание:
 * Есть дистрибутив, в нём мнго чего, чтобы не приходилось идти дальше
 * Есть интернет. Есть репзиторий, там есть ещё больше прграмм
 * Скакчиваете стороннее ПО. Это уже более риск. штука, даже более риск, чем уст. провереннго софта под виндовз, кроме случае, если программа не собиралась для той ос той выерсии, кторую вы исп.
=== Обновление системы ===
Line 18: Line 15:
В рамках польз. потр. это настр. просстая штука. Существуют два мнения:
Line 20: Line 17:
Вирусы. Нет такй ист. по трём причинам:
 * В 2000 годах была реклама виндовза и антиреклама линукса, тогда микросфт начала наст. на серв. рынок, тгда же гетзефакс, и мс напирала на то, что линуксы разные, а виндовз одинаковый. Это так, и пргр., экспл. одну уязв. одного дистр. будет работать в другом дистр. или в том же дистр. дчерез полгода
 * Единств. операция, кторая в линуксе вып. над всей системой, но обычн. польз (две операции) --- установка ПО и настр. сети. И даже эти две операции вып. с помощью спец. ПО. Никто руками это не делает. И тут ни одн действ. В итоге помимо вашей воли сделать это нельзя никак. Саме ольшое, чт мжн попортить --- ваш хум, и в итоге, может таки появиться спмбот. Мдиф. системы крайне низкая. Вы скачали и уст. зловредный код. В каком случае эт может быть? У вас задача, прешения к-рой нет в хранилище, и это не изв. произв. программ. Поэтому сначлаа вы смотрите в имеющееся, птом хранилище, на крайняк на сатйах призв. ПО. Не псол. роль играет так же и то, что линукс нерасп. и трудновзламываемая.
 * Операционную систему Windows не надо обновлять, поскольку это может нарушить её работоспособность. В это есть смысл, так как установлено много сторонних программ, и они могут пострадать в результате обновления всей системы.
Line 24: Line 19:
Но больш. взломов делается вручную или спец. программу.  * Система без обновления обязательно имеет проблемы с безопасностью. Это не легенда, а правда. В случае с GNU/Linux критических дыр очень мало, одна в несколько лет, и хороший дистрибутив обновляется через несколько часов после появления такой ошибки.
Line 26: Line 21:
Но. Антивирус под линукс есть. ClamAV. Под линукс есть и касперский, и доктр веб. Лектор исп. и др.веб, и касперский. Что касается дрвеба, он начал сканирвать, удалять контент и писать, что прск. демо-версией дрвеба. В слкчае с касперским, он сканирвал и сам себе писал, чт просканировал. === Установка и обновление программ ===
Line 28: Line 23:
В случае с базами главне --- оперативность. Если Вы устанавливаете программу в дистрибутив или хотите обновить уже установленную программу, всё зависит от того, что это за более новая программа. Если это критические обновления, то они наверняка будут в updates. Причем эта программа будет совместима с предыдущей версией. Если же ставится версия, не проверенная на совместимость с предыдущей, то это вина того, кто ее установил. В случае, если Вы берёте новый непроверенный пакет из хранилища, лучше брать src.rpm и собирать его в своём окружении. Если это удалось, значит, всё хорошо, если не собрался, то правильно сделали, что не ставили.
Line 30: Line 25:
Фаерволлы. В системе должен быть фаервол, который пост. спрашивает "а хтите ли, чтбы к вам присед?". ткуда такое предст? В-первых, человеку абс. бесп. объясн, чт такое сетевое подкл, крме того,вин. ост. ткр. кучу члужб, и мжно много куда пдключиться. С другой стороны, это связан с пред.. пунктом, сущ. масса ПО вирусного типа, кторая уст. без санкции польз., но ведёт себя не слишком аггр, и елает что-то непонятное. И сажается спец. сторож, который это отслеживает, если он не хочет идти в сеть, а служба хчет, то он спрашивает.  Эшелонирование источников ПО ОС Linux:
  1. Дистрибутив, в нём достаточно много программ, чтобы не приходилось идти дальше.
  1. Репозиторий, там есть ещё больше программ.
  1. Интернет (стороннее ПО). Это уже более рискованно, даже более рискованно, чем установка проверенного ПО в ОС Windows, кроме случая, когда программа собиралась для той ОС той версии, которую вы используете.
 В рамках обычных пользовательских потребностей все это, в целом, очень просто, так как довольно мало свободного программного обеспечения не входит в репозиторий.
Line 32: Line 31:
Программы подбнго класса в линуксе есть --- suse personal firewall. Но необх. пдобного ПО под линуксом очень и очень сомнительна. Сейчас же необх. кнтр. вх. и исх. подкл. нет никакой --- ни одной службы, которой можно подкл. снаружи, нет. И если адм. чт-то открыл, то он чт-то открыл, и это его дело --- исп. фаервол, который выглядит иначе: там есть набор правил, что разрешить, что запретить. === Вирусы ===
Line 34: Line 33:
И на самом деле фаерволл в линуксе есть, iptables, круче только в openbsd --- pf. Это третий фаервол openbsd, сначала ipf, птом автр разругался с тео и забрал свй код, потом написали ipfw, его стало нехватать, и появился pf, который очень удобен для тех, кто в этм разбирвается. О вирусах существует насколько мифов:
Line 36: Line 35:
Про оптимизаторы. Наличие оптимизаторов --- явный признак тго, чт систему мжно привести в сост., требующее оптимизации.  1. В 2000х годах в рамках рекламы ОС Windows и, соответственно, антирекламы ОС Linux Microsoft, стараясь завоевать серверный рынок, утверждали, что ОС Linux разные, а ОС Windows всегда одинаковый. Это действительно так, и одним из следствий этого является то, что программа, эксплуатирующая одну уязвимость некоего программного продукта в одном дистрибутиве, скорее всего, не будет работать в другом дистрибутиве или даже в том же дистрибутиве через несколько недель или даже дней.
Line 38: Line 37:
