antimalware rootkit etc etc

[NiubboXp]

Volevo sapere se esistono programmi di protezione da malware, rootkit e minacce varie che protegga i file sia da infezioni su windows (in caso debba trasferire file) che su linux, e non ditemi che linux non ne ha bisogno xke ogni sistema informatico é per definizione vulnerabile, anche se piu raro o difficile, grazie

[sacarde]

letto?

http://wiki.ubuntu-it.org/Sicurezza/Malware

[NiubboXp]

Si l avevo letto, ma a parte il buon senso, l unico sistema attivo che consiglia é clamav, vorrei un qualcosa di piu attivo con un sistema pronto a bloccare ed eliminare la minaccia sia essa per linux che per win se possibile

[pabloski]

Quote:

Originariamente inviato da NiubboXp

Si l avevo letto, ma a parte il buon senso, l unico sistema attivo che consiglia é clamav, vorrei un qualcosa di piu attivo con un sistema pronto a bloccare ed eliminare la minaccia sia essa per linux che per win se possibile

SELinux, Tomoyo, Apparmor, Grsec/PAX.

Gli antivirus su Linux sono praticamente inesistenti ( a parte qualcuno ). Ci sono però alcuni antirootkit come rkhunter e similari.

Ma non c'è un mercato stabile e definito degli antivirus per linux.

[NiubboXp]

Quote:

Originariamente inviato da pabloski

SELinux, Tomoyo, Apparmor, Grsec/PAX.

Gli antivirus su Linux sono praticamente inesistenti ( a parte qualcuno ). Ci sono però alcuni antirootkit come rkhunter e similari.

Ma non c'è un mercato stabile e definito degli antivirus per linux.

Potresti darmi 2 dritte sul cosa sono e come si configurano questi programmi, tenendo a mente che sono piuttosto a digiuno di linux
Grazie

[sacarde]

cosa intendi per:

Quote:

Originariamente inviato da NiubboXp

... vorrei un qualcosa di piu attivo ...

?

[bobafetthotmail]

Quote:

e non ditemi che linux non ne ha bisogno xke ogni sistema informatico é per definizione vulnerabile, anche se piu raro o difficile, grazie

Non potrebbe ad esempio integrare nel sistema stesso le funzionalità di sicurezza che su Windows devi aggiungere con un antivirus di terze parti? Io la butto lì, poi fai tu.

Su linux non esistono antivirus propriamente detti perchè gli antivirus non avrebbero mercato, vuoi per la scarsa fetta di utenza, vuoi per la scarsa quantità di malware per linux, vuoi per il fatto che chi lo usa è in genere un professionista al contrario dell'utilizzatore di un sistema Windows, vuoi per il fatto che linux è effettivamente progettato per essere più sicuro sotto il cofano anche senza.

Gli aggiornamenti, il buonsenso dell'utente (installare cose solo dai repository ufficiali o da fonti attendibili, eccetera) e come è stato settato di default il sistema (se non lo setta l'utente) sono l'unica vera difesa su linux.

Ci sono due approcci principali agli aggiornamenti a seconda della distro linux che usi:
-tenere le versioni "vecchie" dei pacchetti (software e componenti di sistema) e aggiornare solo le falle di sicurezza senza aumentare la versione.
Se non aumenti la versione non aggiungi codice aggiuntivo quindi non hai nuove potenziali vulnerabilità, ma tutte le patch di sicurezza che avrebbe un software aggiornato all'ultima versione le hai anche tu.
Questa è la politica di Debian e derivate come Ubuntu versione LTS (che seguono Debian), o di RedHat/Suse Enterprise Linux e derivate (Fedora e OpenSuse

-aggiornare tutto all'ultimissima versione sempre e costantemente (con un occhio alla stabilità comunque). Aggiorni molto spesso componenti e software, questo aumenta la variabilità dell'ambiente dal punto di vista di un malware e ti permette di avere sempre il software più aggiornato possibile ad ogni minimo cambio del sorgente da parte degli sviluppatori.
Questo è quello che fanno Arch e derivate ad esempio

In entrambi i casi, l'effetto è simile a quello di un antivirus, se ci sono vulnerabilità reali vengono patchate con la stessa frequenza e velocità con cui un antivirus riceve aggiornamenti delle definizioni dei virus, quindi l'effetto è simile (un malware non entra proprio oppure se entra si blocca e diventa inerte se la vulnerabilità che sfrutta per infettare un sistema viene patchata), solo che il tutto non fa la scena che fa un antivirus, con popup e simboli di attenzione.

Per levare roba da un sistema già infetto vale una sega un antivirus come non può fare granchè linux senza. Si usa un RescueCD (per windows) o un altro sistema operativo linux con su rkhunter o simili.

