Miért mondja mindenki, hogy a Linux sokkal biztonságosabb, mint a többi rendszer, pl. a Windows? Szerintem kissé tévhit és elbizakodottság. Vélemények az alábbiakról?

Egy átlagos otthoni felhasználó esetén valóban totálisan mindegy. De sok környezetben ahol a felhasználónak nincs root és sudo joga (eleve nincs is rá szüksége) ott máris ki van lőve a fele annak az agymenésnek amit itt elkövettél. Én használok linuxot is windowst is, és a linuxon sokkal ritkábban van szükségem root jogra mint Admin jogra a windowsban. Sokszor észre se veszi az ember a windows feldobja, hogy ehhez admin jog kell folytatod? Ha nincs beállítva sok mindent nem tudsz megtenni.

Tűzfal: és honnan a menydörgős ménkűből tudja a telepítő csomag alkotója, hogy neked milyen tűzfal szabályok kellenek? Egyáltalán kellenek-e? Eleve nem futtatunk mindent amire szükségünk sincs, így nem is nagyon van értelme (most desktopról beszélek) a tűzfalszabálynak, mert azon nem fut semmi olyan ami távolról elérhető lenne. Ha meg igen akkor ott úgyis beállíja az ember egyedileg.

Ugyanezt az ámokfutást amit ide vágtál írd le a windowsról is. És hasonlítsd össze a kettőt.

Az meg tényleg "tény", hogy eleve egy tisztán linux (ami unixhoz hasonló rendszer) önmagában biztonságosabb (ha jól be van állítva, és helyesen van használva) mint egy windows ahol nem a biztonság a fő szempont. Ezzel kár vitatkozni.

Az megint tény, hogy lehetne(!) jobb operációs rendszert írni, mint ezek. Akár x86 architektúrára is, mert van még egy pár lehetőség a prociban ami nincs kihasználva. És igen lehetne fokozni a biztonságot, de az mindig ellene mutat annak, hogy arra törekszünk, a felhasználónak egyszerű legyen kezelni. És lehetőleg ne kelljen egy otthoni környezetben lévő gépen rendszergazdai tudás. Ez meg ellene hat a biztonságnak. Valamit valamiért.

Egyébként semmi nem tiltja meg, hogy írjál PC-re jobb oprendszert mint a linux (vagy valamelyik unix klón).

Ha meg magas biztonságot akarsz ott van pl. az OpenVMS operációs rendszer, egészen magas szintű biztonság megoldások vannak benne, és egy ezerszer jobb operációs rendszer mint pl. a linux vagy a windows. Igaz jóval komplikáltabb is használni /már van x86-ra is/. Használd azt.

Nézd, ha valaki letölt egy scriptet/binárist, x jogot ad neki, lefuttatja rootként, és utána csodálkozik, hogy meghalt a rendszere, arra szerinted mit lehet mondani? A Linuxot biztonságosra tervezték, nem hülyeállóra. Ha valaki vesz egy fegyvert, vesz hozzá lőszert is, megtölti, és a saját feje körül kezd el hadonászni vele, szerinted...?

Egyébként egy vírus nem fog kitörölni semmit sem, mert az neki nem érdeke. A vírusok manapság leginkább adatokat lopnak, személyes adatokat és jelszavakat, illetve a böngészőkben tárol adatokat. És nem az /etc/passwd-re vagy az /etc/shadow-ra kíváncsiak, mert egy átlagos user gépén azokban semmi érdekes nincs, hanem a /home tartalmára, ahhoz meg root jog sem kell.

Vagy esetleg botnetbe kapcsolják a géped, de ahhoz megint csak nem kell rootnak lenni. Azzal, hogy alapesetben nem root accountot használunk, elsősorban magadtól véded a rendszered, meg az esetleges programhibáktól, nem a vírusoktól.

"Eleve az is nonszensz, hogy a passwd parancs kiadása után nem kérdez rá a jelenlegi jelszóra, ami a rootnak van kiadva."

Ahhoz, hogy a passwd rootként tudjon futni, eleve rootként vagy single user módban kell, hogy bejelentkezve légy. De ha már bent vagy rootként, akkor ezer féle módon ki tudod ütni a másik felhasználó jelszavát, vagy el tudod lopni a fájlait, így nincs értelme még egyszer bekérni a root jelszót.

