Názory k článku
Bude váš Linux potřebovat antivirus?

Proc neni mozne byt na windows dlouhodobe bez antiviru? Ja zadny nemam a problemy nepocituju...

Presne tak, jsou to kecy. Pod windows jsem nikdy antivirus nepouzival a s virem jsem se setkal naposledy nekdy pod dosem...

Souhlasim, take nemam zadny antivirus a vsichni se jen divi, jak je to mozne, ze se tech viru nebojim... Jak? No to je prece jasne, mam LEGALNI WINDOWS a na ty viry nejdou :))

Přemýšlím, jestli to autor příspěvku myslel vážně, že na legální Windows viry nejdou, zrejme ano.Dlouho sem se tak tak nepobavil.Bud opravdu zapomnel zastrcit síťový kabel, nebo žije na jiný planetě anebo ve sladke nevedomosti.Z mojí zkusenosti vydrzi nechranená Windows na siti zhruba pul hodiny, a to neni dobra vizitka.Častečně muzu souhlasit s tim,ze bez pripojeni k Internetu nemit antivir neni zas az takova tragedie,zalezi na tom co clovek pouziva za zdroje software -:) Co se tyce Linuxu , myslim si že s jeho sirenim se blizi i doba nutnosti mit kvalitni antivir

Pracujem vo firme, kde sú Windows a všetok softvér legálne a up-to-date, denne mi beh počítača spomaľuje antivírus a napriek tomu ma denne otravujú hlášky typu našiel som ten, či onen malware. Takže?

Zabudol si si zastrcit sietovy kabel!

Zabudli ste sa pripojit na internet!!!

nezabudol

mam pred sebou hardwarovy firewall, maily ctu v bat!, neotviram kdejaky atachment, web serfuju s ffoxem a presto jsem uz rok a pul clean a to i kdyz jsem pretahl desitky giga softu od znamych a z p2p

cas od casu stahnu nod32, avast, avg a otestuju se... a stale nic a to jsem nepatchoval na XPSP2 ...maximalne tak jednou za cas najdu nejaky adware ve startupu tak to procistim

samotneho mne to fascinuje - jsem zvedav kdy to prinde(cekam ze pres p2p a jiny download)

Co to je hardwarový firewall?

Krabicka zpravidla velikosti switche, ve ktere je vetsinou ARM, nebo MIPS s 8-32MB RAM a linuxem, ktera zere tak 2-10W a nekdy obsahuje i switch ... kdyz se k tomu priletuje seriovy konektor a pripoji terminal a nacpe se do flashky neco navic, tak se z toho casto da i browsit po netu a posilat maily ...

...krabicka velikosti switche v cene 100kKc+, nekolikagigahertzovym procesorem, desitkami MB pameti obsahujici proprietarni nebo silne upraveny OS, IPS, antivir, antispyware, VPN koncentrator...a fakt to ma flesku a seriovy port :-)))

pokud mas pred sebou FW (urcite jede na linuxu) tak nemuzes mluvit o pripojeni tvych W1ND0W$ k internetu ale spis k firewalu.....a k netu je pripojeny FW :-)

... coz ovsem nic nemeni na tom, ze lze dlouhodobe pouzivat Windows s pristupem na internet bez antiviru...

... ale nie pripojeneho priamo na net, tu ti nepomoze ani jeho ospievany firewall.

O tomto by som pochyboval, ak ste niekedy tuto akciu nepovolili sami. Inak by som bol rad, keby ste to rozviedli viac.

islo asi o ukladanie suboru do cache.. tj taky subor aj keby obsahoval virus este nemusi byt spusteny (vyuziva dieru v renderovani IE a nie FF)

Plny suhlas. Uz je tomu davnejsie co som viac krat musel instalovat Win2k Advanced Server (s verejnou IP). Este pred tym, nez som stihol stiahnut kriticke updaty, som mal na kompe cerva, ktory mi zhadzoval system a tymto efektivne zabranoval kompletnemu stiahnutiu zaplat .... Pre bezneho cloveka na zufanie :). Pri systemoch za FW/bez verejnej IP by to ale tak hrozne nemalo byt.

Mam doma sice neverejnou IP, ale poskytovatel udrzuje vsechny klienty ve vzajemne dostupne siti. Co je vysledkem? Hroznej bordel. Cervy, zobmie, hackeri vsude kam se podivas. Jedno neustale atakovani na RPC me uz tak stvalo, ze jsem uzivatele nasel na ICQ a kontaktoval. Suse oznamil, ze mu je to "sumak" a ze az mu pocitac totalne "klekne", tak ho "prehuli" a bude. Tak jsem ho musel na firewallu zakazat :o(

BTW: tyhle problemy s "oslabenym" RPC meli i kolegove s modemem :o) Takze asi i bez verejne IP mate problem....

Ne kazdy ISP je nutne deb*l a ne kazdy ISP dava svym klientum PtP IP /30, takze minimalne ti v jednom subnetu se mohou nakazit sami od sebe ...

Proc by mel poskytovatel pripojeni omezovat provoz mezi svymi zakazniky? Spravne by jim mel vsem pridelit verejnou IP adresu, aby mohli bez problemu komunikovat s celym svetem (i sami mezi sebou), ale pokud nema dost verejnych adres a tedy prideluje privatni adresy, pak by jim nemel branit komunikovat alespon mezi sebou.

Zabezpeceni kazdeho pocitace je plne na zopdobednosti jeho spravce, a nikoliv jeho poskytovatele pripojeni

Mám u nás ve škole na starost počítačovou učebnu. Všude mám Windows 98 a nikde anivir ani firewall

Uprimnou soustrast.

No mozna mas i stesti v tehle dobe ti na tom snad viry ani nepojedou :D

A o com presne bol tento clanok?
To, ze Windows su vsade kam sa clovek pozrie, je celkom dobre postrehnutelne a venovat tejto tame 3 odstavce sa mi zda, jemne povedane, prehnane. O tom ako by mala linuxova pandemia vyzerat, (mechanizmy sirenia?, typicke slabe miesta?, strategie ochrany?) som sa nedozvedel nic. Mozno namietat, ze o tom ten clanok nechcel byt. Ano, priznam autorovi pravo pisat o com len chce ale preco na trivialitu, ktora by sa dala zosumarizovat dvoma vetami, a o jej informacnej hodnote skoda hovorit, potreboval 757 slov, mi ostava zahadou.
Inak stylisticky OK, za umelecky dojem 18/20. Uz len aby bolo o com...

(Ne)rozsireni Linuxu je jen jeden z vice faktoru pro (ne)sireni viru.
Na netu lze na stejne tema najit kvalitni clanky, ktere rozebiraji vsechna mozna rizika pro sireni viru pod Linuxem. Autor si je mohl aspon precist nez napsal toto.