Про уст. и удаление --- если прогр. уст. п завис., то потом авт. на не удаляется. При этом единст. способ внести беспорядок в систему --- пост. что-то ставить и удалять, после чего будет опр. часть пкетв, которые не исп.  1. Обычный пользователь в ОС Linux выполняет всего две операции над всей системой с правами администратора: установка ПО и некоторые редактирования конфигурационных файлов. Таким образом, помимо Вашей воли нарушить работу системы нельзя никак. Если каким-то образом случится так, что проэксплуатируется ещё не закрытая уязвимость в какой-то программе и будет запущен вредоносный код, то он скорее всего не сможет сделать ничего плохого с системой, потому что каждый демон, отвечающий за некоторый сервис, запускается от лица специального пользователя, сильно поражённого в правах. А если он запускается с правами суперпользователя, то в изолированном окружении.
Line 40: Line 39:
Что же кас. виндовза, то там проблема одна --- невозм. сост. гарм. список того ПО, кторый ставится на компьютер. Эта штука усугубляется реестром, который на самом деле ничего волш. не заключает, это прсто БД обо всех настр. системы, прблема тлько в том, что даже эта дипизация практ. недокументирована, и абс. не влезает в одну отд. голову. В итоге он очень часто приходит в сост. замусренное, дёрганье за реестром. В итоге эта штука неудобна. В линуксе же есть /etc, в нём кнф. файлы, конф. файлы прин. пакету, приуд у. пакетали либо уд., либо делается ег бэкап. То же тн. и к птимизации диска. ФС в ПСПО (ext3) устр так, что опт. им не требуется. Платится за это порогом эфф. рг. след. бразом: файл в пределх цилиндра в дефр. не требуется. Когда система пишет файл на диск, на пытается, чтобы он попал в посл. группу циллиндров. Если файл не влезает в цилиндр, то значит, что прсто не хватет места. Если же поудалять часть фалов и поработать с остальными, то фрагм. восст.  1. Вы скачали и установили ПО, содержащее зловредный код. В каком случае это может быть? В дистрибутиве Linux обычно включено огромное число заведомо "чистых" программных продуктов; в хранилище их ещё больше. Скорее всего, у вас задача, решения которой нет в хранилище, но есть некий неизвестный производитель программ, который выпускает нужный продукт. Для начала, стоит проанализировать задачу --- зачастую её можно будет решить при помощи находящегося в репозитории программного обеспечения. Если же программа стороннего производителя настолько уникальна, что без неё обойтись никак нельзя, можно, тем не менее, предпринять некоторые шаги по сохранению безопастности системы. Как-то, запускать программу в изолированном окружении, запускать программу от лица специального поражённого в правах пользователя, если это Windows-программа --- настроить окружение wine таким образом, что эта программа не сможет навредить нигде, кроме заданного каталога.
Line 42: Line 41:
Администратор. Про это лектору ужеу упоминал, но было бы неплохо это отдельно поставить. В овсех posix-системах, в частности, линух, в частности, пспо. есть 2 категории пльз. В первой --- рут (не виндузовый адм.), во втрой -- все ост. На рута не расп. никакие огр. по правам доступа (если тлько не включен SE (рассказ про RSBAC --- role-setting based access control)). На него не расп. никакие огр. по доступу. Он имеет в результате права на запись к больш. файлов в каталоге. У польз. есть доуступ. только к дом. каталогу. Линукс орг. так, что польз. не нужно никуда, крме как в хоум, писать. Работа с ПО присх. т лица обычного польз всегда, даже если это сервис. Даже в этом случае он обычно зап. с правами обычного польз. Третье --- обычному польз. не реком. вып. действия от лица рута, не зная, к чему они приводят. От лица рута запуск. две операции --- настр. сети, графики, сист. служб и уст/удаление прграмм (альтератор и синаптик). Нэ и то, и др. происх. не путёмр работы от суперпольз., а запуском спец. програм. В этом месте нигде не фиг. запуск призв. прграмм от лица рута. Более того, ПСПО будет показывать страшные картинки.  1. Не последнюю роль играет также и то, что ОС Linux - нераспространенная и трудновзламываемая ОС. То, что называют "взломами" для ОС Linux, в большинстве случаев есть уязвимости в некотором программном обеспечении. И если эти уязвимости представляют серьёзную угрозу безопасности, то они будут устранены весьма быстро --- иногда, в течение нескольких часов.
Line 44: Line 43:
Не следует путать рута и администратора виндовз. Тем не менее антивирус для ОС Linux есть --- это ClamAV и графические оболочки к нему (например, KlamAV для KDE). Под ОС Linux есть и Антивирус Касперского, и Dr. Web, однако они не всегда корректно работают: это несвободные программные продукты, а у авторов нет возможности адаптировать свои программы ''для всех'' дистрибутивов Linux ''каждый раз'', как они обновляются. Назначение антивируса а Linux -- проверять почту и файлы при передаче их пользователям Windows.
Line 46: Line 45:
Отдельно надо уп. б адм. служб: адм. принт. сервера, БД и пр. Для этого зачастую не нужн получать права суперпольз, и всё равно сводится к изм. конф. файлов отдельных или запуска спец. приложений. Это не имеет тн. к руту. На сегодня главное достоинство антивируса -- это не количество знакомых ему вирусов, а оперативность обновления базы данных, по которым определяются ''новые'' вирусы. Чем раньше новый вирус станет известен, тем больше шансов не "пропустить" вирусную атаку. ClamAV здесь показывает неплохие результаты, находясь, по некоторым сведениям, в тройке лучших по оперативности добавления информации о новых вирусах. Следует заметить, что ClamAV -- это ''сканер'', он определяет факт заражённости файла, но не "лечит" его. Впрочем, подавляющее большинство современных вредоносных программ -- "червей", "ботов" и т. п. -- не заражают ''файлы'', так что для того, чтобы от них избавиться, их надо удалить.
Line 48: Line 47:
Адм. с т. з. линукс это не лгин. а челвек. Онработает большую часть времени с правами обычного польз, и изредка из-под рута, связано это с настр. сист. сервисов. === Firewall ===

