Безопасность read-only системы

/home - либо целиком на чтение

А настройки и кэши?

Кроме браузера и его плагинов можешь ничего не обновлять, т.к. секьюрити апдейты на домашнем компе с линуксом это тупняк. Дрова от видяхи зависят от libc, браузер тоже много тянуть не должен. Поставь дебиан какой-нибудь дореволюционный и радуйся ультрастабильности.

люди, как вы умудряетесь ломать стабильный дебиан? У даже меня на анстейбле который год проблем с обновлениями практически не возникает. Настройки, где возможно, держу в git-е, так что проблем с разворачиванием/восстановлением тоже нет.

по поводу RO - можешь тут посмотреть, может чего выцепишь полезное

Как показывает опыт, системные обновления для меня, обычного пользователя, либо не видны, либо что-то ломают.

как так «не видны» ?

не обновляйся вообще, только если сам руками отдельные пакеты

Просто используй Debian (stable).

Я и так его использую, точнее, сборку на его основе с несущественными изменениями.

Это значит, что я использую определенный набор приложений, в которых после обновлений я не вижу ничего нового. А если и вижу (Firefox, LibreOffice), то они не всегда радуют.

Как-как, update && dist-upgrade. Сначала после обновления ядра отключился звук в wine (чья версия осталась той же), потом сломали видеодрова - появились артефакты в играх. Потом после обновления звук в wine все же появился, но какой-то искаженный. Теперь ни wine не использую, ни в игры пока не играю, но изменения настораживают.

А настройки и кэши?

Можно на хоме сделать aufs с рамдиском, как во всяких кноппиксах, тогда при каждой перезагрузке будет день сурка.

P.S. Но я бы лучше начинал с прочистки кармы и выпрямления рук, остальное - полумеры.

dist-upgrade

safe-upgrade же

я использую определенный набор приложений, в которых после обновлений я не вижу ничего нового

плохо смотришь, новое есть всегда )

да и нет у тебя выбора (разве что самому писать) - пусть даже несколько лет ты просидишь на старом софте и железе - потом обновишь комп - поставишь новую систему - а там все новое )

Раз в несколько лет можно и на rw систему смонтировать.

А если мне новые изменения не нужны? Меня вопрос безопасности прежде всего интересует.

Что касается рук - т.е. мне надо обновлять систему, а потом еще и копаться в ней, решать проблемы? И нафиг такое надо?

Меня вопрос безопасности прежде всего интересует.

безопасность всегда ущемляет удобства, но если надо, то могу посоветовать следующие:

1. отключи обновления
2. работай под пользователем
3. важные документы храни в криптованном контейнер (или внешнем диске), монтируй его только для работы с документами
3.1 или заведи еще одного пользователя для работы с важными данными, сеть при этом отключи, флешки выдерни
3.2 или загружайся с livecd без сети для работы с документами
4. используй private window в ff для интернета
5. не используй закрытый софт
6. следи за обновлениями по безопасности на используемые программы, обновляй только их по необходимости
7. разбирайся как работает система, чтобы знать что можно делать, а что нет

Можно, например, просто осилить снапшоты, и ваши проблемы просто исчезнут сами собой.

Взлом не всегда проявляется в удалении системы. А снэпшоты я уже давно осилил.

Взлом домашнего ПК? Паранойя до добра не доведёт.

И чем вас ботнет из домашних ПК не устраивает?

тем, что ботнетов из линуксовых десктопов не существует?

Не могу себе позволить быть таким же категоричным, как вы. Я уже писал о том, что нашел у себя зловреда, но мне без пруфов никто не верит, так что я останусь при своем мнении и спорить ни с кем не буду.

Настройки, внезапно, настроить и в ro, кэши — в оперативке.

update && dist-upgrade

Откуда ж вы беретесь, дурачки вы этакие?

Это лоровские аналитики говорят о неуловимом Джо, а на деле, когда у меня на ADSL-модеме было admin/admin, то системный пароль пробутфорсили и стали через колонки пускать музыку, которую я сроду не качал.

Раз из серверов существует, то из десктопов тем подавно.

снапшоты уже предлагали?

Я их и так делаю. Меня интересует, как грамотно обезопасить старую систему при все время подключенном интернете.

