LINUX.ORG.RU

История изменений

Исправление Moisha_Liberman, (текущая версия) :

настоящий дедик с фикс айпи и прочей хренью за 30 Мойше-денег в месяц, что выйдет по полтора Мойшо-рубля в месяц на каждого из обозначенных тобой 20-и Мойшо-собеседников.

Вопрос абсолютно не в деньгах. Для справки у меня частный дом в недальнем Подмосковье две машины и до недавнего времени небольшая ОООшка своя была. Сейчас уже нет. =))) У меня и свои сервачки стоят на колокейшоне в ряде ДЦ уровня Tier III. Серваки это вааааще не проблема. У меня есть колокейшн и в открытых (публичных) ДЦ и в ведомственных, принадлежащих тем или иным организациям. Но смысл их палить-то? Зачем?

Фишка в том, что мой ник… он… работает. Нет, в реале меня не то чтобы не Мойша, меня даже не Михаил зовут. И нет. Здесь (и ещё на одном сайте, где я пользуюсь этим ником) нет моего IP. Здесь IP одной неубитой ещё exit node. И здесь нет даже моего user agent моего браузера. =)))

Интернет стал уже давно небезопасным в принципе местом. Хотя, он и никогда им и не был. И я с момента передачи в паблик домен tor, года с 2002-го пользуюсь им для посещения публичных ресурсов. А пишу что-либо вообще редко. Ну да, так получилось что я реально олдовый чувак, который видел как зажигались звёзды. =)))

Т.е., это такая цифровая личность, аватар, если угодно. Зачем под деанон-то лезть? =)))

Если Вы что-либо покупаете или получаете от неких «третьих лиц» (услугу, вещь, домен, whatever you need), Вы тем самым махом себя спаливаете. Вчистую. А так… с dyndns, кого волнует что у Вас домен типа sdrfgdfgter]g.asus.com? Кому такой говно-домен нужен? «Школота резвится». =))) А для задач обеспечения коммуникации очень узкой группы коллег он работает. Тот же тор и hidden service не всегда удобен. Есть же потери в скорости. А здесь я ничего не теряю. Просто, одно из правил маскировки снайпера (вот этому меня когда я в ВУЗе учился, и учили) – маскировка должна быть такой, чтобы противнику не хотелось туда смотреть. Нет там ничего, чего в поле чистое глаза-то лупить? =))) «Суслика видишь? Нет? А он там есть…» =))) Одно из основных правил.

Ну а дальше уже ищи ветра в поле. Я на таких говно-роутерах и малинках могу… Впрочем понятно. Много чего могу. =))) А, может, и не могу. Кто знает? =)))

Я только уточню что этот метод работает против мамкиных хаккИров. «Вчера поставил себе kali, сегодня всех на фиг вусмерть засканю». От «государства» это не работает. Нигде в мире. Там ресурсы на ОРМ (оперативно-розыскные мероприятия) такие, что не стоит удивляться (в России) если за весь произведённый блудняк как-нибудь вылетят двери с косяков и с воплем «всем лежать, работает ОМОН» влетят круглые и плотные «тяжёлые» (они же «космонавты» или «ОМОН-батыры»). Но я подчеркну что это надо окружающих так задолбать своими дурацкими выходками, так выпросить такое… «особо нежное и чуткое» к себе отношение, чтобы на такие ОРМ нарваться. Но это в любом более-менее нормальном государстве так. Что в России, что в США, что в Германии (ссылку на их законы, где BND вообще не парится я даже давать боюсь, т.к. сам прочёл и офигел). В Германии вообще BND приехали, выставили у тех же ОПСОСов какое-то оборудование, уехали забыв сказать от него пароли. И что оно делает. =))) Во Франции MiTM вообще на государственном уровне. В принципе, про «Эшелон» и «пять глаз» я уже написал, так что данные о покупке и получении дедика всем очень кстати будут. Тут всякое лыко в строку.

Тут бы поинтересоваться у цитирующих Конституцию как насчёт более просвящённых стран, где шпионаж за гражданами носит экс-территориальный и действительно массовый характер, но я не буду скатывать тему в танцпол. =)))

Поясни мне взамен, а нафига тебе Гента на распбери ? Чем для такого дела не покатит кошерный распберивский raspbian ?

