-1

Я время от времени балуюсь Linux. Как ни странно, когда-то в прошлом и только сегодня я обнаружил, что моя система скомпрометирована (по крайней мере, это мое восприятие). По моему мнению, я не специалист по Linux или даже средний пользователь, но у меня достаточно технических знаний, чтобы разбираться в компьютере, особенно в Windows.

Позвольте мне объяснить, что случилось.

Некоторое время назад, когда я действительно серьезно относился к изучению использования Linux, я запускал Fedora с внешнего диска. Я знаю, что я никогда не посещал тенистые веб-сайты с этой конкретной установкой. То, что произошло дальше, было необъяснимым для меня как давнего пользователя Windows. Я заметил, что файл на моем рабочем столе переместился, как будто кто-то щелкнул и перетащил его.

В то время я не обращал на это особого внимания. Примерно через день я снова загрузил машину и стал свидетелем того же. Для меня это было так, как если бы кто-то находился "на" моей машине, перетаскивая файлы с или на мою машину с какого-то виртуального интерфейса, невидимого для меня.

Я сбросил эту установку с переформатирования.

Я начал серьезно относиться к изучению использования Linux только на этой неделе. Я решил просто запустить Fedora из Oracle VirtualBox. Я разделил диск с помощью fdisk (используя SUDO вместо SU после добавления моей учетной записи в файл sudoer), когда заметил, что при просмотре всех разделов я вижу свой жесткий диск вне виртуальной машины! Я ввел другую команду и получил предупреждение об отказе AVC. Как только я сказал «Это выглядит неправильно ...», моя ОС Windows 10, на которой работала виртуальная машина, подала сигнал о том, что защитник Windows и мое решение AV отключены. Немного встревоженный, я попытался снова запустить его, но в Windows его не было. Я потратил несколько часов, чтобы все починить. Дошло до того (после выключения виртуальной машины), когда всякий раз, когда я загружался и входил в Windows 10, происходило BSOD с некоторой "watchdog_violation".

Эта виртуальная машина нуждалась в обновлении, она беспокоила меня обновлениями программного обеспечения по крайней мере два или три дня. Как и в случае с моим опытом работы с Windows, такой короткий риск для меня не показался мне вероятным.

Мне удалось это исправить только сейчас, и я на нем работает сканирование защитника Windows.

Итак, мой вопрос: как я могу предотвратить компрометацию моей машины в будущем? Каковы некоторые рекомендации по безопасности в Linux и VM?

Я не использовал SU, я использовал SUDO. Он работал изнутри виртуальной машины, и я не знаю, как работает подключение к сети в этой конфигурации. Я не знаю, как в мире кому-то удалось бы таким образом подключиться к моей ВМ, а затем и к моей внешней машине.

|источник

1 ответ1

1

Я ничего не знаю о Windows; Я делаю это, если вы запускаете проверенную по контрольной сумме md5 (https://getfedora.org/verify) версию Fedora на виртуальной машине, в которой вы, скорее всего, будете поражены молнией в одном и том же месте трижды, выиграв две PowerBall лотереи одновременно, чем были оценены так быстро. Кроме того, KVM-аспект компромисса также был бы удивительным. Если кто-то хотел получить ваши файлы, и они были такими опытными, они бы выполняли синхронизацию ваших файлов, а затем покрывали их треки, чтобы вы не знали, что они были в вашем ящике (en). Они не будут перетаскивать их вокруг вашей оконной системы.

Сообщение об отказе avc было от SELinux - я не могу опубликовать более 2 ссылок, поищите в Google FAQ по SELinux:

Как узнать, запрещает ли SELinux доступ для какого-либо программного обеспечения?

Когда SELinux запрещает доступ любого программного обеспечения к определенному ресурсу, например, когда Firefox запрещен доступ к /etc /shadow, он генерирует сообщение и записывает его в /var/log/audit/audit.log или /var /log /messages, если Аудиторская служба отключена. Если журнал содержит «avc: denied», это означает, что это отказ политики SELinux. Обратите внимание, что для чтения этого файла журнала вам потребуются права администратора (root-доступ) в вашей системе. Пример отказа будет выглядеть

type = AVC msg = аудит (1214965667.121: 635): avc: отказано {unix_read unix_write} для pid = 15524 comm = ключ "npviewer.bin" = 59918130 scontext = не определен_u: неопределенный_р: nsplugin_t: s0-s0: c0.xt1023 unconfined_u: unconfined_r: unconfined_t: s0-s

Защита Linux - обширная тема. Вот статья с инструментами, которые помогут вам поцарапать поверхность закаливания бокса, а затем провести тестирование на соответствие вашим конфигурациям. - http://opensourceforu.com/2015/06/the-most-popular-security-assessment-and-server-hardening-tools/

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .