Эпидемия вируса в скайпе?

аптопроблемы.

в дистре без ПМ тебе нужен будет exec для ./configure

тоже самое можно сделать из perl и других языков.

а что, нет? я, если честно, не уверен. насколько я понимаю как работает noexec, загрузить в память и выполнить код из библиотеки, расположенной на noexec-разделе из уже запущенного из другого места исполняемого файла проблем нет?

но это мои догадки, я не проверял

и как он запустит код? ГДЕ этот код будет лежать?

Если у тебя noexec везде

Тогда нигде, если исполняемые языки. На каком-нибудь перле — спокойно запустит.

Но вот я не думаю, что даже параноик протянет долго в таких условиях. Ограничивать эксплоит в запуске бинарников означает ограничивать себя.

Ну или поискать, где юзер компиляет программы или тп (+w и exec)

дебилы, которые запускают всё подряд != какой-нибудь дырявый софт. В FF каком-нибудь, да и в любом браузере, тоже могут быть такие дыры

в ФФ вряд-ли(но возможно), а вот в быдлофлешах, быдлоскайпах, а особенно в wine - не только могут, но и наверняка есть. Потому этот софт нужно запускать от другого юзера, который не имеет доступа к хомяку оператора, и тем более к разделу девелопера. (ВООБЩЕ не имеет. -w -r -x).

в ФФ вряд-ли(но возможно), а вот в быдлофлешах, быдлоскайпах, а особенно в wine - не только могут, но и наверняка есть. Потому этот софт нужно запускать от другого юзера, который не имеет доступа к хомяку оператора, и тем более к разделу девелопера. (ВООБЩЕ не имеет. -w -r -x).

Тогда уж сразу использовать Qubes и не ныть о безопасности, лол

wine не запустит ничего с раздела, где noexec

чего уж мелочиться, каждую программу в своей виртуальной машине. ну хотя бы в контейнере соляровском или jail`е

в дистре без ПМ тебе нужен будет exec для ./configure

не обязательно делать пакеты на той же машине, где они будут использоваться. Ну и у ./configure есть вообще-то --exec-prefix=, а если ты намекаешь на slackware, то в slackbuild есть $TMP, которую совсем не обязательно направлять в общедоступный /tmp с noexec.

а что, нет? я, если честно, не уверен. насколько я понимаю как работает noexec, загрузить в память и выполнить код из библиотеки, расположенной на noexec-разделе из уже запущенного из другого места исполняемого файла проблем нет?

вообще-то такого быть не должно. в смысле, не должно быть запуска из скрипта интерпретатором без проверок на право запуска. Ну а в коде на асме(сишечка и т.д.) - так есть. Но как ты этот код запустишь-то?

Тогда уж сразу использовать Qubes и не ныть о безопасности, лол

хорошая у тебя аргументация ненужности noexec.

wine не запустит ничего с раздела, где noexec

запустит. Какая ей разница?

т.е. из кода на си можно подключить .so с noexec раздела библиотечной функцией? значит и из питона можно и из перла. потому что там просто обертки над этими функциями

чего уж мелочиться, каждую программу в своей виртуальной машине.

как хочешь, твоё право. Хотя ИМХО для моих задач это слишком сложно.

не запустит. поставил игрушку недавно в раздел с noexec и wine падал. примонтировал без noexec всё заработало.

а ты пробовал linux-vserver? там это очень просто и удобно и без оверхеда. так же хороши jail`ы и контейнеры в солярочке.

всё равно из-под cmd будет запускаться.

Ну так то из-под cmd. Хотя я не уточнял, так что ок.

Я увижу бяку, прибью ее, выслежу скрипт/бинарник, убью его. Что дальше?

Бяки не будет, очевидно же.

Тогда я не понимаю, зачем тред.

будет. подключил ты модный ppa или поставил что-нить из aur. а там руткит.

не запустит. поставил игрушку недавно в раздел с noexec и wine падал. примонтировал без noexec всё заработало.

