考虑到最近有关Mac的反病毒问题,我想知道今天提出的论点中有多少与Linux系统有关,特别是Ubuntu。


没有已知的Ubuntu桌面恶意软件。
GNU / Linux是僵尸网络非常诱人的目标,因为它可以为大量的Web服务器提供动力。此外,与潜在的台式机僵尸网络相比,这些Web服务器通常配置更高,带宽更高。
针对Linux的反恶意软件软件包主要针对可能“通过” Linux的Windows感染,例如在邮件服务器上。这与Ubuntu桌面无关。
一些可用的Linux反恶意软件应用程序似乎与Windows对应版本一样阴暗。
这些解决方案可能会也可能不会防止LibreOffice文档中的宏,网络浏览器或扩展程序的缺陷(Flash),XSS攻击,Java漏洞和其他用户界面软件。
人们很愚蠢。如果一个雄心勃勃的恶意软件开发者想要推广它,则可能会运行裸体女孩.deb。我确定这只是时间问题。

请注意,尽管还有许多其他基于GNU / Linux的发行版和台式机,但为了保持专注,我想对此进行限制仅讨论标准安装的Ubuntu桌面。想想“奶奶的桌面”。 Slackware的用户,运行邮件或Web服务器的用户,或将台式机用于其他目的的用户大概(哈哈!我并不是很天真)知道他们在做什么以及所涉及的风险。

评论

人们并不愚蠢。他们倾向于立即获得优先,而不是延迟获得满足,他们需要完成工作(即使Linux用户也不只是为了使用它们而使用计算机,而是为了完成工作),并且他们没有计算机荣誉学位安全工程。完全不同。

使用防病毒软件总是明智的。也许没有Ubuntu恶意软件等。读这个。这是供个人使用还是用作服务器?当您拥有服务器时(当然),请设置一个好的防火墙。并且不要忘记定期更新!

@WilliamDavidEdwards这不明智,但偏执...

另请参见Ask Ubuntu:我是否需要安装“防病毒软件”?

@WilliamDavidEdwards再一次,并非总是如此,不,它肯定不会保护您。这是针对大多数常见威胁的健全性检查,就像进行流感预防针不能保护您免受所有流感病毒侵扰一样。同样,“设置防火墙”本身也不起作用。您需要知道您对服务器的期望并配置防火墙。与在服务器上正确执行MAC相比,防火墙的影响仍然很小。

#1 楼

您可以根据需要安装防病毒软件。它不应该伤害您的机器,但是不要期望对您的系统有太多保护,也不要认为自己完全安全。防病毒软件的功能是非常相对的,并且主要用于避免传播旧的恶意软件,尤其是在生态系统中装有Windows计算机的情况下。您应该期望性能下降,尽管到目前为止,还没有Linux上AV性能的基准,因此无法量化。

为什么仅使用防病毒软件并不安全?因为它们只是所需机制的一部分。目前,Linux上缺少许多用于桌面安全的工具。与桌面相关的安全机制有哪些?



图形堆栈安全性(以防止键盘记录程序,点击劫持,屏幕记录,剪贴板嗅探等)

具有安全检查的应用程序分发方案(具有应用程序静态分析的应用程序商店和存储库)以及快速的安全更新

恶意软件检测:基于签名(用于防御已识别的威胁)和基于启发式(或如此,他们说,我从未使用过任何基于启发式的AV,并且我怀疑这主要是市场营销方面的言论,即“当您使用新的应用程序时,我们会向您抛出大量安全警告”) br />沙箱(由设计使应用程序彼此隔离)

上下文授权,可通过名称/用户驱动的访问控制/电源箱/合同安全地使用设备和用户数据;需要沙箱

目前,Linux上唯一不错的方法是通过存储库进行应用程序安全更新。所有其余部分都不合格。

图形堆栈安全性

我们都依赖X11图形服务器。 X.Org已经存在30年了,原始设计仍在服务器中使用。过去没有台式机安全问题,得知它根本不安全也不会感到惊讶。您可以直接使用API​​来实现键盘记录程序,如果用户打开了任何根控制台,则可以进行远程代码利用,替换会话储物柜以窃取密码等,等等。

很难评估Windows 8和OS X涉及此主题,因为我找不到有关其图形堆栈实现的任何详细说明。他们的沙盒应用程序只能访问大多数明显的攻击媒介,但目前还不清楚这一切的设计和实施情况。在我看来,Win 8迫使Store Apps一次全屏运行,这隐藏了设计全尺寸安全窗口管理器时的问题。有许多要考虑的问题。实施具有安全性的窗口管理器时,窗口的位置和大小,透明度和全屏的使用等。我不知道OS X是如何工作的。