Spouštění klasických virů bývalo důsledkem toho, že se uživatelé chovali nezodpovědně a distribuovali mezi sebou nakažený SW. Desktopoví červi zneužívají díry v SW nebo potřebují opět "pomoc" uživatele. Aby uživatelé nemohli omylem nebo z vlastní vůle spustit škodlivý program, je možné například připojit /home jako noexec. Totéž je možné udělat s dalšími místy, kam mají přístup pro zápis programy, které jsou terčem útoků. Samozřejmě pak zbydou ještě další díry, ale na ty se snad taky najde lepidlo. Antivirus není často dobrá odpověď pod Windows (používat pro přístup na Internet nezabezpečené IE a snažit se problémy odchytávat pomocí antiviru je příklad zvráceného přístupu) a pod Linuxem, kde je možné z principu věci řešit systémověji, teprve ne.

Já si to myslím také. Myslím si, že význam antiviru je značně přeceňovaný, a že je to až ten poslední nástroj v řadě, který by se měl používat.

Zamysli se. Tohle muzes udelat na urade, kde mas nejakeho systemoveho administratora ktery se o takove pocitace bude starat - a to jeste jen kdyz to uzivatele snesou. Rozsireni linuxu povede nutne k tomu, ze se zacne objevovat i jako domaci OS zminenych uzivatelu - a tam zadny administrator nebude a zakazat uzivatelum instalaci programu nebude pripadat v uvahu. Budeme radi, kdyz nebudou brouzdat webem jako rootove.

Antivirus je sice neefektivni odpoved, ale lepsi nemame.

Mno,nesouhlasim,jako antivir instaluju do windows (znamim a tak) nod32 a ten vas stihne upozornit jeste drive, nez ten soubor spustite, staci, ze se k nemu priblizite(vjedete do adr. apod) a hned cervene okno a hlaseni o akci. Myslim, ze antivirak nejni to posledni reseni, ale je to zaklad.
Zdar Max

Priciny urcite nie, ale DOBRY antivirus moze urcite pomoct.
Kvoli tomuto som si odinstaloval zo sluzobneho notasu SYMANTEC_10 a vratil sa k staremu dobremu nodu, ktory som pouzival na skole. Napriek kazdodennemu fulldisk scanu(ktory NB znefunkcni na cca hod) som mal komp zapraseny 6 cervami/trojanmi, ktore vedel detektnut, nie vsak odstranit (nehovoriac o tom, ze nebol schopny zabranit ich prieniku do systemu). Najvacsi rozdiel tu vidim, ze nod dokaze detektnut a nespustit kod aj priamo pri kliknuti na subor (ako pisal MAX), na rozdiel napr. od symanteku, ktoremu to zjavne nevadi.

No, právěže jsem se zamyslel. Za boomem antivirových programů stojí hlavně tři věci: neschopnost Microsoftu řešit bezpečnostní problémy Windows, nedisciplinovanost uživatelů a zmanipulovanost médií a tím pádem i lidí, kteří považují antivir za skutečné řešení problémů. První věc se Linuxu týkat nemusí, s tou druhou se dá něco dělat a s tou třetí by se něco mělo dělat. Antivir má podle mě místo hlavně na poštovním serveru a tam ve firmách, které dnes jedou na Windows a zítra možná budou mít nějaký ten linuxový desktop, bývá stejně.

Článek mluvil hlavně o nasazení ve firmách a institucích a tam se toto řešení dá prosadit vcelku snadno. V domácnostech by pomohla rozumná implicitní konfigurace Linuxu - ono není zase tak těžké zařídit, aby pod rootem prostě brouzdat webem nešlo. Ale hlavně je třeba udělat něco s fenoménem "počítačového kutilství". A možná i zavést zodpovědnost za vědomé nebo opakované šíření (počítačové) virové nákazy. Kdo chce, hledá metody, kdo nechce, hledá důvody.

Mluvim prave o tom, ze s nedisciplinovanosti uzivatelu by se sice neco delat dalo, ale IMHO nebude ...

Pocitacove kutilstvi je dobra vec. Co je nutne udelat je vymitit z lidi presvedceni, ze pocitacove kutilstvi je snadne a bezpecne. Jakmile budou vsichni ke kutilstvi softwarovemu pristupovat alespon s takovou opatrnosti, jako ke kutilstvi hardwarovemu (tedy napr. opravovani zasuvek), bezpecnost pocitacu prudce vzroste.

Zavirat lidi za neschopnost zabezpecit pocitac ? Nepouzitelne. Ale co by udelat slo je, ze jak by nekdo siril virus, provider by ho odpojil od internetu (s vyjimkou internich stranek, na kterych by nasel co a proc se mu stalo a co s tim ma delat). Po odvirovani pocitace by mu byl pristup obnoven. Tim by se jednak zamezilo dalsimu sireni viru, jednak by se jednalo o sice neprilis velke, ale prece jen potrestani.

Vedomi siritele viru by se pochopitelne zavirat mohli. Muzou se i ted, problem je obvykle v tom, ze se nenajdou nebo se nachazi v jine zemi nez obeti ...

musim se potupne doznat, ze pred nedavnem jsem v pocitaci jeden vir objevil - fungoval sice v dosboxu (nakazeny soubor se StarQuake - vyborna 8-bitova parba), ale uvedomil jsem si, ze mam nainstalovane asi dalsi tri closed-source programy stahle z netu a ani jeden neni zkontrolovany antivirakem, protoze nic rozumneho neni... nevite o necem? (a treba u opery, jsem nenasel ani checksum, jestli nekdo nepodvrhl neco na miror...)

clamav

tak trochu ale nechápu, proč bych měl mít antivir a ten pravidelně updatovat, když stačí, aby cron spouštěl urpmi (up2date)

Linux ma pred windows dlouhou radu bezpecnostnich vyhod. Nektere z nich mohou zmizet - moznost prace pod nerootem, otevrenost linuxu (tj. fakt, ze vetsina programu je opensource a priznejme si, taky free as beer), dokonce i to ze neni proti komu psat (je jen otazkou casu kdy nekoho nastve napr. RedHat). Myslim, ze nikdy nezmizi vsechny, ale mozna jsem jen optimista. Krome toho pro nas jich nezmizi tolik jako pro nove, nezkusene uzivatele.

Nezavisle na tom je ale take pravda, ze neni (ani nyni) o tolik bezpecnejsi nez windows, jak by odpovidalo neexistenci viru pro nej. Neocekavam, ze by se prumerna doba zavirovani linuxoveho pocitace zkratila na 20 minut, ale pokud bude zrovna objevena nova bezpecnostni chyba ...

moznost prace pod nerootem - to jde i ve windows ;)

Jde - ale co to občas stojí námahy. Samozřejmě, je to problém těch, co píší programy, ovšem faktem zůstává, že zatímco pod OS unixových typů programátoři jaksi automaticky počítají s tím, že účet roota je pro práci zapovězený, pod Windows si velká část programátorů existence přístupových práv stále nějak nevšimla a spousta domácích uživatelů to nakonec vyřeší prací pod adminem. A bohužel, jak jsem si ověřil, nejen domácích uživatelů. :-(

Mimochodem, v některých případech má máslo na hlavě i sám Microsoft. Zkuste si třeba použít editor obrázků z Office2K pod běžným userem. Bez přidělení plných práv k 'HKLM\Software\Microsoft\SharedTools\Graphics' (nebo tak nějak, píšu to z hlavy a momentálně kolem sebe Windows nemám) nic neotevřete a žádný SP to neřeší, i když jsem na to český Microsoft kdysi dávno v dobách SP1 pro O2K upozorňoval.

