Differences between revisions 8 and 24 (spanning 16 versions)
Revision 8 as of 2008-08-21 18:19:17
Size: 17017
Comment:
Revision 24 as of 2008-11-27 11:07:47
Size: 23262
Editor: FrBrGeorge
Comment:
Deletions are marked like this. Additions are marked like this.
Line 3: Line 3:
 * '''Контрафактное ПО'''. Для прояснения этого мифа очень помогает рассказ про свободное-несвободное ПО (см. первую лекцию школы). Может быть имеет смысл обратить внимание на СПО в качестве основного примера. Основные легенды: === Контрафактное ПО ===
Line 5: Line 5:
  1. Ни одну программу копировать нельзя Для прояснения этого мифа рекомендуется рассмотреть свободное и несвободное ПО (см. первую лекцию школы), при этом, возможно, имеет смысл обратить внимание на свободное программное обеспечение в качестве основного примера. Основные легенды:
Line 7: Line 7:
  1. Программное обеспечение работает плохо потому, что оно контрафактное.  1. Ни одну программу копировать нельзя. Это неправда, всё зависит от условий распространения. Даже некоторые несвободные программы можно копировать.
Line 9: Line 9:
  1. СПО это халява, поэтому ничего не готово. В этом случае надо показать процесс разработки, надо сказать, что действительно есть много незаконченных проектов, но если судить по качеству, готовности и так далее, то ситуация схожа с Windows, но модель распространения и использования --- другая.  1. Программное обеспечение работает плохо потому, что оно контрафактное. В подавляющем большинстве случаев контрафактное ПО отличается от лицензионного лишь формально, сообразно тому, каким образом получен "регистрационный код" (или что-то аналогичное) -- путём оплаты или незаконным (не предусмотренным авторами) путём.
Line 11: Line 11:
 1. Так как свободное программное обеспечение бесплатно, то оно производится неквалифицированными энтузиастами, и как следствие, ничего не готово к использованию прямо сейчас. В этом случае надо показать процесс разработки, надо сказать, что действительно есть много незаконченных проектов, но, если судить по качеству, готовности и так далее, ситуация схожа с ситуацией с несвободным программным обеспечением, просто модель распространения и использования --- другая.
Line 12: Line 13:
 * '''Обновление системы'''. Есть два мнения: === Обновление системы ===
Line 14: Line 15:
  1. Windows не надо обновлять, поскольку это может нарушить работоспособность. У этого есть основа, так как есть много сторонних программ, и они могут пострадать в результате обновления всей системы. Существуют два мнения:
Line 16: Line 17:
  1. Система не без обновления --- система с дырой в безопасности. Это - не легенда, а правда. В случае с Linux критических дыр очень мало, одна в несколько лет, и хороший дистрибутив обновляется через несколько часов после появления такой ошибки.  * Операционную систему Windows не надо обновлять, поскольку это может нарушить её работоспособность. В это есть смысл, так как установлено много сторонних программ, и они могут пострадать в результате обновления всей системы.
Line 18: Line 19:
 * '''Установка и обновление программ'''. Если вы устанавливаете программу в дистрибутив и хотите установить более новую программу, то всё зависит от того, что это за более новая программа. Если это критические обновления, то они всяко будут в updates. Причем эта программа будет совместима с предыдущей версией. Если же ставится какая-то альфа версия, не проверенная на совместимость с предыдущей, то это вина того, кто ее установил. В случае, если берёте пакет из сизифа, то лучше брать src.rpm и собирать его в своём окружении. Если собрался то прекрасно, если не собрался, то и хорошо, что не ставили.
  Эшелонирование источников ПО ОС Linux:
 * Система без обновления обязательно имеет проблемы с безопасностью. Это не легенда, а правда. В случае с GNU/Linux критических дыр очень мало, одна в несколько лет, и хороший дистрибутив обновляется через несколько часов после появления такой ошибки.

=== Установка и обновление программ ===

Если Вы устанавливаете программу в дистрибутив или хотите обновить уже установленную программу, всё зависит от того, что это за более новая программа. Если это критические обновления, то они наверняка будут в updates. Причем эта программа будет совместима с предыдущей версией. Если же ставится версия, не проверенная на совместимость с предыдущей, то это вина того, кто ее установил. В случае, если Вы берёте новый непроверенный пакет из хранилища, лучше брать src.rpm и собирать его в своём окружении. Если это удалось, значит, всё хорошо, если не собрался, то правильно сделали, что не ставили.