яхз. У меня и wine нет. Но вроде раньше работало как-то.

а ты пробовал linux-vserver? там это очень просто и удобно и без оверхеда.

нет. Зачем? Я вообще привык своими костылями пользоваться, это более эффективно и безопасно, чем разбираться в чужих.

так же хороши jail`ы и контейнеры в солярочке.

зачем, если в любом Linux можно создать бесправного юзера? 100% защиты всё равно не бывает, а мне ИМХО достаточно стандартных средств.

будет. подключил ты модный ppa или поставил что-нить из aur. а там руткит.

ССЗБ

не ставить ничего кроме как из оф. реп? а если очень надо? из исходников собрать-там тоже могут быть(вспоминаем rm /usr /bumbleebee - и это не по злому умыслу же)

какой «вирь», для серверов что ли?

не ставить ничего кроме как из оф. реп?

да

а если очень надо? из исходников

да

там тоже могут быть(вспоминаем rm /usr /bumbleebee - и это не по злому умыслу же)

100% гарантии даёт только морг. Есть gpg ключ у вменяемых разработчиков (невменяемые не нужны).

ОООО! спасибо!

И все исходники самому проверять на вредоносность, ну-ну.

А noexec на /home не нужен, - толку ноль, одни проблемы. Как вариант, юзать selinux с разграничением доступа к каталогам в хомяке, в зависимости от процесса.

И ведь проблема не очень-то надуманна. Скачал юзер плазмоид/гном-экстеншон, и улетели все его пароли с кукисами куда надо.

И все исходники самому проверять на вредоносность, ну-ну.

нет. Просто ставить те исходники, в авторе которых ты уверен. Например свои. Ну или можно ставить новые программы от старых авторов(если в дистрибутиве версия слишком старая).

noexec на /home не нужен, - толку ноль, одни проблемы.

повторяю третий раз: толк в том, что обычные юзеры не смогут скачивать и запускать всякую гадость из интернетов. Вот и всё. Где ты видишь проблемы - мне непонятно.

Как вариант, юзать selinux с разграничением доступа к каталогам в хомяке, в зависимости от процесса.

можно. Если у тебя Over9000 машин, на которых работают 100500 разработчиков, и у каждого свои особенные права. Если юзеров «я и моя кошка», то это не нужно.

И ведь проблема не очень-то надуманна. Скачал юзер плазмоид/гном-экстеншон, и улетели все его пароли с кукисами куда надо.

гном непатрегоугодный. Хотя раньше там такого нельзя было делать. Сейчас без понятия.

нет. Просто ставить те исходники, в авторе которых ты уверен. Например свои. Ну или можно ставить новые программы от старых авторов(если в дистрибутиве версия слишком старая).

логика «или-или» не подходит, зачем себя ограничивать?

повторяю третий раз: толк в том, что обычные юзеры не смогут скачивать и запускать всякую гадость из интернетов. Вот и всё. Где ты видишь проблемы - мне непонятно.

куча софта не заведется, нопрмер steam :)

можно. Если у тебя Over9000 машин, на которых работают 100500 разработчиков, и у каждого свои особенные права. Если юзеров «я и моя кошка», то это не нужно.

вот мой хоумдир мне всего и дороже, поэтому и надо защищать его содержимое

гном непатрегоугодный. Хотя раньше там такого нельзя было делать. Сейчас без понятия.

я про гном не уверен тоже, но плазмоиды - суть бинарники, захотечется какую-нибудь свистелку с kde-look.org запустить, а боязно, вдруг пароли потырит.

>>повторяю третий раз: толк в том, что обычные юзеры не смогут скачивать и запускать всякую гадость из интернетов. Вот и всё. Где ты видишь проблемы - мне непонятно.

куча софта не заведется, нопрмер steam :)

можно, конечно, для стима и линк на куда-нибудь за пределы хоума сделать, но это ж слабая мера

логика «или-или» не подходит, зачем себя ограничивать?