Ano i ne. Vim, ze ve Win NT existuji i neadministratorsti uzivatele. Problem je v tom, ze cela rada programu (minimalne her) je zvykla na to, ze ma administratorska prava. Proto V PRAXI je moznost prace na neadmina vyloucena.

A jak jsem rikal, obavam se ze to ceka i linux ... protoze tohle skutecne neni vlastnost systemu (i kdyz, granularita prav to ovlivnuje), ale drzost autoru programu.

Tak striktní bych zase nebyl, ani v praxi možnost práce na neadmina vyloučena není. Jenom je to pracné a bezpečnosti to nepřidá, prostě člověk musí (obvykle metodou pokus omyl) přijít na to, kam ty mrchy chtějí zapisovat a zápis jim umožnit. Fakt je, že pokud člověk musí dát uživateli oprávnění vytvářet soubory v C:\windows kvůli tomu, aby si páni šéfové mohli ve Wordu 2000 přidat do dokumentu organizační diagram, je to z bezpečnostního hlediska docela tristní, nicméně pořád je to lepší než práce pod plným adminem. Bohužel v mém případě by upgrade toho půltřetího tisíce mašin na vyšší verzi MSOffice, se kterou tyhle problémy nejsou, asi neprošel. ;-)

Ale je to opruz.

Nicméně nevidím důvod, proč by tohle mělo postihnout Linux. Distribuce i jednotlivé programy si to obvykle docela hlídají (a pokud si pamatuju, KDE i Gnome řvou, když se v nich člověk loguje na roota), programy typu 'su' - o sudo nemluvě - jsou komfortnější než 'runas' ve Windows, a linuxoví programátoři správné návyky vcelku mají. Řekl bych, že Linux (a další Unix-like OS) člověka k práci pod běžným uživatelem většinou spíš vedou, než aby ho odrazovaly.

No, Lindows (kdyz se tak jeste jmenovalo) na roota logovalo by default. Obavam se toho, ze v ramci priblizovani linuxu windows to zase nejaka distribuce zkusi ... a nez si to rozmysli, objevi se mizerne napsane baliky software ktere to vyzaduji. Nikoliv od linuxovych programatoru, ale od cerstve konvertovanych programatoru z windows. Ale mozna jsem jen pesimista.

su a sudo komfortni, jo ? No to teda ten runas musi byt pekna obludnost ... jsem si JISTY, ze se bude muset objevit (resp. rozsirit, IMHO uz par takovych existuje) program, ktery te preloguje na roota se zachovanim pristupu k X-Windows (ja si takove pisu scripty) - bude zapotrebi pro graficke instalatory.

Runas - no je rozdíl, pokud člověk musí místo "su -" vypisovat "runas /user:administrator cmd", je to poněkud zdlouhavější. Navíc o téhle utilitě málokdo ví. O NT alternativě k sudo nevím.

Co se týče grafických exvivalentů su - myslíte třeba kdesu (to zní valašsky, že?) nebo gnomesu? To je přece standardní součástí KDE/Gnome a pokud se nepletu, distribuce to často používají např. při přístupu k balíčkovacímu systému.

Lindows - jo, to vím, ale pokud si pamatuju, docela rychle je to přešlo. Navíc by to byla jedna distribuce z mnoha, takže by autor asi velice rychle zjistil, že je něco špatně. V tomto ohledu takový pesimista nejsem.

Standartni soucast KDE/GNOME ... to je asi tak standartni jako utilita, ktera je standartni soucasti Unreal II Development Kit ... nastesti existuji i normalnejsi verze (sux) a krome toho, ten script neni az tak tezke napsat.

Měl jsem za to, že se bavíme o distribucích pro masy.
Možná vás to překvapí, ale sux nemám standardně ve své distribuci (Gentoo) zase já. Přesněji řečeno - jako ebuild tam samozřejmě je, ale neinstaluje se to společně s xorg. Pokud bych sux potřeboval, musel bych si ho doinstalovat. Každopádně nástroje, po kterých jste volal, tu jsou a je jich více.

No zrovna Gentoo jako distribuce pro masy .... (BTW taky mam Gentoo).

Ano, nastroje tu jsou. Ja taky nevolal po jejich vytvoreni - ja upozornoval na to, ze budou zapotrebi. A to vcetne reklamy a doladeni pro BFU.

Ani pro BFU neni KDE nebo Gnome samozrejmost. Casto prechazi na linux proto, ze jeho pocitac nestaci na nejnovejsi woknous, a v takovem pripade potrebuje trochu lehci prostredi ... ne jako to delaji dnesni distribuce, ze mu daji na vyber KDE nebo Gnome a pak mu predvadi linux pomalejsi nez woknous ...

Psal jsem snad někde, že je Gentoo distribuce pro masy?

Pokud píšete, "... ze se bude muset objevit (resp. rozsirit, IMHO uz par takovych existuje) program, ktery ...", působí to na mě dojmem, že vám něco takového v běžných distribucích chybí a to co je nikdo nepoužívá. Pokud nechybí, tím lepe, ale pak mi uniká, proč jste to psal, připadá mi to, jako byste si stěžoval, že pod Linuxem se musi objevit (resp. rozšířit, IMHO uz pár takových existuje) webový server, a když vás pár lidí jemně upozorní na existenci Apache, thttpd apod, začnete tvrdit, že jste jen upozorňoval že budou zapotřebí. Nějak mi tenhle myšlenkový pochod připadá podivný, nějak asi nejsme na stejné vlně. ;-)

Nechme toho, tohle už je plkání o ničem.

To vis, jeste jsem se uplne neprobudil ... :-)

Slo mi o to, ze jsem o takovych programech sice slysel, ale nemam s nimi tolik zkusenosti, abych si byl jisty, jestli skutecne budou vyhovovat autorum instalatoru. Takze bud se vylepsi nektery ze stavajicich programu (pricemz vylepseni muze byt treba jen v tom, ze se v BFU distribucich zaradi mezi zavislosti X.org + nejaka reklama v dokumentacich, aby uzivatele vedel ze to funguje a je to doporucovana metoda), nebo se vytvori nejaky novy. Uznavam ovsem, ze jsem to nevyjadril nejlepe (a korunoval to tim, ze jsem si o den pozdeji neprecetl/nevzpomenul jak jsem to psal).

Rozdil oproti apache je v tom, ze v pripade apache vim jiste, ze jako http server pouzitelny je.

Tož to pak jo. Mně se hned zdálo, že argumentujete nějak nesouvisle ;-)

Já pro změnu vycházel ze svých dřívějších pokusů s různými distribucemi (a už je to hodně dlouho, v poslední dvou letech jsem vlastně zkoušel snad jen Ubuntu), které obvykle správu balíků v GUI řešily právě pomocí podobných utilit. Takže vím, že se to používá, i když sám mám také minimální (či spíše nulové) zkušenosti, u Portage si s příkazovým řádkem bohatě vystačím.