Linux将在未来几年内切换到Wayland,这是出于安全考虑。我们有一个明确的模型来确定应该存在哪些功能,以及如何强制执行这些功能以及如何获得授权的一般概念。尽管我碰巧参与了讨论功能背后的用户和开发人员经验,但这项工作的主要负责人是Martin Peres。设计和开发正在进行中,因此不要期望很快。阅读这篇文章以获取更多信息。当与应用程序沙箱结合使用时,Wayland将无缝提供安全性。在提供的应用程序上使用,并警惕专有代码。从理论上讲这很好。

在实践中,我不知道有哪个发行商甚至对其打包的应用程序执行最基本的安全检查。对于怪异的系统调用,没有任何静态分析,对于任何社区,真的不清楚是否对安装前和安装后脚本(以root身份运行)是否针对明显的不良情况进行了验证。

安全性对GNOME Shell扩展进行的检查非常轻松和手动,但至少存在。我对KDE的扩展程序或其他应用程序一无所知。

我们的一大亮点是我们可以非常快地提取安全更新,通常在几天之内就可以发现任何安全漏洞。直到最近,Microsoft的速度仍然要慢得多,尽管它们已经赶上了。

恶意软件检测

我在Linux上唯一知道的防病毒软件是ClamAV。在我看来,它只能基于签名运行,但是正如您所指出的那样,我们没有任何可防御的已确定桌面恶意软件。

可能有人在其中编写Linux桌面恶意软件。高级持续威胁的世界。有关示例,请参见遮罩。由于APT恶意软件编写者通常具有足够的才能提出零时差攻击的功能,因此标准的AV不可能对此采取任何措施。

现在,Microsoft宣传对其所有软件进行模糊测试的数万种方法数小时,而不是Linux生态系统中根本没有安全的编码实践。从经过模糊测试的个人实验中,我绝对相信,在某些流行的Linux软件中,有很少的零日漏洞利用。当我们拥有一个常见的恶意软件作者具有财务可行性的用户基础时,这将打击我们,然后我们将看看ClamAV的表现如何,但是我怀疑应用程序更新机制将在处理方面产生更大的影响具有发现的漏洞。

不用说Windows和OS X在此标准上都比Linux明显好。

沙箱和上下文授权

OS X和Windows 8都为其商店中托管的应用程序提供沙箱。我还没有研究过OS X的怪癖,但是Windows 8 Store Apps在支持的语言和API,可用功能和可提供的一般用户体验方面有非常严格的限制。这意味着未装沙盒的桌面应用程序将继续存在,并且Microsoft的沙盒将无法防御恶意软件,仅能抵御越野车(商店应用程序)软件中的虚构文档。尽管也没有对任何非商店应用程序进行沙箱处理,但OS X似乎做得更好。

目前,Linux的GUI应用程序沙箱无法无缝运行。我们拥有基础的限制技术(最佳候选者是基于Linux名称空间的容器,请参阅LXC和Docker,其次是最佳的MAC强制系统,需要开发它以支持一定程度的动态性)。由于在kdbus和systemd上的出色工作,我们几乎拥有部署和处理这些沙盒应用程序所需的IPC和流程管理机制。遗漏了一些内容,其中一些提案主要是由GNOME基金会推动的(请参阅GUADEC 13上有关沙盒的视频)。我也参与讨论如何进行数据访问和授权,但是在少数感兴趣的人之间没有达成共识,设计和开发需要时间。像样的原型存在以及将沙箱以任何相关规模部署到Linux可能还要再过几年。

所有平台上面临的主要问题之一是找出如何授权应用程序以适当规模访问数据和设备功能。这就是说,如何让他们做他们需要做的事情而又不会用授权提示来困扰用户,同时又防止应用滥用权限。 Windows 8如何让Store Apps处理最新文档和应用程序的futureAccessList方面存在严重漏洞。在此阶段,进一步保护文档访问而不增加开发人员和用户的安全成本是一个悬而未决的问题,很多人也正在努力解决这个问题:)

评论


大约一年前,我记得读到一个主要的浏览器供应商对Windows桌面上的硬件加速webGL的想法感到不安,因为驱动程序没有提供防止滥用的保护,或者实现严重错误。我还没有听到任何有关减轻浏览器级别或英特尔/ AMD / nVidia是否取得重大改进的消息。

–丹在火光中摆弄
14年7月14日在18:20

@DanNeely,老实说,我不知道对硬件的访问与完整性级别有什么关系,但是如果我们谈论的是错误的驱动程序,那么可能没有太多事情要做:)

– Steve Dodier-Lazaro
14年7月14日在19:36

-1表示“肯定不会受伤”。杀毒软件肯定会带来伤害。最好的情况是,它严重降低了性能(例如,请参见stackoverflow.com/questions/5924707/…),而且很有可能安装的钩子类型(无论是幻想化还是更糟的,更具侵入性的内核黑客攻击)都破坏了它。系统API的接口协定,从而引入一致性问题,并可能引入安全性问题。

