Wir hören immer...
Tun wir? Ich nicht.
Die Installation eines nicht vertrauenswürdigen Programms als normaler Benutzer ist unter Linux ebenso eine schlechte Idee wie unter Windows oder Mac:Dieses Programm hat Zugriff auf alle Ihre Daten und kann diese Daten löschen, diese Daten an jemand anderen senden usw. Außerdem kann es Screenshots erstellen , andere Anwendungen steuern, die auf demselben X-Windows-Bildschirm ausgeführt werden (auch wenn sie unter einem anderen Benutzer ausgeführt werden), Schlüssel abrufen (z. B. Keylogger), ... Einzelheiten finden Sie unter The Linux Security Circus:On GUI isolation.
Abgesehen davon haben wir regelmäßig Privilegien-Eskalationsfehler, sogar in Linux-Fehlern, die von einem nicht privilegierten Benutzer verwendet werden können, um Berechtigungen auf Root- oder sogar Kernel-Ebene zu erhalten.
Installieren Sie daher keine nicht vertrauenswürdigen Programme auf irgendeinem System, es sei denn, Sie sind bereit, dieses System oder die darauf gespeicherten Daten zu kompromittieren.
Kurz gesagt:Ja, ein Konto mit geringen Rechten schützt Sie vor Malware, macht Sie aber nicht immun. Wie bei jeder Sicherheitsmaßnahme wird Sie nichts zu 100 % schützen.
TL;DR: Das Ausführen auf einem Konto mit geringen Rechten (auch bekannt als "Prinzip der geringsten Rechte") sollte Teil eines ausgewogenen Frühstücks sein, das auch gute Firewall-Konfigurationen beinhaltet; Tools zur Überwachung von Prozessen, Systemressourcen, offenen Ports, Netzwerkverkehr usw. auf verdächtige Aktivitäten; eine Richtlinie, nur signierte ausführbare Dateien auszuführen, die Konfiguration des sicheren SELinux-Kernel-Mods, die Aktualisierung des Betriebssystems und der Anwendung mit Sicherheitspatches und andere Dinge.
Ihre Frage ist sehr weit gefasst, um sie direkt zu beantworten. Stattdessen werde ich es in mehrere Fälle aufteilen, basierend auf der Konfiguration des Systems und dem, was der Angreifer vorhat:
Fall Nr. 1:PC
Nehmen wir an, der betreffende Linux-Computer ist mein persönlicher Laptop. Ich verwende dies effektiv als Einzelbenutzersystem und tippe sudo ein ziemlich regelmäßig - also treffen alle Dinge zu, die Sie erwähnt haben. Wenn der Angreifer versucht, meine persönlichen Daten wie Kreditkartennummern, Steuerunterlagen usw. zu stehlen, befindet sich das alles in meinem Home-Verzeichnis, auf das dieser Benutzer Zugriff hat. Wenn es Ransomware ist und meine persönlichen Dateien verschlüsseln will - dasselbe. Sie wollen einen Hintergrundprozess installieren, um meinen Computer Teil eines Botnetzes zu machen, das keine besonderen Berechtigungen benötigt.
Fall Nr. 2:Server, Administratorkonto
Der Schaden durch das Einschleusen von Malware in das Konto eines Administrators ist geringer als im obigen Endbenutzerfall, da das Administratorkonto wahrscheinlich keine wertvollen Daten enthält. Trotzdem kann ein Angreifer wahrscheinlich einigen Schaden anrichten, indem er einen Paketschnüffler im Netzwerk installiert oder einen Port öffnet, der es dem Angreifer ermöglicht, Penetrationstests innerhalb des Netzwerks durchzuführen. Hier würden Sie sich auf Ihre Firewall-Konfiguration verlassen, um Sie vor einigen davon zu schützen und Sie hoffentlich über die verdächtige Aktivität zu informieren, damit Sie sie bereinigen können.
Wenn der Administrator sudo eingibt regelmäßig, dann hast du wahrscheinlich Probleme.
Fall Nr. 3:Server, Nicht-Admin-Konto
Stellen Sie sich vor, die fragliche Verwendung ist tomcat - ein Benutzer mit sehr geringen Rechten, der die Webserver-Anwendungen ausführt. Dies ist der Fall, an den die Leute normalerweise denken, wenn sie über das „Prinzip der geringsten Rechte“ sprechen, und das Einschleusen von Malware in dieses Konto ist der ungefährlichste der drei Fälle, die ich erwähnt habe.
Bedenken Sie auch, dass Privilege Escalation-Exploits für Linux existieren, die es einem Benutzer mit niedrigen Privilegien ermöglichen würden, die Betriebssystemsicherheit zu umgehen und sich selbst zum Root zu machen. Im Allgemeinen schützt Sie die Aktualisierung von Sicherheitspatches davor, aber Akteure, die reich genug sind, um Exploits auf dem Schwarzmarkt zu kaufen, wissen von Zero-Day-Exploits, die nicht öffentlich bekannt sind und nicht gepatcht wurden.
Dies ist ein schrecklicher Fall von Sicherheitstheater
Sicherheitstheater ist die Praxis oder der Glaube an etwas, das den Anschein hat, als würde es die Sicherheit verbessern, aber in Wirklichkeit wenig / Schaden anrichten.
Dieser Irrglaube gibt es schon so lange wie das folgende Gerücht
Linux hat aufgrund seines Berechtigungssystems keine Viren
Das ist fast so gut wie gesagt
Ich habe keinen Virus auf meinem Computer, da nichts blinkt
Nur weil du es nicht siehst, heißt das nicht, dass es stimmt. Die Augen zu schließen schützt Sie nicht vor dem Eindringling.
In der Realität hat alles Linux, Mac OS, Windows, Android, Xbox Schwachstellen, die eine Eskalation auf eine Systemebene der Kontrolle ermöglichen würden.
JEDOCH Nur weil der Angriff nicht auf Systemebene eskaliert, heißt das nicht, dass er nicht EXTREM gefährlich ist. Diese Anwendungen mit nur Zugriff auf Benutzerebene können immer noch Ihre Informationen stehlen, jede Ihrer Bewegungen aufzeichnen und Ihre Daten gegen Lösegeld aufbewahren! Und das alles, ohne NIE eskaliert zu werden, da dies die Daten sind, auf die es nur als Ihr Benutzer zugreifen kann.
Diese Tatsachen gelten für JEDES Betriebssystem, unabhängig vom Gerät. Wenn Sie Zugriff auf den Speicher haben, hat er Zugriff auf den Speicher. Das heißt, selbst wenn Sie es nicht sehen können, hat es immer noch Zugriff darauf.
Die gute Nachricht
Da Sie ein normaler Benutzer sind, bedeutet dies, dass der Angriff bereits nicht erfolgt ist auf Root-Level-Privilegien, was bedeutet, dass der Zugriff auf den Benutzerzugriff beschränkt ist, und hilft Schützen Sie andere Benutzer auf dem System. Das bedeutet natürlich nicht, dass es keine Eskalation geben kann, es bedeutet nur, dass es viel schwieriger ist.