Существует убеждение, что в системе должна быть сущность под названием Firewall, которая постоянно задает вопросы вроде "А хотите ли Вы, чтобы к вам присоединились?" или "А хотите ли Вы, чтобы какая-то программа куда-то присоединилась?". Откуда такое представление? Во-первых, человеку абсолютно бесполезно объяснять, что такое стэк протоколов TCP/IP, во-вторых, в ОС Windows много входящих портов и служб, в которых есть проблемы с безопасностью, оставлены открытыми, и в этой ОС необходимость наличия такой сущности очевидна. С другой стороны, это связано с предыдущим пунктом --- существует масса ПО вирусного типа, которое устанавливается без санкции пользователя, и делает нечто незаметное. И Firewall играет роль некого сторожа, который это отслеживает, и, если что-то кажется ему подозрительным, он требует разрешения пользователя на это действие.

Программы подобного класса в ОС Linux есть, например, Suse personal firewall. Но необходимость подобного ПО очень и очень сомнительна, так как нет необходимости контролировать входящие и исходящие подключения --- по умолчанию нет ни одной службы, которой можно подключиться снаружи. И если администратор что-то открыл, то он что-то открыл, сознавая это, и это его дело. Используется же firewall, который с точки зрения системы выглядит иначе: это таблица правил, указывающая, каким образом поступать с какими пакетами в различных сетевых соединениях на различных уровнях сетевого взаимодействия. В ОС Linux таким firewall-ом является iptables.

