Как обезопасить свой компьютер от вредоносного кода из сторонних библиотек/модулей?

Я давно разрабатываю и устанавливаю пропиетарщину в контейнере systemd-nspawn.

LXC не зашёл из-за отсутствия удобоваримой документации, и по умолчанию не заработало. Сыпется миллион разных ошибок, поиск по ним выводит ответы с форумов 10-летней давности, непонятно вообще, пользуется ли этим кто-либо.

А systemd-nspawn прост как три копейки, за полгода ни единой проблемы.

Но докер внутри контейнера не запускал, т.к. мне это не нужно было пока.

в контейнере systemd-nspawn

Удобно ли из него «доставать» графику? Как с доступом к устройствам USB?

Можно для рядовых пользователей — мы обновляемся или пока нет?
Если есть сторонние репозитории, отключать или необязательно?

Обычная графика (даже с 3D ускорением) достаётся легко. Использую Xorg, поэтому достаточно обычных средств (переменная DISPLAY, ускорение настраивается тоже одной строкой по ArchWiki).

С USB не работал из контейнера, но думаю, что всё так же будет достаточно просто.

Подорваться сейчас можно на любом неадеквате.

Хочешь личного спокойствия - сделай бекапы данных и переедь на что-нибудь с территории РФ (тот же Alt). Там хотя бы лично морду набить Шигорину сможешь в случае чего. Ребята у себя хоть немного стабилизируют и проверяют свою платформу, да и им лишние сюрпризы от психов точно не нужны.

Хочешь личного спокойствия

Хочу.

Кстати про Альт, есть истории узбека? Не видел (кроме Шигорина) живых пользователей альта лет 10.. как оно?

Сертификаты отечественные из коробки есть и надо удалять, или можно спокойно использовать?

Можно попробовать AppArmour и разрешить пакетным менеджерам доступ только в директорию пакетов.

Зачем? Вернее, чем это поможет, гадит не пакетный менеджер.

Нагадить можно разными способами, в том числе через скрипты выполняемые пакетным менеджером при установке/обновлении

гадит не пакетный менеджер

Как пример. Балалайке которую ты разрабатываешь и запускаешь тоже права на запись особо не нужны, кроме логов.

которую ты разрабатываешь

Откуда такое ограничение?

Речь про любой опенсорц, и в первую очерердь про тот, что использует для построения рантайм окружения свой пакетный менеджер.

права на запись особо не нужны, кроме логов

А это вообще как? Т.е. полезная нагрузка всех приложений - только писать логи?

Откуда такое ограничение?

Оттуда что вопрос ТСа был об этом.

Речь про любой опенсорц

Бери шире. Как дальше жить?

Я бы просто завел два компьютера. Один для личных данных, другой - для всего остального. На первом линукс с минимальным набором ПО и максимальными настройками безопасности. На втором всё рабочее ПО и данные.

Модель атакующего: подсмотреть данные на первом компе или саботировать работу второго.

Соотв. бэкапы и там и там.

Я не думаю, что с пакетами может придти уж очень серьёзная малварь, которая будет эксплуатировать дырки в ядре.

Может да, может нет. Плясать надо от цифровых ассетов, сколько они стоят, сколько времени восстанавливать всю систему и проч. Может так оказаться, что ваш диск форматировать никому не сдалось, а вот подлянку в арифметике в какой-то либе, которую не отревьюили получить проще, чем трояна от АНБ. А против этого, очевидно, никакая виртуалочка не спасет.

Тут проблема в том что нынче и один не заведёшь.

Сайт Астры лежит (

ЛОР-эффект?

Я давно разрабатываю и устанавливаю пропиетарщину в контейнере systemd-nspawn.

Это такая песочница от systemd ?

Да, простая и удобная: https://wiki.archlinux.org/title/Systemd-nspawn

Очевидный flatpak очевиден. Заканчивайте использовать серверные контейнеры для десктопных приложений, это никогда не будет работать как следует.

Просто пока не обновляйся и всё. По крайней мере несколько месяцев погоды не сделают без обновлений, если у тебя обычный домашний ПК.

несколько месяцев

Прям интересно, а что будет потом. Имею в виду, в мире.
Станет ли злокодное действо массовым, например. Нагнут ли FSF, чтобы нас утюжили, и т.д.

Если начнется прямой военный конфликт именно с США, все довольно просто предсказать. Если идеологи типа Столлмана что-то начнут вякать, что типа война на руку проприетарщикам, и потому ее надо остановить, их просто задвинут, и никто в америках на них не будет обращать внимания. А те, кому донаты давали/дают, и у кого есть хотя бы маломальские ресурсы, чтобы влиять на разработку, примут четко оппортунистическую позицию, чтобы эти ресурсы и свое влияние на коммьюнити сохранить и не стать изгоями.

Тут же все просто: нет политической и народной поддержки - нет и способности отстаивать идеалы свободного ПО. Все эти аморфные движения, существующие на донатики добровольцев, внутри капитализма в нужный момент легко прогибаются под текущую кон’юнктуру.

Все же назначение контейнеров и виртуалок не в обеспечении безопасности. Для этого есть системы контроля доступа. Разве только приложение в контейнере удобнее огораживать тем же selinux, чем приложение вне контейнера.

LXC или докер, что есть в доступе и умеешь. Если ничего из перечисленного, то proxmox решает проблему настройки lxc, но нужен отдельный сервер.

Очевидный flatpak очевиден.

Вот есть приложение https://sourceforge.net/projects/dwsim/files/DWSIM/DWSIM 7.5/7.5.0/, как его офлатпачить?

