En resumen: sí, estar en una cuenta con pocos privilegios lo ayuda a protegerse contra el malware, pero no lo hace inmune. Como cualquier medida de seguridad, ninguna cosa lo mantendrá al 100% seguro.
TL; DR: Se ejecuta en una cuenta de bajo privilegio (también conocido como " principio de privilegio mínimo ") debe ser parte de un desayuno equilibrado que también incluya buenas configuraciones de cortafuegos; herramientas para monitorear procesos, recursos del sistema, puertos abiertos, tráfico de red, etc., para detectar actividades sospechosas; una política para ejecutar solo ejecutables firmados, la configuración del mod de kernel seguro SELinux, mantener el sistema operativo y la aplicación actualizados con parches de seguridad, y otras cosas.
Tu pregunta es muy amplia para responder directamente. En su lugar, lo dividiré en varios casos según la configuración del sistema y lo que el atacante busca:
Caso # 1: computadora personal
Digamos que la computadora Linux en cuestión es mi computadora portátil personal. De hecho, uso esto como un sistema de usuario único y escribo sudo
con bastante regularidad, por lo que se aplican todas las cosas que usted mencionó. Además, si el atacante intenta robar mi información personal, como números de tarjetas de crédito, documentos fiscales, etc., todo está en mi directorio de inicio, donde este usuario tiene acceso a él. Si es un ransomware y quiere cifrar mis archivos personales, lo mismo. Quieren instalar un proceso en segundo plano para hacer que mi computadora sea parte de una red de bots, que no necesita ningún permiso especial.
Caso # 2: Servidor, cuenta de administrador
El daño de obtener malware en la cuenta de un administrador es menor que en el caso del usuario final, ya que es probable que la cuenta de administrador no contenga datos valiosos. pero aún así, un atacante probablemente puede hacer algo de daño al tener un rastreador de paquetes dentro de la red, o al abrir un puerto que le permita realizar pruebas de lápiz desde dentro de la red. Aquí confiaría en la configuración de su firewall para protegerse contra algo de esto y, con suerte, notificarle la actividad sospechosa para que pueda limpiarla.
Si el administrador escribe sudo
regularmente, entonces sí, probablemente estés en problemas.
Caso # 3: Servidor, cuenta no administradora
Imagine que el uso en cuestión es tomcat
, un usuario con muy pocos privilegios que ejecuta las aplicaciones de servidor web. Este es el caso en el que la gente suele pensar cuando habla del " principio de privilegio mínimo ", y la introducción de malware en esta cuenta será El menos peligroso de los tres casos que he mencionado.
También considere que existen Escalación de privilegios para Linux que permitiría a un usuario con pocos privilegios eludir la seguridad del sistema operativo y volverse ellos mismos en la raíz. En términos generales, mantenerse al día con los parches de seguridad lo protege contra esto, pero los actores lo suficientemente ricos como para comprar exploits en el mercado negro sabrán sobre los exploits de día cero que no se conocen públicamente y que no han sido parcheados.