11. Безопасность

Если вы загружаете Puppy с CD-ROM (или с образа CD на жестком диске, см. главу 4.3) никакой потенциальной опасности для вашей системы нет. Все потенциально опасные приложения исчезают с перезагрузкой системы.

Однако при установленной связи с Интернет, потенциальная опасность заражения вредоносными программами все же существует. По этой причине рекомендуется пользоваться сетевым экраном (firewall), см. главу 11.3. Кроме этого вы можете сверять контрольные суммы ваших файлов (см. главу 11.5), чтобы быть уверенным, что они не подвергались изменению без вашего ведома.

В отличие от большинства других дистрибутивов Линукс, в Puppy не делается различия между обычным пользователем и суперпользователем root. Вы всегда заходите в систему как root, что значительно облегчает работу с ОС. Возникает вопрос, насколько это оправдано в плане безопасности, поскольку вы всегда имеете полную власть над всеми файлами, приложениями и данными?

Для обычного домашнего использования принципиальной разницы с другими дистрибутивами в этом плане нет. Более того, Puppy даже несколько надежней, чем большинство других дистрибутивов.

Сперва давайте проанализируем степень риска в дистрибутивах с четким разделением прав между обычным пользователем и администратором. Пользователь работает в системе с правами обычного рядового пользователя, не имеющего привилегий устанавливать/удалять приложения и доступа к системным файлам. Злоумышленник может в таком случае получить доступ только к файлам пользователя. Однако если злоумышленник получает доступ к системе, он легко может получить привилегии суперпользователя (найти файл с паролями, использовать вредоносные программы и т.д.) и таким образом получить полную власть над системой.

До тех пор, пока Puppy загружается с CD-ROM и не устанавливается на жесткий диск, системе ничто не угрожает. Всякий раз при перезагрузке, все вредоносное ПО будет удалено из системы. Конечно личные файлы пользователя в pup_save.2fs или на жестком диске могут стать доступны для злоумышленника, но тоже самое может случиться и в любом другом дистрибутиве Линукс. Если вы хотите быть уверены в безопасности личных файлов, регулярно сохраняйте их контрольные суммы и делайте резервное копирование (см. главу 9 и 11.5).

При работе в сети следует всегда пользоваться сетевым экраном. Он дает возможность контролировать какие порты компьютера открыты и какие активные соединения используются.

Щелкните по иконке «Соединения» на рабочем столе. Откроется окно «Internet Connection Wizard»

Выберите пункт «Настройка firewall». Откроется окно утилиты настройки файрволла с тремя возможными вариантами настройки.

Выбирайте пункт automagic если у вас нет опыта в настройке, а также если вы хотите полностью защитить ваш компьютер. При этом все параметры будут заданы автоматически и настроен запуск файрволла при загрузке системы

Пункт default по настройкам защиты идентичен пункту automagic но вам будет предложено выполнить проверку конфигурации системы, а также выбрать будет ли запускаться файрволл при запуске системы.

Пункт custom рекомендуется опытным пользователям. Вам будет предложено вручную выбрать из списка к каким портам компьютера разрешить внешние подключения (если у вас запущены сервисы ftp или http возможно имеет смысл разрешить другим пользователям подключаться к ним). При необходимости можно разрешить доступ к нестандартным портам, установив самый нижний флажок в списке «other: другие порты». После нажатия кнопки ОК вам будет предложено вручную задать номера портов (или диапазон портов) разрешенных для одпключения к ним из сети интернет.

Кроме этого будет предложено выбрать будет ли доступно соединение интернет для других пользователей из вашей локальной сети.

В следующем окне вы можете задать адреса компьютеров которые получат доступ к вашему компьютеру в обход файрволла. Будьте осторожны с этой опцией, ее использование значительно снижает защиту компьютера от внешних угроз.

Об окончании работы программы будет указано в информационном окне:

Вы можете проверить насколько хорошо работает ваш сетевой экран, на сайте Shields Up!. Загрузите страницу и нажмите кнопку Proceed.

Если вы хотите проверить вашу Windows систему на вирусы, вы можете воспользоваться антивирусным сканером F-Prot. Скачать ее можно с форума. Также Вы можете скачать бесплатную версию Avast4-for-workstations с сайта производителя.