=== Оптимизация ===

Наличие оптимизаторов --- явный признак того, что систему можно привести в состояние, требующее оптимизации.

 * Оптимизация системы.

  * В ОС Linux существует только одна возможность заполнить ненужными пакетами систему: если устанавливаемая программа зависит от других программ, то они не будут автоматически удалены при удалении самой программы. Таким образом, единственный способ внести некоторый беспорядок в систему --- постоянно что-то ставить и удалять, после чего останется некоторое число пакетов, которые не используются. Но их вполне можно найти и удалить штатными средствами.

  * Что же касается ОС Windows, то в ней практически невозможно составить гармоничный список того ПО, которое ставится на компьютер. Это усугубляется реестром, который является базой данных, содержащей информацию обо всех настройках системы. Реестр практически не документирован и слишком велик, чтобы держать все настройки в голове. Он очень часто приходит в замусоренное состояние и крайне неудобен в использовании человеком. В ОС Linux есть каталог /etc, в котором хранятся конфигурационные файлы. Конфигурационные файлы принадлежат пакету, при удалении установленного пакета они либо удаляются, либо откладываются с другим именем. Таким образом, невозможно перепутать действующий конфигурационный файл с отложенным.

 * Оптимизация диска.
  
  * Файловые системы в ПСПО (ext3) устроены так, что оптимизация им не требуется. Платится за это порогом оптимизации --- 10% - т.е. они всегда неоптимальны, но не более, чем на 10%. Она устроена следующим образом: файл расположен в пределах одной группы цилиндров (цилиндр --- это элемент диска на уровне более низком, чем файловая система), внутри которой дефрагментация не требуется (фрагментация просто-напросто отсутствует). Когда система пишет файл на диск, она пытается записать его так, чтобы он попал в одну группу цилиндров. Если файл не влезает в группу цилиндров, это значит, что просто не хватает места, и она записывает остаток файла в другие группы, по возможности соседние. Если же удалить часть файлов и поработать с остальными, то фрагментация, точнее, её отсутствие, восстановится. Кроме того, небольшая часть диска всегда свободна - её может заполнить только root.

=== Администратор ===

Во всех POSIX-системах, в частности, ОС Linux, в частности, ПСПО, есть 2 категории пользователей. В первой --- root (не администратор, как в ОС Windows), во второй -- все остальные. На суперпользователя (root-а) не распространяются никакие ограничения по правам доступа (но при включении неких дополнительных мер безопасности это может быть и не так). В результате, он имеет права на запись к большинству файлов в файловой системе. У пользователя есть доступ только к домашнему каталогу. ОС Linux организована так, что пользователю не нужно никуда, кроме как в это каталог, что-либо записывать. Работа с ПО происходит от лица обычного пользователя всегда, даже если это служба. Обычному пользователю не рекомендуется выполнять действия от лица суперпользователя, не зная, к чему они приводят. От лица root-а запускается две операции: настройка сети, графики, системных служб и установка/удаление программ (Alterator и Synaptic). Но и то, и другое происходит не в результате работы самой программы с правами суперпользователя сразу, а запуском специальных программ, которые эти права получают. При попытке запустить графическое окружение от лица суперпользователя будет показано предупреждение.

Отдельно надо упомянуть об администраторах служб: администратор принтерного сервера, БД и прочее. Для этого зачастую не нужно получать права суперпользователя, всего лишь состоять в особой группе, а даже если нужно, то всё сводится к изменению конфигурационных файлов или запуска специальных приложений, что можно эффективно ограничить (например, при помощи программы sudo).