 Эшелонирование источников ПО ОС Linux:
Line 22: Line 28:
  1. Интернет (стороннее ПО). Это уже более рискованно, даже более рискованно, чем установка проверенного софта для Windows, кроме случая, когда программа собиралась для той ОС той версии, которую вы используете.
  В рамках обычной пользовательской потребности все это очень просто.
  1. Интернет (стороннее ПО). Это уже более рискованно, даже более рискованно, чем установка проверенного ПО в ОС Windows, кроме случая, когда программа собиралась для той ОС той версии, которую вы используете.
 В рамках обычных пользовательских потребностей все это, в целом, очень просто, так как довольно мало свободного программного обеспечения не входит в репозиторий.
Line 25: Line 31:
 * '''Вирусы'''. Это миф по нескольким причинам: === Вирусы ===
Line 27: Line 33:
  1. В 2000 годах была реклама Windows и антиреклама ОС Linux, тогда Microsoft начала наступление на серверный рынок и напирала на то, что ОС Linux разные, а Windows всегда одинаковый. Это действительно так, и одним из следствий этого является то, что программа, эксплуатирующая одну уязвимость одного дистрибутива скорее всего не будет работать в другом дистрибутиве или даже в том же дистрибутиве через полгода О вирусах существует насколько мифов:
Line 29: Line 35:
  1. Обычный пользователь в ОС Linux выполняет всего две операции над всей системой с правами администратора --- установка ПО и настройка сети. И даже эти две операции выполняются с помощью специального ПО. В итоге помимо вашей воли нарушить работу системы нельзя никак. Саме большее, что может испортить вирус --- ваш домашний каталог, в результате чего может появиться спамбот.  1. В 2000х годах в рамках рекламы ОС Windows и, соответственно, антирекламы ОС Linux Microsoft, стараясь завоевать серверный рынок, утверждали, что ОС Linux разные, а ОС Windows всегда одинаковый. Это действительно так, и одним из следствий этого является то, что программа, эксплуатирующая одну уязвимость некоего программного продукта в одном дистрибутиве, скорее всего, не будет работать в другом дистрибутиве или даже в том же дистрибутиве через несколько недель или даже дней.
Line 31: Line 37:
  1. Вы скачали и установили ПО, содержащее зловредный код. В каком случае это может быть? У вас задача, решения которой нет в хранилище, и это не известный производитель программ. Поэтому сначала вы смотрите в имеющееся, потом хранилище, в крайнем случае --- на сайтах производителей ПО. Кроме того существует защита электронной подписью.  1. Обычный пользователь в ОС Linux выполняет всего две операции над всей системой с правами администратора: установка ПО и некоторые редактирования конфигурационных файлов. Таким образом, помимо Вашей воли нарушить работу системы нельзя никак. Если каким-то образом случится так, что проэксплуатируется ещё не закрытая уязвимость в какой-то программе и будет запущен вредоносный код, то он скорее всего не сможет сделать ничего плохого с системой, потому что каждый демон, отвечающий за некоторый сервис, запускается от лица специального пользователя, сильно поражённого в правах. А если он запускается с правами суперпользователя, то в изолированном окружении.
Line 33: Line 39:
  1. Не последнюю роль играет также и то, что Linux - нераспространенная и трудновзламываемая ОС. Большинство взломов системы делается вручную или с помощью специальной программы.  1. Вы скачали и установили ПО, содержащее зловредный код. В каком случае это может быть? В дистрибутиве Linux обычно включено огромное число заведомо "чистых" программных продуктов; в хранилище их ещё больше. Скорее всего, у вас задача, решения которой нет в хранилище, но есть некий неизвестный производитель программ, который выпускает нужный продукт. Для начала, стоит проанализировать задачу --- зачастую её можно будет решить при помощи находящегося в репозитории программного обеспечения. Если же программа стороннего производителя настолько уникальна, что без неё обойтись никак нельзя, можно, тем не менее, предпринять некоторые шаги по сохранению безопастности системы. Как-то, запускать программу в изолированном окружении, запускать программу от лица специального поражённого в правах пользователя, если это Windows-программа --- настроить окружение wine таким образом, что эта программа не сможет навредить нигде, кроме заданного каталога.
Line 35: Line 41:
  Тем не менее, антивирус под ОС Linux есть. ClamAV. Под Linux есть и Антивирус Касперского, и Dr. Web. Лектор использовал и Dr. Web, и Касперский. Результаты - неудовлетворительные. Что касается Dr. Web-а, он начал сканировать, удалять контент и писать, что просканировано демо-версией Dr. Web-а. В случае с Касперским, он сканировал почту и сам себе писал, что просканировал, а затем проверял свое же сообщение
