Руткиты могли быть эффективными для некорневых пользователей?

После неверного истолкования значения этого вопроса я задаюсь вопросом, могли ли руткиты и другие вредоносные программы быть эффективными, если у пользователя нет корневых полномочий.

Руткиты обычно обманывают пользователей с корневыми полномочиями заразить вирусом или другим корнем вредоносной программы полномочия, поэтому позволяя им сделать в значительной степени что-либо. Если бы одна из этих программ встретилась с некорневым пользователем, то это могло бы быть эффективно?

4
задан 13 April 2017 в 15:23

2 ответа

Что необходимо знать

Linux не неуязвим для усовершенствованного вредоносного программного обеспечения, как руткиты и троянские кони, и к использованию Нулевого дня.

На любом универсальном дистрибутиве Linux руткит может использовать социальную инженерию для кражи пароля root; это может также использовать использование памяти, если система не актуальна, и выполните сценарий оболочки как администратора без взаимодействия с пользователем и без видимых эффектов.

На Ubuntu, где sudo часто устанавливается, но не правильно настраивается, для вредоносного программного обеспечения просто нужен пароль текущего пользователя, чтобы выполнить административные действия и заразить систему.

Если у Вас есть setuid установленные исполняемые файлы, и они используют интерпретатор (как, например, более старые версии Nmap сделал), они могут использоваться, чтобы обойти барьер учетной записи и выполнить административные действия.

Современные руткиты попробуют каждый возможный способ получить корневой доступ и загрузить новый модуль ядра, чтобы получить общие полномочия и скрыть другие заражения.

Как защитить себя

Основные меры предосторожности

Я сделал немного списка ожидающих выполнения задач:

  • Никогда не давайте пароль root своим пользователям в многопользовательской системе;
  • Никогда не вставляйте пароль root в ненадежные приложения (загруженный с неофициальных репозиториев) если не абсолютно необходимый;
  • Обновляйте свою систему Ubuntu по крайней мере каждый месяц из официального репозитория и оставляйте только последние 2 обновленных ядра установленными.
  • Не используйте нестабильный или в программном обеспечении для разработки.
  • Использовать gufw или другая обертка для конфигурирования брандмауэра и неиспользуемых портов блока для IN/OUT:TCP и IN/OUT:UDP.
  • Настроить passwd наложить минимальную длину пароля, потому что вредоносное программное обеспечение может слабые пароли "в лоб".

После этого, установка и использование tiger проверять на проблемы безопасности в Вашей системе.

Усовершенствованные меры предосторожности

Эти меры предосторожности решительно улучшат Вашу безопасность, но они нуждаются в регулярном техобслуживании после установки нового программного обеспечения и для опытных пользователей:

  • Использовать SELinux защищать разумные конфигурационные файлы, sudo один предложения ограничили гарантии безопасности против специалистов по безопасности. Необходимо консультироваться с официальной ссылкой перед использованием его, так как это может ограничить корневые права доступа и заблокировать Вас если не настроенный правильно. Это - очень усовершенствованный и мощный инструмент, эксперимент на Виртуальной машине перед использованием его в производстве.
  • Использовать Apparmor (установленный по умолчанию на Ubuntu), который обеспечивает защиту путем ограничения программы определенным набором каталогов и гарантирует хорошую защиту даже нетехническим пользователям. Для начала работы с ним необходимо будет установить Apparmor "профили" на некоторых общих программах. Можно установить их как так: sudo apt install apparmor-profiles apparmor-profiles-extra apparmor-utils и затем включите им путем выполнения sudo aa-enforce /etc/apparmor.d/*.
  • Firejail простая в использовании песочница, которая снижает риск нарушений защиты путем ограничения рабочей среды ненадежных приложений с несколькими методами. Можно использовать его, чтобы изолировать веб-браузер и получить некоторую дополнительную защиту от использования в оперативной памяти.

Все те меры предосторожности увеличат безопасность своих соответствующих областей эффекта, но уменьшат производительность целой системы, если аппаратные средства будут стары. На самом деле мы часто находим их в серверах предприятия, для защиты важного (или общественность) сетевые узлы.

Спасибо user311982 для полезных предложений.


Даже если Linux более безопасен, чем другие системы, это не означает, что это неуязвимо. Мое маленькое руководство не является исчерпывающим, упал свободный прокомментировать под здесь, если у Вас есть больше вопросов.

4
ответ дан 1 December 2019 в 09:46

По определению руткит не является набором для получения полномочий пользователя root; скорее это - набор для хранения их, после того как они были получены. Таким образом руткит в самом строгом смысле бесполезен без корневых полномочий.

, Конечно, в реальной жизни, руткиты, вероятно, станут частью большего полного злонамеренного пакета, обычно выбираемого и развернутого пипеткой, содержание различного использования намеревалось получить права пользователя root. Можно было бы в разговорной речи назвать тот целый пакет "руткитом", так как руткит является полезной нагрузкой, и в то время как это не технически точный способ относиться к нему, разделение тех волос не будет бережно хранить Вашу систему. :)

, Если Вы - обычный пользователь, Вы должны быть обеспокоены не представлением вредоносного программного обеспечения к системе. Если Вы действительно становитесь внедренными, Вы собираетесь быть абсолютно беспомощными для делания с этим чего-либо, если у Вас нет полномочий пользователя root.

, Тем не менее, изучив вредоносное программное обеспечение справедливо экстенсивно, мой совет состоит в том, что, если Вы знаете, система была всегда заражена вредоносным программным обеспечением (независимо от уровня разрешения), необходимо предположить, что вся вещь является теперь злонамеренной, и уничтожьте его с огнем, который должен сказать, вытереть жесткий диск и переустановить, сохранив как можно меньше данные, и что, будучи просканированным от живой ОС с помощью нескольких программ антивируса.

единственный неспециализированный случай, в котором это не было бы надлежащим планом действий, - то, при доверии вредоносному программному обеспечению, чтобы не сделать что-нибудь также злонамеренный. Но почему Вы доверяли бы вредоносному программному обеспечению, чтобы не быть злонамеренными? Походит на проигрывающую стратегию мне.

0
ответ дан 1 December 2019 в 09:46

Другие вопросы по тегам:

Похожие вопросы: