Различия между версиями 8 и 9
Версия 8 от 2008-08-21 18:19:17
Размер: 17017
Комментарий:
Версия 9 от 2008-08-21 18:24:59
Размер: 17012
Комментарий:
Удаления помечены так. Добавления помечены так.
Строка 16: Строка 16:
  1. Система не без обновления --- система с дырой в безопасности. Это - не легенда, а правда. В случае с Linux критических дыр очень мало, одна в несколько лет, и хороший дистрибутив обновляется через несколько часов после появления такой ошибки.   1. Система без обновления --- система с дырой в безопасности. Это - не легенда, а правда. В случае с Linux критических дыр очень мало, одна в несколько лет, и хороший дистрибутив обновляется через несколько часов после появления такой ошибки.

Демифологизация: продолжение

  • Контрафактное ПО. Для прояснения этого мифа очень помогает рассказ про свободное-несвободное ПО (см. первую лекцию школы). Может быть имеет смысл обратить внимание на СПО в качестве основного примера. Основные легенды:

    1. Ни одну программу копировать нельзя
    2. Программное обеспечение работает плохо потому, что оно контрафактное.
    3. СПО это халява, поэтому ничего не готово. В этом случае надо показать процесс разработки, надо сказать, что действительно есть много незаконченных проектов, но если судить по качеству, готовности и так далее, то ситуация схожа с Windows, но модель распространения и использования --- другая.
  • Обновление системы. Есть два мнения:

    1. Windows не надо обновлять, поскольку это может нарушить работоспособность. У этого есть основа, так как есть много сторонних программ, и они могут пострадать в результате обновления всей системы.
    2. Система без обновления --- система с дырой в безопасности. Это - не легенда, а правда. В случае с Linux критических дыр очень мало, одна в несколько лет, и хороший дистрибутив обновляется через несколько часов после появления такой ошибки.
  • Установка и обновление программ. Если вы устанавливаете программу в дистрибутив и хотите установить более новую программу, то всё зависит от того, что это за более новая программа. Если это критические обновления, то они всяко будут в updates. Причем эта программа будет совместима с предыдущей версией. Если же ставится какая-то альфа версия, не проверенная на совместимость с предыдущей, то это вина того, кто ее установил. В случае, если берёте пакет из сизифа, то лучше брать src.rpm и собирать его в своём окружении. Если собрался то прекрасно, если не собрался, то и хорошо, что не ставили.

    • Эшелонирование источников ПО ОС Linux:
    • Дистрибутив, в нём достаточно много программ, чтобы не приходилось идти дальше.
    • Репозиторий, там есть ещё больше программ.
    • Интернет (стороннее ПО). Это уже более рискованно, даже более рискованно, чем установка проверенного софта для Windows, кроме случая, когда программа собиралась для той ОС той версии, которую вы используете. В рамках обычной пользовательской потребности все это очень просто.
  • Вирусы. Это миф по нескольким причинам:

    1. В 2000 годах была реклама Windows и антиреклама ОС Linux, тогда Microsoft начала наступление на серверный рынок и напирала на то, что ОС Linux разные, а Windows всегда одинаковый. Это действительно так, и одним из следствий этого является то, что программа, эксплуатирующая одну уязвимость одного дистрибутива скорее всего не будет работать в другом дистрибутиве или даже в том же дистрибутиве через полгода
    2. Обычный пользователь в ОС Linux выполняет всего две операции над всей системой с правами администратора --- установка ПО и настройка сети. И даже эти две операции выполняются с помощью специального ПО. В итоге помимо вашей воли нарушить работу системы нельзя никак. Саме большее, что может испортить вирус --- ваш домашний каталог, в результате чего может появиться спамбот.
    3. Вы скачали и установили ПО, содержащее зловредный код. В каком случае это может быть? У вас задача, решения которой нет в хранилище, и это не известный производитель программ. Поэтому сначала вы смотрите в имеющееся, потом хранилище, в крайнем случае --- на сайтах производителей ПО. Кроме того существует защита электронной подписью.
    4. Не последнюю роль играет также и то, что Linux - нераспространенная и трудновзламываемая ОС. Большинство взломов системы делается вручную или с помощью специальной программы. Тем не менее, антивирус под ОС Linux есть. ClamAV. Под Linux есть и Антивирус Касперского, и Dr. Web. Лектор использовал и Dr. Web, и Касперский. Результаты - неудовлетворительные. Что касается Dr. Web-а, он начал сканировать, удалять контент и писать, что просканировано демо-версией Dr. Web-а. В случае с Касперским, он сканировал почту и сам себе писал, что просканировал, а затем проверял свое же сообщение В случае с базами главное --- оперативность.
  • Firewall. В системе должен быть Firewall, который постоянно спрашивает "А хотите ли Вы, чтобы к вам присоединились?" Или наоборот "А хотите ли Вы, чтобы какая-то программа куда-то присоединилась?". Откуда такое представление? Во-первых, человеку абсолютно бесполезно объяснять, что такое сетевое подключение, а во-вторых Windows оставляет открытыми много входящих портов и служб, в которых есть дыры. С другой стороны, это связан с предыдущим пунктом --- существует масса ПО вирусного типа, которая устанавливается без санкции пользователя, но ведёт себя не слишком агрессивно, и делает что-то незаметное. И сажается специальный сторож, который это отслеживает, если он не хочет идти в сеть, а служба хочет, то он спрашивает.