  В случае с базами главное --- оперативность.
 1. Не последнюю роль играет также и то, что ОС Linux - нераспространенная и трудновзламываемая ОС. То, что называют "взломами" для ОС Linux, в большинстве случаев есть уязвимости в некотором программном обеспечении. И если эти уязвимости представляют серьёзную угрозу безопасности, то они будут устранены весьма быстро --- иногда, в течение нескольких часов.
Line 38: Line 43:
 * '''Firewall'''. В системе должен быть Firewall, который постоянно спрашивает "А хотите ли Вы, чтобы к вам присоединились?" Или наоборот "А хотите ли Вы, чтобы какая-то программа куда-то присоединилась?". Откуда такое представление? Во-первых, человеку абсолютно бесполезно объяснять, что такое сетевое подключение, а во-вторых Windows оставляет открытыми много входящих портов и служб, в которых есть дыры. С другой стороны, это связан с предыдущим пунктом --- существует масса ПО вирусного типа, которая устанавливается без санкции пользователя, но ведёт себя не слишком агрессивно, и делает что-то незаметное. И сажается специальный сторож, который это отслеживает, если он не хочет идти в сеть, а служба хочет, то он спрашивает. Тем не менее антивирус для ОС Linux есть --- это ClamAV и графические оболочки к нему (например, KlamAV для KDE). Под ОС Linux есть и Антивирус Касперского, и Dr. Web, однако они не всегда корректно работают: это несвободные программные продукты, а у авторов нет возможности адаптировать свои программы ''для всех'' дистрибутивов Linux ''каждый раз'', как они обновляются. Назначение антивируса а Linux -- проверять почту и файлы при передаче их пользователям Windows.
Line 40: Line 45:
Программы подобного класса в ОС Linux есть, например Suse personal firewall. Но необходимость подобного ПО очень и очень сомнительна, так как нет необходимости контролировать входящие и исходящие подключения --- ни одной службы, которой можно подключиться снаружи, нет. И если администратор что-то открыл, то он что-то открыл, и это его дело. Используется же firewall, который с точки зрения системы выглядит иначе: это таблица правил, что разрешить, что запретить. В ОС Linux таким firewall-ом является iptables, круче только в openbsd --- pf. На сегодня главное достоинство антивируса -- это не количество знакомых ему вирусов, а оперативность обновления базы данных, по которым определяются ''новые'' вирусы. Чем раньше новый вирус станет известен, тем больше шансов не "пропустить" вирусную атаку. ClamAV здесь показывает неплохие результаты, находясь, по некоторым сведениям, в тройке лучших по оперативности добавления информации о новых вирусах. Следует заметить, что ClamAV -- это ''сканер'', он определяет факт заражённости файла, но не "лечит" его. Впрочем, подавляющее большинство современных вредоносных программ -- "червей", "ботов" и т. п. -- не заражают ''файлы'', так что для того, чтобы от них избавиться, их надо удалить.
Line 42: Line 47:
 * '''Оптимизация'''. Наличие оптимизаторов --- явный признак того, что систему можно привести в состояние, требующее оптимизации. === Firewall ===
Line 44: Line 49:
  * Оптимизация системы. Существует убеждение, что в системе должна быть сущность под названием Firewall, которая постоянно задает вопросы вроде "А хотите ли Вы, чтобы к вам присоединились?" или "А хотите ли Вы, чтобы какая-то программа куда-то присоединилась?". Откуда такое представление? Во-первых, человеку абсолютно бесполезно объяснять, что такое стэк протоколов TCP/IP, во-вторых, в ОС Windows много входящих портов и служб, в которых есть проблемы с безопасностью, оставлены открытыми, и в этой ОС необходимость наличия такой сущности очевидна. С другой стороны, это связано с предыдущим пунктом --- существует масса ПО вирусного типа, которое устанавливается без санкции пользователя, и делает нечто незаметное. И Firewall играет роль некого сторожа, который это отслеживает, и, если что-то кажется ему подозрительным, он требует разрешения пользователя на это действие.
Line 46: Line 51:
  В ОС Linux существует только одна степень хаоса: если устанавливаемая программа зависит от других программ, то они не будут автоматически удалены при удалении самой программы. Таким образом единственный способ внести беспорядок в систему --- постоянно что-то ставить и удалять, после чего останется определенная часть пакетов, которые не используются. Программы подобного класса в ОС Linux есть, например, Suse personal firewall. Но необходимость подобного ПО очень и очень сомнительна, так как нет необходимости контролировать входящие и исходящие подключения --- по умолчанию нет ни одной службы, которой можно подключиться снаружи. И если администратор что-то открыл, то он что-то открыл, сознавая это, и это его дело. Используется же firewall, который с точки зрения системы выглядит иначе: это таблица правил, указывающая, каким образом поступать с какими пакетами в различных сетевых соединениях на различных уровнях сетевого взаимодействия. В ОС Linux таким firewall-ом является iptables.
