Paulada no Linux

[chipselect]

bom, para quem tem o Linux para uso pessoal e abusa muito, principalmente e-mail, tem esse manual passo a passo pra instalar um antivirus no Linux:
http://www.linuxsecurity.com.br/article.php?sid=961

Pode até soar meio estranho instalar um antivirus no Linux, mas pra quem quiser, tá ai pra usar.

[msamsoniuk]

tem uns fatos interessantes de observar:

- o link ensina a configurar um antivirus em um servidor de smtp.
- o antivirus citado soh conhece virus e trojan para windows.
- virus e trojan para windows nao efeta o linux.

entao, colocar um mail ou arquivo contaminado em um linux nunca vai afetar o linux, mas o mail pode ser enviado para outros windows e contaminar eles. assim, para prevenir isso, foram portados antivirus de windows para o linux, com o objetivo unico de limpar servidores e impedir que se tornem armazenadores de virus.

nesse caso especifico eh citado o sendmail, um conhecido relay de smtp, mas outros casos interessantes de se usar um antivirus de windows no linux sao para servidores de proxy e servidores de disco.

porem, se sua rede eh essencialmente linux, nem perca tempo com antivirus, pois mais essencial que isso eh conhecer e configurar os servicos que estao abertos remotamente na maquina, configurar um firewall e manter-se atento a descoberta de falhas de seguranca nos servicos utilizados. e na duvida, sempre feche tudo!

[chipselect]

artigo descrevendo o "virus conceito" que atinge Linux e Windows:
http://www.desktoplinux.com/articles/AT3307459975.html

Antivirus pra Linux (Workstation):
http://www.vnunet.com/vnunet/news/21674 ... anti-virus

Artigo da PC World sobre antivirus pra Linux:
http://www.pcworld.com/article/id,12624 ... ticle.html

Obviamente o alvo principal da grande maioria dos vírus ainda é o Windows.

[msamsoniuk]

meu deus! qual parte do "nao existe virus para linux" vc ainda nao entendeu ?

um "virus" para linux em que o usuario tem que fazer o download, compilar, dar permissao de execucao e ainda por cima rodar como root eh algo tao ridiculo quanto mandar um mail para um usuario de windows com remetente "Jesus Cristo" e com um conteudo "se vc nao rodar o comando deltree c:\windows nos proximos 30 segundos, voce ira para o inferno!".

acreditar nessa besteira que os fabricantes de antivirus propagam e instalar um antivirus em um unix para proteger a maquina eh o pior erro estrategico que se pode cometer, pois a melhor defesa eh uma defesa consistente: portas sempre fechadas e tentar conhecer o minimo da cultura de seguranca adotada com sucesso a anos em ambientes unix.

ok! vou tentar ser mais claro:

passo 1: limpar a maquina. com um simples "ps -aux" e "netstat -anp" vc comeca a identificar tudo que sua maquina esta rodando e quais portas estao escancaradas para o mundo. se vc nao sabe para que algo serve, tente entender, pois ao contrario do windows, entender como as coisas funcionam eh essencial em ambiente unix. se vc tentou e realmente nao conseguiu descobrir uma utilidade para o que esta rodando, muito provavelmente eh pq vc nao precisa daquilo e pode mandar desabilitar durante a inicializacao da maquina. as vezes eh caso de tentativa e erro, mas certamente quanto menos tralhas inuteis vc tiver rodando, menor serao os riscos.

passo 2: fechar tudo por padrao. vc precisa configurar um firewall, entao precisa comecar a conhecer algo de tcp/ip. no caso de portas UDP, eh ateh simples, elas tem um flag de direcao que permite vc fechar conexoes "entrantes" e permitir conexoes "saintes":

iptables -A INPUT -p tcp -m state --state NEW -j DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED --dport 1024:65535 -j ACCEPT

no caso de UDP eh mais complexo, nao existe um flag de direcao e, portanto, eh melhor abrir conexao apenas para os enderecos dos servidores devidamente credenciados para suprir seu DNS, por exemplo:

iptables -A INPUT -p udp -s SEU_DNS_SERVER --sport 53 --dport 1024:65535 -j ACCEPT

as vezes eh bom permitir o ping, mas pq vc precisa permitir que pinguem vc ? vc pode ser bem mais restritivo:

iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

e uma vez delimitando o que vc vai ter de trafego, vc simplesmente bloqueia tudo o mais por padrao:

iptables -A INPUT -j LOG
iptables -A INPUT -j DROP

se vc quiser ser mais paranoico, pode limitar as portas de saida tambem.