Я с генточкой вообще, с момента первой версии, года с 2001. Для разраба под Linux она самое оно. Зависимости, сам себе maintainer, вот это вот всё. Так что, десктопы/ноуты это генточка с гномом, пишу на С, так что по местным меркам я тролль, лжец и девственник. =))) Серваки чаще всего под hardened gentoo. Малинки (и ряд других ARM/MIPS) это тоже генточка или самострой. Для малинки, например, есть stage3 armv7a hardfp. То, что могу как доктор прописать. Теперь смотрим (вывод длинный, но он не зря такой):

eselect profile list
Available profile symlink targets:
  [1]   default/linux/arm/17.0 (stable)
  [2]   default/linux/arm/17.0/desktop (dev)
  
  [31]  default/linux/arm/17.0/armv7a (dev) 
  [32]  default/linux/arm/17.0/armv7a/desktop (dev)
  [33]  default/linux/arm/17.0/armv7a/desktop/gnome (dev)
  [34]  default/linux/arm/17.0/armv7a/desktop/plasma (dev)
  [35]  default/linux/arm/17.0/armv7a/developer (dev)
  [36]  default/linux/arm/17.0/armv7a/systemd (dev)
  [37]  default/linux/arm/17.0/musl/armv6j (exp)
  [38]  default/linux/arm/17.0/musl/armv6j/hardened (exp)
  [39]  default/linux/arm/17.0/musl/armv7a (exp)
  [40]  default/linux/arm/17.0/musl/armv7a/hardened (exp) *
  [41]  default/linux/arm/17.0/uclibc/armv6j (exp)
  [42]  default/linux/arm/17.0/uclibc/armv6j/hardened (exp)
  [43]  default/linux/arm/17.0/uclibc/armv7a (exp)
  [44]  default/linux/arm/17.0/uclibc/armv7a/hardened (exp)

Профили hardened видите? Это прямо с одной из малинок профили как несложно заметить. Так вот. Hardened дают мне SELinux, ASLR (fPIC/fPIE, вот это вот всё), соответствующие и более безопасные LDFLAGS, статическая линковка с musl/uClibc, … ещё много чего. Так что, я сейчас по делам поеду, сервер так и останется работать, как и работал. Ну не буду же я круглосуточно над ним надзирать, верно? И даже если кто-то умудрится присунуть туда remote exploit, то скорее всего вообще ничего не случится. Атакованный демон упадёт, пукнет в лог, поднимется и поедет дальше. За счёт ASLR и других средств безопасности можно задолбаться его ронять и пытаться подломить.

Что там и как собрано в raspbian мне неведомо. И выяснять этого я долго не хочу.

С другой стороны. Ладно, малость подвскроюсь. =))) Я там выше про ASUS-роутер написал, так вот. У меня его нет. У меня роутер на базе banana bpi-r2 (и тоже gentoo), который только имитирует поведение ASUS-роутера в сети, тот же dyndns используя. Собственно, для ряда таких или примерно таких в общем и целом девайсов я в жизни прошивки и пишу на коммерческой основе. Вот оно крупным планом https://micro-pi.ru/wp-content/uploads/2019/05/Banana-PI-R2-GPIO.jpg Если присмотреться, то там даже есть два SATA. Питание – 12V. Там даже софтовый RAID собирается. Воткнули пару ssd и поехали торрентами баловаться. 5 гиговых RJ-45, 2xUSB 3.0, Wi-FI на 2.4 или 5GHz, но есть слот под PCIe, там можно воткнуть на второй диапазон карточку. Т.е., и 2.4 и 5GHz будет. В общем, чума! И OpenWRT мне тут на фиг не нужен, если честно.

Здесь (с генточкой) весь вопрос только в руках. «Готовые» решения не имеют этой гибкости. Что нужно, то и сделаем, это как раз про генточку.

