come ci si difende su linux? (e distribuzioni)

  • Autore discussione Autore discussione Il cecchino Jackson
  • Data d'inizio Data d'inizio
Pubblicità
Dirk41 ha detto:
ci sono av che lo integrano e su Windows ho EMET. Non esiste su ubuntu ?


comunque per cuirisità ho trovato il file . Ha solo permessi solo root, parte la lettura
Clicca per espandere...

Contro gli exploit, mi sa che le difese sono inutili, qualsiasi. Ricorda: l"'unico sistema sicuro è quello spento".

- - - Updated - - -

Se sei paranoico e vuoi una sicurezza estrema, studiati (visto che sei su ubuntu) Apparmor: Sicurezza/AppArmor - Wiki di ubuntu-it

- - - Updated - - -

Ecco i profili in enforce mode su Ubuntu:
apparmor module is loaded.
26 profiles are loaded.
26 profiles are in enforce mode.
/sbin/dhclient
/usr/bin/evince
/usr/bin/evince-previewer
/usr/bin/evince-previewer//sanitized_helper
/usr/bin/evince-thumbnailer
/usr/bin/evince-thumbnailer//sanitized_helper
/usr/bin/evince//sanitized_helper
/usr/bin/ubuntu-core-launcher
/usr/lib/NetworkManager/nm-dhcp-client.action
/usr/lib/NetworkManager/nm-dhcp-helper
/usr/lib/connman/scripts/dhclient-script
/usr/lib/cups/backend/cups-pdf
/usr/lib/lightdm/lightdm-guest-session
/usr/lib/lightdm/lightdm-guest-session//chromium
/usr/lib/telepathy/mission-control-5
/usr/lib/telepathy/telepathy-*
/usr/lib/telepathy/telepathy-*//pxgsettings
/usr/lib/telepathy/telepathy-*//sanitized_helper
/usr/lib/telepathy/telepathy-ofono
/usr/sbin/cups-browsed
/usr/sbin/cupsd
/usr/sbin/cupsd//third_party
/usr/sbin/ippusbxd
/usr/sbin/tcpdump
webbrowser-app
webbrowser-app//oxide_helper
0 profiles are in complain mode.
3 processes have profiles defined.
3 processes are in enforce mode.
/sbin/dhclient (1150)
/usr/lib/telepathy/mission-control-5 (2560)
/usr/sbin/cups-browsed (1088)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
Clicca per espandere...
 
Controllare apparmor è la seconda cosa che ho fatto dopo aver attivato ufw

- - - Updated - - -

Virustotal dice che è buono al 100% . Tuttavia non capisco come potersi fidare di VT( tra gli av in memoria , non so quanti fanno prodotti per Linux )

ora provo con altri siti di simulazione del comportamento

- - - Updated - - -

su hybrid analisis non è supportato


cmq onestamente uno o è bravo bravo e sempre attento. o è bene avere o solo windows o solo linux. entrambi è troppo pericoloso ad ora. metti chiavette , passi files.
 
Dirk41 ha detto:
ciao a tutti. devo accingermi a usare una live usb di lubuntu (e quasi sicuramente poi lo installerò completamente tanto ho 1-2 vecchi pc su cui posso smanettare).

si lo so che non ci sarà nessun virus o quasi su linux perchè meno usato di W ,ma fa niente, già ci ho messo tanto a fidarmi di MS e togliere norton su w10 ,ma proprio zero protezione non mi sento .e poi lo dicevano anche di apple. di là i consigli sugli av sono rivolti all'ambiente W. e comunque mi sono letto tutto il thread e non ne viene citato neanche uno.
ho googolato e pare di aver trovato comodo: ce ne è di migliore free?

in sostanza vorrei avere solo due suggerimenti per l'av/anti-malware e il firewall per le seguenti due casistiche:

1) live che penso di fare senza persistenza (metti che voglio provare a navigare ..o non ho idea se un virus dal pc con W può passare nella live..o al contrario me lo piglio nella live e passa nel pc) ;
ecco qui ho anche una domanda: dato che cancella tutto(senza persistenza),verrebbe cancellato anche un virus?in pratica funzionerebbe tipo una sandbox o un virtualizzatore ,che una volta chiuso/riavviato elimina tutto quanto? e se non passo io voloentariamente qualche file dalla live al pc, c'è modo per il virus di passare o funziona come una scatola chiusa?

2) nel so completo installato

grazie in anticipo. scusate il disturbo. scusate se ho detto castronerie ma è la prima volta che interagisco con linux
Clicca per espandere...

Una volta settata a dovere una distribuzione l'unica cosa che potrà portarti guai sono i zeroday e tu stesso. Più cose avrai nel tuo sistema più probabilità ci sono che ci possa essere un bug, è proporzionale la cosa. Il tutto si traduce in proteggi il Re (root). TI consiglio di dare un'occhiata a smash the stack per capire al meglio di cosa parlo.
 
Ultima modifica:
Uruma ha detto:
Una volta settata a dovere una distribuzione l'unica cosa che potrà portarti guai sono i zeroday e tu stesso. Più cose avrai nel tuo sistema più probabilità ci sono che ci possa essere un bug, è proporzionale la cosa. Il tutto si traduce in proteggi il Re (root). TI consiglio di dare un'occhiata a smash the stack per capire al meglio di cosa parlo.
Clicca per espandere...

intendi il primo risultato che mi esce googolando "smach the stack"? è un gioco???
 
