Стоит ли заморачиваться насчет безопасности?

Вот я и спрашиваю, как избежать этой глупой ситуации?

1. не давай секретарше прав рута

2. в принципе этого хватит, но если что, можешь ей поставить под отдельным юзером браузер для овуляшек. А под нормальным юзером забанить ВЕСЬ трафик, кроме того, что нужен по работе. Браузер для овуляшек пропиши в ярлычке, через sudo, что-бы ей вызывать его в один клик.

Тогда, максимум что она потеряет от трояна и отаки — пароль к овуляшкам.

Hint: флешплагин засунь в каталог .mozilla пользователя для овуляшек. Не думаю, что ей по работе нужно смотреть флеш.

noscript (неудобства будут, если скрипты таки где-то нужны, ну а что делать) и adblock (edge)

В офисной работе ни первый ни второй не применимы (секретарше нужен рабочий браузер при заполнении форм на сайтах фирм).

Если очень терзает, можно пускать браузер от другого пользователя.

Какой в этом смысл, если тебя затроянят и подменят системные утилиты?

Скачал образ, установил, не чего не трогал, перезагрузился, долго грузится если не выключить селинукс ЧЯДНТ?

не прочитал логи и не разобрался в чём затык, и кого ждём. Если ты 18 минут не сможешь попасть домой, потому-что ключей не найти, это разве повод выламывать дверь?

Тебе уже дали несколько советов, для разных уровней квалификации.

Так ни один не работает

Ты уже попробовал?

noexec на /home я сразу отмел потому что у меня есть пользовательские bash-скрипты

Для системы скрипты — то же, что обычные файлы, запускаются интерпретатором bash, и смысловой нагрузки +x ядру не несёт, но иногда явно проверяются другими скриптами, запускающими их, вот так: [ -x ~/path/to/sub-script.sh ]. Вот если есть бинарники в ~/bin — то да, имеет смысл не включать noexec для home: т.к. по умолчанию, bash, или кто там, проверяет, есть ли такая папка, и если да, то включает её в PATH.

Там что то с процессором было, noapic помогал, все же селинукс не десктопный, в отличие от того же аппармор

Какой смысл в этих манипуляциях если учетку овуляши порутают?

То есть и ботнетами антивирусные компании торгуют?

нет

Даже на ЛОРе читал о эксплойте, работающем на ядрах 3.2 - 3.8, так что я неверно понимаю?

ну ты неверно понимаешь хотя-бы то, что

1. для работы надо иметь доступ на ту же ФС, где лежат например программы с SUID. Но $HOME практически всегда ставят на другую ФС. (каталог /home/)

2. дыры в ядре мало. Надо ещё дыру в браузере, что-бы запускать код из ~/Download (или ~/.mozilla, причём в этот каталог надо ещё как-то эксплоит поместить. А как?).

3. дыра работала далеко не у всех, а лишь при очень удачном расположении звёзд

4. дыра закрыта.

Короче, если ты поставил когда-то линух и забил, и при этом у тебя есть грамотный враг, и если у этого врага куча свободного времени, то в принципе, при должном везении, он может порутать твою систему.

Да, такая вероятность присутствует.

тебе даже когда показывали ядерный сплойт, убивающий слаку или повышающий права до рута - ты все равно не верил

И Mozilla, которая их (дополнения) проверят. На AMO статус «Full reviewed» получить не так уж просто.

И будешь пользоваться полтора расширениями…

А под нормальным юзером забанить ВЕСЬ трафик, кроме того, что нужен по работе.

И как определить кошерный траффик от некошерного?

4. дыра закрыта.

дыра была в коде ядра несколько лет, и далеко не факт что других таких сюрпризов в текущем коде нет.

В офисной работе ни первый ни второй не применимы (секретарше нужен рабочий браузер при заполнении форм на сайтах фирм).

Без рекламы секретарша не сможет таки заполнить форму на сайте, да? Что касается noscript, как раз таки там есть исключения. Зачем она вообще занимается этой фигнёй? :}

Какой в этом смысл, если тебя затроянят и подменят системные утилиты?

Силой мысли что ль?

Не обязательно рутать овуляшу, так как можно получить доступ к ее учетке, а у ее учетки _УЖЕ_ есть доступ к информации вызывающей интерес у вражины.

1. для работы надо иметь доступ на ту же ФС, где лежат например программы с SUID. Но $HOME практически всегда ставят на другую ФС. (каталог /home/)

2. дыры в ядре мало. Надо ещё дыру в браузере, что-бы запускать код из ~/Download (или ~/.mozilla, причём в этот каталог надо ещё как-то эксплоит поместить. А как?).

3. дыра работала далеко не у всех, а лишь при очень удачном расположении звёзд

4. дыра закрыта.

Это Патрек (при всем уважении) для тебя на камушке высек?

Без рекламы секретарша не сможет таки заполнить форму на сайте, да?

То есть в рекламе кроме мыслевирусов еще и компвирусы распространяются? :)

Что касается noscript, как раз таки там есть исключения.