–R .. GitHub停止帮助ICE
14年7月15日在10:39

@R ..有趣的细节,尽管Linux FOSS AV肯定不同于Windows AV。除了基于签名的扫描之外,我认为Clam不会做任何其他事情,并且这样做的影响相对较小。 FS索引器不会破坏当今的笔记本电脑吗?我在Linux上找不到任何AV的性能基准,因此无法确定,但我会提到可能的性能下降。

– Steve Dodier-Lazaro
14年7月15日在11:54

“ Linux将在未来几年内切换到Wayland” –这是一个极大的简化。 Ubuntu正在与Mir一起做自己的事情,一些其他发行版正在向Wayland发行,而某些发行版目前仍在使用X11。 TL; DR:这是一团糟。

–凯文
15年8月5日在22:27

#2 楼

恶意软件不在乎您是否正在运行“仅标准安装的Ubuntu桌面”。只要系统支持编译ELF二进制文件的正确指令集,恶意软件就会运行。 Ubuntu是基于debian的,支持以下指令集:IA-32,x86-64,ARMv7,ARM64,PowerPC。通常,您会发现大多数构建在IA-32或x86-64系统上。

由于我的工作是在逆转恶意软件,因此有时我需要对其进行调试,因此我拥有Ubuntu Desktop版本(32和32我每天用来通过IDA对Linux恶意软件进行远程调试的64位虚拟机。

如果您想谈论感染方法,那么请确定,您获得驱动器的可能性较小-在Linux上比在Windows上。但是,在过去的几个月中,我注意到使用一些Drive-by PHP脚本,它们正在支持越来越多的非Windows平台。只需检查浏览器即将发布的平台并进行相关利用即可。

; TL-DR-我每天都会感染Ubuntu桌面安装程序(VM),同时会逆转linux恶意软件。

评论


在过去的一年里情况变得更糟了吗? (如果您有时间回答)

– mlvljr
15年8月10日在0:07

#3 楼

问题是针对Ubuntu的。如果我不能将问题扩展到Linux桌面版本,那么SELinux类型的“ Walled Garden”解决方案将非常有用。在SELinux中,强制性访问控制策略(MAC)可以阻止或限制感染尝试中的破坏。与作为单独进程运行的AV给AV带来负担不同,SELinux具有Linux内核的本机支持,并且安全标签存储在inode中。


您可以实现非常复杂的安全策略。 (即,Web浏览器无法访问〜/ .mozilla以外的文件夹)

缺点:

但是在SELinux中,您将需要良好的安全策略。缺点是编辑这些策略很复杂。

我知道Ubuntu默认不支持SELinux。但是像Fedora这样的OS确实如此。

底线:

底线是,Linux确实具有良好的安全性机制(文件许可权,SELinux),除非您不这样做,否则它将使恶意软件的生存更加艰难。使他们一团糟。

评论


-1,SELinux无法保护桌面应用程序。它不是为此设计的,永远不会那样做。如果需要,请阅读Dan Walsh的博客(尤其是有关沙箱的部分),但本质上,问题围绕着为未知应用程序提供策略以及支持对用户数据的上下文/本地访问。

– Steve Dodier-Lazaro
2014年7月14日13:30

这是行不通的。说真的您的浏览器需要读取文件,否则您将无法将电子邮件附件上载到Webmail或下载文件。至于PDF恶意软件,我在2011年做了一个本科生项目,正是关于SELinux为什么不能防御PDF恶意软件以及为什么需要上下文感知保护机制的问题。有关于它的报告,但是它是法文的(显然四年后已经过时了)。无论如何,只要快速浏览一下Walsh的博客,就可以解释为什么SELinux不适合。他是SELinux的世界专家。

– Steve Dodier-Lazaro
2014年7月14日14:10

它不会阻止破坏Firefox沙箱(例如Firefox扩展)的恶意软件读取您的文档并将其在线发送给某些攻击者。但这是台式机世界威胁模型的一部分。 SELinux仅在组件之间提供静态隔离,您已经需要对其进行扩展以支持应用程序的运行实例之间的适当隔离。我知道这是Linux世界中的一个吸引人的口头禅,但是不幸的是SELinux不足以支持台式机。

– Steve Dodier-Lazaro
2014年7月14日14:27在

我相信Dalvik仅相当于Java程序的JVM。据我了解,提供安全性的不是Dalvik VM,而是OS运行和处理每个VM的方式。我对移动操作系统没有太大兴趣,所以我不知道细节,尽管我知道有些研究人员使用SELinux为沙箱添加了一层安全保护(本质上是重复隔离),请参阅SEAndroid。

