Bezpečnost v Linuxu po stoosmdesáté páté

Přesto (nebo právě proto) si dovolím tvrdit, že v současné době Linux ve světě IBM PC kompatibilním typicky sdílí disk s některými Wokny od výše uvedené firmy. Toto bude zvláště platit u malých a středních firem a u jednotlivců. Důvody tohoto stavu jsou všeobecně známé - leností a neinformovaností uživatelů (odmítajících vyměnit důvěrně známá drahá nespolehlivá okna za levný, ale neznámý Linux) počínaje a neexistencí (stále ještě:) určitého softwaru pod Unixem konče. Logickým vyústěním tohoto obojživelničení je potřeba sdílet data mezi oběma (více) systémy. Situace Windows -< Linux je příznivější - stačí „namountovat“ příslušnou partition do unixového stromu.

Opačný případ je složitější. Řešit se ovšem také dá. Prehistoricky, tj. uložením souboru na disketu, futuristicky, tj. nahráním na internet (příp. na LAN), nebo vychytrale. To poslední znamená, že si pořídíte program, který vám linuxový disk přečte, např. Explore2fs od Johna Newbigina. Ten obsah ext2fs partition zobrazí podobně jako Průzkumník ve Windows, soubory můžete libovolně prohlížet a dokonce zapisovat. Zápis je ovšem na vlastní nebezpečí, autor výslovně uvádí, že by to také mohl být poslední zápis na příslušný disk.

Teď se možná sami sebe ptáte, jestli si nějaký webový šotek nepohrál s elektrony a neprohodil titulky. Mohu vás uklidnit – tento článek se skutečně týká bezpečnosti Linuxu. Takže, přistupme k jádru věci. Problém je totiž v tom, že soubory na linuxovém disku můžete v Explore2fs prohlížet skutečně libovolně. Program pracuje, podobně jako to často dělají hackeři, na fyzické vrstvě a žádným způsobem nekontroluje oprávnění uživatele číst příslušný soubor. Zachce-li se vám podrobit zkoumání soubor /etc/passwd a náhodou nemáte rootovská práva, není nic snazšího. Stačí nabootovat (pro změnu) Windows a spustit Explore2fs. Ten se navíc pohodlně vleze na disketu, takže si ho můžete přinést s sebou.

To v podstatě znamená, že úplný linuxový začátečník je na počítači, kde vedle sebe koexistují Windows s Linuxem, schopen přečíst jakýkoliv soubor z ext2fs. Stačí, aby uměl ve Windows spustit program. Zabezpečení přístupu k datům v Linuxu se pak velmi blíží zabezpečení dat ve Windows 95 - je takřka veškeré žádné.

Samozřejmě, výše uvedené pořád předpokládá, že dotyčná osoba má fyzický přístup k počítači. Téměř tak odpadají škůdci „z venku“ (nepočítáme-li možnost vloupání). Ale cožpak řadové zaměstnance malé firmy s několika mála počítači nezajímá home adresář šéfa? Vyhozeného pracovníka citlivá data firemní agendy? A cožpak většina počítačových kriminálních činů není spáchána „zevnitř“?

Jak tedy tuto situaci řešit?

1. Odinstalovat Windows. Výborný nápad, ovšem z výše zmíněných důvodů často neproveditelný.
2. Odinstalovat Linux. Velice špatný nápad, navíc tím bezpečnost systému neposílíte.
3. Spoléhat na to, že Explore2fs (nebo podobný program) nikdo kromě vás nezná. Poněkud nespolehlivé, nehledě k tomu, že Explore2fs nebo něco podobného se skutečně může hodit i v některých „nepodvratných“ situacích.
4. Kódovat citlivá data, tj. nespoléhat na systém zabezpečení Linuxu. Tento přístup nezabrání sice přečtení /etc/passwd, ale citlivá firemní nebo osobní data ochrání relativně spolehlivě.

Co říci závěrem? Opět se ukázalo, že každý líc má svůj rub. Dobrý úmysl, tj. snaha usnadnit uživatelům Linuxu život, v tomto případě vygeneroval pořádný side effect a zamával se samotnými základy bezpečnosti systému.