Siempre escuchamos...
¿Hacemos? Yo no.
Instalar algún programa que no sea de confianza como usuario normal es una mala idea con Linux, al igual que con Windows o Mac:este programa tiene acceso a todos sus datos y puede eliminarlos, enviarlos a otra persona, etc. Además, puede hacer capturas de pantalla. , controlar otras aplicaciones que se ejecutan en la misma pantalla de X Windows (incluso si se ejecutan como un usuario diferente), puede capturar claves (es decir, keylogger),... Para obtener más información, consulte The Linux Security Circus:sobre el aislamiento de GUI.
Aparte de eso, regularmente tenemos errores de escalada de privilegios, incluso en errores de Linux, que pueden ser utilizados por un usuario sin privilegios para obtener permisos de root o incluso de nivel de kernel.
Por lo tanto, no instale ningún programa que no sea de confianza en ningún tipo de sistema a menos que esté dispuesto a comprometer este sistema o los datos almacenados en él.
En resumen:sí, estar en una cuenta con privilegios bajos ayuda a protegerlo contra el malware, pero no lo vuelve inmune. Como cualquier medida de seguridad, no hay nada que lo mantenga 100 % seguro.
TL;RD: Ejecutar una cuenta con privilegios bajos (también conocido como "principio de privilegios mínimos") debe ser parte de un desayuno equilibrado que también incluya buenas configuraciones de firewall; herramientas para monitorear procesos, recursos del sistema, puertos abiertos, tráfico de red, etc. en busca de actividad sospechosa; una política para ejecutar solo ejecutables firmados, configuración del mod de kernel seguro de SELinux, mantener el sistema operativo y la aplicación actualizados con parches de seguridad y otras cosas.
Su pregunta es muy amplia para responder directamente. En cambio, lo dividiré en varios casos según la configuración del sistema y lo que busca el atacante:
Caso #1:Computadora personal
Digamos que la computadora Linux en cuestión es mi computadora portátil personal. Lo uso efectivamente como un sistema de un solo usuario y escribo sudo con bastante regularidad, por lo que se aplican todas las cosas que mencionó. Además, si el atacante intenta robar mi información personal, como números de tarjetas de crédito, documentos fiscales, etc., todo se encuentra en mi directorio de inicio, donde este usuario tiene acceso. Si es ransomware y quiere cifrar mis archivos personales, lo mismo. Quieren instalar un proceso en segundo plano para que mi computadora forme parte de una botnet, que no necesita ningún permiso especial.
Caso #2:Servidor, cuenta de administrador
El daño de introducir malware en la cuenta de un administrador es menor que en el caso del usuario final anterior, ya que la cuenta de administrador probablemente no contenga datos valiosos. pero aun así, un atacante probablemente pueda causar algún daño al tener un rastreador de paquetes dentro de la red, o al abrir un puerto que le permita al atacante realizar pruebas de penetración desde el interior de la red. Aquí confiaría en la configuración de su firewall para protegerlo contra algunos de estos y, con suerte, le notificaría la actividad sospechosa para que pueda limpiarla.
Si el administrador escribe sudo regularmente, entonces sí, probablemente estés en problemas.
Caso n.º 3:servidor, cuenta que no es de administrador
Imagina que el uso en cuestión es tomcat - un usuario con privilegios muy bajos que ejecuta las aplicaciones del servidor web. Este es el caso en el que la gente suele pensar cuando habla del "principio de privilegio mínimo", y conseguir malware en esta cuenta será el menos peligroso de los tres casos que he mencionado.
Considere también que existen exploits de escalada de privilegios para Linux que permitirían a un usuario con privilegios bajos eludir la seguridad del sistema operativo y convertirse en root. En términos generales, mantenerse actualizado con los parches de seguridad lo protege contra esto, pero los actores lo suficientemente ricos como para comprar exploits en el mercado negro sabrán sobre exploits de día cero que no se conocen públicamente y que no han sido parcheados.
Este es un caso horrible de Teatro de Seguridad
El teatro de seguridad es la práctica o creencia de algo que parece mejorar la seguridad, pero en realidad le hace poco/daña.
Esta falsa creencia ha existido desde el siguiente rumor
Linux no tiene virus debido a su sistema de permisos
Eso es casi tan bueno como decir
No tengo virus en mi computadora porque no veo nada parpadeando
Que no lo veas no significa que sea cierto. Cerrar los ojos no te protege del intruso.
En realidad, Linux, Mac OS, Windows, Android, Xbox, todo tiene vulnerabilidades que permitirían escalar a un nivel de control del sistema.
SIN EMBARGO el hecho de que el ataque no alcance el nivel del sistema no significa que no sea EXTREMADAMENTE peligroso. ¡Estas aplicaciones con solo acceso a nivel de usuario aún pueden robar su información, registrar cada uno de sus movimientos y retener sus datos para pedir un rescate! Todo sin que NUNCA sea escalado porque estos son los datos a los que tiene acceso solo como su usuario.
Estos hechos son válidos para CUALQUIER sistema operativo, independientemente del dispositivo. Si tiene acceso a la memoria, tiene acceso a la memoria. Eso significa que incluso si no puede verlo, todavía tiene acceso a él.
La buena noticia
Debido a que es un usuario habitual, significa que el ataque ya con privilegios de nivel raíz, lo que significa que el acceso que tiene está limitado al acceso de los usuarios, y ayuda proteger a otros usuarios en el sistema. Por supuesto, esto no significa que la escalada no pueda ocurrir, solo significa que es mucho más difícil.