agora que ninguem entra, vc pode limitar a sua propria capacidade de produzir estragos: normalmente uma boa solucao eh montar o /home com flags como noexec e nosuid, assim, na hipotese de baixar um trojan, vc nao consegue rodar ele nem querendo. na falta de particoes separadas, vc pode mudar as mascaras de criacao de arquivos e forcar que todos os arquivos sejam gravados sem permissao de execucao, mas dividir o sistema em varios filesystems facilita aplicar politicas de seguranca mais rigidas, por exemplo, montar o /usr como readonly impede a alteracao direta dos binarios e bibliotecas importantes para o sistema, mesmo que vc esteja usando o sistema como root.

adote politicas de seguranca, aplique elas com a maquina em single-user e, quando voltar para multi-user tente usar a maquina como um mero usuario, seguindo as politicas de seguranca que vc estipulou. a essencia do negocio eh usar e permitir o que eh estritamente conhecido e bem compreendido. vc sempre vai levar a melhor com algo que conhece bem, mas para todo o resto, tente aprender como funciona ou entao simplesmente bloqueie.

[chipselect]

Marcelo

esse antivirus não é pra servidore e ser usado por adm de redes... são pra usuários de linux que não sabem fazer:
iptables -A INPUT -p tcp -m state --state NEW -j DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED --dport 1024:65535 -j ACCEPT

e comandos afins... não é todo mundo que sabe né? Um adm tem obrigação de saber, mas uma pessoa de outra área que quer trabalhar legalizado e tem um pc com Linux "porque é de graça" nem sempre sabe, daí é mais fácil ter um software que cuida desses detalhes pra ela.

Do jeito que você tá falando, parece que ou o cara manja de Linux, ou nem use ele, e que, além de antivírus e afins, se ferramentas automáticas de configurações são coisas de noob e totalmente desnecessárias, então provavelmente interface gráfica é frescura pra você (só texto é suficiente) e você deve amar o Slackware (eu gosto do slackware), que não tem rpm nem deb, é tudo mais na unha... acho que você deve considerar o Conectiva (agora Mandriva) muito frescos.

Agora, se vc acha que Linux não é pra desktop, não é todo mundo que compartilha disso, eu acho que uma versão do Linux pra desktop, pra competir com o Windows (com a mesma facilidade de uso do Windows) seria muito benvinda. Algo como computador para todos...

[ivan]

Bem, partindo do pressuposto que a definição do que seja virus de computador é:
"Todo aquêle pgm que tem a capacidade de infectar, copiar parte ou a totalidade de seu código em um outro pgm." Conclui-se q virus para Linux/Unix são possíveis sim!
Ganhar os privilégios de root, e ter capacidade destrutiva semelhante ao q acontece tão facilmente no Windows, é outro assunto...
Como demonstração, prova de conceito, no link abaixo:
http://www.viruslist.com/en/weblog?weblogid=183651915

A lista do q é necessário para manter um computador Linux relativamente seguro, já q não existe segurança absoluta, é um pouco longa e o usuário doméstico/comum não está capacitado para isso. Somente administradores de sistemas/redes.
http://www.unc.edu/~kbartley/inls183/assign8.txt

Como ganhar acesso a um sistema Linux e infectá-lo?
Ex: Apache exploit
http://www.cert.org/advisories/CA-2002-17.html

[msamsoniuk]

esse antivirus não é pra servidore e ser usado por adm de redes... são pra usuários de linux que não sabem fazer:
iptables -A INPUT -p tcp -m state --state NEW -j DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED --dport 1024:65535 -j ACCEPT

e comandos afins... não é todo mundo que sabe né? Um adm tem obrigação de saber, mas uma pessoa de outra área que quer trabalhar legalizado e tem um pc com Linux "porque é de graça" nem sempre sabe, daí é mais fácil ter um software que cuida desses detalhes pra ela.

