Do konce záplat: 168 dní Co s tím?
Bezpečnost po 13. říjnu 2026

Po 13. říjnu 2026 už pro Windows 10 žádné záplaty nebudou. Linux ti pošle další zítra.

Standardní Windows má každý měsíc Patch Tuesday. Po skončení podpory ne. Každá nová bezpečnostní díra, kterou útočníci najdou, na tvém počítači zůstane otevřená navždy. U Linuxu tenhle problém nemáš. A proč konkrétně, vysvětluje tahle stránka. Bez Linux fan klubu, s českými reáliemi a s poctivým disclaimerem na konci.

Začít číst ↓
Kde se rodí útoky: Windows hon na .exe vs. Linux Software Center Na Windows uživatel googlí, klikne na sponzorovaný odkaz, stáhne .exe a spustí ho. Na Linuxu otevře Software Center, vyhledá aplikaci a nainstaluje z podepsaného repozitáře. Windows: hon na .exe Uživatel chce VLC Google: „VLC download" Sponzorovaný odkaz Náhodný web, „Download now" vlc-setup.exe (?) Spustit a doufat Linux: Software Center Uživatel chce VLC Otevři Software Center Vyhledej „VLC" Jeden výsledek, ověřený Podepsaný repozitář Klik → nainstalováno
Aplikace na Linuxu se neloví .exe souborem na náhodném webu. Přicházejí z digitálně podepsaného repozitáře, který spravuje tvoje distribuce. Tohle samo eliminuje velkou část typického spotřebitelského malwaru.

Tři mýty, které brzdí přechod

Tyhle tři věty si o Linuxu lidé říkají nahlas. V každé je zrnko pravdy. A přesto po 13. říjnu 2026 každá z nich vyznívá ve prospěch Linuxu, ne proti.

„Můj kamarád říkal, že Linux taky chytá viry." Někdy ano. Ale řádově míň, řádově méně škodlivé pro koncového uživatele a řádově rychleji se to opravuje.

Linux není imunní. Existují malwarové kampaně cílené na Linuxové servery: botnety, kryptominéři, ransomware na firemní storage. Co ale na běžný desktop nepoteče, je drtivá většina toho, co chodí na Windows: malware šířený přes pirátské .exe soubory, falešné instalátory aktualizací prohlížečů, fake výherní stránky a malware schovaný v Office makrech.

Tyhle techniky technicky nemůžou běžet na Linuxu, protože:

  • .exe soubory Linux ve výchozím stavu nespustí.
  • Aplikace se neinstalují stažením náhodných souborů z webu (viz Software Center výš).
  • Běžný uživatel nemá oprávnění zapsat do systémových adresářů.

Veřejně dostupná data dlouhodobě ukazují, že drtivá většina nového desktop malwaru cílí na Windows. Pro Linux desktop je to zlomek procenta a převážně jde o útoky na administrátory serverů, ne na babičku, která kontroluje Seznam.cz.

„Bez antiviru nemůžu být." Na Windows tě dnes stejně chrání hlavně vestavěný Defender. Na Linuxu antivir většinou nepotřebuješ.

Klasický antivir má dva mechanismy: signatury (databáze známého malwaru) a heuristiku (detekce podezřelého chování). Co antivir spolehlivě chytí, je starší známý malware šířený přes USB klíčenky, .exe soubory a Office makra. Pět let stará éra.

Co antivir nechytí spolehlivě, jsou útoky, které dnes ve skutečnosti chodí: phishing v prohlížeči, zero-day chyby v Chrome a Firefoxu, sociální inženýrství po telefonu („volám z Microsoftu, máte virus") a falešné aktualizace s legitimním podpisem. Moderní útoky jdou kolem antiviru, ne přes něj.

Plnou diskuzi o antiviru najdeš ve své vlastní sekci níž. Krátká verze: na Linux desktop antivir nepotřebuješ. Co tě chrání reálně je prohlížeč s aktivními aktualizacemi, uBlock Origin, správce hesel a dvoufaktorové ověření.

„Útočníci si časem najdou cestu i na Linux, jen jsou líní." Možná. Ale rozdíl je v modelu opravy: na podporovaném Linuxu se díra zalepí během dnů. Na Windows 10 po EOL zůstane otevřená navždy.