затем, что-бы не качать НЁХ из интернетов. Которая пароли сливает, и т.д. Если себя не ограничивать, то такая ОС ничем не лучше маздая.

куча софта не заведется, нопрмер steam :)

поставь себе венду, и играй на здоровье. Это годная запускалка игр, если ты не знал.

вот мой хоумдир мне всего и дороже, поэтому и надо защищать его содержимое

ну дык и я о том-же. Зачем в твоём драгоценном homedir запускать всякую НЁХ?

я про гном не уверен тоже, но плазмоиды - суть бинарники, захотечется какую-нибудь свистелку с kde-look.org запустить, а боязно, вдруг пароли потырит.

ССЗБ

можно, конечно, для стима и линк на куда-нибудь за пределы хоума сделать, но это ж слабая мера

почему «слабая»? Если юзер этот линк самостоятельно сделать не может, то он и не сделает. А если может - то ЭТОТ юзер всё равно ничем ценным не владеет, и пусть ЕГО steam сливает У НЕГО всё что угодно.

Ладно, если вы не хотите понимать (или нарочно делаете вид), объясню. noexec - слабая защита, защищать нужно на уровне доступа к директориям браузера, kwallet'a/gnome-keyring'a и подобного, хранящего ценную инфу.

А насколько надежен запускаемый код, можно определить только проведя его предварительный аудит. Подписи и доверие к кодеру - не панацея.

А если может - то ЭТОТ юзер всё равно ничем ценным не владеет, и пусть ЕГО steam сливает У НЕГО всё что угодно.

на чем основан вывод о ценности того, чем владеет такой юзер?

Ладно, если вы не хотите понимать (или нарочно делаете вид), объясню. noexec - слабая защита,

noexec вообще не защита, если она одна. Но разве я это предлагал?

защищать нужно на уровне доступа к директориям браузера

дык у меня браузер работает от особого юзера, и к моему $HOME доступа не имеет вообще. И уж тем более к ~/.gnupg & ~/.ssh/

kwallet'a/gnome-keyring'a и подобного, хранящего ценную инфу.

эти хреновины не нужны вообще.

А насколько надежен запускаемый код, можно определить только проведя его предварительный аудит. Подписи и доверие к кодеру - не панацея.

ага. _полный_ аудит это по твоему «панацея»? ну-ну…

на чем основан вывод о ценности того, чем владеет такой юзер?

на том, что юзер браузера, скайпа, стима и т.д. имеет доступ _исключительно_ к _своему_ каталогу.

Единственное, что нарушает идиллию - это иксы. Потому скайпа и стима у мну попросту нет.

не ставить ничего кроме как из оф. реп?

да

так не получится. Драйвера для некоторых принтеров отсутствуют в офф. репах, дополнения для браузера, как бы тоже HЁХ.

ага. _полный_ аудит это по твоему «панацея»? ну-ну…

панацей вообще не бывает, а что имеете против аудита?

дык у меня браузер работает от особого юзера, и к моему $HOME доступа не имеет вообще.

то есть для обмена между юзером и браузером используется какой-то третий каталог, или к каталогу «браузерного» юзера доступ есть?

так не получится. Драйвера для некоторых принтеров отсутствуют в офф. репах,

не надо покупать девайсы, если ты не доверяешь их производителю. А сложно доверять производителю, который закрыл сырцы драйверов.

дополнения для браузера, как бы тоже HЁХ.

ну про браузеры я уже говорил.

панацей вообще не бывает, а что имеете против аудита?

отсутствие Over9000 аудиторов. Вот наша КроваваяГБня таки нашли Over9000 аудиторов, и теперь мы имеем мертворождённую МСВС. За то с аудитом.

то есть для обмена между юзером и браузером используется какой-то третий каталог, или к каталогу «браузерного» юзера доступ есть?

да, третий каталог. не вижу причин, из-за которых я не могу почитать/посмотреть файл из Сети.

noexec на /tmp не совместим с APT.

http://serverfault.com/questions/72356/how-useful-is-mounting-tmp-noexec

1-й ответ.