Quote:

Potresti darmi 2 dritte sul cosa sono e come si configurano questi programmi,

Sono programmi che fanno il sandboxing delle applicazioni, cioè le tengono rinchiuse dentro dei limiti ben definiti, imposti dal kernel (compoente con massima priorità/autorità nell'OS, superiore a quanto avrebbe un antivirus), con quelle attive (una max visto che fanno la stessa cosa e si pestano i piedi).

Guarda nelle wiki o se trovi tutorial per la tua distro.
AppArmor è una dei più facili perchè è preconfigurata per gli utilizzi più comuni https://help.ubuntu.com/lts/serverguide/apparmor.html (la parte prima di "using app armor", dopo entra nello specifico di creare i propri profili, ma come vedi va fatto a manina)

Quote:

cosa intendi per:

Un antivirus come quelli per windows, che rompono le balle ogni 3x2 tra scansioni e blocco di file, eccetera.
Una roba che fa scena insomma.

Su linux non esiste e non credo che esisteranno mai se si va avanti così.
Solo dei deficienti scriverebbero malware per un OS con meno dell'1% del mercato, questov a al quadrato se si parla di antivirus.

[battilei]

Quote:

Originariamente inviato da bobafetthotmail

Su linux non esiste e non credo che esisteranno mai se si va avanti così.
Solo dei deficienti scriverebbero malware per un OS con meno dell'1% del mercato, questov a al quadrato se si parla di antivirus.

mamma mia ragazzi non esiste mica solo il vostro computerino per andare su fecebook

67% del mercato websites
http://w3techs.com/technologies/over...ing_system/all

tra cui anche questo forum che usando senza saperlo
curl -I www.hwupgrade.it
HTTP/1.1 200 OK
Date: Mon, 17 Aug 2015 08:26:17 GMT
Server: Apache
X-Powered-By: PHP/5.3.3-7+squeeze19

[pabloski]

Quote:

Originariamente inviato da NiubboXp

Potresti darmi 2 dritte sul cosa sono e come si configurano questi programmi, tenendo a mente che sono piuttosto a digiuno di linux
Grazie

Sono dei sistemi MAC ( mandatory access control ). PAX è invece un set di patch per irrobustire kernel e programmi utente in modo che siano difficilissimi da bucare.

In sostanza questi programmi ti consentono di tenere d'occhio le attività che avvengono nel sistema, di settare regole per individuare attività sospette/pericolose, di bloccarle, di ( eventualmente ) ripristinare il sistema ad uno stato sicuro, ecc...

La configurazione temo non sia proprio semplicissima, visto che sono tool pensati per chi amministra server, reti e sistemi di un certo livello.

Considera però che Apparmor ( ma vale per Selinux ) è incluso in alcune distribuzioni ( Ubuntu ). Chiaramente vale sempre il discorso che, per necessità particolari, andrebbe modificata la configurazione.

Uno strumento tradizionale ( nel senso che è più vicino alla logica dei comuni antivirus ) è RootkitHunter http://wiki.ubuntu-it.org/Sicurezza/RootkitHunter

E se vuoi proprio puntare su un antivirus tradizionale, c'è una lista qui https://en.wikipedia.org/wiki/Linux_...s_applications

[NiubboXp]

Grazie a tutti per le risposte, mai pare di capire che questi componenti/programmi non sono alla portata di persone nabbe le la configurazione, da che punto potrei partire per imparare a settare selinux o apparmor e pax per esempio?

Ho un altra domanda, per quello che riguarda il firewall so che linux ha un iptable, io su android uso afwall in cui indico quali app possono accedere ad internet, su linux immagino la situazione sia differente, oppure ce un programma simile? Vorrei poter dare accesso ad internet solo a programmi p2p e firefox e al sistema, quantomeno alla parte che gestisce gli aggiornamenti

[pabloski]

Quote:

Originariamente inviato da NiubboXp

Grazie a tutti per le risposte, mai pare di capire che questi componenti/programmi non sono alla portata di persone nabbe le la configurazione, da che punto potrei partire per imparare a settare selinux o apparmor e pax per esempio?

PaX è una patch del kernel, per cui ( in genere ) si deve ricompilare il kernel. Ovviamente ci sono kernel già precompilati con PaX per le maggiori distribuzioni.

Per farti un'idea su Selinux guarda qui http://docs.fedoraproject.org/it-IT/...nux/index.html

Considera che Fedora ( ma anche altre, non ho l'elenco completo ) lo fornisce di default, già con una configurazione base adatta ad uso PC.

Per Apparmor guarda qui http://wiki.apparmor.net/index.php/Documentation

Apparmor è una cosa principalmente ubuntu-centrica, viene fornito di default con Ubuntu e configurato per un uso comune.