Не следует путать root-а и администратора Windows. Администратор с точки зрения ОС Linux это не регистрационное имя, а человек. Он работает большую часть времени с правами обычного пользователя и изредка совершает некоторые действия от лица суперпользователя (собственно говоря, он вообще имеет возможность их совершать), и обычно эти действия связаны с настройкой системных служб.
Line 52: Line 77:
## ВНИМАНИЕ! Поля значащие, просьба редактироать только числа и списки модулей
## Требования к знаниям слушателя имена модулей через пробел; если нет пустая ячейка
## Ментейнеры прописываются в сответствии с PspoTasks
## ВНИМАНИЕ! Поля значащие, просьба редактировать только числа и списки модулей
## Требования к знаниям слушателя -- имена модулей через пробел; если нет -- пустая ячейка
## Ментейнеры прописываются в соответствии с PspoTasks
Line 56: Line 81:
|| 0 || 1 || 1 || 1 || || 1 || SergeyKorobkov, ОльгаТочилкина, MaximByshevskiKonopko || || || || 90 || 1 || 1 || 1 || || 1 || ПетрНикольский, ОльгаТочилкина, MaximByshevskiKonopko || || ||

Демифологизация: продолжение

Контрафактное ПО

Для прояснения этого мифа рекомендуется рассмотреть свободное и несвободное ПО (см. первую лекцию школы), при этом, возможно, имеет смысл обратить внимание на свободное программное обеспечение в качестве основного примера. Основные легенды:

  1. Ни одну программу копировать нельзя. Это неправда, всё зависит от условий распространения. Даже некоторые несвободные программы можно копировать.
  2. Программное обеспечение работает плохо потому, что оно контрафактное. В подавляющем большинстве случаев контрафактное ПО отличается от лицензионного лишь формально, сообразно тому, каким образом получен "регистрационный код" (или что-то аналогичное) -- путём оплаты или незаконным (не предусмотренным авторами) путём.
  3. Так как свободное программное обеспечение бесплатно, то оно производится неквалифицированными энтузиастами, и как следствие, ничего не готово к использованию прямо сейчас. В этом случае надо показать процесс разработки, надо сказать, что действительно есть много незаконченных проектов, но, если судить по качеству, готовности и так далее, ситуация схожа с ситуацией с несвободным программным обеспечением, просто модель распространения и использования --- другая.

Обновление системы

Существуют два мнения:

  • Операционную систему Windows не надо обновлять, поскольку это может нарушить её работоспособность. В это есть смысл, так как установлено много сторонних программ, и они могут пострадать в результате обновления всей системы.
  • Система без обновления обязательно имеет проблемы с безопасностью. Это не легенда, а правда. В случае с GNU/Linux критических дыр очень мало, одна в несколько лет, и хороший дистрибутив обновляется через несколько часов после появления такой ошибки.

Установка и обновление программ

Если Вы устанавливаете программу в дистрибутив или хотите обновить уже установленную программу, всё зависит от того, что это за более новая программа. Если это критические обновления, то они наверняка будут в updates. Причем эта программа будет совместима с предыдущей версией. Если же ставится версия, не проверенная на совместимость с предыдущей, то это вина того, кто ее установил. В случае, если Вы берёте новый непроверенный пакет из хранилища, лучше брать src.rpm и собирать его в своём окружении. Если это удалось, значит, всё хорошо, если не собрался, то правильно сделали, что не ставили.

  • Эшелонирование источников ПО ОС Linux:
    1. Дистрибутив, в нём достаточно много программ, чтобы не приходилось идти дальше.
    2. Репозиторий, там есть ещё больше программ.
    3. Интернет (стороннее ПО). Это уже более рискованно, даже более рискованно, чем установка проверенного ПО в ОС Windows, кроме случая, когда программа собиралась для той ОС той версии, которую вы используете.
    В рамках обычных пользовательских потребностей все это, в целом, очень просто, так как довольно мало свободного программного обеспечения не входит в репозиторий.

Вирусы

О вирусах существует насколько мифов:

  1. В 2000х годах в рамках рекламы ОС Windows и, соответственно, антирекламы ОС Linux Microsoft, стараясь завоевать серверный рынок, утверждали, что ОС Linux разные, а ОС Windows всегда одинаковый. Это действительно так, и одним из следствий этого является то, что программа, эксплуатирующая одну уязвимость некоего программного продукта в одном дистрибутиве, скорее всего, не будет работать в другом дистрибутиве или даже в том же дистрибутиве через несколько недель или даже дней.
  2. Обычный пользователь в ОС Linux выполняет всего две операции над всей системой с правами администратора: установка ПО и некоторые редактирования конфигурационных файлов. Таким образом, помимо Вашей воли нарушить работу системы нельзя никак. Если каким-то образом случится так, что проэксплуатируется ещё не закрытая уязвимость в какой-то программе и будет запущен вредоносный код, то он скорее всего не сможет сделать ничего плохого с системой, потому что каждый демон, отвечающий за некоторый сервис, запускается от лица специального пользователя, сильно поражённого в правах. А если он запускается с правами суперпользователя, то в изолированном окружении.
  3. Вы скачали и установили ПО, содержащее зловредный код. В каком случае это может быть? В дистрибутиве Linux обычно включено огромное число заведомо "чистых" программных продуктов; в хранилище их ещё больше. Скорее всего, у вас задача, решения которой нет в хранилище, но есть некий неизвестный производитель программ, который выпускает нужный продукт. Для начала, стоит проанализировать задачу --- зачастую её можно будет решить при помощи находящегося в репозитории программного обеспечения. Если же программа стороннего производителя настолько уникальна, что без неё обойтись никак нельзя, можно, тем не менее, предпринять некоторые шаги по сохранению безопастности системы. Как-то, запускать программу в изолированном окружении, запускать программу от лица специального поражённого в правах пользователя, если это Windows-программа --- настроить окружение wine таким образом, что эта программа не сможет навредить нигде, кроме заданного каталога.
  4. Не последнюю роль играет также и то, что ОС Linux - нераспространенная и трудновзламываемая ОС. То, что называют "взломами" для ОС Linux, в большинстве случаев есть уязвимости в некотором программном обеспечении. И если эти уязвимости представляют серьёзную угрозу безопасности, то они будут устранены весьма быстро --- иногда, в течение нескольких часов.

Тем не менее антивирус для ОС Linux есть --- это ClamAV и графические оболочки к нему (например, KlamAV для KDE). Под ОС Linux есть и Антивирус Касперского, и Dr. Web, однако они не всегда корректно работают: это несвободные программные продукты, а у авторов нет возможности адаптировать свои программы для всех дистрибутивов Linux каждый раз, как они обновляются. Назначение антивируса а Linux -- проверять почту и файлы при передаче их пользователям Windows.

На сегодня главное достоинство антивируса -- это не количество знакомых ему вирусов, а оперативность обновления базы данных, по которым определяются новые вирусы. Чем раньше новый вирус станет известен, тем больше шансов не "пропустить" вирусную атаку. ClamAV здесь показывает неплохие результаты, находясь, по некоторым сведениям, в тройке лучших по оперативности добавления информации о новых вирусах. Следует заметить, что ClamAV -- это сканер, он определяет факт заражённости файла, но не "лечит" его. Впрочем, подавляющее большинство современных вредоносных программ -- "червей", "ботов" и т. п. -- не заражают файлы, так что для того, чтобы от них избавиться, их надо удалить.

Firewall

Существует убеждение, что в системе должна быть сущность под названием Firewall, которая постоянно задает вопросы вроде "А хотите ли Вы, чтобы к вам присоединились?" или "А хотите ли Вы, чтобы какая-то программа куда-то присоединилась?". Откуда такое представление? Во-первых, человеку абсолютно бесполезно объяснять, что такое стэк протоколов TCP/IP, во-вторых, в ОС Windows много входящих портов и служб, в которых есть проблемы с безопасностью, оставлены открытыми, и в этой ОС необходимость наличия такой сущности очевидна. С другой стороны, это связано с предыдущим пунктом --- существует масса ПО вирусного типа, которое устанавливается без санкции пользователя, и делает нечто незаметное. И Firewall играет роль некого сторожа, который это отслеживает, и, если что-то кажется ему подозрительным, он требует разрешения пользователя на это действие.

Программы подобного класса в ОС Linux есть, например, Suse personal firewall. Но необходимость подобного ПО очень и очень сомнительна, так как нет необходимости контролировать входящие и исходящие подключения --- по умолчанию нет ни одной службы, которой можно подключиться снаружи. И если администратор что-то открыл, то он что-то открыл, сознавая это, и это его дело. Используется же firewall, который с точки зрения системы выглядит иначе: это таблица правил, указывающая, каким образом поступать с какими пакетами в различных сетевых соединениях на различных уровнях сетевого взаимодействия. В ОС Linux таким firewall-ом является iptables.