ueh, mas o antivirus tambem nao conhece estes comandos... e como fica daih ? o problema nao eh conhecer ou nao os comandos, mas saber que existem duas abordagens para o mesmo problema:

a) no windows vc usa o antivirus para examinar o conteudo de arquivos que passeiam pela memoria e disco, comparando assinaturas caracteristicas. se vc simplesmente pegar o codigo de um virus e modificar algo, tem um virus novo nao catalogado e ele passa direto pelo antivirus, podem explorar as mesmas vulnerabilidades locais, uma vez que nada eh consertado pelo fabricante do sistema operacional. e claro, se vc nao tiver um arquivo para examinar, como vai detectar o virus ? isso significa que nao existe protecao contra vulnerabilidades remotas, onde o problema eh explorado sem que existam arquivos para examinar. o conceito eh falho como um todo e, apesar de estarem catalogados milhares de virus, novas variacoes dos virus existentes causam epidemias e perdas em larga escala. os service packs da microsoft deveriam resolver isso, mas o fato das pessoas serem obrigadas a usar antivirus indica que ela nao faz o trabalho dela!

b) no linux os problemas sao prevenidos ao maximo e, se ocorrerem situacoes nao planejadas, os desenvolvedores consertam os erros e publicam novas versoes e updates. isso eh feito tanto para vulnerabilidades remotas quanto locais e vc pode atualizar online. como o conserto trata o metodo utilizado para explorar a vulnerabilidade e ignora assinaturas das ferramentas, vc fica imune a variacoes que usam o mesmo metodo e os invasores tem que perder tempo pensando em metodos novos, o que se torna cada vez mais complexo e dificil. como a prevencao evita ao maximo que o usuario rode trojans, os atacantes investem pesado contra vulnerabilidades remotas, motivo pelo qual o firewall toma o lugar do antivirus no linux, com a vantagem de nao valer apenas apos o problema ser detectado, mas tambem ser capaz de prevenir problemas. o modelo nao apenas foi testado e melhorado por decadas de uso em sistemas multiusuarios online, como eh hoje referencia em seguranca eletronica.

Do jeito que você tá falando, parece que ou o cara manja de Linux, ou nem use ele, e que, além de antivírus e afins, se ferramentas automáticas de configurações são coisas de noob e totalmente desnecessárias, então provavelmente interface gráfica é frescura pra você (só texto é suficiente) e você deve amar o Slackware (eu gosto do slackware), que não tem rpm nem deb, é tudo mais na unha... acho que você deve considerar o Conectiva (agora Mandriva) muito frescos.

na maioria das distros vc pode selecionar politicas de seguranca. no caso do suse, por exemplo, ele vai fazer nao apenas o que citei, mas muito mais e tudo isso ao clicar de um botao do mouse. no slackware vc tem q fazer tudo isso manualmente, mas nem eh essa a questao: vc precisa fazer algo do genero pq essa eh a solucao mais efetiva.

Agora, se vc acha que Linux não é pra desktop, não é todo mundo que compartilha disso, eu acho que uma versão do Linux pra desktop, pra competir com o Windows (com a mesma facilidade de uso do Windows) seria muito benvinda. Algo como computador para todos...

desde q nao estrague o que funciona, tudo bem. mas esse tem sido o principal obstaculo: como facilitar sem perder as qualidades... nao eh facil.

[chipselect]

sim Marcelo, o usuário comum não está capacitado pra proteger seu computador, por isso talvez seja interessante o antivirus, que apesar de não ser perfeito e não ter utilidade em redes Linux pura, é melhor que nada num desktop, principalmente de uso pessoal.

O antivirus não conhece aqueles comandos, mas as ferramentas e opções de configuração que você mesmo mencionou conhecem e já existem. As proteções que se usam no Windows não são só o antivirus em si, tem firewall e etc como é no Norton e McAfee... isso inclui fechar portas, permitir ou bloquear aplicativos para acesso à rede, etc...

Seria interessante uma ferramenta mais fácil pro usuário "leigo" na versão desktop... pra retardado mesmo usar, como no Windows. Tá, se é ruim fazer referência ao Windows, então que seja fácil como o MAC OS X ou no BeOS.

Lançar um Linux "fácil de usar" pra retardado é problema, pois dá muito acesso ao usuário, deixando-o com muita liberdade e responsabilidade que ele dificilmente conhece, é o que o Windows faz.