Программы подобного класса в ОС Linux есть, например Suse personal firewall. Но необходимость подобного ПО очень и очень сомнительна, так как нет необходимости контролировать входящие и исходящие подключения --- ни одной службы, которой можно подключиться снаружи, нет. И если администратор что-то открыл, то он что-то открыл, и это его дело. Используется же firewall, который с точки зрения системы выглядит иначе: это таблица правил, что разрешить, что запретить. В ОС Linux таким firewall-ом является iptables, круче только в openbsd --- pf.

  • Оптимизация. Наличие оптимизаторов --- явный признак того, что систему можно привести в состояние, требующее оптимизации.

    • Оптимизация системы. В ОС Linux существует только одна степень хаоса: если устанавливаемая программа зависит от других программ, то они не будут автоматически удалены при удалении самой программы. Таким образом единственный способ внести беспорядок в систему --- постоянно что-то ставить и удалять, после чего останется определенная часть пакетов, которые не используются. Что же касается Windows, то там проблема одна --- невозможно составить гармоничный список того ПО, которое ставится на компьютер. Это усугубляется реестром, который является базой данных обо всех настройках системы. Реестр практически не документирован, и слишком велик, чтобы держать все настройки в голове. Он очень часто приходит в замусоренное состояние и крайне неудобен в использовании . В Linux же есть каталог /etc, в котором хранятся конфигурационные файлы. Конфигурационные файлы принадлежат пакету, при удалении установленного пакета они либо удаляются, либо откладываются, но с другим именем. Таким образом невозможно перепутать действующий конфигурационный файл с отложенным.
    • Оптимизация диска. ФС в ПСПО (ext3) устроены так, что оптимизация им не требуется. Платится за это порогом оптимизации --- 10% - т.е. они всегда неоптимальны, но не более, чем на 10%. Она устроена следующим образом: если файл расположен в пределах одной группы цилиндров, в которой дефрагментация не требуется. Когда система пишет файл на диск, она пытается записать его так, чтобы он попал в одну группу цилиндров. Если файл не влезает в группу цилиндров, это значит, что просто не хватает места и она записывает его как попало. Если же поудалять часть фалов и поработать с остальными, то фрагментация восстановится. Кроме того 10% диска всегда свободны - их может заполнить только root.
  • Администратор. Во всех posix-системах, в частности, ОС Linux, в частности, ПСПО есть 2 категории пользователей. В первой --- root (не администратор, как в Windows), во второй -- все остальные. На суперпользователя (root-а) не распространяются никакие ограничения по правам доступа (если только не включен SE (рассказ про RSBAC --- role-setting based access control)). В результате он имеет права на запись к большинству файлов в файловой системе. У пользователя есть доступ только к домашнему каталогу. ОС Linux организована так, что пользователю не нужно никуда, кроме как в это каталог записывать. Работа с ПО происходит от лица обычного польз всегда, даже если это служба. Обычному пользователю не рекомендуется выполнять действия от лица суперпользователя, не зная, к чему они приводят. От лица root-а запускается две операции --- настройка сети, графики, системных служб и установка/удаление программ (альтератор и синаптик). Но и то, и другое происходит не в результате работы с правами суперпользователя, а запуском специальных программ, которые эти права получают. При попытки запустить графическое окружение от лица суперпользователя будет показано предупреждение

Отдельно надо упомянуть об администраторах служб: администратор принтерного сервера, БД и пр. Для этого зачастую не нужно получать права суперпользователя, а даже если нужно, то всё сводится к изменению конфигурационных файлов или запуска специальных. приложений.

Не следует путать root-а и администратора Windows. Администратор с точки зрения ОС Linux это не логин. а человек. Он работает большую часть времени с правами обычного пользователя, и изредка совершает какие-то действия из-под лица суперпользователя. Обычно это связано с настройкой системных служб.


Сведения о ресурсах

Готовность (%)

Продолжительность (ак. ч.)

Подготовка (календ. ч.)

Полный текст (раб. д.)

Предварительные знания

Level

Maintainer

Start date

End date

10

1

1

1

1

ПетрНикольский, ОльгаТочилкина, MaximByshevskiKonopko


CategoryLectures CategoryPspo CategoryMpgu CategoryUneex

PspoClasses/080813/05DeMyth (последним исправлял пользователь FrBrGeorge 2008-11-27 11:07:47)