99% десктопов живут за натами и не не крутят у себя nginx

ссылочку?

зачем придумывать какие-то извращения, когда можно просто всегда иметь копию полностью рабочей системы в отдельном файле/разделе/носителе, и при неудачном обновлении просто быстренько одной командой вернуться?

http://forums.debian.net/viewtopic.php?f=16&t=49345

Интересует не неудачное обновление, а безопасность. Обновляться и проверять, все ли костыли на месте, мне лень.

плюсую

Да и потом, преустановка домашнего ПК, с нуля, занимает максимум пару часов, у меня персоналки, как тестовый стэнд, это же не продакшен система которую используют не одна сотня пользователей...

Опять же, если вам засадили кейлоггера, ворующего пароли от электронных кошельков, как вы определите, что уже пора сушить весла?

Еще одна причина сделать все read-only: новый LO сломал мои макросы x_x

Опять же, если вам засадили кейлоггера

Опять же, модель угрозы, товарищ, опишите.

Удалённо через мифические 0day, или «атака уборщицы», или сами подхватили?

Или вас интересует защититься вообще от всего, и от кривого LO, и от какеров, и от ЦРУ до кучи :)

Просто интересно, сколько лет сможет продержаться древняя необновляемая система при условии ro / и достаточно сильного пароля, если ее использовать как офисную машину. Без самостоятельной установки троянов, разумеется. При этом, будем считать, что к нам часто пытаются коннектиться кракеры.

если ее использовать как офисную машину

Для секретарш-хакерш? Тогда вариации на тему kiosk-mode + разовые снапшоты.

что к нам часто пытаются коннектиться кракеры.

На тех же самых машинах есть сетевые демоны? SeLinux, например.

За сколько звездочки купил?

Ссылку на что? Говорю же пруфов нет, описывал ситуацию где-то здесь. У меня подозрение было на дырявый фф, т.к. дрянь жила под пользователем, который пользовался только браузером. Маскировался под sshd, но палился пользователем, от которого работал. Хотя я его обнаружил по активному подключению к irc (сам не пользуюсь). Ошибка была и с моей стороны, не запрещен запуск всякой дряни в /tmp, где она и жила. Не знаю как она собиралась пережить ребут, т.к. избавился я от нее, просто убив и удалив из /tmp, следов больше нигде не нашел, рецидивов не было.
Сейчас бегло погуглил по ключевым словам linux botnet sshd и irc, ничего толкового не нашел, так что можешь мне не верить, но на мое мнение это уже никак не повлияет.

Опять же, если вам засадили кейлоггера, ворующего пароли от электронных кошельков, как вы определите, что уже пора сушить весла?

безопасность хорошо, но грань между маразмом и безопасностью очень тонкая :)

Если управляете счетами с компа:

а) испоьзуйте только банки с дуо аунтифекацией б) под данные цели поднимите виртуалку и спользуйте её только для данных целей.

А что, решил поторговаться? :)

На тех же самых машинах есть сетевые демоны? SeLinux, например.

Нет.

Я, например, систему обычно не перезагружаю, только в гибернацию отправляю. Малварь будет жить вечно. И никакой root не нужен.

Я вот тоже после своего случая подумал, что скорее ботнет сам сдохнет, чем мой комп перезагрузится.

Нет.

Ну вот на них настройте правила для SeLinux.

На всякий случай снапшоты, вариации на тему debsums.

Как говаривал Шнайер, главное усложнить взлом по простым направлениям, а от целенаправленных атак АНБ именно на ваш конкретный сервер вы никак не защититесь.

/ нельзя в ro. /usr можно и отдельные части /.

/home в ro - вообще бред, проще при логине каждый раз новый профиль из архива скриптом разворачивать.

И, причем, в дебиане и убунте для этого есть ну очень удобный пакет — fsprotect.

Автор, ставьте fsprotect, это то, что вам нужно. А еще есть lethe, похожий проект, и linfreeze, но их я не использовал.

/ нельзя в ro

https://wiki.debian.org/ReadonlyRoot

проще при логине каждый раз новый профиль из архива скриптом разворачивать.

А что, один раз chmod -w сложнее?

Спасибо, приму к сведению. Но я и вручную могу сделать ФС read-only. Вопрос был про то, возможно ли обеспечить безопасность устаревшей машины.