Line 48: Line 53:
  Что же касается Windows, то там проблема одна --- невозможно составить гармоничный список того ПО, которое ставится на компьютер. Это усугубляется реестром, который является базой данных обо всех настройках системы. Реестр практически не документирован, и слишком велик, чтобы держать все настройки в голове. Он очень часто приходит в замусоренное состояние и крайне неудобен в использовании . В Linux же есть каталог /etc, в котором хранятся конфигурационные файлы. Конфигурационные файлы принадлежат пакету, при удалении установленного пакета они либо удаляются, либо откладываются, но с другим именем. Таким образом невозможно перепутать действующий конфигурационный файл с отложенным. === Оптимизация ===
Line 50: Line 55:
  * Оптимизация диска.
  ФС в ПСПО (ext3) устроены так, что оптимизация им не требуется. Платится за это порогом оптимизации --- 10% - т.е. они всегда неоптимальны, но не более, чем на 10%. Она устроена следующим образом: если файл расположен в пределах одной группы цилиндров, в которой дефрагментация не требуется. Когда система пишет файл на диск, она пытается записать его так, чтобы он попал в одну группу цилиндров. Если файл не влезает в группу цилиндров, это значит, что просто не хватает места и она записывает его как попало. Если же поудалять часть фалов и поработать с остальными, то фрагментация восстановится. Кроме того 10% диска всегда свободны - их может заполнить только root.
Наличие оптимизаторов --- явный признак того, что систему можно привести в состояние, требующее оптимизации.
Line 53: Line 57:
 * '''Администратор'''. Во всех posix-системах, в частности, ОС Linux, в частности, ПСПО есть 2 категории пользователей. В первой --- root (не администратор, как в Windows), во второй -- все остальные. На суперпользователя (root-а) не распространяются никакие ограничения по правам доступа (если только не включен SE (рассказ про RSBAC --- role-setting based access control)). В результате он имеет права на запись к большинству файлов в файловой системе. У пользователя есть доступ только к домашнему каталогу. ОС Linux организована так, что пользователю не нужно никуда, кроме как в это каталог записывать. Работа с ПО происходит от лица обычного польз всегда, даже если это служба. Обычному пользователю не рекомендуется выполнять действия от лица суперпользователя, не зная, к чему они приводят. От лица root-а запускается две операции --- настройка сети, графики, системных служб и установка/удаление программ (альтератор и синаптик). Но и то, и другое происходит не в результате работы с правами суперпользователя, а запуском специальных программ, которые эти права получают. При попытки запустить графическое окружение от лица суперпользователя будет показано предупреждение  * Оптимизация системы.
Line 55: Line 59:
Отдельно надо упомянуть об администраторах служб: администратор принтерного сервера, БД и пр. Для этого зачастую не нужно получать права суперпользователя, а даже если нужно, то всё сводится к изменению конфигурационных файлов или запуска специальных. приложений.   * В ОС Linux существует только одна возможность заполнить ненужными пакетами систему: если устанавливаемая программа зависит от других программ, то они не будут автоматически удалены при удалении самой программы. Таким образом, единственный способ внести некоторый беспорядок в систему --- постоянно что-то ставить и удалять, после чего останется некоторое число пакетов, которые не используются. Но их вполне можно найти и удалить штатными средствами.
Line 57: Line 61:
Не следует путать root-а и администратора Windows. Администратор с точки зрения ОС Linux это не логин. а человек. Он работает большую часть времени с правами обычного пользователя, и изредка совершает какие-то действия из-под лица суперпользователя. Обычно это связано с настройкой системных служб.   * Что же касается ОС Windows, то в ней практически невозможно составить гармоничный список того ПО, которое ставится на компьютер. Это усугубляется реестром, который является базой данных, содержащей информацию обо всех настройках системы. Реестр практически не документирован и слишком велик, чтобы держать все настройки в голове. Он очень часто приходит в замусоренное состояние и крайне неудобен в использовании человеком. В ОС Linux есть каталог /etc, в котором хранятся конфигурационные файлы. Конфигурационные файлы принадлежат пакету, при удалении установленного пакета они либо удаляются, либо откладываются с другим именем. Таким образом, невозможно перепутать действующий конфигурационный файл с отложенным.