Смысл в них, если все сайты придется добавлять в них?

Зачем она вообще занимается этой фигнёй? :}

Ее директор (ох уж этот эксплуататор) заставил :)

Смысл в них, если все сайты придется добавлять в них?

Не все, а только те, в которых это понадобится. Или секретарше везде надо?

Ее директор (ох уж этот эксплуататор) заставил :)

Директора выпороть :}

ставился бесплатно, я ставил. Да, для ZverCD не было. А ты не воруй.

Когда у меня была XP, не было ни zvercd, ни MSSE (который, минуточку, в 2009 году появился). А по дефолту ничерта не было. Windows Defender появился в 2006, поэтому в 2003 я не мог его поставить на винду.

noexec на /home я сразу отмел потому что у меня есть пользовательские bash-скрипты.

и да, может начать с того, что почитать немного о базовом администрировании Linux?

Ты в этом _ничего_ не понимаешь (сейчас, но это исправимо, никто с этим не рождался).

noexec запрещает выполняться файлам, но скрипт НЕ выполняется. Выполняется /bin/bash, а скрипт служит его параметром. Даже если ты снял атрибут x с файла скрипта, юзер может написать bash script.bash и скрипт всё равно выполнится. Даже если ты вообще ВСЁ запретишь у скрипта/бинарника(кроме чтения), юзер может сделать свою копию, и поставить права(для копии) как хочет.

Посему noexec вообще не действуют на скрипты.

noexec полезно ставить туда, где заведомо ничего не будет выполняться. ну на $HOME секретарши или там /tmp/ если это не десктоп разработчика. Как дополнительную меру.

В том то и дело, что ее не ограничишь :)

Какой в этом смысл, если тебя затроянят и подменят системные утилиты?

а какой смысл в железной двери с замком, если давно изобрели автоген?

т.к. по умолчанию, bash, или кто там, проверяет, есть ли такая папка, и если да, то включает её в PATH.

это где такое говно?

И да, если писать абсолютный путь (или вообще, хоть какой-то, даже ./), то $PATH не работает. Т.е. ваще никак.

noexec запрещает выполняться файлам, но скрипт НЕ выполняется. Выполняется /bin/bash, а скрипт служит его параметром. Даже если ты снял атрибут x с файла скрипта, юзер может написать bash script.bash и скрипт всё равно выполнится.

Вот именно поэтому noexec на $HOME не имеет смысла. Троян может записать bash ~/.local/birman_patch.sh в ~/.profile или ~/.bashrc, ему побоку noexec. А пользователю каждый раз набирать bash неудобно. В итоге noexec не даёт особой защиты, но уменьшает удобство → не нужен.

И ты туда же, в позу страуса.

И будешь пользоваться полтора расширениями…

Большинство популярных расширений так или иначе проверены, а остальные... Кхм... Не особо то и нужны. Я даже сходу пример не могу привести нужного, но ещё не проверенного расширения.

Там что то с процессором было, noapic помогал, все же селинукс не десктопный, в отличие от того же аппармор

ИМХО SELinux попросту избыточен для 95% десктопов/лаптопов. Потому и не нужен в 95% случаев. Достаточно простых прав, если ты не в АНБ работаешь. (Впрочем, как доказал Сноуден, против крысы даже SELinux в АНБ бессилен).

Ну а что до acpi, то что ты хотел-то? Управление питанием для юзера и безопасность — взаимоисключающие параграфы. Мне даже просто комп выключать приходится с костылём sudo. А чтоб яркость подстроить — я попросту забил. Безопасность важнее. И яркость сама настраивается(она там от рута работает).

То есть и ботнетами антивирусные компании торгуют?

нет

ну и сейчас ты выложишь паспортные данные торговцев, что-бы все желающие могли убедиться в том, что они никак не связаны с антивирусными компаниями. Жду с нетерпением...

тебе даже когда показывали ядерный сплойт, убивающий слаку или повышающий права до рута - ты все равно не верил

я его даже скомпилил и проверил. Не работает. Даже отчёт написал.

Но ты же никогда не читаешь мои посты дальше второй строки. А тем более — отчёты.

Adblock, у которого слетает опция «разрешать ненавязчивую рекламу» в дефолт, это вот ok? Или что там за история была.

И будешь пользоваться полтора расширениями…

а вот зачем тебе Over9000 расширений, особенно на рабочем компьютере?

Adblock, у которого слетает опция «разрешать ненавязчивую рекламу» в дефолт, это вот ok? Или что там за история была.

Нет, не ок. Хотя я и не в курсе, о чём речь. Да и изначальный вопрос был немного другой.

Потому что огнелисовые хромы без расширений ничего не умеют. Это у них фича такая.

А под нормальным юзером забанить ВЕСЬ трафик, кроме того, что нужен по работе.

И как определить кошерный траффик от некошерного?

а какой трафик тебе нужен по работе?

Проще сего забанить ВЕСЬ трафик, ну а браузер с овуляшками оставить. Т.к. юзеры разные, то с задачей справится iptables.

Ну а если не весь, то задача тоже решаема.