Ještě k tomu runas - navíc spousta programů pod ním má problémy. Např. některé systémové pluginy do MMC. Nebo Průzkumník, což je podle mě dost klíčová věc - pokud spustíte explorer.exe, spustí se vám Průzkumník pod účtem uživatele aktuálně přihlášeného na desktopu. Abyste ho spustil pod účtem uživatele nalogovaného přes runas, musíte použít okliku přes "start iexplore C:". A tak dále...

su + X = sux to není výraz rozčarování nad situací, ale název programu, který dělá to samé co su, ale navíc vytvoří xauth záznam a přidá jej cílovému uživateli.

Ksakru, chvíli jsem přihlášený, chvíli ne - nešlo by, aby si výchozí polohu toho přepínače 'jako registrovaný uživatel/pod přezdívkou' prohlížeč pamatoval? Jednoduché cookie by přece stačilo...

Jak to myslis ? su, sudo i sux prece MAJI nastaveny suid bit ...

Dobrej postřeh, dobrá odpověď :-D

Souhlas, informacni hodnota clanku spada do /dev/null :)))
Ale ted vazne, Linux sam o sobe proste nemuze byt nikdy bezpecnostne slabsi jak widle - je proste tak stavenej. A proc tvorit neco co by behalo dejme tomu jen na jedne podnikove siti, a to jeste s problemama, kdyz muzu napsat worma kterej prolitne malem vsude :))

Tak to jsem asi nepochopil. Jakou distribuci Linuxu ten Lupper jako napada hned po instalaci? Ve vetsine distribuci se prece musi sitove sluzby, ktere uzivatel potrebuje, rucne aktivovat, zvlast kdyz uzivatel zvoli, ze chce instalovat pracovni stanici. Takze uz vidim jak pecliva sekretarka po instalaci ihned aktivuje webovy server apache (to je prvni co sekretarka po instalaci operacniho systemu na sve pracovni stanici udela, ze?) pak jeste doinstaluje nejaky balicek XML-PHP (pokud je to php4-domxml, tak ten treba nainstalovany nemam a to mam nainstalovanou kdejakou blbost, kterou nepotrebuji), rekneme teda, ze sekretarce se tento balicek nainstaloval sam, kvuli dependencim, pak si nainstaluje wiki, coz je urcite vec, ktera je potreba na kazde pracovni stanici (na serveru to nestaci, ze?), zedituje konfiguracni soubory, aby to chodilo, pripadne si sem tam neco prelozi ze zdrojaku, protoze dependence tak uplne nesedi (nevyzkousene veci se do distribuci musi dodatecne pridat, protoze tvurci distribuci je tam nedavaji). Misto wiki taky muze mit nejakou webovou ctecku neceho, no rekneme, ze ji nutne potrebuje. Pak to vsechno ta sekretarka rozchodi a pak se uz jen strasne divi, ze ji worm Lupper napadl pocitac.
Mimochodem, Lupper nemuze nic moc provest, nema rootovska prava, protoze defaultove bezi webovy server (a s nim i php scripty) pod uzivatelem nobody, nebo necim takovym (wwwrun).

aby mi ta sekretarka nevyfoukla moji praci :)))

Mimochodem, Lupper nemuze nic moc provest, nema rootovska prava, protoze defaultove bezi webovy server (a s nim i php scripty) pod uzivatelem nobody, nebo necim takovym (wwwrun). Nemuze nic provest se systemem, ale muze smazat data. To je myslim docela velka ztrata.

no mozna by ses divil, kolik webovych serveru je spusteno pod rootem ;)

Pod rootem rozhodne apache neodpovida na requesty. Ano apache se spousti pod rootem, aby mohl bindovat port 80, ale pak se vzda rootovskych prav a bezi uz jen pod uzivatelem, ktery se zada v polozce User souboru httpd.conf. Pak hlavne ty scripty, kterych se tykaji wormy nebezi pod rootem, takze ten vadny modul php4-xml nebezi jako root. Aby po instalaci distribuce odpovidal apache na requesty jako root, tak to by si s tim ten tvurce distribuce musel fakt dat praci, ale proc by to delal? Nebo, ktera distribuce to tak ma udelane?

Nemuze smazat data sekretarce, protoze uzivatel nobody (nebo wwwrun) nemuze mazat data sekretarce, ktera ma vlastni account. Nemuze mazat ani zadna nastaveni pocitace dokonce ani nastaveni weboveho serveru. Nemuze mazat webove stranky, protoze ty vlastni root. Jedine co muze, je prochu pomazat nejaka docasna data nejakych cgi-scriptu, treba wiki, nebo toho prohlizece rfc scriptu, nebo nejakeho prohlizece helpu. Uzivatel nobody proste nevlastni zadny soubor, ktery by se dal oznacit za dulezita data.

Muze odeslat patnact milionu spamovych mailu. Muze se snazit nakazit dalsi stroje. Muze se ucastnit DDOS utoku. Muze se pokusit DOSovat vas stroj zaplnenim syslogu, apache logu, tempu, navesenim se na CPU.

Na nic z toho nepotrebuje o moc vic nez "nobody", ne?

Keby uz o to islo, vacsina wiki a takych veci ma aj tak svoj vlastny konfig, v ktorom su ulozene v plaintexte hesla do databaz. Ktore vacsinou neobsahuju len nake balasty

1*

No alespon se neda uprit, ze Lupper je skutecny virus/cerv, tj. samoreplikujici a samosiritelny kod, byt potrebuje specifickou konfiguraci. Hlavne, ze to neni to co se uz nekolik let oznacuje jako virus a je to jen a pouze blbost uzivatele, ktery spusti vsechno co mu prijde pod ruku. A jestli k necemu bude potreba antivirus tak to bude prave kvuli te tupe blbosti.

Je nemyslitelné, aby si kancelářský uživatel musel sám rozbalit, nakonfigurovat a zakompilovat tarball s novou aplikací.

Nechapu, proc se porad omila tenhle blud. On snad ma kancelarsky uzivatel instalovat nejaky software? Co to je, proboha, za organizaci? A od ceho je administrator? Proto je ve firemnim prostredi uplne jedno, jestli bude instalace jednoducha nebo ne (a podle me v mnoha pripadech - apt-get, urpmi, yum - jednoducha je). Neco jineho je domaci pocitac, i kdyz tam bych nemoznost instalace aplikaci "obycejnymi" uzivateli v mnoha pripadech taky povazoval spis za plus. :)

P.S. Zustava otazkou, co autor myslel kancelarskym uzivatelem. Uzivatele v kancelari, nebo uzivatele kancelarskych aplikaci?