 * Оптимизация диска.
  
  * Файловые системы в ПСПО (ext3) устроены так, что оптимизация им не требуется. Платится за это порогом оптимизации --- 10% - т.е. они всегда неоптимальны, но не более, чем на 10%. Она устроена следующим образом: файл расположен в пределах одной группы цилиндров (цилиндр --- это элемент диска на уровне более низком, чем файловая система), внутри которой дефрагментация не требуется (фрагментация просто-напросто отсутствует). Когда система пишет файл на диск, она пытается записать его так, чтобы он попал в одну группу цилиндров. Если файл не влезает в группу цилиндров, это значит, что просто не хватает места, и она записывает остаток файла в другие группы, по возможности соседние. Если же удалить часть файлов и поработать с остальными, то фрагментация, точнее, её отсутствие, восстановится. Кроме того, небольшая часть диска всегда свободна - её может заполнить только root.

=== Администратор ===

Во всех POSIX-системах, в частности, ОС Linux, в частности, ПСПО, есть 2 категории пользователей. В первой --- root (не администратор, как в ОС Windows), во второй -- все остальные. На суперпользователя (root-а) не распространяются никакие ограничения по правам доступа (но при включении неких дополнительных мер безопасности это может быть и не так). В результате, он имеет права на запись к большинству файлов в файловой системе. У пользователя есть доступ только к домашнему каталогу. ОС Linux организована так, что пользователю не нужно никуда, кроме как в это каталог, что-либо записывать. Работа с ПО происходит от лица обычного пользователя всегда, даже если это служба. Обычному пользователю не рекомендуется выполнять действия от лица суперпользователя, не зная, к чему они приводят. От лица root-а запускается две операции: настройка сети, графики, системных служб и установка/удаление программ (Alterator и Synaptic). Но и то, и другое происходит не в результате работы самой программы с правами суперпользователя сразу, а запуском специальных программ, которые эти права получают. При попытке запустить графическое окружение от лица суперпользователя будет показано предупреждение.

Отдельно надо упомянуть об администраторах служб: администратор принтерного сервера, БД и прочее. Для этого зачастую не нужно получать права суперпользователя, всего лишь состоять в особой группе, а даже если нужно, то всё сводится к изменению конфигурационных файлов или запуска специальных приложений, что можно эффективно ограничить (например, при помощи программы sudo).