4. дыра закрыта.

дыра была в коде ядра несколько лет, и далеко не факт что других таких сюрпризов в текущем коде нет.

я что-то очень сомневаюсь, что у тебя хватит денег на покупку актуальной дыры до её опубликования. Даже если она есть.

Но даже если ты богач, то всё равно ты не будешь покупать эту дыру, что-бы сломать мои локалхосты. Ибо дыра тебе обойдётся намного дороже, чем профит со взлома. Намного выгоднее вложится в МММ, Мавродий вернёт тебе бабки с большей вероятностью :-)

Тут речь не об абсолютных путях, а о том, что в ${HOME} в общем-то предусмотрено гнёздышко для своих бинарников, что предполагает отсутствие -o exec при монтировании /home.

Не обязательно рутать овуляшу, так как можно получить доступ к ее учетке, а у ее учетки _УЖЕ_ есть доступ к информации вызывающей интерес у вражины.

ты так и не понял — это две РАЗНЫЕ учётки:

1. секретарша

2. овуляшка

1. для работы надо иметь доступ на ту же ФС, где лежат например программы с SUID. Но $HOME практически всегда ставят на другую ФС. (каталог /home/)

2. дыры в ядре мало. Надо ещё дыру в браузере, что-бы запускать код из ~/Download (или ~/.mozilla, причём в этот каталог надо ещё как-то эксплоит поместить. А как?).

3. дыра работала далеко не у всех, а лишь при очень удачном расположении звёзд

4. дыра закрыта.

Это Патрек (при всем уважении) для тебя на камушке высек?

нет. Это я опытным путём узнал. а Патрик тут только при том, что пересобрал оперативно ядро.

bash script.bash

Я знаю про это. Просто Кеды так не умеют, чтобы повесить шорткат на скрипт в них (что мне и требуется), надо чтобы скрипт был с атрибутом +x, иначе он запускается как обычный текстовый файл в kate, поэтому и отказался от noexec.

Когда у меня была XP, не было ни zvercd, ни MSSE (который, минуточку, в 2009 году появился). А по дефолту ничерта не было. Windows Defender появился в 2006, поэтому в 2003 я не мог его поставить на винду.

в 2003м было полно варезных сборок, не надо песен. Я ставил. А ты, ЕМНИП, говорил про SP3, это далеко не 2003й. Разберись с датами, и с тем, что ты пытаешься доказать.

Я говорю о том, что MSSE в маздае ХП таки был. Это факт. А кто его не видел, тот просто юзал варез. Вот только проблем этот MSSE ну никак НЕ решил. И в висте не решил, и в семёрке. Производители антивирусов процветают до сих пор. Что доказывает ненужность маздая (сколько маздай не совершенствуй, антивирус всё равно нужен, а следовательно вирусы всё равно ЕСТЬ)

Ясно понятно все с тобой. Оставляем броузер для овуляшек отсюда вытекают те самые вопросы, которые я задал.

А реально пробовал для запуска из Кед делать noexec и одновременно чтобы +x было у файла, ведь это две разные вещи?

Некоторые просто убежали на более новые версии ОС, либо на линуксы, как я.

Вирусы всегда будут (пока не запилят рабство по образцу репозиториев, шаг к этому — windows store), антивирус нужен не всем.

И что из этого следует?

Казалось бы причем тут трояны в Линуксах.

Вот именно поэтому noexec на $HOME не имеет смысла. Троян может записать bash ~/.local/birman_patch.sh в ~/.profile или ~/.bashrc, ему побоку noexec.

noexec нужен для того, что-бы троян не записал эксплоит. Точнее его не запустил. А запускать эксплоит трояну нужно для того, что-бы вырваться из анально огороженной песочницы.

Вот нам тут анонимус и рассказывает сказ о том, что трояну в песочнице ничего не стоит собрать эксплоит, порутать систему, вырваться из песочницы, и слить всю важную инфу другого юзера.

Т.к. всё вышеперечисленное яйца выеденного не стоит, то нет никакой разницы, юзать Linux или маздай.

А пользователю каждый раз набирать bash неудобно. В итоге noexec не даёт особой защиты, но уменьшает удобство → не нужен.

а пользователю и «имя скримпта» в консоли набирать неудобно. Ему ярлычёк нужен, что-бы мышкой тыкать. А какая тебе разница, что в ярлыке писать? С bash или без bash?

Т.ч. про удобство это ты из пальца высосал.

Пробовали как-то... винлокером. Было смешно.

Так это, chmod +x при noexec на раздел, на
котором расположен скрипт не
поможет. любая попытка запустить что-то с аттрибутом execute на
исполнение на данном разделе
будет отстрелена, не?

нет никакой «позы страуса». Абсолютной защиты не существует. Это никак не значит, что защита не нужна. Это понятно?

Тут ты сам себе противоречишь, дыры есть, механизмы эксплуатации дыр есть, есть примеры реализации эксплуатации дыр, если бы Линукс не занимал 1 процент десктопов, то весь зоопарк антивирусов присутствовал бы и на нем.