Linux je živý systém. Bezpečnostní díry tam jsou: dirty pipe v 2022 (CVE-2022-0847), polkit „PwnKit" (CVE-2021-4034), CVE-2024-1086 v jádře. Rozdíl není „Linux nemá díry". Rozdíl je:

  1. Díry jsou veřejné (open source). Vidí je jak útočníci, tak obránci.
  2. Záplata vychází obvykle dříve, než se díra začne masově zneužívat.
  3. Tvůj systém se aktualizuje denně, na pozadí, bez restartu (ve většině případů).
  4. Záplaty chodí pro tvoji distribuci roky a roky (Linux Mint a Ubuntu LTS pět let zdarma, s placeným Ubuntu Pro až deset let, Debian Stable obvykle čtyři až pět let).

A teď zpátky k Win10 po EOL. Microsoft přestane posílat záplaty. CISA, NÚKIB a další seriózní bezpečnostní agentury dlouhodobě říkají to samé: systém po EOL je systém, na který útočníci zaútočí, jakmile v něm najdou novou díru a vědí, že nikdo nezalepí. Po EOL Windows 7 v roce 2020 počet ransomware útoků na Win7 stroje vyletěl. To samé čeká Win10 po 13. říjnu 2026.

Architektura, ne magie

Důvod, proč je Linux na desktopu bezpečnější, není ideologie. Je to čtyři konkrétní věci, které systém dělá strukturálně jinak.

Software Center místo lovu .exe na pochybných webech

Na Windows: chceš VLC, vygooglíš „VLC download", klikneš na první výsledek, stáhneš .exe, spustíš. Někdy je to opravdu VLC, někdy fake VLC s malwarem (často přes Google Ads).

Na Linuxu: otevřeš Software Center, napíšeš „VLC", klikneš na výsledek. Soubor přichází z digitálně podepsaného repozitáře tvojí distribuce. Žádné .exe, žádné pochybné weby. Stejné s Flatpakem ze schváleného Flathubu.

Sudo a oddělená oprávnění

Na Windows je uživatelský účet často administrátor. Když si omylem spustíš infikovaný soubor, malware má stejná práva jako ty. Zapíše do systému, přepíše soubory, instaluje se do bootu.

Na Linuxu běžný uživatel nemá práva zapsat do systémových adresářů. Cokoliv důležitého vyžaduje sudo heslo. Když omylem spustíš škodlivý skript, systému se nic nestane. Maximálně přepíše soubory v tvém domovském adresáři, a proto se stejně zálohuje (→ záloha).

Sandbox a Flatpak

Aplikace nainstalovaná jako Flatpak běží v sandboxu. Vidí jen omezený výřez systému: typicky svůj vlastní adresář a to, co jí explicitně dovolíš (kamera, mikrofon, konkrétní složky).

Když se v ní něco pokazí, nemůže si jen tak přečíst tvoje hesla nebo zašifrovat fotky. Tohle je vrstva navíc, kterou klasický .exe na Windows nemá.

Aktualizace každý den, bez restartu, bez vyrušování

Na Windows: aktualizace chodí jednou měsíčně (Patch Tuesday), často vyžadují restart, někdy se neúspěšně instalují, někdy přestaví nastavení. Po EOL nechodí vůbec.

Na Linuxu: aktualizace chodí denně, na pozadí, bez restartu (ve většině případů). Notifikace v rohu obrazovky, klikneš „instalovat", běžíš dál. Méně bolesti znamená, že lidi opravdu aktualizují. A aktualizace je bezpečnost.

Antivir? Většinou ne.

Cílovka má dvacet let návyk: počítač = antivir. Vysvětleme to poctivě, ne škrtem.

Co antivir umí a neumí

Klasický antivir hledá podle signatur (databáze známého malwaru) a podle heuristiky (podezřelé chování). Chytne starší známý malware šířený přes USB, .exe soubory a Office makra. Pět let stará éra.

Co antivir nechytí spolehlivě:

Modernější útoky posledních let jdou kolem antiviru, ne přes něj.

Když je antivir sám zranitelností

Antivir má hluboká práva v systému. Musí mít, aby skenoval všechno, co se hýbe. Když má on sám chybu, je to brána přímo do jádra systému. Antivirové programy parsují masivní množství nedůvěryhodných dat (e-maily, přílohy, archivy, kontejnery) a samy se v posledních deseti letech opakovaně staly zdrojem kritických CVE.