Kazdemu laickemu uzivateli pocitace vysvetluji: "Umite si opravit Vase auto, lednicku, televizi, vodovod? Ne, je moc slozite, vyzaduje to specialni znalosti, vhodne naradi. Jdete s nim do servisu. S pocitacem je to prece totez! Zavolejte opravare." Na poprve je to trochu sok, pak ale kazdy pochopi, ze tohle je spravny pristup. Pri tom si jeste vysvetlime, jaky je rozdil mezi opravarem a "kutilem od vedle". Nekteri si pak jeste s "kutilem" "narazi cumak", aby si overili, ze na tom neco je ;-))

Suhlasim. Predstava, ze pocitace su jednoduchym zariadenim, kde na nieco kliknem a je to v poriadku je ZASADNE MYLNA. Smutne vsak je, ze M$ lobby je natolko silna, ze najst firmu, ktora predava uz predinstalovane pocitace s Linuxom je skor vynimka. Vacsina ludi, ktori teda chcu na svojom pocitaci mat nieco ine ako Win sa musia obratit na nejakych kutilov, znamych alebo si kupit priamo podporu...
Co sa bezpecnosti tyka, nechcem tvrdit, co je bezpecnejsie, pretoze ta sa meria vzdy najslabsim clankom a nie prostriedkami, ktore mozu byt pouzite (takze je jedno, ci mam super system, ak sa mozem prihlasit ssh priamo na roota bez hesla ...), pre mna je daleko dolezitejsie ako presne ide definovat rizika. Ak viem, ze mi bezi nejaka sluzba a ja ju mozem dat niekomu analyzovat, je to daleko lepsie ako ked musim verit niecomu, do coho sa nemozem pozriet a velky hrac (ako M$) mi povie je to ok.
Takze prenechajme spravu pocitacov, ladniciek, televizorov, laserovych mikroskopov tym, ktori tomu rozumeju. Mozno by este pomohlo, keby si ti, co tomu rozumeju uvedomili, ze aroganciou sa nikam nedostanu...

diky "prehlednosti" formularu na rootu jsem u predchoziho prispevku nevlozil svuj nick. Takze byl jsem to ja.

1. Jednalo se o chybu ve webove apl.
2. Antivir by nic neresil.
3. Dnes je nejbeznejsi chyba preteceni bufferu a dnesni AMD64 tohle resi nonexecutable stackem.

Ale, je pravdou ze veci co nejesou nejak podepsane se asy scanovat antivirem budou, takze po stazeni je bude admin kontrolovat.

Stanice nemusi mit otevreny zadne porty, mozna SSH pro administraci.
Ja mam stanici s verejnou IP primo na netu a pres IP tables omezeny sluzby jen do vnitrni site.
Akorat tam mam utoky na SSH.

Kdyz uz jsi se dotkl "nonexecutable stacku", mel bych dotaz - tahle moznost uz tu preci je od 386tek (mozna uz 286 - ale tam byl PM takovy, no ehm... :) ), muze mi nekdo znaly problematiky rici, proc se tato moznost (tj. mit "nespustitelny" datovy/stack segment) nevyuziva?
Osobne mi pripada, ze je o dost slozitejsi napsat system se spustitelnym stackem, nez bez nej (cti: s nespustitelnym).

Vzdyt je to tak jednoduche:
1) kod -> RO, Exec segment
2) data -> RW (/RO - zalezi na charakteru dat), Non-Exec segment
3) stack -> RW, Non-Exec, Stack segment
atd...

Vzdycky jsem si myslel, ze tuhle architekturu (alespon teoreticky) celkem znam, ale pravdepodobne ve svem uvazovani delam nekde chybu...

Delate chybu, neznate x86 ani teoreticky. Diky "inzenyrum" z Intelu ve snaze usetrit jeden bit, neslo nastavit strance non-executable. U x86 jste mel na vybranou pouze R/W nebo R+Executable.

No i kdyby to byly tak jak pises, tak je to preci porad OK - pokud je neco R/W a Nonexec, tak je to v poradu - data. Pokud je to R+Exec, tak taky neni problem, protoze sice muzu spoustet kod, ale nemuzu ho modifikovat.

No ono to s tim stackem je takove zvlastni. Intelove to vymysleli tak, ze stack i386 MUSI BYT no-exec. Nicmene cela ta jejich klasicke x86 podobna myslenka je pomerne podivna, tak na to vsichni kaslou a udelaji to tak ze vsechny segmentove registry obsahuji deskriptory s bazi 0 a limitem 4G a cela ochrana se presouva na strankovani, kde toho u i386 opravdu mnoho nastavit nelze.

Stránce ne ale segmentu ano. Takže na x86 se to dělá tak, že code segment pokrýva pouze tu část adresního prostoru v procesu, která obsahuje pouze spustitelný kód, zbytek už ne. K datam a stacku se přistupuje skrz jiné segmenty (data and stack segment) a pokus připadného útočníka (nebo červa) skočit si na ňákej shellcode v stacku pak skončí neelegantním segfaultem.

Protoze i386 umoznuje nonexecutable flag nastavit jednotlivym segmentum a ne jednotlivym strankam (alespon doufam, ze si to pamatuji spravne) a protoze Linux z mnoha duvodu (napr. prenositelnost na jine platformy) nevyuziva segmentaci, ale pouze strankovani.

Problém je v tom, že segmenty se mohou překrývat. A aby si autoři ušetřili práci, obvykle se také překrývají.

"aby si usetrili praci" - no to je prave to hrozne. Uz od dob i386 (pokud tedy budu uvazovat pouze x86 platformu), tu prakticky mame skvely hw nastroj, ktery ale kvuli lenosti nepouzivame :-( ...smutne.

Je to uz sice nejaky piatok, co som sa o to zaujimal, ale ak sa dobre pamatam:

Flat memory model je model segmentacie, kde je segmentacia "takmer vypnuta", tj. vsetky deskriptory su natiahnute na celu pamat (alebo rovnako na nejaku jej cast). Niekolko ich je pre user ring (CPL 3) a niekolko pre kernel ring (CPL 0) - v kazdom treba spustitelny segment, datovy segment so zapisom (pre stack) a typicky datovy pre nejake data programu.

Problem s flat memory modelom je v tom, ze ak na adresu SS:0xDEADBEEF zapiseme spustitelny kod a donutime nejakym bugom (a la stack overflow) jump/return na 0xDEADBEEF, ten isty kod lezi na CS:0xDEADBEEF a spusti sa. Grsecurity (http://grsecurity.net), ak sa dobre pamatam, to riesi dvoma sposobmi: prave nejakou segmentaciou, aby sa segment zasobniku neprekryval s executable segmentom a druhy sposob je nahodne umiestnovanie adries VM (vyzaduje position-independent code). To druhe kvoli tomu, aby nesiel spravit jednoducho return-to-libc-attack (druh utoku, kde sa nevklada kod, len sa zmeni prepisom zasobnika navratova hodnota na uz existujuci kod). Plus este nejake dalsie featury. Funguje pre i386, sparc, ia64 a snad este nejake dalsie architektury.

