Безопасность на десктопе

Для домашнего пользователя он вполне подходящий выбор.

Мне кажется, что для домашнего линукс-десктопа антивирь - вообще излишество. Но если уж ставить, то что-то посерьёзнее. Ведь clamd всё равно пожирает ресурсы, а толку от него чуть больше, чем 0. И зачем оно надо? Только для самоуспокоения: типа у меня система защищена антивирем, а то, что этот антивирь не отлавливает 90% вирусов - дело десятое? Я бы снёс. Но это моё имхо.

Лучший способ на десктопе зарыть порты это отключение автозапуска того что слушает их.

Где он это написал?

Защиты чего и от чего?
Подумай сначала про это.

Безопасность на десктопе (комментарий)

А какая разница? В интернет-кафе и аэропорту фаервол тоже не нужен?

Зависит от юзеркейса.

Если ты красноглазый, и у тебя стоит куча сервисов на компьютере, то файервол пригодится. Если нет, то и смысла нет. Именно поэтому в той же Ubuntu и macOS файервол включен по умолчанию.

Именно поэтому в той же Ubuntu и macOS файервол включен по умолчанию

Описался... ВЫКЛЮЧЕН конечно.

Настаивать фаерволы принято на маршрутизаторе, а не на конечном устройстве.

А в случае с ноутом и 3g модемом или публичным wifi?

То есть, можно настроить фаервол на роутере и спать спокойно? Офк соблюдая общие рекомендации по безопасности.

tor устанавливается в /home, и если этот раздел не исполняемый, то не работает.

Tor Browser Bundle всё же и только при «ручной» установке; пакет в AUR, например, кидает его в /opt. noexec на /home - дело хорошее и правильное.

Я же писал, что любые происки в сторону безопасности принято клеймить паранойей :)

На самом деле, живу нормально... Когда был еще совсем маленьким и пользовался дистрибутивом Убунты, еще не знал, что по умолчанию там ничего не включено, и частенько ездил на савелу за новыми комплектующими. То одно сгорит, то другое. Однако потом узнал, что есть такая штука как ufw, но тоже иногда можно было загрузиться и обнаружить, что весь домашний каталог почему-то удален. Так вот, что хуже, паранойя или геморрой с утерянной информацией, я для себя решил.

tor устанавливается в /home, и если этот раздел не исполняемый, то не работает.

Tor Browser Bundle всё же

Да.

и только при «ручной» установке; пакет в AUR, например, кидает его в /opt.

Наверно. Просто в Debian Jessie пакет torbrowser-launcher, содержащий torbrowser, изначально нерабочий (что для Debian редкость, но иногда случается), и его приходится подкручивать вручную. Наверно можно подкрутить так, чтоб он обновлялся в /usr/bin или в /opt, но я не заморачивался. А по умолчанию он использует домашний каталог.

noexec на /home - дело хорошее и правильное.

Согласен (исключением являются программисты и скриптописатели, отлаживающиеся в домашнем каталоге, ведь иначе им пришлось бы модифицировать и компилировать программы и скрипты из-под рута, что ещё хуже).

Однако noexec - только пол дела. Он защищает от вредонсных elf'ов, но не от скриптов. Ведь если написать в неисполняемом каталоге

bash ./script

или

python ./script

А ещё для тонкой настройки защиты можно поиграться с разными параметрами команды sudo в /etc/sudoers, вместо того, чтобы тупо писать user ALL=(ALL:ALL) ALL. Но это больше актуально для серверов, администрируемых командой админов с разными полномочиями, а не для домашнего десктопа.

shorewall

В deb есть скрипты, поэтому не нужно брать софт с всяких рапидшар.

вот, об этом я и говорю, что есть скрипты, и исполняются они от суперпользователя... мы копипастим из интернета все что нипопадя, судо запоминает и можно в копипасте незаметить вызов судо... даже если мы знаем что пакет безопасен, мы можем взять этот пакет совсем из другого места...

можно ли тут разместить deb-пакет? я сделал прогу, такой нет еще в репах, а распространить ее не знаю как.

Используете ли вы на десктопе дополнительные средства защиты системы?

Нет. NAT'а более чем достаточно, чтобы закрыть доступ из внешнего мира. Администрировать десктоп, будто это сервер с секретной информацией - спасибо, не хочется.

Я, например, открываю лишь порты 21 22 80 443...