Příklad pro představu: známý CVE z roku 2020 v jednom populárním antiviru umožnil útočníkovi lokální eskalaci práv až na úroveň jádra. Tým Project Zero u Googlu opakovaně upozorňuje, že antivirový software pracuje na vysoké úrovni práv a jakákoliv chyba v něm má drtivý dopad.

Nepíšeme to, abychom antiviry pohřbili. Píšeme to, aby čtenář pochopil, že „mít antivir" není automaticky bezpečnější než „nemít antivir". Záleží na tom, jak útočníci dnes pracují.

Co je dnes „antivir" na Windows

Většina moderních PC nepoužívá Norton, Avast nebo McAfee od třetí strany. Mají vestavěný Microsoft Defender, který se v nezávislých testech (AV-TEST, AV-Comparatives) na podporovaném Windows pravidelně řadí mezi solidní volby. Ale po EOL Win10 přestane dostávat i Defender pravidelné aktualizace signatur. Je to podobné jako u Win7 a Win8.1.

Co dělat na Linuxu

Default: nic. Linux desktop antivir nepotřebuje. Co tě reálně chrání, je prohlížeč s aktivními aktualizacemi, uBlock Origin, Bitwarden, dvoufaktorové ověření a zdravý skepticismus k odkazům v e-mailu.

Pokud chceš mít antivir, existuje open-source ClamAV. Hlavní využití má jako filtr e-mailových serverů, ne jako desktop štít.

Co Linux Mint dělá za tebe ve výchozím stavu

Po čisté instalaci nemusíš nic ručně zapínat. Tyhle vrstvy běží od první minuty.

Skutečné incidenty v Česku

Žádné teoretické scénáře. Tyhle případy se opravdu staly. Společné mají jednu věc: kompletně Windows infrastrukturu, phishing jako vstupní vektor a nezalepené stroje.

Prosinec 2019

Nemocnice Rudolfa a Stefanie Benešov

Co se stalo
Ransomware (Ryuk) zašifroval kompletní IT infrastrukturu nemocnice. Personál odpojil síť, přestal přijímat akutní pacienty a několik dní fungoval s papírovými knihami.
Vstupní vektor
Phishingový e-mail otevřený v Outlooku, makro v Office dokumentu spustilo dropper, ten lateral-moveoval po Windows doméně.
Cíl
Windows pracovní stanice a Windows servery v doméně Active Directory.
Dopad
Odhad škody přibližně 59 milionů Kč.

Zdroj: Wikipedia, reportáže Lupa.cz.

Březen 2020

Fakultní nemocnice Brno

Co se stalo
Ransomware útok během prvního týdne covidové pandemie. Nemocnice provádějící COVID testy musela odstavit část IT, odložit operace a přesměrovat akutní pacienty.
Vstupní vektor
Pravděpodobně phishing kombinovaný s nezalepenými Windows servery. NÚKIB tehdy potvrdil koordinovanou kampaň proti českým nemocnicím.
Cíl
Windows infrastruktura nemocnice.
Dopad
Vícedenní výpadek elektronických systémů v kritickou dobu pandemie.

Zdroj: Wikipedia (EN), NÚKIB.

Podobných incidentů jsou v Česku desítky a počet meziročně roste. NÚKIB ve výročních zprávách dlouhodobě hlásí významný nárůst útoků na české zdravotnictví, školy a obce. Cílem jsou téměř vždy Windows systémy, často nezalepené nebo končící podporou.

Žádný z těchto případů by sám o sobě neudržel Linux. Phishing funguje na lidi, ne na systémy. Ale šíření po síti by na Linuxu narazilo na sudo. Bootkity jsou na Linuxu těžší kvůli Secure Boot a podepsanému initramfs. Lateral movement přes Active Directory je čistě Windows problém. A nezalepené stroje? Linux má aktualizace každý den. Windows po EOL nemá vůbec.

Kde Linux nepomůže

Bez téhle sekce by stránka zněla jako Linux fan klub. Není to fan klub. Tady jsou věci, které Linux nevyřeší, ať si nainstaluješ jakoukoliv distribuci.

