Bezpieczeństwo w Linuksie – fakty i mity cz.2
Ostatnia aktualizacja: 18 września 2023, 14:50
Przenieśmy te „mądrości” i statystyki na inny grunt. Gdyby bezpieczeństwo w motoryzacji zależało od popularności to najbardziej niebezpieczny byłby Volkswagen a eksperci od bezpieczeństwa zalecaliby jazdę Lamborghini lub Maserati. Dlaczego? Bo STATYSTYCZNIE te auta biorą udział w niewielkim odsetku kolizji drogowych! Jest w tym jakiś sens? Ja go nie widzę.
Jest takie przysłowie, które mówi, że są trzy prawdy: święta prawda, g… prawda i statystyka.
Nie wiem z jakich źródeł korzystają statystycy, którzy określają ilu jest użytkowników Linuksa lub ilu widzów ogląda konkretny program w TV, dla mnie jest to czarna magia. Wiem jednak, że o bezpieczeństwie na drodze czy w internecie decyduje konstrukcja i jakość produktu którego używam a nie jego popularność. Awaria samochodu, komputera czy systemu może przydarzyć się każdemu ale produkt dobry jakościowo jest mniej na to narażony. Na wypadki losowe nie mamy wpływu. Oczywistym jest, że dobre auto i markowy komputer psują się rzadziej nie dlatego, że są mniej lub bardziej popularne ale dlatego, że konstruktorzy włożyli w niego więcej pracy i starań by dobrze służył. I znów podeprę się cytatem 6:
„Serwery banków są zwykle bardzo dobrze zabezpieczone. Niestety, nie można powiedzieć tego samego o komputerze przeciętnego Kowalskiego, zwłaszcza jeśli jest na nim zainstalowany Windows. Dlatego też zamiast przedzierać się przez bankowe systemy ochronne, hakerzy często atakują najsłabsze ogniwo łańcucha – użytkownika systemu Microsoftu. Żeby całkowicie uniemożliwić napastnikom atak, XP i Vista potrzebują dodatkowych narzędzi zabezpieczających – niestety, spowalniają one działanie komputera i wymagają stałej uwagi. To znaczy: trzeba je codziennie aktualizować! Rozwiązanie: Bez aktualnego programu antywirusowego lepiej w ogóle nie łączmy się z serwisami banków! Pełne bezpieczeństwo zapewni nam jednak tylko Linux. Używajmy zatem dwóch systemów równolegle: kiedy w grę wchodzą pieniądze, przesiadajmy się na Linuksa, a do zadań, takich jak obróbka zdjęć czy pisanie listów, zatrudnijmy Vistę lub jej poprzedników. Możemy skorzystać z dystrybucji Linuksa uruchamiającej się bezpośrednio z płyty CD, np. Knoppiksa.”
Kluczowe jest tutaj zdanie: „Pełne bezpieczeństwo zapewni nam jednak tylko Linux.” Dlaczego autor tego artykułu o bankowości internetowej tak sądzi? Teraz przyjrzyjmy się bliżej naszemu pingwinowi 7, 8.
„Linux jest różnorodny.
Krytycy lubią mówić o różnorodności Linuksa jako o „problemie fragmentacji”, jednak prawdę mówiąc jest to jedna z jego największych zalet. Użytkownicy mają niezliczone dystrybucje Linuksa do wyboru. Są takie jak Linux Mint lub Ubuntu, które stawiają na użyteczność lub jak Fedora, która zapewnia najwyższe bezpieczeństwo i wiele możliwości dla klientów biznesowych. Istnieją nawet wersje dla określonych branż.”
Powstało już ponad 400 dystrybucji Linuksa z czego kilkadziesiąt jest szeroko używanych, każda z nich różni się od pozostałych. Używane są różne zestawy programów, środowiska graficzne, rodzaje paczek instalacyjnych, menadżery plików, menadżery okien, instalatory programów a każda dystrybucja ma własne repozytorium pakietów. Nawet ta sama dystrybucja zainstalowana na innych komputerach przez różnych użytkowników może się różnić diametralnie a wybór opcji instalacyjnych jest na prawdę imponujący. Stworzenie wirusa czy innego złośliwego kodu na taki system przerasta możliwości 99% programistów. Tym razem palnąłem sobie własną statystykę:)
W porównaniu z Linuksem Windows jest jak gwoździe, taki sam na wszystkich komputerach, poszczególne instalacje różnią się tylko sterownikami, co znacznie ułatwia zadanie hakerom. Systemy linuksowe w zdecydowanej większości są tworzone przez programistów z całego świata skupionych wokół wspólnej wizji lub idei, robią to dla siebie i dla innych, Linux powstaje dla ludzi a nie dla pieniędzy. Dlatego nie ma tu osłabiania czy ignorowania zabezpieczeń w celach zarobkowych. Są także dystrybucje komercyjne ale ten biznes oparty jest o całkiem inne założenia. Takie firmy jak Red Hat, Novell czy Mandriva Soft pobierają opłaty za wsparcie techniczne i obsługę klientów korporacyjnych jednocześnie wydając społecznościowe i bezpłatne wersje swoich systemów na komputery domowe. Tu też nie ma mowy o taryfie ulgowej a bezpieczeństwo systemów jest priorytetem. Pierwszy główny grzech nie dotyczy więc Linuksa.
