Rozcestník >> Počítače a Internet >> PC poradenství

To patří do kategorie o mobilech či Androidu. Jelikož tady nic takového není, tak by se takové diskuse musela vytvořit, asi tady: https://diskuze.chatujme.cz/elektronika-cb

Linux je zlatý jen proto, že ho doma používá jen nějaké 1% lidí a na serverech je Linux okleštěný a používají ho zkušení lidi. Čím je OS populárnější, tím více se někdo bude snažit, najít v něm nějakou chybičky, kterou zneužije. Asi tak jako s trezorem. Žádný trezor není neprolomitelný.

To je sice pravda, že Linux má tu "výhodu", že se na něj díky malé rozšířenosti psát viry nevyplatí, ale ten systém je už na základě jeho architektury považován za nejbezpečnější. Oni v něm totiž viry nemají moc šanci se uplatnit, pokud neznají rootovské heslo, proto pro něj ani antiviráky neexistují (tedy existují, ale pro antivirovou kontrolu jiných systémů, ne jeho samotného).

Dokud nebude na Linux tolik útoků jako na Windows, tak nejsou žádná data, která by potvrdila, jak je Linux skoro neprolomitelný. U Androidu by to mohlo platit, protože zatím vždy šlo o to, že si někdo musel do mobilu sám nainstalovat nějakou infikovanou aplikaci. Otázkou je, jestli to znamená, že je Android tak bezpečný anebo záškodníci kašlou na to, aby obranu Androida nějak prolamovali, když ví, že se najde dost lidí, kteří si infikovanou aplikaci sami nainstalují, obzvlášť, když to prochází i přes Google Play.

To jo, to jistě. Mimochodem Android je postaven na Linuxu.

Pro zajímavost, někdy před osmi lety jsem četl o takovém testu - nevím ale, jestli to budu reprodukovat přesně -, kdy se vzaly systémy Linux, macOS a Windows, a tři nějací odborníci měli za úkol je během 3 dnů hacknout. S tím, že 1. den k tomu mohli využít jen systémové služby. Pokud nebyli úspěšní, tak 2. den mohli využít systémový software (tj. vytvořený výrobcem systému), a pokud nebyli úspěšní, tak 3. den mohli využít i software třetích stran. A prý to dopadlo tak, že 1. den se podařilo hacknout Windows, 2. den macOS a 3. den Linux (prý přes Adobe Flash).

Linux má antivir clamAV který kontroluje systém, používá se i ke kontrole emailu pokud máš na emailovy server.
Pak je haldy variant rootkit checkeru což je nejhorší problém Linuxu.. Nenápadná aplikace která i bez nutnosti root práv se zavrta do systému a třeba přes nějaké exploity si práva přes eskalaci sudo roota obstará.. Za svoji několika letou praxi jsem už pár hacknutych a zavirovanych serveru na Linuxu viděl.
Pořád platí to ze je nutná obezretnost při spuštění čehokoliv z Linuxu je trochu benevolentnejsi politika tím ze je to otevřené tak si musíš dávat pozor na otevřené porty služeb třeba root heslo nebo i rovnou přihlášení pres vzdálený přístup je často zakázáno a já osobně na vzdálené přístupy využívám RSA klíč namísto hesla.
Nicméně zavirovani Linuxu je víc sofistikovanější věc než milion variant různých viru na Windows ale zas jsou potenciálně nebezpečnější a nemusíš o nich dlouho vědět (třeba infekce která ti zapojí pc do botnetu)

Tak to je pro mě novina, že by clamAV kontroloval i soubory systému. Já měl za to, že kontroluje jenom poštu a jiné systémy.
To jo, neříkám, že Linux je 100% bezpečný, ale že je nejbezpečnější (alespoň z těch 3 nejrozšířenějších).
Hádal bych, že k jeho zabezpečení výrazně přispívá ten systém repozitářů, který by měl snižovat riziko nainstalování si zavirovaného programu nebo přímo malwaru.
Se servery nemám žádnou zkušenost, ale vícekrát jsem narazil na názor, že když je linuxový server správně nastaven, tak že je převelice obtížné ho hacknout.

clamscan umi prave scan i souborovyho systemu ale tam je vetsi sila v rootkit checkerech https://www.linuxexpres.cz/praxe/sprava-linuxoveho-serveru-detekce-rootkitu-a-zotaveni ktery kontroluji vzorky kodu nebo takova univerzalni cesta je si cisty system projet a udelat si hashe systemovych souboru ktery pak checker kontroluje zda nedoslo ke zmene / infekci.
Na linux se spis objevuji backdoory rootkity a nejaka sorta malwaru nez viry ktery zname z windows.

Linuxovy server se od desktopu moc nelisi server obvykle nemusi mit / nema GUI jinak je to 1:1 to same, a ano presne "pokud je spravne nastaven". Pokud vemem v potaz pouze externi utoky tzn minimalne musis mit ve firewallu zavreny vsechny zbytecny porty a ven do netu jen to co opravdu potrebujes - a zbytek proste blokovat minimalne na ip ze ktere bys je mohl potrebovat.
Pak ses odkazanej na pravidelny update software ktery nasloucha na tehc portech aby se tam neobjevil nejaky zero-day exploit nebo jina skvira skrz kterou je utocnik schopny pustit svuj kod.
Sudo mel pred par tydny diru pres kteoru sis mohl eskalovat prava roota bez hesla - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3156 takze ti stacil pristup k beznemu uzivateli skrz treba deravou aplikaci ktera ma port do netu.
Treba frameworky na kterych bezi webove aplikace muzou mit bezpecnostni diru skrz kterou opet pustis svuj kod a pak uz si vyrobis jen nejaky zadni vratka na vzdaleny pristup.

Jé to si vybavuju, že někdy před dvěma týdny byla aktualizace balíku sudo (já provádim aktualizace ručně)

Nebo vzpomínám, že někdy v roce 2015 byla objevena kritická zranitelnost v linuxovém jádru, která umožňovala velice snadno získat kontrolu nad systémem. To tehdy byla "bomba", protože podle všeho se tam musela vyskytovat už nějakých 20 let ale nejspíš prý zůstala nikým nepovšimnuta. Kompletní zazáplatování trvalo 7 dní a aktualizace tehdy vycházeli výjimečně i o víkendu.
To je ostatně taky prý výhoda u Linuxu, že opravy chyb vychází velmi rychle. Když je nahlášena zranitelnost, tak prý záplata je k dispozici už druhý den. Zatímco u Microsoftu to prý trvá podstatně déle.

Ten clamAV jsem se jednou pokoušel nainstalovat, že ho vyzkouším, ale nějak se mi ho nepodařilo rozběhnout, tak jsem toho zase nechal. Možná to znovu zkusím, teď už jsem tak trochu zkušenější uživatel.

Jo s tím serverem jsem to takhle slyšel, zavřít všechny nevyužívané porty plus už nevim co, ale nějaké odborné znalosti zas nemam.

Pro Linux je toho více, dokonce i Microsoft Defender. Ale jak moc to na Linuxu dává smysl, netuším. Na androidu např. antivirový program je jen na ozdobu, pokud mobil nemá root.

U Windows je hlavní problém ten, že lidi obvykle používají admin účet. V Linuxu si člověk běžně root účet nedělá. A hodně programů při instalaci ve Windows chce práva admin účtu, to taky moc bezpečnosti nepomáhá.