  • Phishing zabírá dál. „Zadejte heslo do banky" funguje na Windows i na Linuxu stejně. Operační systém ti nepomůže rozhodnout, jestli ten e-mail od ČSOB je opravdu od ČSOB. Pomoc: správce hesel typu Bitwarden, který heslo nevyplní na podvržené doméně.
  • Zero-day chyby v prohlížečích jsou cross-platform. Když někdo najde díru v Chrome, vědí ji jak na Windows, tak na Linuxu. Záplata vychází obvykle současně. Rozdíl: na Linuxu se nainstaluje sama. Na Win10 po EOL ne.
  • Sociální inženýrství neví, jaký máš operační systém. „Volám z Microsoftu, máte virus, nainstalujte AnyDesk" funguje stejně na obou.
  • Útoky přes hardware (firmware, BIOS, USB rubber ducky, infiltrované nabíječky) jsou cross-platform.
  • Útoky na dodavatelský řetězec balíčků. Pokud někdo kompromituje vývojáře populárního Linux balíčku, malware může chvíli kolovat ve veřejném repozitáři. Stalo se. Záchytný mechanismus je rychlý: komunita to zachytí a vydá záplatu, většinou řádově dříve než cokoliv srovnatelného ve Windows ekosystému.
  • Slabá hesla a recyklovaná hesla. Když máš heslo „heslo123" na pěti účtech, žádný OS tě nezachrání. Pomoc: správce hesel a unikátní heslo pro každý účet.
  • Linux má taky CVE. Dirty Pipe (2022, CVE-2022-0847), polkit „PwnKit" (2021, CVE-2021-4034), CVE-2024-1086. Rozdíl je rychlost záplaty a fakt, že záplaty vůbec dostáváš.

Souhrn: Linux nesnižuje riziko na nulu. Pro běžného desktop uživatele snižuje útočnou plochu řádově (orientační rozsah veřejných odhadů je zhruba 70 až 90 % oproti EOL Windows 10), zejména proti automatizovaným útokům, které jsou drtivá většina toho, co tě v praxi může potkat. Cílené útoky na konkrétní osobu to neřeší, ale ty stejně nejsou v threat modelu typického čtenáře téhle stránky.

Konkrétní akce po přechodu na Linux

Sedm věcí, které ti zvednou bezpečnost ještě o kus výš. Všechno se dá zařídit za hodinu po instalaci. Pak zapomeň, systém se dál stará sám.

  1. Bitwarden místo „Save in Chrome"

    Master heslo plus dvoufaktorové ověření, sync mezi PC a mobilem. Bitwarden navíc nevyplní heslo na podvržené doméně, což je tichá obrana proti phishingu. Detaily v /programy.

  2. Dvoufaktorové ověření na e-mail, banku, Facebook, Google

    Aplikace v mobilu (Aegis, Google Authenticator, Microsoft Authenticator), ne SMS. Pokud možno hardware klíč (YubiKey) na nejcennější účty.

  3. Zapnutí automatických aktualizací

    Linux Mint: Update Manager → Edit → Preferences → Auto-updates ON. Bazzite a Fedora Silverblue se aktualizují atomicky samy. Žádné rozhodování, žádné odkládání.

  4. Pravidelná záloha přes Pika Backup

    Jednou týdně na externí disk nebo do šifrovaného cloudu. Záloha je obrana nejen proti ztrátě, ale i proti ransomware. Detaily v /zaloha.

  5. Nepřihlašuj se jako root

    Tvůj denní účet ať je obyčejný uživatel. Sudo si vyžádá heslo, kdykoliv něco potřebuje administrátorská práva. Tahle drobnost je polovina celé Linux obranné architektury.

  6. Sandboxované Flatpaky pro neznámý software

    Když potřebuješ vyzkoušet aplikaci, kterou neznáš, instaluj ji jako Flatpak. Běží v sandboxu a nedostane se k tvému domovskému adresáři, dokud jí to explicitně nedovolíš (Flatseal pomůže).

  7. Heslo do BIOSu (UEFI) a šifrování disku LUKS

    Pro fyzické krádeže notebooku. LUKS šifrování zaškrtni rovnou při instalaci (→ instalace). Heslo do BIOSu zabrání přeinstalování systému z USB klíčenky.

Pochopil jsi to? Pošli to dál.

Otevři tuhle stránku na mobilu, ať ji můžeš poslat skeptickému příbuznému.

Pět kroků k přechodu → Doporučené programy Jak zálohovat data Potřebuju pomoc → Zpět na konec10.cz