Se cerchi in rete, trovi anche profili e configurazioni già fatti per gli usi tipici http://bodhizazen.net/Tutorials/aa/

Quote:

Originariamente inviato da NiubboXp

Ho un altra domanda, per quello che riguarda il firewall so che linux ha un iptable, io su android uso afwall in cui indico quali app possono accedere ad internet, su linux immagino la situazione sia differente, oppure ce un programma simile?

Android usa i network namespace, per cui riesce a realizzare quel trucco tramite il firewall. Con iptables ( e similari ) non è possibile.

Tuttavia questa funzionalità viene espletata tramite i sistemi MAC come Apparmor e Selinux.

Ovviamente rivale il discorso che bisogna studiarsi un pochino i meccanismi di configurazione perchè non sono banali.

Ci sono in realtà dei programmi con GUI che semplificano la configurazione, ma imho non è ravvisabile impostare meccanismi così delicati senza prima aver capito come funzionano.

[NiubboXp]

Potresti farmi un paio di nomi di questi programmi cn gui?

[pabloski]

Quote:

Originariamente inviato da NiubboXp

Potresti farmi un paio di nomi di questi programmi cn gui?

c'è il SELinux Management GUI tool di Redhat/CentOS accoppiato a polgengui, ma è roba che trovi preinstallata nelle distribuzioni che supportano selinux

per Apparmor c'è la possibilità di configurarlo tramite la GUI di Yast su SuSE, mentre Ubuntu ha volutamente escluso ogni tipo di GUI per Apparmor

[bobafetthotmail]

Quote:

Originariamente inviato da battilei

mamma mia ragazzi non esiste mica solo il vostro computerino per andare su fecebook

per "mercato" si intende mercato consumer, quello dove l'utente non è un sistemista o un admin, e dove la macchina non fa girare solo 3 e dico 3 servizi (webserver, ssh, un altro a scelta) ma decine.

La presa del malware su un server linux gestito decentemente non è paragonabile a quella che potrebbe avere su un desktop perchè la superficie di attacco è minuscola.

Quote:

Ho un altra domanda, per quello che riguarda il firewall so che linux ha un iptable,

Installa gufw http://gufw.org/
Lo trovi nei repository ufficiali, quindi da Synaptic/Gestore Pacchetti o il programma che fa da Store.

gufw è l'interfaccia grafica di ufw (uncomplicated firewall) che poi va a controllare le iptables.

Programma abbastanza a prova di niubbo, ma comunque è un firewall, se scazzi delle configurazioni ti chiudi fuori dalla rete come per tutti i firewall.
(basta disattivarlo o rimuovere regole sbagliate per tornare su internet)

[NiubboXp]

Penso che mettero mint essendo una fork di ubuntu immaginonche troverò apparmor sapete se ha un corrispettivo di yast in cui posso trovarne la gui?

[pabloski]

Quote:

Originariamente inviato da NiubboXp

Penso che mettero mint essendo una fork di ubuntu immaginonche troverò apparmor sapete se ha un corrispettivo di yast in cui posso trovarne la gui?

se c'è è ben nascosta, ma temo che non esista

[NiubboXp]

Quote:

Originariamente inviato da pabloski

se c'è è ben nascosta, ma temo che non esista

E quindi i vari programmi ed aggiornamenti vari come li scarico?

[pabloski]

Quote:

Originariamente inviato da NiubboXp

E quindi i vari programmi ed aggiornamenti vari come li scarico?

gli aggiornamenti non sono gestiti da Apparmor

aggiornamenti --> update manager ( GUI )



programmi --> software center, ma io preferisco synaptic ( non è preinstallato )

[NiubboXp]

Ed in cosa sarebbe meglio synaptic rispetto al download center? I programmi scaricati da queste piattaforme sono sempre sicuri e verificati? Oppure é bene far attenziine anche qua (e a cosa?)

[pabloski]

Quote:

Originariamente inviato da NiubboXp

Ed in cosa sarebbe meglio synaptic rispetto al download center?

Synaptic è più veloce, visualizza librerie e dipendenze dei pacchetti, eventuali varie versioni, ecc... Il software center è in stile app store, roba buona per i fan apple ma non per i linari.

Quote:

Originariamente inviato da NiubboXp

I programmi scaricati da queste piattaforme sono sempre sicuri e verificati? Oppure é bene far attenziine anche qua (e a cosa?)

Si, l'accesso ai repository è dato a gente selezionata e fidata, e il sistema usa firme digitali per evitare manomissioni dei pacchetti.

Fin ad oggi non è mai successo che qualcuno fosse riuscito ad infilare malware direttamente nei repository.

C'è stato un caso di violazione del repo git del kernel, ma è stato individuato rapidamente e i malfattori non hanno avuto modo di mettere in circolazione il software manomesso.

Per carità, potrebbe capitare, ma è infinitamente meno probabile rispetto al trovare su internet un software trojanized per windows.