Konta użytkowników i prawa dostępu są w Linuksie od zawsze i stanowią główny filar, na którym jest oparte bezpieczeństwo systemu. Microsoft dopiero w Sevenie zaimplementował te funkcje w przyzwoity sposób na wzór linuksowy ale zepsuł efekt pozostawiając użytkownikom furtkę, przez którą mogą to ominąć i czynią to bez skrupułów tylko po to, by nie musieć pamiętać i wpisywać hasła. W Linuksach kiedyś można było zalogować się na konto root ale dzisiaj w większości dystrybucji jest to już niemożliwe ani potrzebne. Uprawnienia administratora (superuser) są nadawane w razie potrzeby i wymagają wpisania hasła. Bez ustanowienia hasła nie jest możliwa instalacja systemu, tego kroku nie da się pominąć. Jak w tej sytuacji może się zainstalować wirus? Przecież użytkownik MUSI mu na to pozwolić wpisując hasło! Innej drogi nie ma. Nawet jeśli to zrobi przez własną głupotę, przypadek lub niewiedzę to instalator pakietów go przed tym ostrzeże odpowiednim komunikatem.
Drugi główny grzech też odpada.
Wielu początkujących linuksiarzy narzeka na niemożność instalowania w systemie dowolnych programów, szczególnie windowsowych. Czują się ograniczeni zawartością repozytoriów w których są tylko programy wybrane przez twórców danej dystrybucji. I o to właśnie chodzi! Te pakiety są nie tylko wybrane ale także dokładnie sprawdzone a każdy z nich ma swojego opiekuna. Teoretycznie ktoś złośliwy mógłby zamieścić w repozytorium np. Ubuntu jakiegoś wirusa, robaka czy trojana, w praktyce zostałoby to natychmiast wykryte przez innych a delikwent wykluczony z zespołu zajmującego się repozytorium. Istnieje możliwość (czasami konieczność) dodania repozytoriów społecznościowych spoza dystrybucji ale i tu nie ma obaw. Sytuacja wygląda analogicznie jak w repozytoriach głównych, są opiekunowie pakietów a dodawanie wątpliwych aplikacji byłoby strzałem we własną stopę. Przecież oni robią to także dla siebie! Opiekują się pakietami, dbają o spełnianie zależności między nimi, poprawiają błędy wykryte i zgłoszone przez użytkowników oraz zamieszczają zaktualizowane wersje. Co więcej, w zdecydowanej większości czynią to w swoim wolnym czasie, są twórcami, artystami, którzy realizują swoją pasję i nie siedzą na etacie. Przykładem mogą być Paweł i Aneta, którzy tworzą portal Linuxiarze.pl i własną dystrybucję SparkyLinux. Nie są anonimowi, pomogą i doradzą każdemu, kto się do nich zwróci i nie są zainteresowani działaniem na czyjąkolwiek szkodę.
Pingwin nie grzeszy po raz trzeci.
Aktualizacje oprogramowania to kolejny atut każdego Linuksa, wykryte i zgłoszone przez użytkowników błędy są poprawiane niemal natychmiast, czasem zajmuje to kilka dni a czasem kilka godzin. Aktualizacje dystrybucji obejmują nie tylko system ale także zainstalowane programy, przy tym należy podkreślić, że aktualizacjom podlegają tylko obecne w systemie pakiety, nie ma mowy o dodawaniu czegokolwiek bez zgody użytkownika. Informatyczni giganci z Redmont i Cupertino potrafią całymi latami ignorować błędy i luki we własnym sofcie. Jeśli ktoś to rozumie to niech mi wytłumaczy, bo ja nie mam pojęcia, dlaczego tak jest. Aktualizacje Windows obejmują tylko produkty Microsoftu i często „przemycane” są nowe funkcje, o których użytkownik nie wie. System potrafi też wysyłać informacje o użytkowniku nie pytając o zgodę.
Oprócz domyślnych, systemowych ustawień bezpieczeństwa Linux zawiera także programy, które w tym pomagają. Podstawową aplikacją jest zapora ogniowa ufw, która działa w trybie tekstowym (konsolowym). Do wygodnego zarządzania regułami służy graficzny interfejs Gufw. Obsługuje typowe zadania, takie jak wstępnie skonfigurowane blokowanie lub zezwalanie, wspólne p2p, czy indywidualne porty oraz wiele innych. Dla bardziej wymagających i zaawansowanych użytkowników przeznaczony jest Firestarter.
W repozytoriach każdej dystrybucji znajdziemy też antywirus ClamAV a z zewnątrz dostępnych jest kilkanaście innych 9.