– Steve Dodier-Lazaro
14年7月14日在15:18

除非您要人为限制支持的语言(如WinRT那样),否则特定于语言的选项应该与台式机操作系统无关。内核名称空间或基于动态MAC的沙箱没有这些限制。

– Steve Dodier-Lazaro
14年7月14日在15:19

#4 楼

这个问题相当混乱。

Viri在Linux上极为罕见,但是木马,蠕虫和rootkit的存在时间比mswindows更长。用于保护Linux(和Unix)系统的工具看上去与为mswindows用户出售的工具完全不同。

至少应具有合理配置的防火墙,这种方法可确保系统得到修补并定期运行rootkit检查(频率取决于风险,可能每月至少一次)。 />

评论


病毒。复数是病毒。

–普罗米修斯
17年2月14日在2:02

#5 楼

是的,因为虽然大多数病毒不是针对Linux的,因此您个人面临的风险较小,但是在向使用Windows的用户发送数据时,您仍然可以成为好公民。

示例:您收到了WindowsFan1999中的文件,通过电子邮件或保管箱或CD或其他文件。您尝试打开它,但您认为它已损坏。因此,您可以将文件转发给有经验的IT人员WindowsGirl2000。她打开文件,现在感染了病毒。如果您安装了防病毒软件,它将拦截该令人讨厌的文件,并且不会传播该病毒。别那个人。

评论


哎哟。该参数假设Linux防病毒软件是最新的,但Windows客户端不是? (否则,没有问题)。用户是否可以访问Web上的数据(尤其是“私有”文件共享)。您需要在客户端上具有良好的Windows防病毒功能。您还应该分析/过滤http和smtp流。

–富兰克林·皮亚特
15年5月15日在11:45

不,它仅假设没有杀毒软件是完美的。 A / V公司需要时间来应对新的威胁,并且每个A / V公司的交货时间都不同。如果您的A / V可以拿起并丢弃它,为什么还要冒险将其转发给未受保护的人员?正如公共服务海报所说的那样,“抓住,杀死,bin”。

– ArgumentBargument
2015年5月15日13:30

我认为这不应该得到反对票。想象一下,您正在运行一个提供Windows可执行文件的文件服务器。不需要实时扫描,但是您至少要扫描那些文件。

– Alex Cannon
18 Mar 31'0:18



#6 楼

是。您应该为Linux使用Antivirus。尽管Linux(台式机)仅占台式机市场份额的不到2%,但Linux(服务器)托管着一些最受欢迎的站点。 (例如Google)。因为它们都是Linux,这意味着为服务器版本编写的病毒也会影响桌面版本,反之亦然。我推荐Sophos Free Antivirus。但是,您在Linux上不需要驻留防病毒软件。另外,Windows占据台式机市场的85.67%,因此大多数病毒都是为Windows编写的。所以不要向某人散播病毒。

#7 楼

记住影响Unix系统甚至Mac的首批木马和病毒。
1971 Creeper系统。
1975 ANIMAL由John Walker为UNIVAC 1108编写。
1981年,为Apple II编写的一种名为Elk Cloner的恶意软件。
1983年Cohen在VAX11 / 750系统上演示了类似病毒的程序。
等等。https:// en。 wikipedia.org/wiki/Timeline_of_computer_viruses_and_worms

所有系统都容易受到攻击。

Linux也是如此:https://en.wikipedia.org/wiki/Linux_malware
Linux。编码器,Snakso-A,Effusion,Kaiten,NyaDrop,PNScan,Binom,Diesel,Kagob,Nuxbee,Staog,Winter,Stux,Bad Bunny,Linux.Darlloz,

现在我们有了新的Spectre和崩溃攻击。
防病毒软件无法保护我们免受它们的侵害,并且它们可以攻击任何操作系统。

https://meltdownattack.com/

主要Linux和Windows之间的区别不是其安全性而是用户。 Windows用户用来安装在Internet上找到的所有内容。 Linux用户只能从官方存储库安装软件包。

评论


这只是过去曾影响* nix系统的恶意软件列表。它不能回答OP是否应在Ubuntu上使用AV软件。

–森林
18 Mar 4 '18 at 3:04

OP应该使用AV,因为当今恶意软件继续影响* nix系统。这只是最常见情况的列表。您不应该仅仅因为答案会影响您喜欢的操作系统而拒绝投票。

– skan
18 Mar 4 '18 at 13:05

2018年影响OX。 macworld.co.uk/feature/mac-software/…objective-see.com/blog/blog_0x26.html

– skan
18-3-4在13:10



techcrunch.com/2015/11/06/…

– skan
18 Mar 4 '18 at 13:12

en.wikipedia.org/wiki/KeRanger

– skan
18 Mar 4 '18 at 13:14