A single user módról meg annyit, hogy ha már úgyis ott van valaki fizikailag a gépnél, akkor legfeljebb a lemeztitkosítás véd meg attól, hogy hozzáférjen az adataidhoz.

"Vagy legalábbis alapból miért olyan nehéz azt bekapcsolni (mármint a tűzfalat)?"

Minek?

Ez a tűzfalmánia a kétezres évek elejéről származik, amikor a Windowsba bekerült a tűzfal, és onnantól fogva mindenki azt kezdte el kántálni, hogy a tűzfal az kell, mertcsak. De igazából a felhasználók messze többségének fogalma sincs róla, hogy mi ellen is véd igazából a tűzfal, hogyan működik, és miért kell vagy nem kell.

Az otthoni gépek 99%-ra teljesen értelmetlen és felesleges tűzfalat telepíteni. Egyszerűen felesleges, mert nincs mitől megvédjen.

Amiket felsoroltál, azok nem jelentenek valódi biztonsági kockázat egy átlagos felhasználó gépén, szerverkörnyezetben pedig úgyis figyelünk rá, hogy lezárjuk az összes olyan pontot, ahol illetéktelen felhasználó léphet be. Bár az az igazság, hogy nálunk a szervergépeken sincs letiltva pl. a single user mód sem, mert ha valaki bemegy az épületbe, bemegy a szerverterembe, akkor onnantól fogva akár el is viheti a diszket a szerverből, vagy akár az egész szerver (ha elbírja), vagy bebootolhat egy akármilyen lemezzel...

Van olyan szerverünk, ami a publikus neten figyel, és nincs rajta tűzfal. Mert mindösszesen egyetlen szolgáltatás van rajta, ami kifelé figyel, amihez teljesen felesleges tűzfal. Egy fail2ban van rajta, hogy a botokat kiszűrje és ennyi.

"Szerintem kissé tévhit"

Szerinted.

Aztán a tapasztalat meg mást mutat.

Igazából tök felesleges lenne válaszolni, mert te már eldöntötted magadban a "választ", és tök mindegy, ki mit mond, te a szemellenződ mögül nem vagy hajlandó elfogadni semmit, ami a te állításodat cáfolná. Akkor sem, ha egyszerűen hamis, amit mondasz, vagy ha alapvető fogalmakat keversz.

Kezdeném azzal, hogy tönkretehetetlen rendszer nincs. Nem ma kezdtem a pályát. Láttam én már olyat, hogy valaki maga indította el a vírusos .exe-t, mert kíváncsi volt, hogy mit csinál. (Nem Linuxon, Windowson. Csak a pontosság kedvéért.) Amikor hozta hozzám a gépét (amit előzőleg én telepítettem fel), rákérdeztem, hogy az antivirus nem jelzett? "De jelzett, csak kikapcsoltam, mert kíváncsi voltam." Ennyi. Ha nagyon akarjuk, még az Android is kinyírható, főleg, hogy sokan - azt sem tudják, mi az, és semmi szükségük rá - reflexből rootoltatják a telefonjukat. Bár az utóbbi években kissé alábbhagyott ez a divat, de azért még mindig jelen van.

Ha az embernek fizikai hozzáférése, és root hozzáférése van a géphez, akkor tönkre tudja tenni. Ezért gondolom én azt, hogy a számítógép nem egy videomagnó, amit bárki fél óra alatt meg tud tanulni kezelni, legalábbis ami a lényeges dolgokat illeti, és esélye sincs elrontani. A számítógéphez legalább felhasználói szinten érteni kell ahhoz, hogy biztonságosan tudd használni.

Egyébként meg: érdekesen értelmezed a biztonság fogalmát. Bár ha nagyon csűrjük-csavarjuk a szót, akkor talán belemagyarázható az is, hogy a felhasználót védje meg saját magától... de általánosságban NEM ezt értjük biztonság alatt.

"Először is nem vagyok elfogult egyik irányba sem."

De.

Ez most olyan, mint két kategóriával lejjebb, amikor az egyszeri homofób emberke elkezdi a kérdését, hogy "nekem nincs bajom a melegekkel", majd pedig szidja 30 soron keresztül őket.

De, bizony elfogult van, és nem is kicsit. És persze szakmaiatlan.

"Miért van az, hogy alapból root joggal szó szerint bármit meg lehet tenni a rendszerrel?"