Оптимизация

Наличие оптимизаторов --- явный признак того, что систему можно привести в состояние, требующее оптимизации.

  • Оптимизация системы.
    • В ОС Linux существует только одна возможность заполнить ненужными пакетами систему: если устанавливаемая программа зависит от других программ, то они не будут автоматически удалены при удалении самой программы. Таким образом, единственный способ внести некоторый беспорядок в систему --- постоянно что-то ставить и удалять, после чего останется некоторое число пакетов, которые не используются. Но их вполне можно найти и удалить штатными средствами.
    • Что же касается ОС Windows, то в ней практически невозможно составить гармоничный список того ПО, которое ставится на компьютер. Это усугубляется реестром, который является базой данных, содержащей информацию обо всех настройках системы. Реестр практически не документирован и слишком велик, чтобы держать все настройки в голове. Он очень часто приходит в замусоренное состояние и крайне неудобен в использовании человеком. В ОС Linux есть каталог /etc, в котором хранятся конфигурационные файлы. Конфигурационные файлы принадлежат пакету, при удалении установленного пакета они либо удаляются, либо откладываются с другим именем. Таким образом, невозможно перепутать действующий конфигурационный файл с отложенным.
  • Оптимизация диска.
    • Файловые системы в ПСПО (ext3) устроены так, что оптимизация им не требуется. Платится за это порогом оптимизации --- 10% - т.е. они всегда неоптимальны, но не более, чем на 10%. Она устроена следующим образом: файл расположен в пределах одной группы цилиндров (цилиндр --- это элемент диска на уровне более низком, чем файловая система), внутри которой дефрагментация не требуется (фрагментация просто-напросто отсутствует). Когда система пишет файл на диск, она пытается записать его так, чтобы он попал в одну группу цилиндров. Если файл не влезает в группу цилиндров, это значит, что просто не хватает места, и она записывает остаток файла в другие группы, по возможности соседние. Если же удалить часть файлов и поработать с остальными, то фрагментация, точнее, её отсутствие, восстановится. Кроме того, небольшая часть диска всегда свободна - её может заполнить только root.

Администратор

Во всех POSIX-системах, в частности, ОС Linux, в частности, ПСПО, есть 2 категории пользователей. В первой --- root (не администратор, как в ОС Windows), во второй -- все остальные. На суперпользователя (root-а) не распространяются никакие ограничения по правам доступа (но при включении неких дополнительных мер безопасности это может быть и не так). В результате, он имеет права на запись к большинству файлов в файловой системе. У пользователя есть доступ только к домашнему каталогу. ОС Linux организована так, что пользователю не нужно никуда, кроме как в это каталог, что-либо записывать. Работа с ПО происходит от лица обычного пользователя всегда, даже если это служба. Обычному пользователю не рекомендуется выполнять действия от лица суперпользователя, не зная, к чему они приводят. От лица root-а запускается две операции: настройка сети, графики, системных служб и установка/удаление программ (Alterator и Synaptic). Но и то, и другое происходит не в результате работы самой программы с правами суперпользователя сразу, а запуском специальных программ, которые эти права получают. При попытке запустить графическое окружение от лица суперпользователя будет показано предупреждение.

Отдельно надо упомянуть об администраторах служб: администратор принтерного сервера, БД и прочее. Для этого зачастую не нужно получать права суперпользователя, всего лишь состоять в особой группе, а даже если нужно, то всё сводится к изменению конфигурационных файлов или запуска специальных приложений, что можно эффективно ограничить (например, при помощи программы sudo).

Не следует путать root-а и администратора Windows. Администратор с точки зрения ОС Linux это не регистрационное имя, а человек. Он работает большую часть времени с правами обычного пользователя и изредка совершает некоторые действия от лица суперпользователя (собственно говоря, он вообще имеет возможность их совершать), и обычно эти действия связаны с настройкой системных служб.


Сведения о ресурсах

Готовность (%)

Продолжительность (ак. ч.)

Подготовка (календ. ч.)

Полный текст (раб. д.)

Предварительные знания

Level

Maintainer

Start date

End date

90

1

1

1

1

ПетрНикольский, ОльгаТочилкина, MaximByshevskiKonopko


CategoryLectures CategoryPspo CategoryMpgu CategoryUneex

PspoClasses/080813/05DeMyth (last edited 2008-11-27 11:07:47 by FrBrGeorge)