После того, как вы скачали и установили программу F-Prot, откройте оболочку и введите следующие команды (соединение с Интернет должно быть активно):

• /usr/local/bin/xfprot-gtk or
• /usr/local/xfprot/xfprot-gtk

Теперь вирусные базы обновлены, можно выключить соедиение с Интернет. Смонтируйте разделы Windows (mount /dev/hdax /mnt/hdax) и установите следующие опции в F-Prot:

• Path to scan: /mnt/hdax
• Scan mode: Interactive
• Report file: /root/xfprot.log

После завершения сканирования вы можете найти лог-файл в /root/xfprot.log.

Iесли вы хотите просканировать другой Windows компьютер, вы можете пересобрать Puppy (см. главу 13). Загрузите Windows компьютер с созданного Puppy CD (с опцией загрузки puppy pfix=ram) и просканируйте ПК как было описано выше.

Самый простой способ - воспользоваться готовым sfs-модулем avast4workstation-1.3.0.sfs. После того, как Вы скачали и подключили модуль, в Меню | Утилиты появится запись «Антивирусный сканер Avast». Первое включение вывелет окно с просьбой ввести ключ. Там же, в этом окне, находится ссылка для получения ключа с сайта производителя. После простейшей регистрации ключ будет прислан на Ваш адрес эл. почты. После ввода ключа появится окно сканера.

Здесь вы можете обновить антивирусную базу и выбрать каталоги для сканирования и режим сканирования. После этого остаётся только нажать «Начать сканирование».

По окончании сканирования желаю Вам получить такой же отчёт.

Чтобы еще более обезопасить свою систему, рекомендуется сохранять контрольную сумму (cheсksum) всех ваших файлов. Делать это следует регулярно и обязательно перед резервным копированием. Если контрольная сумма не совпадает, это указывает на то, что ваши файлы подвергались изменениям.

Чтобы вычислить и сохранить контрольную сумму файлов, откройте оболочку и введите следующие команды:

• md5sum /usr/bin/md5sum

  Создает контрольную сумму программы md5sum, запишите ее.

• mount /dev/hda4 /mnt/hda4

  Монтирует жесткий диск с вашими файлами.

• find /mnt/hda4 -type f -exec ls -ail {} \; \-exec md5sum {} \; > /root/check1.dat

  Создает файл check1.dat со значениями контрольных сумм всех файлов.

• md5sum /root/check1.dat

  Создает контрольную сумму файла check1.dat. Запишите ее.

Если вам нужно проверить, какие из файлов были изменены, введите следующие команды:

• md5sum /usr/bin/md5sum

  Создает контрольную сумму программы md5sum. Сравните ее с контрольной суммой, созданной на этапе (1).

• md5sum /root/check1.dat

  Создает контрольную сумму файла /root/check1.dat. Сравните ее с контрольной суммой, созданной на этапе (3).

• mount /dev/hda4 /mnt/hda4

  Монтирует жесткий диск с вашими файлами.

• find /mnt/hda4 -type f -exec ls -ail {} \; \-exec md5sum {} \; > /root/check2.dat

  Создает файл check2.dat с текущей контрольной суммой файлов.

• diff /root/check1.dat /root/check2.dat > /root/diff.txt

  Сравнивает два файла check1.dat и check2.dat. Разница записывается в файл diff.txt.

• Откройте файл /root/diff.txt и проверьте, какие файлы подвергались изменениям.
• Удалите файл /root/check1.dat
• Переименуйте файл /root/check2.dat в /root/check1.dat.

• md5sum /root/check1.dat

  Создает контрольную сумму нового файла check1.dat. Запишите ее.

Вы можете воспользоваться утилитой bcrypt для шифрования наиболее важных файлов. Bcrypt использует алгоритм шифрования Blowfish.

Откройте оболочку и введите:

bcrypt /MyDirectory/MyFile

Вас спросят ввести пароль (состоящий как минимум из восьми знаков, вы можете прервать работу bcrypt комбинацией клавиш Ctrl+C). Bcrypt зашифрует ваш файл и добавит к нему расширение bfe. Оригинальный файл будет автоматически удален.

Если вы хотите зашифровать более одного файла или целую директорию, создайте из них архив. Запустите «Меню | Утилиты | Xarchive архиватор». Зашифруйте созданный архивный файл.

Помните, что bcrypt автоматически удаляет исходный файл и вы не сможете его восстановить. Чтобы отменить автоматическое удаление, воспользуйтесь ключом -r:

bcrypt -r /MyDirectory/MyFile

Если вы хотите расшифровать файл, запустите bcrypt снова:

bcrypt /MyDirectory/MyEncryptedFile

Введите пароль.

Больше информации по bcrypt смотрите: Homepage bcrypt

←10. Многопользовательская система оглавление↑ 12. Создание собственного Puppy-CD→