GNU/Linux >> Linux Esercitazione >  >> Linux

Perché è considerato sicuro installare qualcosa come utente non root in ambienti Linux?

Sentiamo sempre...

Noi? Io no.

Installare un programma non attendibile come utente normale è una cattiva idea con Linux come con Windows o Mac:questo programma ha accesso a tutti i tuoi dati e può cancellare questi dati, inviarli a qualcun altro ecc. Inoltre può fare screenshot , controllare altre applicazioni in esecuzione sullo stesso schermo di X Windows (anche se vengono eseguite come un utente diverso), può prendere le chiavi (ad es. keylogger),... Per i dettagli vedere The Linux Security Circus:sull'isolamento della GUI.

A parte questo, abbiamo regolarmente bug di escalation dei privilegi anche nei bug di Linux che possono essere utilizzati da un utente senza privilegi per ottenere autorizzazioni di root o persino a livello di kernel.

Pertanto, non installare programmi non attendibili su alcun tipo di sistema a meno che tu non sia disposto a compromettere questo sistema o i dati in esso archiviati.


In breve:sì, essere su un account con privilegi limitati ti aiuta a proteggerti dai malware, ma non ti rende immune. Come ogni misura di sicurezza, nessuna singola cosa ti terrà al sicuro al 100%.

TL;DR: L'esecuzione su un account a basso privilegio (noto anche come "principio del privilegio minimo") dovrebbe far parte di una colazione equilibrata che includa anche buone configurazioni del firewall; strumenti per monitorare processi, risorse di sistema, porte aperte, traffico di rete, ecc. per attività sospette; una politica per eseguire solo eseguibili firmati, configurazione del mod kernel sicuro SELinux, mantenere il sistema operativo e l'applicazione aggiornati con patch di sicurezza e altre cose.

La tua domanda è molto ampia per rispondere direttamente. Invece lo suddividerò in diversi casi in base alla configurazione del sistema e a cosa cerca l'attaccante:

Caso n. 1:personal computer

Diciamo che il computer Linux in questione è il mio laptop personale. Lo uso efficacemente come sistema per utente singolo e digito sudo abbastanza regolarmente, quindi tutte le cose che hai menzionato si applicano. Inoltre, se l'aggressore sta tentando di rubare le mie informazioni personali come numeri di carta di credito, documenti fiscali, ecc., tutto questo si trova nella mia home directory a cui questo utente ha accesso. Se è un ransomware e vuole crittografare i miei file personali, stessa cosa. Vogliono installare un processo in background per rendere il mio computer parte di una botnet, che non richiede autorizzazioni speciali.

Caso n. 2:server, account amministratore

Il danno derivante dall'inserimento di malware nell'account di un amministratore è inferiore rispetto al caso dell'utente finale sopra, poiché l'account amministratore probabilmente non contiene dati preziosi. ma anche così, un utente malintenzionato può probabilmente fare qualche danno avendo uno sniffer di pacchetti all'interno della rete o aprendo una porta che consente all'attaccante di eseguire test di penna dall'interno della rete. Qui faresti affidamento sulla configurazione del tuo firewall per proteggerti da parte di questo e, si spera, notificarti l'attività sospetta in modo da poterla ripulire.

Se l'amministratore digita sudo regolarmente, allora sì, probabilmente sei nei guai.

Caso n. 3:server, account non amministratore

Immagina che l'uso in questione sia tomcat - un utente con privilegi molto bassi che esegue le applicazioni del server web. Questo è il caso a cui le persone di solito pensano quando parlano di "principio del privilegio minimo" e l'inserimento di malware in questo account sarà il meno pericoloso dei tre casi che ho menzionato.

Considera anche che esistono exploit di escalazione dei privilegi per Linux che consentirebbero a un utente con privilegi limitati di aggirare la sicurezza del sistema operativo e trasformarsi in root. In generale, tenersi aggiornati con le patch di sicurezza ti protegge da questo, ma gli attori abbastanza ricchi da acquistare exploit sul mercato nero sapranno di exploit zero-day che non sono noti pubblicamente e non sono stati patchati.


Questo è un orribile caso di Security Theater

Il Security Theater è la pratica o la convinzione di qualcosa che sembra migliorare la sicurezza, ma in realtà fa poco/danno ad essa.

Questa falsa credenza esiste da tanto tempo quanto la seguente voce

Linux non ha virus grazie al suo sistema di permessi

È quasi come dire

Non ho un virus sul mio computer perché non vedo niente che lampeggia

Solo perché non lo vedi, non significa che sia vero. Chiudere gli occhi non ti protegge dall'intruso.

In tutte le realtà Linux, Mac OS, Windows, Android, Xbox, tutto presenta vulnerabilità che consentirebbero l'escalation a un livello di controllo del sistema.

TUTTAVIA solo perché l'attacco non si intensifica a livello di sistema non significa che non sia ESTREMAMENTE pericoloso. Queste applicazioni con solo accesso a livello utente possono ancora rubare le tue informazioni, registrare ogni tua mossa e trattenere i tuoi dati per il riscatto! Tutto senza MAI essere inoltrato perché questi sono i dati a cui ha accesso solo come tuo utente.

Questi fatti sono veri per QUALSIASI sistema operativo indipendentemente dal dispositivo. Se hai accesso alla memoria, ha accesso alla memoria. Ciò significa che anche se non puoi vederlo, ha comunque accesso ad esso.

La Buona Novella

Poiché sei un utente normale, significa che l'attacco non è già privilegi a livello di root, il che significa che l'accesso è limitato all'accesso degli utenti e aiuta proteggere altri utenti del sistema. Ovviamente questo non significa che l'escalation non possa avvenire, significa solo che è molto più difficile.


Linux
  1. Linux:perché Archlinux mantiene alcuni utenti/gruppi dopo la disinstallazione del pacchetto?

  2. Installa WordPress su Linux con Apache

  3. Come impedire a utenti non root di creare voci crontab in Linux

  4. Installazione di Git con account utente non root

  5. Perché proteggere il kernel Linux dall'utente root?

Comando ID in Linux

Installa e usa WPscan (scanner di sicurezza WordPress) in Linux

Installa e configura ConfigServer Security and Firewall (CSF) su Linux

Come e perché usare Linux per installare Telnet

13 Importanti impostazioni di privacy e sicurezza in Ubuntu Linux

Sicurezza Linux vs Windows