Mas não seria problema nenhum pra linha de Linux "para servidores" se houvesse um conjunto de ferramentas de configuração exclusivo para desktop, para os mais desprovidos de conhecimento usarem o Linux, como é o "autopackage" que o Wagner mencionou.

Essas ferramentas não existiriam em servidores... as distros geralmente tem mais de uma versão de configuração, separando pra servidores e pra workstation, bastaria não incluir essas tranqueiras na versão mais "limpa" (servidores).

O fato do autopackage existir não significa necessariamente que o adm de rede precise usá-lo. Basta ser aplicado nas versões desktop do Linux, com possibilidade de ser desativado.

A tentativa de assinatura em arquivos para proteção a própria Microsoft tem tentado usar, mas esse público alvo do Windows (desktop) não tá nem aí pros alertas de segurança e muito provavelmente vai compromenter o próprio sistema, mas no fundo, esse tipo de usuário algumas vezes tem noção de que tá fazendo coisa errada.

Com o autopackage, uma produtora de software ou o grupo de código livre precisa se preocupar apenas com o autopackage, economizando pelo menos um pouco de esforço, e também é mais fácil as distros incluirem versões de autopackage ou similar do que ficar incluindo todos os possíveis aplicativos pra funcionar na distro.

O usuário final também se sentirá mais a vontade pra baixar e instalar um aplicativo pro Linux, já que não vai ter vários links da mesma versão do aplicativo, um para cada distro.

[Andremp]

o wine é o bixo, ele me livrou de muito trabalho

eu estava fazendo um programa no windows de forma que fosse facil de compilalo tambem no linux (CLX).
Tudo pronto no windows entao parti pro linux.
... é muito sofrimento, até o que é automatico tem que configurar, varios problemas com versao, e como eu ia utilizar o kylix 3 que nao é mais atualizado a um bom tempo... o maximo que consegui foi uma tela mau formada do programa impossível de utilizar.
Dai por acaso conheci o wine, é possível até instalar o office do windows com ele !

Entao meu problema estava resolvido, consegui roda o programa que fiz pro windows no wine, embora os icones pra acessa o programa e manuais nao funcionem. E nem consegui criar o atalho do programa manualmente pois preciso fazer com que ele execute apartir da pasta do programa, e os script de exemplo que achei pela net nao funcionaram.

OBS: instalei o DreamLinux 2.2
Sou um usuário avançado no windows, então deveria ser facilmente um usuário comum no linux, mas mesmo as distribuicoes para usuários comuns tem problemas que precisam de um usuário com conhecimentos avançados para resolve-las.

[Wagner de Queiroz]

Andremp,


Talvez voce não conheca. Mas para nós programadores de Delphi, no Linux voce pode usar o Lazarus www.lazarus.freepascal.org

e no windows tb. embora uns programas que fiz no Lazarus ficaram bem maiores que o do Delphi.

Uma sugestao do que o programinha pode fazer. Por essa o Delphi não esperava né.

Linux/Windows/PocketPC

[avenito]

O que esperar de um site da própria Microsoft??? Todos os OSs têm seus prós e contras, mas uma reportagem falando que o Windows é melhor num site próprio da Microsoft é no mínino questionável!

[chipselect]

Andremp

no seu caso não compensa usar Java?

[ivan]

Normalmente qdo tenho probs parecidos, eu utilizo o cygwin q compila pgms Linux pra rodar no Windows. É possivel utilizar algumas bibliotecas gráficas do Linux tb. Dá uma avaliada q pode ser uma saída pra vc Andremp.

[jeanfernandes]

Nessa conversa pra boi dormir eu segui uns conselhos do xuta.

A) Peguei um HD USB externo e ponho essas viração para aprender mais sobre.

B) VMWare, Se poe a distro lá e brinca.

O que fode o kengo é que se o cara quer peidar em linux, ele tem 200 opcoes, com 1 bilhao de maneiras de fazer. Acho que só com um curso o cara se orienta. A diversidade tambem atrapalha quem é iniciante.

[Wagner de Queiroz]

Por um lado a enorme diversidade de opcoes e por outro um sistema estatico e de acesso proibido.