"Segmentation fault" v linuxe neni v skutocnosti problem so segmentaciou, ale pristup na stranku, ktora nie je namapovana a nebola odswapovana. Niektore programy toto vedia vyuzivat (nie moc cisty hack) aby si vytvorili svoj vlastny memory management - obcas sice sahaju mimo malloc()om alokovanu pamat (len read), ale nepreslo by im to, keby napr. segment zacinal v strede stranky. (Bolo by asi neprakticke na urovni kernelu alokovat tak pamat, ale niekedy sa robia pri programovani "wild assumptions".) Skuste si napr. v zdrojakoch Pythonu vygrepovat slovo valgrind :-)

Prvy krat som sa s flat modelom stretol tusim u Watcom C++ pre DOS a extenderov DOS4GW a PMODE/W. Watcom C++ pokial viem ponukal niekolko memory modelov (teda moznosti segmentacie), ale z nejakeho dovodu sa vacsinou pouzival flat v kode, co som videl. Sam uz presne neviem preco, ale myslim, ze to bolo pohodlnostou, vtedy sa na bezpecnost moc nehralo a bolo lahsie napr. hladat video pamat na DS:0xA0000 nez pracne pridavat deskriptory. V pripade operacnych systemov mohla hrat nejaku rolu aj prenositelnost a udrzovatelnost kodu, pretoze asi nema kazda architektura obdobu GDT/LDT (globalna vs lokalna tabulka deskriptorov) ako u x86.

On se ten Flat memory model pouziva hlavne proto, ze je pro C takovy privetivejsi. Pointer je jedno 32-bitove cislo a tak podobne.

Nicmene je spousta veci, ktera by se s i386 segmentaci resila lepe a radostneji (a typicky s mensim overheadem) jako krasny priklad mi prijde dynamicky linker u ktereho by temer odpadla nutnost provadet nejake relokace.

jj, takyto dynamicky linker by odstranil nutnost relokacii. Ale mozno by musel byt odlisny executable/shared object format pre x86 ako pre ostatne architektury. S tym overheadom som si tiez neni taky isty, hlavne pocet GDT deskriptorov je obmedzeny, kazdy proces by mohol mat vlastnu LDT, len pokial sa pamatam, tak task switching via TSS a prepinanie adresovych priestorov nebola zrovna rychla operacia.

Apropo, vy asi neprekladate sdilene knihovny s -fpic. Jinak by jste vedel,
ze pri on demand natahovani stranek z ELFovych knihoven k zadne relokaci nedochazi.
V kodu to stoji jeden indirect call na kazde volani funkce z jine knihovny a neprime
odkazovani na data, udavan asi 3% overhead proti statickemu linkovani.
Jedine, co je potreba updatovat pri natazeni knihovny, jsou stranky s tabulkami
cilu skoku a ukazatelnu na globalni data. Kdyz si predstavime nahradu vsech ukazatelu
za verzi far 16+32 bitu s nutnosti prochazet GDT ci LDT nebo Call Gates, tak by bylo za
usetreni nutnosti PIC kodu zaplaceno narustem delky kodu a prisernym narustem
casu provadeni volani. To je take duvod, proc Linuxove jadro pred mnoha lety opustilo
prepinani segmentovych registru pri vstupu do kodu jadra syscallem a spoleha se nyni
pouze na ochranu strankovanim. Samotny Intel jiz v dokumentaci k PentiuPro vysvetluje
overhead pri pouziti segmentu a doporucuje tuto vybavu procesoru zcela ignorovat.

Neviem, ci ste si poriadne precitali, co som pisal predtym. Ako alternativa PIC bol uvadzany uz na zaciatku. IMHO je to celkom dobre riesenie, ale mam radsej principialne riesenia - t.j. PIC mi pride trocha ako "hack". Na jednej strane, urcite je to rychlejsie, predsa natahovanie pred programatorom skrytych casti segmentovych registrov pri ich zmene nie je najrychlejsie. Na druhej strane, neviem o kolko by bol size/speed overhead pri segmentovanej verzii. Cally vnutri kniznice su vsetky relativne, potial je to easy. Problem nastava len pri volani rutin z inych kniznic. Hlavny problem vidim v tom, ze segmentovych registrov je malo. Co by sa dalo riesit hardwarovo - pridanim nejakeho mnozstva registrov - co je ale zrejme drahe a pravdepodobne nenastane, pretoze to nikto neziada.

Druha moznost by bola napr. vyhradit dva segmentovy registre (napr. FS, GS) pre segment kodu a dat jadra tak, ze by sa softwarovo simulovala brana volania. Dynamic loader by proste zavolal rutinu jadra na "zaregistrovanie" kniznice, programy vyzadujuce kniznicu by zavolali nejaku upravenu verziu dlopen, ktora by vratila nejake 32-bitove cislo ako identifikaciu kniznice. Kod by sa predlzil o 2xMOV pre kazde volanie, jeden na identifikaciu kniznice a druhy na entry point. Neboli by treba relokacie - len pri loadnuti kniznice by sa naplnilo par hodnot v statickej datovej casti, kde by boli ulozene tie identifikacie pouzivanych zdielanych kniznic.

Netvrdim, ze je to genialne riesenie, ani ze by to nejak extremne zrychlilo cely proces (oproti branam volania a inym prostriedkom poskytovanym hardwarom), ale je to jedna z dalsich moznosti. Nikdy som to neskusal zmerat, ale keby som mal za ulohu vytvorit OS so zameranim predovsetkym na bezpecnost (rychlost az na druhom mieste), asi by som to skusil, resp. vyhladal si vyskum, co uz niekto robil. Mozno je cena naozaj prohibitivny overhead - co je mozno dovod, preco sam Intel doporucoval upustit od segmentacie. Ale to boli casy Pentium Pro, procesory trocha zrychlili odvtedy, je teoreticky mozne, ze by niekto zvolil takyto pristup (spekulacia). Ten MS Singularity OS je tiez krok podobnym smerom, aj ked inymi prostriedkami. Tazko povedat, ci sa to niekedy ujme.

BTW, preco si myslite, ze mam zdielane kniznice skompilovane bez -fpic? Ono by to u mna bez toho s niektorymi featurami dost dobre nefungovalo :-) Inak typicky sa linker (ld) snazi do urcitej miery vytvorit position-independent code aj bez -fpic, dava "DT_TEXTREL in object" warning ak sa mu to nepodari.

Len drobna oprava s DT_TEXTREL: gcc samozrejme vytvara kod, linker dava warning ak vysledny objekt potrebuje relokacie.

S mensim overheadem ... i kdyby. Jakekoliv teoreticke vyhody pouzivani segmentace se ztrati v obrovskem overheadu pointerove aritmetiky, kterou jazyk jako C MUSI delat (aby splnoval normu) pokud nema flat model ...

K tomu pripocti, ze nejpozdeji v dobe pentii si vyvojari procesoru vsimli, ze vsichni pouzivaji flat model, a pravdepodobne pro nej zacali optimalizovat ... a AMD64 v 64bitovem modu segmentaci uz nema (resp. je hardwarove prepnuta na flat model).

No spise se to resi soft. pres grsecurity patche.
Bud jen na urovni jadra, nebo rovnou optachovam GCC + jadra.

Ja nevim - co si pamatuju, tak v instrukcni sade treba neexistovala instrukce typu "zavolej interrupt, tady je jeho cislo" a takovehle veci se musely resit bud zapisem do kodu nebo vytvorenim kodu v zapisovatelne pameti.

Zrovna volani interruptu ti v linuxu je k nicemu, jediny interrupt ktery mas co volat je 0x80. Spustitelny zasobnik byl zapotrebi napriklad na kod pro obsluhu signalu - uz neni, uz se to vyresilo nejak jinak.