Ответил я на Ваши вопросы? =)

Исходная версия Moisha_Liberman, :

И вот тут-то Вы и спалились... =)))

настоящий дедик с фикс айпи и прочей хренью за 30 Мойше-денег в месяц, что выйдет по полтора Мойшо-рубля в месяц на каждого из обозначенных тобой 20-и Мойшо-собеседников.

Вопрос абсолютно не в деньгах. Для справки у меня частный дом в недальнем Подмосковье две машины и до недавнего времени небольшая ОООшка своя была. Сейчас уже нет. =))) У меня и свои сервачки стоят на колокейшоне в ряде ДЦ уровня Tier III. Серваки это вааааще не проблема. У меня есть колокейшн и в открытых (публичных) ДЦ и в ведомственных, принадлежащих тем или иным организациям. Но смысл их палить-то? Зачем?

Фишка в том, что мой ник… он… работает. Нет, в реале меня не то чтобы не Мойша, меня даже не Михаил зовут. И нет. Здесь (и ещё на одном сайте, где я пользуюсь этим ником) нет моего IP. Здесь IP одной неубитой ещё exit node. И здесь нет даже моего user agent моего браузера. =)))

Интернет стал уже давно небезопасным в принципе местом. Хотя, он и никогда им и не был. И я с момента передачи в паблик домен tor, года с 2002-го пользуюсь им для посещения публичных ресурсов. А пишу что-либо вообще редко. Ну да, так получилось что я реально олдовый чувак, который видел как зажигались звёзды. =)))

Т.е., это такая цифровая личность, аватар, если угодно. Зачем под деанон-то лезть? =)))

Если Вы что-либо покупаете или получаете от неких «третьих лиц» (услугу, вещь, домен, whatever you need), Вы тем самым махом себя спаливаете. Вчистую. А так… с dyndns, кого волнует что у Вас домен типа sdrfgdfgter]g.asus.com? Кому такой говно-домен нужен? «Школота резвится». =))) А для задач обеспечения коммуникации очень узкой группы коллег он работает. Тот же тор и hidden service не всегда удобен. Есть же потери в скорости. А здесь я ничего не теряю. Просто, одно из правил маскировки снайпера (вот этому меня когда я в ВУЗе учился, и учили) – маскировка должна быть такой, чтобы противнику не хотелось туда смотреть. Нет там ничего, чего в поле чистое глаза-то лупить? =))) «Суслика видишь? Нет? А он там есть…» =))) Одно из основных правил.

Ну а дальше уже ищи ветра в поле. Я на таких говно-роутерах и малинках могу… Впрочем понятно. Много чего могу. =))) А, может, и не могу. Кто знает? =)))

Я только уточню что этот метод работает против мамкиных хаккИров. «Вчера поставил себе kali, сегодня всех на фиг вусмерть засканю». От «государства» это не работает. Нигде в мире. Там ресурсы на ОРМ (оперативно-розыскные мероприятия) такие, что не стоит удивляться (в России) если за весь произведённый блудняк как-нибудь вылетят двери с косяков и с воплем «всем лежать, работает ОМОН» влетят круглые и плотные «тяжёлые» (они же «космонавты» или «ОМОН-батыры»). Но я подчеркну что это надо окружающих так задолбать своими дурацкими выходками, так выпросить такое… «особо нежное и чуткое» к себе отношение, чтобы на такие ОРМ нарваться. Но это в любом более-менее нормальном государстве так. Что в России, что в США, что в Германии (ссылку на их законы, где BND вообще не парится я даже давать боюсь, т.к. сам прочёл и офигел). В Германии вообще BND приехали, выставили у тех же ОПСОСов какое-то оборудование, уехали забыв сказать от него пароли. И что оно делает. =))) Во Франции MiTM вообще на государственном уровне. В принципе, про «Эшелон» и «пять глаз» я уже написал, так что данные о покупке и получении дедика всем очень кстати будут. Тут всякое лыко в строку. https://micro-pi.ru/wp-content/uploads/2019/05/Banana-PI-R2-GPIO.jpg

Тут бы поинтересоваться у цитирующих Конституцию как насчёт более просвящённых стран, где шпионаж за гражданами носит экс-территориальный и действительно массовый характер, но я не буду скатывать тему в танцпол. =)))

Поясни мне взамен, а нафига тебе Гента на распбери ? Чем для такого дела не покатит кошерный распберивский raspbian ?