Не следует путать root-а и администратора Windows. Администратор с точки зрения ОС Linux это не регистрационное имя, а человек. Он работает большую часть времени с правами обычного пользователя и изредка совершает некоторые действия от лица суперпользователя (собственно говоря, он вообще имеет возможность их совершать), и обычно эти действия связаны с настройкой системных служб.
Line 61: Line 77:
## ВНИМАНИЕ! Поля значащие, просьба редактироать только числа и списки модулей
## Требования к знаниям слушателя имена модулей через пробел; если нет пустая ячейка
## Ментейнеры прописываются в сответствии с PspoTasks
## ВНИМАНИЕ! Поля значащие, просьба редактировать только числа и списки модулей
## Требования к знаниям слушателя -- имена модулей через пробел; если нет -- пустая ячейка
## Ментейнеры прописываются в соответствии с PspoTasks
Line 65: Line 81:
|| 10      || 1 || 1 || 1 || || 1 || ПетрНикольский, ОльгаТочилкина, MaximByshevskiKonopko || || || || 90 || 1 || 1 || 1 || || 1 || ПетрНикольский, ОльгаТочилкина, MaximByshevskiKonopko || || ||

Демифологизация: продолжение

Контрафактное ПО

Для прояснения этого мифа рекомендуется рассмотреть свободное и несвободное ПО (см. первую лекцию школы), при этом, возможно, имеет смысл обратить внимание на свободное программное обеспечение в качестве основного примера. Основные легенды:

  1. Ни одну программу копировать нельзя. Это неправда, всё зависит от условий распространения. Даже некоторые несвободные программы можно копировать.
  2. Программное обеспечение работает плохо потому, что оно контрафактное. В подавляющем большинстве случаев контрафактное ПО отличается от лицензионного лишь формально, сообразно тому, каким образом получен "регистрационный код" (или что-то аналогичное) -- путём оплаты или незаконным (не предусмотренным авторами) путём.
  3. Так как свободное программное обеспечение бесплатно, то оно производится неквалифицированными энтузиастами, и как следствие, ничего не готово к использованию прямо сейчас. В этом случае надо показать процесс разработки, надо сказать, что действительно есть много незаконченных проектов, но, если судить по качеству, готовности и так далее, ситуация схожа с ситуацией с несвободным программным обеспечением, просто модель распространения и использования --- другая.

Обновление системы

Существуют два мнения:

  • Операционную систему Windows не надо обновлять, поскольку это может нарушить её работоспособность. В это есть смысл, так как установлено много сторонних программ, и они могут пострадать в результате обновления всей системы.
  • Система без обновления обязательно имеет проблемы с безопасностью. Это не легенда, а правда. В случае с GNU/Linux критических дыр очень мало, одна в несколько лет, и хороший дистрибутив обновляется через несколько часов после появления такой ошибки.

Установка и обновление программ

Если Вы устанавливаете программу в дистрибутив или хотите обновить уже установленную программу, всё зависит от того, что это за более новая программа. Если это критические обновления, то они наверняка будут в updates. Причем эта программа будет совместима с предыдущей версией. Если же ставится версия, не проверенная на совместимость с предыдущей, то это вина того, кто ее установил. В случае, если Вы берёте новый непроверенный пакет из хранилища, лучше брать src.rpm и собирать его в своём окружении. Если это удалось, значит, всё хорошо, если не собрался, то правильно сделали, что не ставили.

  • Эшелонирование источников ПО ОС Linux:
    1. Дистрибутив, в нём достаточно много программ, чтобы не приходилось идти дальше.
    2. Репозиторий, там есть ещё больше программ.
    3. Интернет (стороннее ПО). Это уже более рискованно, даже более рискованно, чем установка проверенного ПО в ОС Windows, кроме случая, когда программа собиралась для той ОС той версии, которую вы используете.
    В рамках обычных пользовательских потребностей все это, в целом, очень просто, так как довольно мало свободного программного обеспечения не входит в репозиторий.

Вирусы

О вирусах существует насколько мифов:

  1. В 2000х годах в рамках рекламы ОС Windows и, соответственно, антирекламы ОС Linux Microsoft, стараясь завоевать серверный рынок, утверждали, что ОС Linux разные, а ОС Windows всегда одинаковый. Это действительно так, и одним из следствий этого является то, что программа, эксплуатирующая одну уязвимость некоего программного продукта в одном дистрибутиве, скорее всего, не будет работать в другом дистрибутиве или даже в том же дистрибутиве через несколько недель или даже дней.
  2. Обычный пользователь в ОС Linux выполняет всего две операции над всей системой с правами администратора: установка ПО и некоторые редактирования конфигурационных файлов. Таким образом, помимо Вашей воли нарушить работу системы нельзя никак. Если каким-то образом случится так, что проэксплуатируется ещё не закрытая уязвимость в какой-то программе и будет запущен вредоносный код, то он скорее всего не сможет сделать ничего плохого с системой, потому что каждый демон, отвечающий за некоторый сервис, запускается от лица специального пользователя, сильно поражённого в правах. А если он запускается с правами суперпользователя, то в изолированном окружении.
  3. Вы скачали и установили ПО, содержащее зловредный код. В каком случае это может быть? В дистрибутиве Linux обычно включено огромное число заведомо "чистых" программных продуктов; в хранилище их ещё больше. Скорее всего, у вас задача, решения которой нет в хранилище, но есть некий неизвестный производитель программ, который выпускает нужный продукт. Для начала, стоит проанализировать задачу --- зачастую её можно будет решить при помощи находящегося в репозитории программного обеспечения. Если же программа стороннего производителя настолько уникальна, что без неё обойтись никак нельзя, можно, тем не менее, предпринять некоторые шаги по сохранению безопастности системы. Как-то, запускать программу в изолированном окружении, запускать программу от лица специального поражённого в правах пользователя, если это Windows-программа --- настроить окружение wine таким образом, что эта программа не сможет навредить нигде, кроме заданного каталога.
  4. Не последнюю роль играет также и то, что ОС Linux - нераспространенная и трудновзламываемая ОС. То, что называют "взломами" для ОС Linux, в большинстве случаев есть уязвимости в некотором программном обеспечении. И если эти уязвимости представляют серьёзную угрозу безопасности, то они будут устранены весьма быстро --- иногда, в течение нескольких часов.

Тем не менее антивирус для ОС Linux есть --- это ClamAV и графические оболочки к нему (например, KlamAV для KDE). Под ОС Linux есть и Антивирус Касперского, и Dr. Web, однако они не всегда корректно работают: это несвободные программные продукты, а у авторов нет возможности адаптировать свои программы для всех дистрибутивов Linux каждый раз, как они обновляются. Назначение антивируса а Linux -- проверять почту и файлы при передаче их пользователям Windows.

На сегодня главное достоинство антивируса -- это не количество знакомых ему вирусов, а оперативность обновления базы данных, по которым определяются новые вирусы. Чем раньше новый вирус станет известен, тем больше шансов не "пропустить" вирусную атаку. ClamAV здесь показывает неплохие результаты, находясь, по некоторым сведениям, в тройке лучших по оперативности добавления информации о новых вирусах. Следует заметить, что ClamAV -- это сканер, он определяет факт заражённости файла, но не "лечит" его. Впрочем, подавляющее большинство современных вредоносных программ -- "червей", "ботов" и т. п. -- не заражают файлы, так что для того, чтобы от них избавиться, их надо удалить.

Firewall

Существует убеждение, что в системе должна быть сущность под названием Firewall, которая постоянно задает вопросы вроде "А хотите ли Вы, чтобы к вам присоединились?" или "А хотите ли Вы, чтобы какая-то программа куда-то присоединилась?". Откуда такое представление? Во-первых, человеку абсолютно бесполезно объяснять, что такое стэк протоколов TCP/IP, во-вторых, в ОС Windows много входящих портов и служб, в которых есть проблемы с безопасностью, оставлены открытыми, и в этой ОС необходимость наличия такой сущности очевидна. С другой стороны, это связано с предыдущим пунктом --- существует масса ПО вирусного типа, которое устанавливается без санкции пользователя, и делает нечто незаметное. И Firewall играет роль некого сторожа, который это отслеживает, и, если что-то кажется ему подозрительным, он требует разрешения пользователя на это действие.

Программы подобного класса в ОС Linux есть, например, Suse personal firewall. Но необходимость подобного ПО очень и очень сомнительна, так как нет необходимости контролировать входящие и исходящие подключения --- по умолчанию нет ни одной службы, которой можно подключиться снаружи. И если администратор что-то открыл, то он что-то открыл, сознавая это, и это его дело. Используется же firewall, который с точки зрения системы выглядит иначе: это таблица правил, указывающая, каким образом поступать с какими пакетами в различных сетевых соединениях на различных уровнях сетевого взаимодействия. В ОС Linux таким firewall-ом является iptables.

Оптимизация

Наличие оптимизаторов --- явный признак того, что систему можно привести в состояние, требующее оптимизации.