Bude váš Linux potřebovat antivirus?

Možná....pokud budou k Linuxu pouštět stejné škůdce, jako k Windows. Škůdci myslím BFU...ti mají na triku větší škodu, než autor samotného malware.

Tady je analogie s šoféry. Jsi, Luboši, šofér-hacker nebo šofér-BFU? Papíry určitě máš...:)

"Jeste by to chtelo definovat odpovednost pred zakonema za svoje PC ;-)"

Pssst! Neblbni, ještě nějakého magora napadne, že by se mohlo zavést taky povinné ručení a další druhy pojištění každého počítače....

Svuj nazor na zcestnost teto interpretace informaci o tom, ze v jedne webove aplikaci je chyba, ktera se navic projevi pouze v pripade, ze administrator je totalni dement jsem jiz vyjadriv u prvniho clanku o Lupperu. Navic by mne zajimalo jak chce autor obhajit to, ze podle teto logiky na kazdem desktopu bezi webserver, ale to uz bych zabihal do stejne demagogicke roviny jako autor sam. Zaverem se chci jen zeptat na jednu vec: Kolik za tyhle blaboly Microsoft plati??

Někteří píší blbiny i zadarmo.
Já to pochopil tak, že rubrika Glosy se i s autory přesouvá z Lupy na Roota, teď očekávám ještě nějaký odborný článek Karla Červeného a Eduarda Hlavy. ;-)

Mimochodem, v čem se Lupper liší třeba od několik let starého Slappera? Kromě toho, že procento systémů, na které se může dostat, bude v tomto případě ještě menší...

Uplný súhlas.

Argumentovať (ne)rozšírenosťou Linuxu je uplne scestné. V mojich logoch sa pravidelne objavujú stopy sôznych slovníkových útokov na ssh, pokusov o buffer overflow na web server, je známe, že kopa ľudí skenuje internet a snaží sa napádať (neupdatované) unixové stroje, atď., tak prečo sa vždy nájde niekto, kto bude omielať, že na Linuxy sa nikto útočiť nesnaží? Myslím, že keby bola možnosť napísať funkčný vírus pre Linux, Microsoft by sa toho určite chytil...

Zostáva mi len poznamenať, že odkedy na tento server tečú peniaze z Microsoftu, objavujú sa tu hodne divné články.

Mam pocit, ze jsem v Jirikove videni. Vy si fakt myslite, ze virus je neco, co prepisuje soubory v /bin a co v /home vytvari spustitelne soubory? A ze vam zakaz zapisu do /bin a mountovani /home noexec staci?

1. I bez zapisu na disk vam staci preteceni v webserveru (nebo jeho aplikaci), aby se spustil kratky rezidentni kod, ktery za dobu sveho zivota provede vhodnou akci (rozeslani spamu, DDoSovani treti strany apod.).

2. Spousta "spustitelneho kodu" je v konfiguracnich souborech, ktere rozhodne executable bit nepotrebuji. (Priklad: .procmailrc) Z jisteho uhlu pohledu je mnohy "bezny program" jen interpretr "kodu" zapsaneho v konfiguracnim souboru. Jsem jediny, kdo si umi predstavit cerva/virus, ktery se siri pres .procmailrc, .login a podobne?

3. Podobne, jako je setreny rozdil mezi binarkou a konfigurakem, je setreny rozdil mezi daty a kodem. Moderni viry - a to jsou soucasne viry na MS platforme, prosle evoluci - vyuzivaji toho, ze v nastrojich lze makra vytvaret, ukladat a pridavat do "dokumentu". Pokud nechcete uzivateli tohle zakazat, musite zit s dusledky.

Mam pokracovat?

Jistě, ale tohle není problém běžných PC v domácnostech, jak se článek snaží naznačit. Na těch obvykle Apache ani jiný serverový software s otevřenými porty neběží. Tady bych se bál spíš různých P2P programů, ale o těch zase článek taktně mlčí. Vyvozovat z Luppera tohle všechno je hovadina, podobných kousků už tu ostatně byla celá řada a apokalypsa se nekoná.

Jo, kdyby se objevil opravdu funkční životaschopný neřád skutečně napadající desktopové instalace, to by byla jiná. Ale tato situace stále ještě nenastala, takže nechápu, proč se na základě problému, který mají nezáplatované servery, staví hypotézy o problémech desktopů. Proti článku na téma "viry na Linuxu" nic nemám, ale autor tohoto článku nic takového ve skutečnosti nenapsal, napsal jen, že je možné, že se viry pro Linux objeví. Na odborném serveru bych čekal něco jiného, než fejeton na téma co by kdyby - ostatně už to tady bylo zmíněno: mechanismy šíření, typicky slabá místa, jak se bránit...

Ale ty makra přece lze omezit. Že to současné nástroje neumožňují je jedna věc, ale technicky není problém nastavit úroveň oprávnění pro makrojazyk tak, aby prostě nemohl žádnou zvláštní paseku nadělat. Není ani problém vysekat makra třeba z došlého souboru pro OOo Writeru apod. Tady neexistuje jenom "buď anebo", ale je možné uživatelské prostředí z hlediska bezpečnosti/použitelnosti ladit velice jemně.

Co se týče Apache apod., tam odpověděl kolega Jaroš, s jehož příspěvkem v podstatě na 100% souhlasím. Hledejme skutečné problémy a nepleťme jabka s hruškama.

Proste je to tak

No nevim. Neco na tom bude, v kazdem pripade viry nejsou jediny problem a bezpecnost systemu je potreba resit komplexne. Treba: pouzivate kppp? Pokud ano, konfiguracni soubor je implicitne ukladan tak, ze ho muze modifikovat uzivatel.... treba tak, ze si tam nejaky bezici program zapise telefoni cislo na "drahou" linku. To je vec, ktera se ve Windows bezne deje a pod Linuxem neni nic lehciho, nez kppp jednou nastavit a soubor zabezpecit pres prava svoje a adresare, aby byl read only.

Nějak tomu Vašemu příspěvku nerozumím. Kppp má smysl na desktopu. Když může kppprc modifikovat jen uživatel (a root) jak ho zmodifikuje na "drahou linku" ten "nejaky bezici program"? A kdo ten "nejaky bezici program" nainstaluje a spustí? Ten konfigurák není ani v /etc, ale v uživatelově /home/xyz/.kde/share/config adresáři (alespoň u SuSE) a práva jsou implicitně 100640. Kde tedy má linux s kppp bezpečnostní problém?

Zdravim

myslim si ze autor nepochopil sposob akym linux a linuxova komunita funguje.

Citujem: "Nevýhodou je, že homogenní prostředí je náchylné, podobně jako každá jiná monokultura, k nákazám." ....toto je zrejme pravda.

