11. Безопасность
11.1 Live-CD
Если вы загружаете Puppy с CD-ROM (или с образа CD на жестком диске, см. главу 4.3) никакой потенциальной опасности для вашей системы нет. Все потенциально опасные приложения исчезают с перезагрузкой системы.
Однако при установленной связи с Интернет, потенциальная опасность заражения вредоносными программами все же существует. По этой причине рекомендуется пользоваться сетевым экраном (firewall), см. главу 11.3. Кроме этого вы можете сверять контрольные суммы ваших файлов (см. главу 11.5), чтобы быть уверенным, что они не подвергались изменению без вашего ведома.
11.2 Суперпользователь root
В отличие от большинства других дистрибутивов Линукс, в Puppy не делается различия между обычным пользователем и суперпользователем root. Вы всегда заходите в систему как root, что значительно облегчает работу с ОС. Возникает вопрос, насколько это оправдано в плане безопасности, поскольку вы всегда имеете полную власть над всеми файлами, приложениями и данными?
Для обычного домашнего использования принципиальной разницы с другими дистрибутивами в этом плане нет. Более того, Puppy даже несколько надежней, чем большинство других дистрибутивов.
Сперва давайте проанализируем степень риска в дистрибутивах с четким разделением прав между обычным пользователем и администратором. Пользователь работает в системе с правами обычного рядового пользователя, не имеющего привилегий устанавливать/удалять приложения и доступа к системным файлам. Злоумышленник может в таком случае получить доступ только к файлам пользователя. Однако если злоумышленник получает доступ к системе, он легко может получить привилегии суперпользователя (найти файл с паролями, использовать вредоносные программы и т.д.) и таким образом получить полную власть над системой.
До тех пор, пока Puppy загружается с CD-ROM и не устанавливается на жесткий диск, системе ничто не угрожает. Всякий раз при перезагрузке, все вредоносное ПО будет удалено из системы. Конечно личные файлы пользователя в pup_save.2fs или на жестком диске могут стать доступны для злоумышленника, но тоже самое может случиться и в любом другом дистрибутиве Линукс. Если вы хотите быть уверены в безопасности личных файлов, регулярно сохраняйте их контрольные суммы и делайте резервное копирование (см. главу 9 и 11.5).
11.3 Настройка Firewall
При работе в сети следует всегда пользоваться сетевым экраном. Он дает возможность контролировать какие порты компьютера открыты и какие активные соединения используются.
Щелкните по иконке «Соединения» на рабочем столе. Откроется окно «Internet Connection Wizard»
Выберите пункт «Настройка firewall». Откроется окно утилиты настройки файрволла с тремя возможными вариантами настройки.
Выбирайте пункт automagic если у вас нет опыта в настройке, а также если вы хотите полностью защитить ваш компьютер. При этом все параметры будут заданы автоматически и настроен запуск файрволла при загрузке системы
Пункт default по настройкам защиты идентичен пункту automagic но вам будет предложено выполнить проверку конфигурации системы, а также выбрать будет ли запускаться файрволл при запуске системы.
Пункт custom рекомендуется опытным пользователям. Вам будет предложено вручную выбрать из списка к каким портам компьютера разрешить внешние подключения (если у вас запущены сервисы ftp или http возможно имеет смысл разрешить другим пользователям подключаться к ним). При необходимости можно разрешить доступ к нестандартным портам, установив самый нижний флажок в списке «other: другие порты». После нажатия кнопки ОК вам будет предложено вручную задать номера портов (или диапазон портов) разрешенных для одпключения к ним из сети интернет.
Кроме этого будет предложено выбрать будет ли доступно соединение интернет для других пользователей из вашей локальной сети.
В следующем окне вы можете задать адреса компьютеров которые получат доступ к вашему компьютеру в обход файрволла. Будьте осторожны с этой опцией, ее использование значительно снижает защиту компьютера от внешних угроз.
Об окончании работы программы будет указано в информационном окне:
Вы можете проверить насколько хорошо работает ваш сетевой экран, на сайте Shields Up!. Загрузите страницу и нажмите кнопку Proceed.
11.4 Антивирусный сканер
Если вы хотите проверить вашу Windows систему на вирусы, вы можете воспользоваться антивирусным сканером F-Prot. Скачать ее можно с форума. Также Вы можете скачать бесплатную версию Avast4-for-workstations с сайта производителя.
Антивирусный сканер F-Prof
После того, как вы скачали и установили программу F-Prot, откройте оболочку и введите следующие команды (соединение с Интернет должно быть активно):
Теперь вирусные базы обновлены, можно выключить соедиение с Интернет. Смонтируйте разделы Windows (mount /dev/hdax /mnt/hdax) и установите следующие опции в F-Prot:
После завершения сканирования вы можете найти лог-файл в /root/xfprot.log.
Iесли вы хотите просканировать другой Windows компьютер, вы можете пересобрать Puppy (см. главу 13). Загрузите Windows компьютер с созданного Puppy CD (с опцией загрузки puppy pfix=ram) и просканируйте ПК как было описано выше.
Антивирусный сканер Avast
Самый простой способ — воспользоваться готовым sfs-модулем avast4workstation-1.3.0.sfs. После того, как Вы скачали и подключили модуль, в Меню | Утилиты появится запись «Антивирусный сканер Avast». Первое включение вывелет окно с просьбой ввести ключ. Там же, в этом окне, находится ссылка для получения ключа с сайта производителя. После простейшей регистрации ключ будет прислан на Ваш адрес эл. почты. После ввода ключа появится окно сканера.