Mert talán ez a root jog lényege?

Miért van az, hogy ha bemegyek a boltba, és kérek egy kiló kenyeret, akkor kapok egy kiló kenyeret?

Van egy alapvető szabály, amit jobb esetben már a számítógéppel való ismerkedéskor megtanítanak az embernek: ha nem tudod, hogy mit csinálsz, ne csináld.

"Általában egy otthoni felhasználó egyben a saját gépe rendszergazdája is"

Az a baj, hogy te abból a Windowsnál évtizedek óta megszokott, és egyébként nagyon buta megszoktásból indulsz ki, hogy a felhasználó egyből rendszergazda jogokat is kap. Aztán ha kell, ha nem, mindent abban futtat. Linuxon azért ez kicsit másképp működik.

"tehát egy egyszerű "sudo" parancs választja el attól, hogy a felhasználó valamilyen hülyeséget kövessen el a rendszerrel."

Egy átlag otthoni felhasználó nem ismeri a sudo-t.

Egyébként meg disztribúció, és beállítás kérdése. Én alapból két felhasználót hozok létre. Egyet a rendszergazdának, egyet a felhasználónak. Utóbbinak nincs sudo. Nem tudja "véletlenül" beírni.

És egyébként: egy átlagos (nem túl szakszerűen beállított) Windowsnál még ennyi sem kell.

"mert Linuxon ugye majdnem bármi lehet futtatható"

Frászt.

Attól, hogy be tudod állítani a futtatható attribútumot valamire, az attól még nem fug lefutni.

"Megadja a user, de mondjuk el van rejtve a fájlba egy [...]"

Rendszertől függetlenül alapelv, hogy nem futtatunk agyatlanul bármilyen orosz warezoldalról letöltött hülyeséget.

"ha rendszergazdai joggal próbálnál meg kitörölni valamilyen rendszer működése szempontjából kritikus fájlt vagy mappát, egyből panaszkodna, hogy ehhez nincs jogod"

Ami azért néha alaposan meg tud szopatni egy hozzáértőt, aki célirányosan valamit módosítani akarna, ugyanakkor attól egyáltalán nem véd meg, hogy teljesen használhatatlanná tedd a rendszert.

Sőt... egy tönkretett Linuxot még mindig könnyebb helyrepofozni, mint egy tönkretett Windowst.

"Véleményem szerint a root-on kívül kéne még valamilyen plusz biztonsági réteg"

Nem.

A Linux alapelve, hogy mindenki a jogosultságának megfelelő mértékben használhassa a rendszert. Ez megint csak a Windows marhasága, hogy a rendszergazdát is korlátozza.

Ha kell egy "második réteg", nosza, akkor tessék megtiltani a sudo-t, és létrehozni valami "rendszergazda" felhasználót, aminek a jelszavát ravaszul eldugod a felhasználó elől.

"De ugyan úgy el lehet rejteni akár a /home mappa kitörlésére egy parancsot vagy valami hasonlót, amihez még root jog sem kell!"

Akkor hadd mondjak el egy titkot: Windowson sem nagy művészet szétbarmolni a saját felhasználói mappádat.

"azért azt vegyük számításba, hogy nem minden ember ért a szkripteléshez"

Igen.

De az nem is fog sudo-zni, meg szkriptekkel mahinálni. ;-)

Ráadásul tekintve, hogy Linuxon egy átlag felhasználó számára minden elérhető repóból, az átlag felhasználó ha ezt tudja, akkor nem fog mindenféle szkripteket letölteni. Amit előtte még futtathatóvá is kell tenni, ha közvetlenül tölti le.

"Egy átlag felhasználót simán be tud csapni egy rosszakaró..."

Úgy bizony. Ahogy mondtam, ez nem videomagnó, amit előismeret nélkül is könnyen lehet kezelni. Ha valaki annyira lusta, vagy alkalmatlan a számítógép kezeléséhez, akkor ne használja. Vegyen egy tabletet, és/vagy egy játékkonzolt, és anélkül tud játszani, Facebookra írni, Tiktokon idiótaságokat megosztani, hogy különösebben értenie kellene a számítógépekhez.

"miért nincs bekapcsolva az a nyavalyás tűzfal?"