ALE:
Ak sa obzriete za vyvojom linuxu za poslednych niekolko rokov, mozete si vsimnut, ze tento vyvoj smeruje k DIVERZITE nie ku MONOKULTURE. Je to sposobene principmi na ktorych je Linux postaveny. Pocet distribucii neuveritelne stupa a uz je problem sa v nich orientovat. Kazda firma/jedinec/organizacia si moze vytvorit svoju distribuciu, pricom pouzije inu sadu nastrojov / ine verzie. A toto je tiez hlavny dovod, preco nemozno napisat univerzalny virus na Linux.

Rad by som oponoval autorovi, s mojim tvrdenim ze LINUX NIKDY NEBUDE MONOKULTURA a ani sa k nej nepriblizuje. Autor uvadza ako dovod zblizovania "jednoduchost a kompatibilitu".

a) Jednoduchost nie je dovod na zblizovanie distribucii. Jednoduchost je ciel pri vyvoji software.
b) Kompatibilita sa da dosiahnut inak, a to sposobom ktory presadzuje cela linuxova komunita - OTVORENYMI FORMATMI. Nie zo srandy presiel OpenOffice na otv. format, a nie zo srandy pozaduje niektory stat v USA (tusim Massachusets) pouzivanie otv. formatov pri ele. komunikacii.

Okrem toho, rad by som vypichol dalsi princip UNIXov/Linuxu, ktory sa MS nedari(lo) pochopit za celu svoju existenciu : NA KAZDODENNU PRACU SA NEPOTREBUJEM PRIHLASIT AKO ROOT - TO PLATI V LINUXE/UNIXE. Toto je dovod, pre ktory su windowsacke virusy take nicive. A tiez dovod, pre ktory moze normalny linuxovy uzivatel ucinkom viru maximalne prist o svoje data, ktore si stejne zalohuje. Samozrejme za predpokladu, ze nema spustenych 20 roznych serverov na pozadi.

To je i můj poznatek. Dokonce některé aplikace v distribucích nejsou směrem nahoru funkční. Například gscmxx na ovládání mobilů Siemens je pro čtení přijatých SMS u SuSE funkční jen do distribuce verze 9.0. Tatáž aplikace, ani její novější verze dodávaná ve vyšších verzích distribuce, ale text přijaté SMS nezobrazí. Kompatibilita mezi distribucemi je na tom ještě hůře. Jak by si s tím poradili autoři virů? Ti jsou přece živi jejich snadným šířením a funkčností, jinak by je jejich vymýšlení nebavilo, o živení ani nemluvě.
Již v dobách DOSu umístil překladač do záhlaví programu kontrolní součet. Při spouštění programu se měla provádět jeho kontrola a protože viry musely být nenápadné a tedy malé, nedalo se očekávat, že by kontrolní součet po napadení upravovaly. Jenomže amatéři v MS ani tu základní kontrolu do startování programů nezabudovali a tak měly viry volné pole působnosti. Když se pak ukázalo, že antiviry jsou vzkvétající kšeft, přece si nikdo nepodřízne tuhle zlatonosnou slepici. Jen si račte oprášit to, co již dávno napsal jeden klasik o působení zisku na morálku jeho příjemce. Takže dnes jedině různorodost distribucí Linuxů a jejich otevřené kódy s mechanizmy kontroly, jsou ochranou před tímto zlem. Není proto divu, že MS v Linuxu vidí svého nepřítele, nikoliv konkurenta.

antivirus nebude podla mna nutnostou. virusy su v dnesnej dobe na windowsoch dosledkom chabej architektury a velkeho mnozstva vstupnych bran do jadra, z ktorych velmi male mnozstvo je zdokumentovane na patricnej urovni. keby bola v microsofte dostatocna snaha (mozno schopnost) to zmenit, mnozstvo virusov by mohlo rapidne klesnut. druhou vecou je rozlisit to, ci sa jedna o skodlivy kod, ktory napadne a zneuzije dieru priamo v jadre linuxu, alebo zneuzije vadu niektoreho programu, ktory sa na linuxe pomerne casto vyskytuje.
antivirus ako taky bude len hasit problemy, ktore vzniknu neriesenim chyb v konstrukcii programov.
pokial sa bude linux a jeho aplikacne programy vyvijat dostatocne dosledne a budu sa dostatocne rychlo zaplatovat, hrozba virusov bude sice realna, ale bude na radovo mensej urovni, aj keby penetracia linuxu dosiahla vyssieho percenta, ako teraz.

Hm znám stanice Windows XP SP1 sice s antivirem, ale ten pouzivaji jen pro schlednuti crack.zip :) ale majitele serveru s cracky jsou tak hodni ze trojani se jmenuji crack.exe takze fakt neni potreba..

A taky jedou bez jakehokoliv antiviru..tak jakych pak 20 minut?

To jsou nekteri lide tak najivni a pokladaji antivirus za spasu? v tom pripade jak za par let dopadne Linux s tema tuppyma desktop-looserama? heh

A prestante omilat porad tu bezpecnost..jediny argument u winu je, ze microsoft je neschpnej vydat zaplaty hned..that's all boys. Nechapu oc se snazite :P

Co dělat když je v mobilu virus, zatím jsem vše smazal a neinstaloval jsem podezřelé programy, jenže co dál?
koubavit@seznam.cz
Zakrátko se mozek propojí pomocí čipu s internetem a co se stane když se setká biologický virus a elektronický virus, kdo zvítězí?

Musím autorovy oponovat! Mám počítač s WIN 2000 SP4 BEZ jakéhokoliv antiviru. A jsem na internetu vpodstatě 24 hodin deně. A musím podotknout, že VIR sem přes rok neměl... na základě tohoto článku jsem si stáhnul nového NOD 32, AVG. A nechal oběma antiviry zkontrolovat PC... ANI ŤUK!!!
Opravdu asi není Windows jako Windows...

Ja mam Fedoru a Win XP...Zadnej velkej rpbolem sem zatim nemel ani najednom...A je ftipny ze MS-DOS ma vlastni antivirus :D a XP (a další) ne :D

Ať si myslí každej co chce, ale podle mě je tohle hodně zajímavej článek na zamyšlení. Negativní názory si vysvětluji tím, že je trochu nadčasový. Ale až tato doba nastane (pokuď tedy nastane), tak si na něj ještě vzpomeneme :-)

Pěkný den,
omlouvám se, že jsem nepročetl celou diskuzi, ale prvotní pobavení hláškou typu „na legální widle viry nejdou..“ vystřídalo rozhořčení nad myšlenkami rádoby „odborníků.“ Článek JE o něčem, i když napsaný srozumitelnou formou a vynechává složitější aspekty.

Na akademické půdě už se nějakou dobu řeší zabezpečení prostřednictvím softwaru tak, jak ho cca známe z windows, ovšem je nutno uvědomit si toto(mluvím za sebe a náš kolektiv): Antivirus nebude nikdo programovat dopředu, když z toho nejsou slušné peníze. Dokud se GNU/Linux nerozšíří, slušné peníze nebudou. Dokud se nerozšíří, riziko přítomnosti škodlivého softwaru nebude tak pálivé. Dokud to nebude takový problém, nemá smysl to dělat po večerech zadarmo… a dokola.

Autor článku nastínil všeobecně známou pravdu, nezaslouží kritiku, nýbrž pochvalu.

Přeji pěkný den