O que você precisa saber

O Linux não está imune a malwares avançados, como rootkits e cavalos de Tróia, e a Dia Zero explora.

Em qualquer distribuição Linux genérica, um rootkit pode usar engenharia social para roubar a senha de root; ele também pode usar uma exploração de memória se o sistema não estiver atualizado e executar um script de shell como administrador sem interação do usuário e sem efeitos visíveis.

No Ubuntu, onde o sudo é frequentemente instalado mas não configurado corretamente, um malware precisa apenas da senha do usuário atual para executar ações administrativas e infectar o sistema.

Se você tiver executáveis setuid instalados e eles usarem um interpretador (como, por exemplo, versões antigas de Nmap fez), eles podem ser usados para contornar a barreira da conta e executar ações administrativas.

Os rootkits modernos irão tentar de todas as maneiras possíveis obter o acesso root e carregar um novo módulo do kernel para obter privilégios totais e ocultar outras infecções.

Como se proteger

Precauções básicas

Eu fiz uma pequena lista de tarefas:

• Nunca forneça a senha de root aos usuários em um sistema multiusuário;
• Nunca insira a senha do root em aplicativos não confiáveis (baixados de repositórios não-oficiais), se não for absolutamente necessário;
• Atualize seu sistema Ubuntu pelo menos todos os meses a partir do repositório oficial e deixe apenas os últimos 2 kernels atualizados instalados.
• Não use software instável ou em desenvolvimento.
• Use gufw ou outro wrapper para configurar o firewall e bloquear portas não utilizadas para IN / OUT: TCP e IN / OUT: UDP.
• Configure passwd para impor um tamanho mínimo de senha, porque um malware pode força bruta senhas fracas .

Depois disso, instale e use tiger para verificar problemas de segurança em seu sistema.

Precauções avançadas

Estas precauções melhorarão drasticamente a sua segurança, mas necessitam de manutenção regular após a instalação do novo software e são para utilizadores avançados :

• Use SELinux para proteger os arquivos de configuração sensatos, sudo sozinho oferece garantias limitadas de segurança contra especialistas em segurança. Você deve consultar a referência oficial antes de usá-la, pois pode limitar os direitos de acesso root e bloqueá-lo se não estiver configurado corretamente . É uma ferramenta muito avançada e poderosa, experimente em uma Máquina Virtual antes de usá-la em produção.
• Use Apparmor ( instalado por padrão no Ubuntu), que fornece proteção limitando um programa a um determinado conjunto de diretórios e garantindo uma boa proteção até para usuários não técnicos. Para começar, você precisará instalar o Apparmor "profiles" em alguns programas comuns. Você pode instalá-los assim: sudo apt install apparmor-profiles apparmor-profiles-extra apparmor-utils e, em seguida, ativá-los executando sudo aa-enforce /etc/apparmor.d/* .
• Firejail é fácil de usar Use o sandbox que reduz o risco de violações de segurança, restringindo o ambiente de execução de aplicativos não confiáveis com várias técnicas. Você pode usá-lo para isolar seu navegador da Web e obter proteção extra contra exploits na memória.

Todas essas precauções aumentarão a segurança de suas respectivas áreas de efeito, mas diminuirão o desempenho de todo o sistema se o hardware for antigo. Na verdade, geralmente os encontramos em servidores corporativos para proteger os nós de rede importantes (ou públicos).

^{Obrigado a user311982 pelas sugestões úteis.}

Mesmo que o Linux seja mais seguro que os outros sistemas, isso não significa que ele esteja imune. Meu pequeno guia não é exaustivo, fique à vontade para comentar aqui se tiver mais perguntas.

    

Por definição, um rootkit não é um kit para obter privilégios de root; em vez disso, é um kit para mantê-los depois de terem sido obtidos. Assim, um rootkit no sentido mais estrito é inútil sem permissões de root.

Naturalmente, na vida real, os rootkits provavelmente virão como parte de um pacote global mal-intencionado maior, geralmente buscado e implantado por um conta-gotas, contendo vários exploits destinados a obter privilégios de root. Pode-se referir-se coloquialmente a todo esse pacote como "um rootkit", já que o rootkit é a carga útil e, embora isso não seja uma maneira tecnicamente precisa de se referir a ele, dividir esses fios não manterá seu sistema seguro. :)

Se você é um usuário normal, deve se preocupar em não apresentar softwares mal-intencionados ao sistema. Se você se enraizar, ficará completamente desamparado para fazer algo a menos que tenha privilégios de root.

No entanto, tendo estudado mal-intencionadamente bastante extensivamente, meu conselho é que, se você sabe que um sistema foi infectado por algum software malicioso (independentemente do nível de permissão), você deve assumir que a coisa toda agora é maliciosa e matá-lo com fogo ou seja, limpe o disco rígido e reinstale, preservando o mínimo de dados possível e que tenha sido verificado a partir de um sistema operacional ao vivo usando vários programas anti-malware.

O único caso não especializado em que este não seria o curso de ação adequado é se você confia que o malware não faça nada muito malicioso. Mas por que você confia que o malware não seja malicioso? Soa como uma estratégia perdida para mim.