Pont azért, mert alapból kisebb a valószínűsége azoknak a fajta támadásoknak, amik Windowsnál viszonylagosan gyakoriak. És ha be van kapcsolva? A 80-as porton bármi kikukucskálhat (nem csak Linuxon), az egyszeri felhasználó pedig egyik rendszeren sem fogja egyenként szabályozni, hogy mi mehessen ki, és mi nem.

"köztudottan tud bárki root jogot szerezni magának egy adott Linux gépen, ha fizikailag van hozzáférése"

Ismét el kell mondanom egy megdöbbentő titkot!

Windowson is.

Amúgy meg: ha fizikai hozzáférése van, akkor nyilván az vagy az ő gépe, vagy valami nyilvános gép. Egy nyilvános gépet (remélhetőleg) profik állítottak be, kiiktatva ennek a lehetőségét. Julcsa néni meg nem fog azzal mókolni, hogy a passwd fájlt mókolja. A saját gépén ugyebár.

"Eleve az is nonszensz, hogy a passwd parancs kiadása után nem kérdez rá a jelenlegi jelszóra, ami a rootnak van kiadva. Tehát bárki csak úgy random adhat meg új root jelszavat?"

Nem.

A root tudja megváltoztatni.

Tudod, feltételezzük, hogy a root tudja, hogy mit csinál, aki meg nem tudja, az nem root, és egyébként sem fogja ismerni a passwd parancsot.

"És most nem a Linuxot akarom fikázni"

De.

"de akkor sem kéne megengedni, hogy valaki letörölje az egész fájlrendszert a francba"

Tudod, pont az a Linux egyik legnagyobb előnye, hogy nem korlátoz feleslegesen. Az, ha a fogalmatlan kis torrentmatyi rendszergazdának képzeli magát, az nem a rendszer hibája. Ne legyen rendszergazda. Azt eldönteni, hogy ki mennyire kompetens kezelni a számítógépet, nem a rendszer feladata. Ha értesz hozzá, akkor feltelepíted, és beállítod. Ha nem, akkor megkérsz egy hozzáértőt, aki ötezer forintért, vagy ha jó ismerős, akkor téblacsokiért / doboz cigiért / Unicumért / ízlés szerint akármi szimbolikus apróságért megcsinálja.

Egyébként meg a nagy érvelésed kimerül abban, hogy Linuxon a rootnak root jogai vannak. Ez a hatalmas nagy érv.

Tudod, miben mutatkozik meg egy rendszer biztonsága? Mondjuk abban, hogy rendesen szabályozva vannak a jogosultságok. Linuxon a rendszergazdának vannak rendszergazda jogai, a felhasználó meg a saját home könyvtára felett uralkodik. Azon kívül csak a /tmp-be írhat alapból.

Vagy abban, hogy nincsenek a rendszerben mindenféle trükkös, a készítő által is alig dokumentált helyek, ahová egy-egy kártevő beeheti magát.

Vagy abban, hogy a rendszerbe bekerülve egy kártevő (már ha találkozik ilyennel) legfeljebb az adott felhasználónál fut, amit akár egy root jogú terminálból is ki lehet lőni, vagy újra létrehozod az adott profilt, és már sehol nincs az a kis mocsok.

Vagy abban, hogy a rendszer nem csinálja össze magát jóformán még a tavaszi szellőtől is. Hány olyan Windosos gépet láttam, ami akár indokolt, akár indokolatlan okból, de "beakadt" annál a fantasztikusan megírt "indítási javításnál". Ami persze nem sikerült, a rendszer újraindult, és ez a végtelen ciklus ment addig, ameddig újra nem telepítetted. Linuxon a legeslegrosszabb esetben is visszamásolod live DVD-ről a kernelt, ha azt érte valami hiba, de általában odáig eljut a rendszer, hogy egy helyreállító konzolba bedobjon.

És hát... nincs az a registry nevű métely, ami hatalmas nagy rákfenéje a Windowsnak. '95-ben még csak-csak megértettem, hogy egy bináris katyvasz tárolta a beálíltásokat (gyorsabb, mint a szöveges konfigurációs állományok), de még 2023-ban is?? Aztán ha egy rossz beállítással megfektetjük a rendszert (mert nyugi, meg lehet, hiába van pár fájl agyonvédve), akkor "kívülről" rohadt nehéz azt helyreállítani.

Érdekes, hogy ezekről egy szót sem szóltál, csak arra voltál rákattanva, hogy hát a root miért kap root jogokat. :D