Praktycznie każda większa firma antywirusowa ma ofertę dla Linuksa, między innymi AVG, Avira, Avast, Panda, Kaspersky, Symantec. Kiedyś, gdy miałem jeszcze WinXP i partycje NTFS używałem ClamAV do skanowania Windowsa z zewnątrz. Obecnie mam tylko Linuksa i partycje ext4. Program ten służy mi głównie do skanowania nośników wymiennych. Sprawdza się znakomicie. W celu rozszerzenia możliwości ClamAV proponuję doinstalowanie przez Synaptica kilku dodatków, przede wszystkim graficzny interfejs ClamTK. Wartym zainteresowania jest też skaner Linux Malware Detect, projekt Open Source. Nie raz przeglądałem logi ufw i skanowałem komputer antywirusem zarówno z poziomu Linuksa jak i Windows. Na partycjach linuksowych wynik był zawsze zerowy. Jeżeli ktoś miał kiedykolwiek do czynienia z wykrytym wirusem w Linuksie to proszę o zamieszczenie informacji o tym w portalu Linuxiarze.pl. Takiego epokowego zjawiska nie wolno ukrywać. Czwarty grzech główny na aut.
Oczywiście nic nie jest doskonałe, Linux wciąż się rozwija i pędzi do przodu, dystrybucje mają wzloty i upadki, zdarzają się błędy mniejsze lub większe ale użytkownik ma zawsze wybór, może sprawdzić nowe wydanie, wrócić do starszej wersji i poczekać na następną lub przejść na inną dystrybucję jeżeli dotychczasowa przestała spełniać jego oczekiwania. Ja sam bezboleśnie przeszedłem z Mandrivy do Ubuntu a teraz porzuciłem GNOME/Unity na rzecz Xfce/LXDE bo tak mi bardziej pasuje. Satisfaction guaranteed.
Jest jeszcze piąty element odpowiedzialny za bezpieczeństwo. Siedzi on właśnie przed monitorem i stuka w klawiaturę. Użytkownik jest najsłabszym ogniwem w tym łańcuchu i to bez względu na używany system, to on może popsuć wszystko i wpakować się w kłopoty na własną prośbę. I w tym miejscu Linux jest górą ponieważ jego użytkownicy są bardziej świadomi tego co robią. W końcu to oni sami wybrali ten system, z własnej i nieprzymuszonej woli, bez psychologicznego marketingu i uszczęśliwiania na siłę.
To właśnie świadomi użytkownicy są największym atutem i zaletą Linuksa. Amen.
Autor: Albedo 0.64
Linki do stron źródłowych:
6. chip.pl/artykuly/porady/2009/01/bankowosc-internetowa-nowe-zagrozenia
7. pcworld.pl/news/378964/Usun.Windows.zainstaluj.Linux.10.argumentow.za.html
8. pcworld.pl/news/380042/Pierwsze.kroki.z.Linux.Mint.siec.bezpieczenstwo.i.zalety.wine.html
9. forum.komputerswiat.pl/topic/18092-antywirusy-na-linuksa/
10. komputerswiat.pl/blogi/blog-redakcyjny/2012/02/ubuntu-miazdzy-windows-7-w-testach.aspx
@leret: nie ma systemu w 100% bezpiecznego i bez wad. W Linuksie zapora ma zapobiegać atakom (włamaniom) z zewnątrz. O antywirusach pisałem; kilku producentów tego softu chce dorobić parę groszy poza windowsem. Poza tym antywir w linuksie przydaje się do sprawdzenia nośników zewnętrznych i partycji z zainstalowanym windowsem. Czy jest to propaganda czy nie, sam ocenisz jak trochę dłużej będziesz z linuksem i sprawdzisz sobie parę rzeczy.
Od pewnego czasu szukam linuxa odpowiadającego moim wymaganiom, przetestowałem już kilka teraz jest kubuntu, na pewno coś wybiorę i zostawię na lapku. Z całym szacunkiem dla linuksa śmieszą mnie wypowiedzi typu linux jest najbezpieczniejszy bo nie ma wirusów itd. więc pytam się po co są zapory i antywirusy na linuksa . Odnoszę wrażenie że wielu użytkowników linuxa poddało się propagandzie bezpiecznego systemu pozbawionego wad.
Linuxem zainteresowałem się przez przypadek, miałem nerwa na winde i jej aktualizacje komp ma padaczke.
Kolega córki polecił mi linuxa i tak już zostało.
Mam 56 lat,jestem budowlańcem z informatyką nie mam nic wspólnego i jakoś sobie radzę i sobie chwalę .
Trwa to już jakieś 7 albo 8 lat i dalej jestem w tej materii ZIELONY wcale mi to nieprzeszkadza. Ciekawe czy umiał bym formata zrobić,
Pozdrawiam.
Świetny artykuł, być może za jego pomocą uda mi się przekonać „nieprzekonywalnych” do pingwinka 🙂
Jeszcze o hasłach. Hasło powinno być takie, jakiego chce user. Niektóre dystrybucje przy konfiguracji zwracają uwagę, że hasło jest za słabe, ale w końcu uznają decyzję użytkownika za decydującą. Ale są i takie, które na siłę doprowadzają obywatela do szczęścia i wiedzą lepiej – jak pewien OS z Redmont…. 🙂