Здесь вы можете обновить антивирусную базу и выбрать каталоги для сканирования и режим сканирования. После этого остаётся только нажать «Начать сканирование».
По окончании сканирования желаю Вам получить такой же отчёт.
11.5 Обнаружение вторжений
Чтобы еще более обезопасить свою систему, рекомендуется сохранять контрольную сумму (cheсksum) всех ваших файлов. Делать это следует регулярно и обязательно перед резервным копированием. Если контрольная сумма не совпадает, это указывает на то, что ваши файлы подвергались изменениям.
Чтобы вычислить и сохранить контрольную сумму файлов, откройте оболочку и введите следующие команды:
Создает контрольную сумму программы md5sum, запишите ее.
Монтирует жесткий диск с вашими файлами.
Создает файл check1.dat со значениями контрольных сумм всех файлов.
Создает контрольную сумму файла check1.dat. Запишите ее.
Если вам нужно проверить, какие из файлов были изменены, введите следующие команды:
Создает контрольную сумму программы md5sum. Сравните ее с контрольной суммой, созданной на этапе (1).
Создает контрольную сумму файла /root/check1.dat. Сравните ее с контрольной суммой, созданной на этапе (3).
Монтирует жесткий диск с вашими файлами.
Создает файл check2.dat с текущей контрольной суммой файлов.
Сравнивает два файла check1.dat и check2.dat. Разница записывается в файл diff.txt.
Создает контрольную сумму нового файла check1.dat. Запишите ее.
11.6 Шифрование с использованием утилиты bcrypt
Вы можете воспользоваться утилитой bcrypt для шифрования наиболее важных файлов. Bcrypt использует алгоритм шифрования Blowfish.
Откройте оболочку и введите:
Вас спросят ввести пароль (состоящий как минимум из восьми знаков, вы можете прервать работу bcrypt комбинацией клавиш Ctrl + C ). Bcrypt зашифрует ваш файл и добавит к нему расширение bfe. Оригинальный файл будет автоматически удален.
Если вы хотите зашифровать более одного файла или целую директорию, создайте из них архив. Запустите «Меню | Утилиты | Xarchive архиватор». Зашифруйте созданный архивный файл.
Помните, что bcrypt автоматически удаляет исходный файл и вы не сможете его восстановить. Чтобы отменить автоматическое удаление, воспользуйтесь ключом -r:
Если вы хотите расшифровать файл, запустите bcrypt снова:
Больше информации по bcrypt смотрите: Homepage bcrypt
PuppyLinux — как запускать с ограниченными правами?
Попробовал PuppyLinux, поставил на жесткий диск (full install). Дистрибутив понравился, более допиленный, чем многие другие легковесные дистрибутивы. Однако есть свое но: Puppy по умолчанию запускается из root, причем root там жестко интегрирован, из под обычного пользователя иксы не запускаются. Может быть, есть форк, позволяющий убрать root? Или кто-нибудь смог запустить его не из root? Погуглил по теме, но нашел только инструкцию по inittab, которая только помогает убрать аутологин рута. (Lucid) Puppy Linux 5.2.5, full install.
работа из под рута — одна из фичь паппи, автор дистрибутива хотел вернуть тот дух пьянящей свободы, свойственный win98. Тем более будучи установленный на жесткий диск паппи теряет свою легкость, и тогда уже проще ставить debian с netinstall и до установить понравившийся тебе набор софта. Если нет охоты возиться с debian, то для быстрого развертывания рабочего окружения советую посмотреть zenwalk.
>советую посмотреть gentoo
По сабжу — иксы не с под рута стартовать руками пытаешься? Или все же добавил в рц-упдате?
> и тогда уже проще ставить debian с netinstall
А он будет легче и/или быстрее, чем обычный на 1 CD с гномом?
до установить понравившийся тебе набор софта
Интересный вариант, правда, видно, придется повозиться. Вы не в курсе, а какой пакет настраивает сглаживание в гноме?
то для быстрого развертывания рабочего окружения советую посмотреть zenwalk.
Последняя версия у них имхо заметно медленнее стала.
Ленивый стал. Возни много. Да и не айтишник я вовсе, мне в основном нужен офис/мультимедиа.
По сабжу — иксы не с под рута стартовать руками пытаешься?
Я пробовал следующее. Как и рекомендовалось на форумах, подправил /etc/inittab и убрал аутологин рута. Задал пароль рута и создал пользователя petuser, папку /home/petuser и установил его права на папку. Теперь при старте Puppy предлагает ввести пароль. При логине от petuser происходит следующее:
>А он будет легче и/или быстрее, чем обычный на 1 CD с гномом?
будет немного легче, но быстрее — вряд ли.
Вы не в курсе, а какой пакет настраивает сглаживание в гноме?
если имеешь в виду просто настройку шрифтов, то gnome-control-center, если шрифты как в ubuntu, то поищи здесь по форуму, проскакивала ссылка на репозиторий с патченым cairo
давно срался с разработчиками по этому поводу)) Правда русской редакции. Видать до сих пор не прикрутили, хотя обещали что будут стараться 😀
Почему не присмотришься к slitaz или salix? 🙂
Я попробовал пока только парочку легковесных дистрибутивов. Но там либо неправильное разрешение / убогое сглаживание, либо нельзя прикрутить, например, Firefox / OpenOffice / Skype. А Puppy — как конфетка. И шрифты замечательные, и скоростной, как ракета, и носители удобно монтировать, и имеет в наборе FF / LO и даже Skype.
salix имеет в наборе всё что нужно. Выбираешь оболочку по вкусу: fluxbox, lxde, xfce, kde 🙂 А скайп легко доустанавливается так