Journal : Linux, les failles, les virus et le grand public
Posté par khalahan () le 18 mai 2005
Je dirais qu'il existe 2 types de virus, ceux qui exploitent les failles des logiciels/os et ceux qui exploitent les faiblesses de l'être humain.
La 1ère catégorie a peu d'impact sur les systèmes à jour. Les mises à jour de linux avec les systèmes de packages gérés par les distributions permettent aussi de diminuer le risque, car l'utilisateur met en général toute sa distribution à jour d'un coup.
Cependant, le grand public n'est pas encore forcement sensibilisé à ces problèmes de mises à jour et de failles de sécurité.
Je pense que les distributions devraient proposer une sorte d'outil qui prévient visuellement l'utilisateur qu'il y a des mises à jour disponibles (cela existe-t-il déjà pour certaines distributions ?).
La 2ème catégorie est plus problématique, car ce qui pose problème ce sont la naïveté et la méconnaissance de l'informatique entre autres.
Linux et son système de bits d'exécution permet de réduire énormément ce problème, mais il existe encore quelques cas qui permettent d'infecter une machine :
- décompression d'une archive .tar.gz qui contient des fichiers exécutables (téléchargée sur internet ou reçu par mail ou messagerie instantanée)
- modification manuelle des droits d'exécution d'un fichier (en console ou en mode graphique)
Un utilisateur n'a par défaut pas le droit de rajouter de programme dans les dossiers du système, il peut uniquement écrire dans ~ et /tmp et c'est à ces endroits que les virus vont être enregistrés par l'utilisateur.
Quelle solution existante pour résoudre ce problème, sachant que l'utilisateur peut aussi installer des programmes utiles non fourni par sa distribution ?
Pour répondra à cette question, il faut d'abord définir différents profils d'utilisation d'une machine Linux :
1. Machine perso, mono-utilisateur
2. Machine multi-utilisateurs (famille ou entreprise)
3. Machine multi-utilisateurs administrée par personne/tout le monde
Solutions :
- un noexec sur les partitions /tmp et /home :
* il faut obligatoirement que /tmp et /home soient sur des partitions séparées
* les programmes utiles dans ~ et /tmp ne fonctionnent plus
=- utile dans le cas où un administrateur veut volontairement brider ses utilisateurs, mais très génant pour les autres cas.
- autre solution ?
La 1ère catégorie a peu d'impact sur les systèmes à jour. Les mises à jour de linux avec les systèmes de packages gérés par les distributions permettent aussi de diminuer le risque, car l'utilisateur met en général toute sa distribution à jour d'un coup.
Cependant, le grand public n'est pas encore forcement sensibilisé à ces problèmes de mises à jour et de failles de sécurité.
Je pense que les distributions devraient proposer une sorte d'outil qui prévient visuellement l'utilisateur qu'il y a des mises à jour disponibles (cela existe-t-il déjà pour certaines distributions ?).
La 2ème catégorie est plus problématique, car ce qui pose problème ce sont la naïveté et la méconnaissance de l'informatique entre autres.
Linux et son système de bits d'exécution permet de réduire énormément ce problème, mais il existe encore quelques cas qui permettent d'infecter une machine :
- décompression d'une archive .tar.gz qui contient des fichiers exécutables (téléchargée sur internet ou reçu par mail ou messagerie instantanée)
- modification manuelle des droits d'exécution d'un fichier (en console ou en mode graphique)
Un utilisateur n'a par défaut pas le droit de rajouter de programme dans les dossiers du système, il peut uniquement écrire dans ~ et /tmp et c'est à ces endroits que les virus vont être enregistrés par l'utilisateur.
Quelle solution existante pour résoudre ce problème, sachant que l'utilisateur peut aussi installer des programmes utiles non fourni par sa distribution ?
Pour répondra à cette question, il faut d'abord définir différents profils d'utilisation d'une machine Linux :
1. Machine perso, mono-utilisateur
2. Machine multi-utilisateurs (famille ou entreprise)
3. Machine multi-utilisateurs administrée par personne/tout le monde
Solutions :
- un noexec sur les partitions /tmp et /home :
* il faut obligatoirement que /tmp et /home soient sur des partitions séparées
* les programmes utiles dans ~ et /tmp ne fonctionnent plus
=- utile dans le cas où un administrateur veut volontairement brider ses utilisateurs, mais très génant pour les autres cas.
- autre solution ?
> Lire le journal (16 commentaires, moyenne: 2,3).
Vous avez demandé le commentaire #576140.
Run by 
Cette page a été générée par Templeet en 0.0527s (dont 0.0055 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
noexec insuffisant
noexec ne suffit pas. C'est contournable très facilement : soit c'est un script et
/bin/bash ./virus.sh
suffira. Soit c'est un exécutable ELF et
/lib/ld-linux.so.2 ./virus
fonctionnera.
(N'essayez pas le chmod -x /lib/ld-linux.so.2, c'est une mauvaise idée qui vous fera sortir le CD rescue).
Claws Mail - it bites!
[^]Re: noexec insuffisant
Par contre, le patch GRsec permet de n'autoriser l'éxécution que de programmes situés dans des répertoires accessibles en écriture au seul root.
Et on peut limiter cette restriction à un seul groupe d'utilisateurs.
Respect à RMS.
[^]Re: noexec insuffisant
En effet, pourquoi personne n'a jamais pensé à boucher cette faille dans le CVS de bash et dans celui de la glibc ?
[^]Re: noexec insuffisant
Je pensais à ça, aussi, mais j'ai une objection : Comment tu exécutes ces commandes automatiquement ?
A part demander à l'utilisateur explicitement de taper les commandes (ésotériques), je vois pas.
J'ai pensé aussi à insérer une ligne dans le .bashrc ou un fichier exécuté au démarrage, mais il faut aussi ... un script, pas exécutable automatiquement à priori. Donc c'est déja une barrière non négligeable, sauf si j'ai loupé un épisode. C'est déja bien plus compliqué que de double cliquer sur un fichier.
[^]Re: noexec insuffisant
Ah si, je vois en fait, un gestionnaire de fichier/shell configuré pour ouvir les .py avec python, les .sh avec bash et caetera. Mais je crois pas que ce soit le cas par défaut.
[^]Re: noexec insuffisant
(N'essayez pas le chmod -x /lib/ld-linux.so.2, c'est une mauvaise idée qui vous fera sortir le CD rescue).
Il y a une façon plus technique de résoudre ce dilemne: http://pafoo.net/uninstallglibc/uninstglibc.html(...)
----
je suis déja retourné dans la piscine...
( Kriiikzz )