  • Оптимизация системы.
    • В ОС Linux существует только одна возможность заполнить ненужными пакетами систему: если устанавливаемая программа зависит от других программ, то они не будут автоматически удалены при удалении самой программы. Таким образом, единственный способ внести некоторый беспорядок в систему --- постоянно что-то ставить и удалять, после чего останется некоторое число пакетов, которые не используются. Но их вполне можно найти и удалить штатными средствами.
    • Что же касается ОС Windows, то в ней практически невозможно составить гармоничный список того ПО, которое ставится на компьютер. Это усугубляется реестром, который является базой данных, содержащей информацию обо всех настройках системы. Реестр практически не документирован и слишком велик, чтобы держать все настройки в голове. Он очень часто приходит в замусоренное состояние и крайне неудобен в использовании человеком. В ОС Linux есть каталог /etc, в котором хранятся конфигурационные файлы. Конфигурационные файлы принадлежат пакету, при удалении установленного пакета они либо удаляются, либо откладываются с другим именем. Таким образом, невозможно перепутать действующий конфигурационный файл с отложенным.
  • Оптимизация диска.
    • Файловые системы в ПСПО (ext3) устроены так, что оптимизация им не требуется. Платится за это порогом оптимизации --- 10% - т.е. они всегда неоптимальны, но не более, чем на 10%. Она устроена следующим образом: файл расположен в пределах одной группы цилиндров (цилиндр --- это элемент диска на уровне более низком, чем файловая система), внутри которой дефрагментация не требуется (фрагментация просто-напросто отсутствует). Когда система пишет файл на диск, она пытается записать его так, чтобы он попал в одну группу цилиндров. Если файл не влезает в группу цилиндров, это значит, что просто не хватает места, и она записывает остаток файла в другие группы, по возможности соседние. Если же удалить часть файлов и поработать с остальными, то фрагментация, точнее, её отсутствие, восстановится. Кроме того, небольшая часть диска всегда свободна - её может заполнить только root.

Администратор

Во всех POSIX-системах, в частности, ОС Linux, в частности, ПСПО, есть 2 категории пользователей. В первой --- root (не администратор, как в ОС Windows), во второй -- все остальные. На суперпользователя (root-а) не распространяются никакие ограничения по правам доступа (но при включении неких дополнительных мер безопасности это может быть и не так). В результате, он имеет права на запись к большинству файлов в файловой системе. У пользователя есть доступ только к домашнему каталогу. ОС Linux организована так, что пользователю не нужно никуда, кроме как в это каталог, что-либо записывать. Работа с ПО происходит от лица обычного пользователя всегда, даже если это служба. Обычному пользователю не рекомендуется выполнять действия от лица суперпользователя, не зная, к чему они приводят. От лица root-а запускается две операции: настройка сети, графики, системных служб и установка/удаление программ (Alterator и Synaptic). Но и то, и другое происходит не в результате работы самой программы с правами суперпользователя сразу, а запуском специальных программ, которые эти права получают. При попытке запустить графическое окружение от лица суперпользователя будет показано предупреждение.

Отдельно надо упомянуть об администраторах служб: администратор принтерного сервера, БД и прочее. Для этого зачастую не нужно получать права суперпользователя, всего лишь состоять в особой группе, а даже если нужно, то всё сводится к изменению конфигурационных файлов или запуска специальных приложений, что можно эффективно ограничить (например, при помощи программы sudo).

Не следует путать root-а и администратора Windows. Администратор с точки зрения ОС Linux это не регистрационное имя, а человек. Он работает большую часть времени с правами обычного пользователя и изредка совершает некоторые действия от лица суперпользователя (собственно говоря, он вообще имеет возможность их совершать), и обычно эти действия связаны с настройкой системных служб.


Сведения о ресурсах

Готовность (%)

Продолжительность (ак. ч.)

Подготовка (календ. ч.)

Полный текст (раб. д.)

Предварительные знания

Level

Maintainer

Start date

End date

90

1

1

1

1

ПетрНикольский, ОльгаТочилкина, MaximByshevskiKonopko


CategoryLectures CategoryPspo CategoryMpgu CategoryUneex

PspoClasses/080813/05DeMyth (last edited 2008-11-27 11:07:47 by FrBrGeorge)