С lxc понятно: dpkg -i и вперёд.

man flatpak-builder

flatpak-builder не сможет

Если идеологи типа Столлмана что-то начнут вякать

Столлман уже кстати высказался.

Обучение происходит на Азуре

Лол. Бревна в глазу не видишь?

X11 сетевая прозрачность, настало твоё время!

А ты софт-то православный используешь, который на графических примитивах X рисуется? Даже «хипсторский» GTK+3 ещё на XRender налегает довольно активно, через Pango. Более новомодное ещё хуже, об арбузерных движках и говорить нечего.

Нагнут ли FSF, чтобы нас утюжили, и т.д.

Бери выше, у нас уже проскакивают возгласы, что надо ввести уголовную ответственность за публикацию опенсорса, потому что это бесплатная помощь экономике агрессора.

Что характерно, с GPL такая инициатива не конфликтует, GPL требует всего лишь распространять исходники на тех же условиях, что бинарники. То есть если бинарники передаются только доверенным лицам после произнесения «ПАЯЛЬНИЦА», то и исходники надо так же. Придётся шпионов внедрять, а не просто взять и новую версию ядра для всяких альтов стянуть через проксю — уже профит.

Чтобы малварь с питоновскими пакетами не прилетела, надо использовать не requirements.txt, а pipenv или poetry, которые фиксируют все версии пакетов и их зависимостей. Таким образом не может ничего нового прилететь, пока ты сам не захочешь обновить версии пакетов.

сможет

Чем докажешь? Пиши команду которая сделает flatpack из того софта который я указал. Для lxc я привел.

Что ж.. значит, им нельзя существовать внутри капитализма.
Толковый ответ, спасибо.

юзай btrfs, тогда в случае вредоноса из снапшота восстановишься.

а чем не устраивает запуск в докере?

из контейнера не вылезти (пока что)

А, кстати, я как-то видел программу, к которой доступ заблокировали. Что-то с wine связанное, вроде. Уже не помню — ещё в 2015м видел. Там была фотография, где на летающую бабу с мечом нападали типа звери с горящими глазами. Мол, она — Украина, а звери эти — мы))
Короче, что? Для спокойствия нужен gitruhub с лицензиями и соглашениями?

к которой доступ заблокировали

Так это тупо по GeoIP, всё равно достать легко.

Для спокойствия нужен gitruhub с лицензиями и соглашениями?

Да хоть Яндекс.Код делайте, суть-то в том, что разрабатывать там будете сами, без зарубежных товарищей, которые делают львиную долю опенсорса. Потянете? :P

Надо сперва написать .yml файл для сборки, затем натравить на него flatpak-builder.

Страхование киберрисков.

Вы решили, что хотите застраховать свой бизнес от киберрисков, выбираете соответствующую программу и размер страховой защиты из предложенных вариантов. Если происходит страховой случай, то Вы получаете финансовую компенсацию.

Не видел (кроме Шигорина) живых пользователей альта лет 10.. как оно?

В море грибы искать - ну такое себе. Иначе сложно не найти. :-)

как оно?

                                       alt@host-34
   XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX    OS: ALT Linux 
   XXXXXXXXXXXXXXXXX0xkk0XXXXXXXXX    Kernel: x86_64 Linux 5.15.31-std-def-alt1
   XXXXXXXXXXXXXXXXX0xc';lkXXXXXXX    Uptime: 11m
   XXXXXXXXXXXXXXXXXK0c ..lKXXXXXX    Packages: 779
   XXXXXXXXXXXXXXXXKXXd'''cx0XXXXX    Shell: bash
   XXXXXXXXXXXXXXXXXWMO:' .;dXXXXX    Resolution: 1920x1080
   XXXXXX0xddddddd0WWMk;.  .:OKXXX    WM: JWM
   XXXXKOc....,c:,co0Wk;.   'lkXXX    GTK Theme: Adwaita [GTK3]
   XXXXd'. 'ccxKkoc;oOdl.   .;xXXX    Disk: 4,1G / 37G (12%)
   XXK0;  .lXXWMNKd;;;;;.   .'oXXX    CPU: AMD Athlon II X2 270 @ 2x 3.4GHz
   XXOd' ..xMMMMWWx,''..    ..lKKX    GPU: AMD/ATI Juniper XT [Radeon HD 5770]
   XXXl. ..xMMMMWW0ddo,...  ..cOKX    RAM: 317MiB / 3929MiB
   XXXl' .,xMMMMWNX0KXl ..   .cOKX   
   XXoo;.,lOMMWWNXXXNMk,,,.  .cOKX   
   XX0x:.lKNMMWNNXK0XNX0Ox:...lKKX   
   XXX0c.oMMMMWXXX0kOOXMWWOo:.oXXX   
   XXXXc cXNMMWXXXXXko0MMMKkl'dXXX   
   OXKO; ;kKMMWXK0Oko:kWNNx,..c0KX   
   XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX   
   XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Правительственный уровень доступа к критически важным системам + рекомендации MS.

Надо сперва написать .yml файл

Что писать то в него, куда совать этот deb файл?

Ну RTFM же. Сылку на deb в sourсes

Потянете? Не знаю) Лет за n-цать — наверное?

А что, кстати, он сказал?

Обсуждали https://www.linux.org.ru/forum/talks/16804754 если не можешь посмотреть, в бложике он много пишет например https://www.stallman.org/archives/2022-jan-apr.html#27_February_2022_(Attacks_on_Ukraine)