Есть ли способ остановить случайные пакеты программного обеспечения от удаленной передачи ваших файлов?

Я запускаю клиента биткойнов на моем компьютере archlinux. Если кто-то может получить файл wallet.dat , расположенный в каталоге ~ / .bitcoin /, он может украсть мои монеты.

У меня установлено минимальное программное обеспечение. В основном просто xfce4, xfce4-goodies, биткойн и несколько других программ, которые я считаю необходимыми.

Насколько правдоподобно это для одного из разработчиков / репозиториев-менеджеров из ~ 100 нечетных пакетов программного обеспечения, которые я установил в своей операционной системе, чтобы тихо отправить свой файл wallet.dat себе в следующее обновление своего программного обеспечения?

Должен ли я проверять все мои обновления программного обеспечения, чтобы эта возможность была в безопасности? Недостатком этого подхода является то, что Archlinux по своей сути использует все последние обновления / исправления программного обеспечения в своем официальном репозитории.

Существуют ли какие-либо защитные меры в Linux, чтобы пакеты программного обеспечения не могли обращаться к папкам за пределами их юрисдикции? Возможно, группы?

3 Solutions collect form web for “Есть ли способ остановить случайные пакеты программного обеспечения от удаленной передачи ваших файлов?”

Короткий ответ: нет.

Модель безопасности Unix в основном предназначена для изоляции данных одного пользователя от других пользователей. Он не предназначен для ограничения приложений. Все приложения, которые вы используете, имеют одинаковые привилегии. Очевидно, что ваш файловый менеджер читает ваши файлы (вот и все) и имеет сетевой доступ (например, для монтирования удаленных общих дисков). Другие приложения имеют одинаковые привилегии.

В большинстве случаев эта пористость желательна. Я хочу сохранить файл с моего почтового клиента и открыть его в своем текстовом процессоре. Я хочу скопировать некоторые данные из моего текстового процессора в свой веб-браузер через буфер обмена. Я хочу, чтобы мой почтовый клиент и веб-браузер открывали все виды внешних программ для просмотра файлов, которые они не понимают изначально. Я хочу, чтобы моя программа макросов на рабочем столе могла захватывать все нажатия клавиш и вводить нажатия клавиш в приложениях. Я хочу, чтобы мое программное обеспечение для резервного копирования могло читать и писать во все мои файлы.

Современные системы Linux имеют дополнительные механизмы безопасности, которые предоставляют ограниченную защиту от ограничений для приложений. Но они в основном предназначены для ограничения системных служб, которые не взаимодействуют со многими другими локальными приложениями.

Если вы хотите изолировать свой биткойн-кошелек от своей обычной деятельности, вам нужно пожертвовать некоторым удобством для обеспечения безопасности. Самый простой шаг – сохранить ваш биткойн-кошелек под другой учетной записью пользователя. Таким образом, приложения, которые вы используете только с обычной учетной записью, не смогут ее коснуться.

Любое приложение, которое вы используете с учетной записью Bitcoin, является частью вашей доверенной базы – той части системы, которой вам нужно доверять, поскольку она способна нарушить вашу безопасность. Это включает в себя ядро, ряд системных демонов и программ, любые файлы и файлы, которые вы запускаете в качестве пользователя биткойнов, независимо от того, какой метод вы используете для входа в учетную запись Bitcoin, все программное обеспечение Bitcoin и т. Д. Конечно, недостатком этого является что это сделает ваш кошелек сложнее. Если вы изолируете свой кошелек от контекста, в котором вы его используете, это затрудняет передачу.

Преимущество программного обеспечения с открытым исходным кодом состоит в том, что он делает бэкдор доступ к вашему Биткойн кошельку несколько трудно скрыть. Возможно, вы не чувствуете необходимости проверять программное обеспечение лично, потому что в целом многие люди копаются в исходном коде для этого и того. Это в дополнение к сетевому трафику, который вы или другие могут обнаружить. Если бы был бэкдор, есть хороший шанс, что он будет обнаружен.

К сожалению, традиционные механизмы Unix Discreionary Access Control (DAC), такие как пользовательские и групповые разрешения, плохо подходят для процессов разметки, работающих с одним и тем же эффективным UID. С этой целью ядро ​​Linux поддерживает несколько модулей безопасности (MAC) Linux с обязательным доступом (MAC), которые позволяют применять политику контроля доступа для объектов процесса и объектов файлов.

Наиболее известным MAC LSM в Linux, вероятно, является Linux с улучшенной безопасностью (SELinux). SELinux имеет гибкий политический язык для определения доменов безопасности, обычно называемых контекстами SELinux, и правил контроля доступа, для которых принципалам разрешен доступ к определенному контексту. Отображение между файлами и контекстами безопасности называется маркировкой, определяемой в файлах политик или расширенных атрибутах файла в файле-в-файле.

Еще один MAC-LSM на основе меток – это простое обязательное ядро ​​контроля доступа (SMACK), на которое влияет дизайн SELinux, но имеет гораздо более простой формат правил контроля доступа .

У вас есть несколько вариантов при попытке защитить какую-либо информацию на вашем компьютере от программ-шпионов и / или вредоносных программ:

  • Не храните информацию на своем компьютере с высоким уровнем риска на постоянной основе (например: храните его на другом компьютерном устройстве: планшет, телефон, другой компьютер и т. Д.), Только перемещайте информацию, необходимую там, когда вам это действительно нужно, и даже тогда, только в той мере, в какой это необходимо. Это значимое решение, только если ваше другое вычислительное устройство может быть более безопасным (что вряд ли верно для телефона Android).

  • Храните информацию в зашифрованном виде, используя достаточно прочную криптографическую технологию (современное программное обеспечение для шифрования с достаточно длинным ключом длины бит, защищенным достаточно длинным, не-словарным паролем). Безопасность с помощью неизвестности сама по себе не является решением для обеспечения безопасности, однако она повышает безопасность в дополнение к надлежащей технологии шифрования от ненаправленных атак: не используя имена каталогов и файлов, которые относятся к содержанию или используемой технологии шифрования, вероятно, избегут глупых ботов и вирусы, которые были специально разработаны для получения вашего Биткойн-кошелька. Вы должны иметь в виду, что, когда человек направляет нападение на вас лично, безопасность от неясности, вероятно, вам не поможет, вам придется полагаться на технологию шифрования.

  • Вы можете использовать меры OS (ЦАП, MAC), чтобы отделить опасные действия от информации, подлежащей защите. Однако есть недостатки: система DAC (права пользователя / группы) может помочь вам только в том случае, если вы можете запускать свои рискованные приложения как пользователь, не являющийся пользователем root, и хранить информацию, которая должна быть защищена как другой пользователь. MAC-решения могут дать вам гораздо более тонкий способ управления доступом, однако его также сложнее настроить. Полезность всех мер ОС обычно ограничена безопасностью вашей ОС: если вредоносное ПО использует известную уязвимость в вашем ядре ОС, оно может обойти любые меры безопасности ОС.

Вы также можете комбинировать эти подходы, которые могут или не могут дать вам лучшее решение.

  • Установка определенного старого пакета с зависимостями
  • Зеркало или кеширование репозитория Debian
  • Кто платит за хранение и пропускную способность репозиториев?
  • Как добавить репозиторий и установить TMSU в Debian 9?
  • Установите mplayer на Centos 7
  • Debian partial Mirror - зеркальное отображение «debparial-mirror»
  • Как подписать уже построенный пакет Debian?
  • Linux и Unix - лучшая ОС в мире.