Я с генточкой вообще, с момента первой версии, года с 2001. Для разраба под Linux она самое оно. Зависимости, сам себе maintainer, вот это вот всё. Так что, десктопы/ноуты это генточка с гномом, пишу на С, так что по местным меркам я тролль, лжец и девственник. =))) Серваки чаще всего под hardened gentoo. Малинки (и ряд других ARM/MIPS) это тоже генточка или самострой. Для малинки, например, есть stage3 armv7a hardfp. То, что могу как доктор прописать. Теперь смотрим (вывод длинный, но он не зря такой):

eselect profile list
Available profile symlink targets:
  [1]   default/linux/arm/17.0 (stable)
  [2]   default/linux/arm/17.0/desktop (dev)
  
  [31]  default/linux/arm/17.0/armv7a (dev) 
  [32]  default/linux/arm/17.0/armv7a/desktop (dev)
  [33]  default/linux/arm/17.0/armv7a/desktop/gnome (dev)
  [34]  default/linux/arm/17.0/armv7a/desktop/plasma (dev)
  [35]  default/linux/arm/17.0/armv7a/developer (dev)
  [36]  default/linux/arm/17.0/armv7a/systemd (dev)
  [37]  default/linux/arm/17.0/musl/armv6j (exp)
  [38]  default/linux/arm/17.0/musl/armv6j/hardened (exp)
  [39]  default/linux/arm/17.0/musl/armv7a (exp)
  [40]  default/linux/arm/17.0/musl/armv7a/hardened (exp) *
  [41]  default/linux/arm/17.0/uclibc/armv6j (exp)
  [42]  default/linux/arm/17.0/uclibc/armv6j/hardened (exp)
  [43]  default/linux/arm/17.0/uclibc/armv7a (exp)
  [44]  default/linux/arm/17.0/uclibc/armv7a/hardened (exp)

Профили hardened видите? Это прямо с одной из малинок профили как несложно заметить. Так вот. Hardened дают мне SELinux, ASLR (fPIC/fPIE, вот это вот всё), соответствующие и более безопасные LDFLAGS, статическая линковка с musl/uClibc, … ещё много чего. Так что, я сейчас по делам поеду, сервер так и останется работать, как и работал. Ну не буду же я круглосуточно над ним надзирать, верно? И даже если кто-то умудрится присунуть туда remote exploit, то скорее всего вообще ничего не случится. Атакованный демон упадёт, пукнет в лог, поднимется и поедет дальше. За счёт ASLR и других средств безопасности можно задолбаться его ронять и пытаться подломить.

Что там и как собрано в raspbian мне неведомо. И выяснять этого я долго не хочу.

С другой стороны. Ладно, малость подвскроюсь. =))) Я там выше про ASUS-роутер написал, так вот. У меня его нет. У меня роутер на базе banana bpi-r2 (и тоже gentoo), который только имитирует поведение ASUS-роутера в сети, тот же dyndns используя. Собственно, для ряда таких или примерно таких в общем и целом девайсов я в жизни прошивки и пишу на коммерческой основе. Вот оно крупным планом https://micro-pi.ru/wp-content/uploads/2019/05/Banana-PI-R2-GPIO.jpg Если присмотреться, то там даже есть два SATA. Питание – 12V. Там даже софтовый RAID собирается. Воткнули пару ssd и поехали торрентами баловаться. 5 гиговых RJ-45, 2xUSB 3.0, Wi-FI на 2.4 или 5GHz, но есть слот под PCIe, там можно воткнуть на второй диапазон карточку. Т.е., и 2.4 и 5GHz будет. В общем, чума! И OpenWRT мне тут на фиг не нужен, если честно.

Здесь (с генточкой) весь вопрос только в руках. «Готовые» решения не имеют этой гибкости. Что нужно, то и сделаем, это как раз про генточку.

Ответил я на Ваши вопросы? =)