Ero sivun ”Tietoturva” versioiden välillä
Siirry navigaatioon
Siirry hakuun
Lisätty tietoa raja-anturasta
(Lisätty tietoa raja-anturasta) |
|||
| Rivi 43: | Rivi 43: | ||
[[Työpöytäympäristö|Työpöytäympäristöistä]] löytyy vastaavat ohjelmat myös graafisena. [[Gnome|Gnomessa]] sudo-komentoa vastaa [[gksudo]] ja [[KDE|KDE:ssä]] [[ksud]]. Esimerkiksi Ubuntussa Synaptic-paketinhallinnan käynnistäminen kysyy pääkäyttäjän salasanan automaattisesti, käyttäen kyseistä [[gksudo]]-ohjelmaa. | [[Työpöytäympäristö|Työpöytäympäristöistä]] löytyy vastaavat ohjelmat myös graafisena. [[Gnome|Gnomessa]] sudo-komentoa vastaa [[gksudo]] ja [[KDE|KDE:ssä]] [[ksud]]. Esimerkiksi Ubuntussa Synaptic-paketinhallinnan käynnistäminen kysyy pääkäyttäjän salasanan automaattisesti, käyttäen kyseistä [[gksudo]]-ohjelmaa. | ||
==Käynnistettävät tiedostot ja "autorun"== | |||
GNU/Linux on myös suojautunut tehokkaasti muilta ehkä hieman perinteisemmiltä [[virus|virusten]] levitystavoilta. Hyvinä esimerkkinä toimivat ns. piilotetut tiedostoformaatit ja oletusformaatit käynnistettäville tiedostoille. [[Windows|MS Windows]] [[käyttöjärjestelmä|käyttöjärjestelmät]] pitävät oletuksena kaikkia [[.exe]], [[.bat]], [[.com]], [[.pif]], [[.vbs]] sekä [[.scr]] tiedostoja käynnistyvinä, tämä tarkoittaa sitä että käyttäjä voi suoraan käynnistää ohjelman vain tuplaklikkaamalla. GNU/Linux käyttöjärjestelmä taas käsittelee kaikkia tiedostoja suoraan tekstitiedotoina ja niille täytyy ensin antaa käynnistysoikeus ennen kuin ne pystytään ajamaan. Tämä käytännössä lisää yhden kynnyksen lisää tiedostojen käynnistämiseen hieman tottakai vaikeuttaen tiedostojen käynnistämistä, mutta antaen käynnistäjälle harkinta-aikaa ja miettimistä sen suhteen että onko ohjelma varmasti oikein käynnistettävä. Tottakai paketeissa voidaan toimittaa jo valmiita binääripaketteja jotka ovat käynnistettävissä, mutta jos joku lähettää sinulle [[sähköposti|sähköpostissa]] .exe-tiedoston, et voi sitä ajaa ennen kuin olet antanut sille ajo-oikeudet. | |||
Muita GNU/Linuxissa huomioituja ongelmia tiedostoihin liittyen ovat mm. tunnettujen tiedostojen piilotetut päätteet. Esimerkkinä ottakaamme tästä vaikka virus.jpg.exe-tiedosto, jossa on kaksiosainen tiedostopääte. Jos MS Windows-käyttöjärjestelmässä on päällä "piilota tunnetut tiedostomuodot" niin käyttäjälle näkyviin jää vain virus.jpg. Tämä monelle peruskäyttäjälle kertoo sen että kyseessä on pelkkä kuvatiedosto vaikka todellisuudessa sen käynnistyttyä lähtisi virus leviämään. Todellisuudessahan tiedosto on .exe-tiedosto, mutta Windows piilottaa loppuosan tiedostomuodosta. GNU/Linuxissa ei automaattista tiedostomuotojen tunnistusta ole viety näin pitkälle, joten voimme katsoa puutteen vain omaksi eduksemme. Ongelmaa ei myöskään ole [[CD-levy|CD-levyjen]] automaattikäynnistyksen kanssa, joka mahdollistaa useiden ohjelmien ajamisen kysymättä käyttäjältä mitään. Vaikka CD-levyjen kautta ei viruksia juurikaan levitetä niin on silti tärkeää että käyttäjältä edes kysyttäisi että ajetaanko pyydetyt ohjelmat automaattisesti. | |||
===Binäärien ajaminen ja pakettien kautta leviävät virukset=== | |||
Entä jos lataat jostain paketin jossa on sisällä haittaohjelma nimeltä "su", sama millä kirjaudutaan sisään toisella käyttäjällä. Purat paketin kotihakemistoon jonka jälkeen siellä löytyy käynnistettävä ohjelma nimeltä "su", teet normaalit [[lähdekoodi|lähdekoodin]] kääntämiseen liittyvät "./configure && make" toiminnot ja kun olet asentamassa pakettia järjestelmään ja vaihtamassa root-käyttäjäksi komennolla "su"... Mitä tapahtuu ? Vastaus on yksinkertainen, GNU/Linux järjestelmä ajaa binäärit oletuksena [[PATH]]-ympäristömuuttujan sisältämistä hakemistopoluista. Käytännössä tämä tarkoittaa sitä että jos pitää ajaa erillinen tiedosto tietystä hakemistosta pitää siihen eteen liittää merkintä "./", jos siis meidän su-viruksemme kirjoittaja haluaisi ohejlmansa tulevan ajetuksi niin se tulisi ajaa komennolla "./su" eikä "su". Komento "su" ajetaan ennaltamääritellyistä binääripolkujen sisältämistä paikoista – riippumatta siitä olisiko samanniminen ohjelma käynnistyksen aikaisessa hakemistossa. | |||
== SELinux ja GRSecurity == | == SELinux ja GRSecurity == | ||