Dirk41 ha detto:
si ma intendo che windows in uscita fa passare tutto . di default.
ufw di default come è? grazie
Clicca per espandere...

Per default nega ogni connessione in entrata e permette quelle in uscita. Non voglio andare nello specifico ma rimanendo nel default si possono cambiare con camandi come:

sudo ufw default allow / deny outgoing / incoming

se pensi di aver fatto macelli nelle impostazione avanzate ricordati del magico:

sudo ufw reset

Ricordati che puoi fare il check con:

sudo ufw status

Per stare ancora sul sicuro permetti la connessione ad internet tramite un'interfeccia da te scelta come wlan o en.
 
Ultima modifica:
non lo so cmq si impara a nuotare poco alla volta,prima coi braccioli, poi senza nulla. datemi una suite av e poi poco alla volta mi abituo.
mi è parso di capire che con apparmor sono giù in una sandbox quindi non ne chiedo un'altra.
selinux mi è parso di capire che è meglio non installarlo su ubuntu.
 
Ultima modifica da un moderatore:
Usa l'interfaccia grafica e fai tutto da li in modo semplicissimo: https://apps.ubuntu.com/cat/applications/gufw/

- - - Updated - - -

Dirk41 ha detto:
non lo cmq si impara a nuotare poco alla volta,prima coi braccioli, poi senza nulla. datemi una suite av e poi poco alla volta mi abituo.
mi è parso di capire che con apparmor sono giù in una sandbox quindi non ne chiedo un'altra.
selinux mi è parso di capire che è meglio non installarlo su ubuntu.
Clicca per espandere...

No, Ubuntu usa apparmor, SeLinux è su Fedora, Debian etc... anche se su Debian puoi installare pure apparmor.
 
per quanto riguarda il mio file mail,conoscevo due siti per l'analisi del comportamento e mai dovuti usare e ci capisco poco. uno hybrid analisis non supporta il file.
malwr.com invece si e l'analisi del comportamento network ha rilevato nessun tentativo di comunicazione. ma non so,gli ho scritto,dove viene testato un file linux

cioè un .deb girerebbe su windows???

- - - Updated - - -

lele.deb ha detto:
Usa l'interfaccia grafica e fai tutto da li in modo semplicissimo: https://apps.ubuntu.com/cat/applications/gufw/
Clicca per espandere...


si avevo letto che c'era, ma già facevo casino con quelle di windows firewall, alla fine ho lasciato stare. vorrei una cosa facile tipo le restrizioni di sanfboxie: permetti solo al browser di cominicare e fine

- - - Updated - - -

Ico Bellungi ha detto:
Ce n'è uno di warning: /usr/bin/mail ha un hash non conosciuto da rkhunter. Le cose sono due, quelli che manutengono rkhunter non conoscono quel file con quella versione, o quell'eseguibile è malevolo. Per essere sicuro che un hacker non abbia compromesso quel file, dovresti scaricare il pacchetto .deb che lo contiene, decomprimerlo senza installarlo e fare un md5sum del file presente nel pacchetto e di quello in /usr/bin. Se coincidono, a quel punto ci sono due ipotesi: quelli che manutengono rkhunter non conoscono quel file con quella versione, o qualche hacker ha bucato il mirror di Ubuntu che stai usando ed ha iniettato un eseguibile malevolo in quel pacchetto.

E' improbabile che sia davvero infetto, ma se hai dei dubbi, prova come ti ho detto. oppure con tcpdump analizzi tutto il traffico prodotto da quel file.
divertiti
Clicca per espandere...

alla fine sono riuscito ad aprire quell'altro file log che dicevo. c'è un sommario. dice file sospetti 2. possibili rootkits zero.

poi non so se conosci malwr.com, io è la prima volta che lo usavo, non so in che ambiente abbia testato il file ma dice che non tenta connessioni
https://malwr.com/analysis/NjdhYWYzZmEwMGZmNDk4YWFiOWIzM2M4OWEwZjdhZTk/

beh mi sento in qualche modo sereno

- - - Updated - - -

ma cmq chissene

ah avevo in mente di chiedere una cosa: ma se tolgo la spunta a monta dispositivi collegati(o qualcosa del genere) è come disabilitare l'autorun di windows?

- - - Updated - - -

e guardate vengono scoperte spesso vulnerabilità Annunci di sicurezza ? Forum Ubuntu-it
 
Ultima modifica da un moderatore:
Mh Grazie . Ma veramnte io ieri ho messo una chiavetta. E non mi ricordo cosa si è aperto subito ma non mi pare proprio di ricordare fosse qualcosa che mi chiedeva se volevo aprirlo. Se per prompt intendi lo schermo nero, non è apparso quello .
comunque ho trovato ora come si disabilita l'autorun su ubuntu . Vedrò poi se funziona anche su xubuntu . Ma spesso quando googolo mi imbatto solo in risorse di 5 anni fa tipo. Io voglio che non succeda proprio nulla.




per quanto riguarda GUFW alla fine non offre niente in più dei comandi da terminale . Curioso solo provare la modalità rifiuta che ti dovrebbe avvisare di tentativi di intrusione e non solo respingerli
 
Pubblicità
Pubblicità
Indietro
Top