Стоит ли заморачиваться насчет безопасности?

Потому что огнелисовые хромы без расширений ничего не умеют. Это у них фича такая.

чего «нечего»? У меня firefox и 3.5 расширения. УМВР, ЧЯДНТ?

goto opera_vs_firefox_srach

Тут речь не об абсолютных путях, а о том, что в ${HOME} в общем-то предусмотрено гнёздышко для своих бинарников, что предполагает отсутствие -o exec при монтировании /home.

ты бредишь. Наличие у тебя каталога ~/bin _ничего_ не предполагает. Это просто тебе намёк на то, что бинарники не надо разбрасывать по ~. И да, в слаке такого каталога нет. Это тебе привет от твоего маинтейнера.

Вот нам тут анонимус и рассказывает сказ о том, что трояну в песочнице ничего не стоит собрать эксплоит, порутать систему, вырваться из песочницы, и слить всю важную инфу другого юзера.

Стал понимать, почему твою инкарнацию лошади зобанели, зачем трояну вообще рутать что-то и получать инфу друигого юзера? Если Троян поимел учетку секретарши или шефа и все благополучно слил кому надо.

Существует! Это свитер из свинца, с гравированными оленями :)

Я знаю про это. Просто Кеды так не умеют, чтобы повесить шорткат на скрипт в них

ЩИТО?! А я как вешаю???

надо чтобы скрипт был с атрибутом +x, иначе он запускается как обычный текстовый файл в kate, поэтому и отказался от noexec.

а при чём тут вообще +x? Да будет тебе известно, что право ИСПОЛЬЗОВАНИЯ файла ну никак не коррелирует с его выполнением. Разве что в том исключительном случае, что ядро выяснит, что использование == исполнение. Но это _только_ для ELF бинарников. Для скриптов это вызов интерпретатора со скриптом в параметре. И ядро будет смотреть (no)exec на разделе с интерпретатором. А KDE до этого(noexec) всегда наплевать было. Неужели запилили? Или ты таки путаешь с +x?

И что из этого следует?

из этого следует, что троян должен найти и скачать актуальный эксплоит, собрать его, поднять свои права до root'а, а потом уже спокойно гадить.

Тут ты сам себе противоречишь, дыры есть, механизмы эксплуатации дыр есть, есть примеры реализации эксплуатации дыр, если бы Линукс не занимал 1 процент десктопов, то весь зоопарк антивирусов присутствовал бы и на нем.

на web серверах точно такие же ядра, и одмины ничем не лучше. Почему там нет эпидемий?

Ну во-первых перед ним таких задач может не стоять, во-вторых будто это что-то невыполнимое.

goto opera_vs_firefox_srach

опера не нужно. //closed

Стал понимать, почему твою инкарнацию лошади зобанели, зачем трояну вообще рутать что-то и получать инфу друигого юзера? Если Троян поимел учетку секретарши или шефа и все благополучно слил кому надо.

для тех кто в бункере ещё раз: У СЕКРЕТАРШИ ДВЕ УЧЁТКИ!

так видно? В этом-то и суть.

Потому что сервер в плане обеспечения безопасности кардинально отличается от десктопа. Грамотно настроенный сервер это практически как человек в свинцовом свитере :)

А если глаза закрыть, то проблемы пропадают, ага.

Ну во-первых перед ним таких задач может не стоять,

тогда у него будет ТОЛЬКО пароль к овуляшкам

во-вторых будто это что-то невыполнимое.

выполни

И куча рук как у осьминога, чтобы вовремя между ними переключаться :) А если она забудет переключиться? Ну и вообще производительность труда с таким подходом упадет вдвое. Да если еще троян таки порутает одну из учеток то это и бессмысленно ко всему прочему.

Почему ты думаешь что ей не внедрят троян с сайта конкурентов например под рабочей учетной записью? Да и секретаршу под Линукс надо нанимать в данном случае с твоим уровнем знаний, смекаешь?

Потому что сервер в плане обеспечения безопасности кардинально отличается от десктопа.

ты точно болен: 95% «администраторов серверов» ничуть не лучше ТЕБЯ, анонимус. Тоже, сидят в венде, и админят через путтю в лучшем случае, а обычно через CPanel или похожее РЕШЕТО. И администрации самого хостинга на них нас рать. О какой «безопасности» ты говоришь?

А если глаза закрыть, то проблемы пропадают, ага.

дык в чём проблема-то? Ну ладно, запускай под отдельной учёткой оперу, раз она тебе так нравится. Я так даже wine с вирусами и гамами запускаю. Брат жив.

И куча рук как у осьминога, чтобы вовремя между ними переключаться :)

НЕТ ЖЕ! sudo -u ovuljashka. И НЕ В КОНСОЛЕ!!! А в ярлыке, который давит секретарша.

В ЯРЛЫКЕ, блжад!!!

Ну и вообще производительность труда с таким подходом упадет вдвое.

как она вообще работает с таким одмином как ты?

Почему ты думаешь что ей не внедрят троян с сайта конкурентов например под рабочей учетной записью?

ага, скачает какую-то хрень с сайта конкурента и запустит её в консоли? Она идиотка?

Да и секретаршу под Линукс надо нанимать в данном случае с твоим уровнем знаний, смекаешь?

зачем ей знания? Что-бы понять, что этот браузер показывает фконтактик, а этот нужен для работы? Если она перепутает, то у неё всё равно работа не взлетит на первом браузере, а вконтакт на втором.

IRL она тебе даже благодарна будет за то, что ты ей браузер для фконтакта сделал(который можно оперативно закрыть, и сделать вид, что работаешь). Hint: начальнику не обязательно говорить, что у секретарши есть не только браузер, который без втентакля.

Короче решето. //перехожу на хайку.

я его даже скомпилил и проверил. Не работает. Даже отчёт написал.

я специально ради него ставил слаку и проверял, работает.

на web серверах точно такие же ядра, и одмины ничем не лучше. Почему там нет эпидемий?

про взлом mysql.com, kernel.org, hostgator и тд конечно ты умолчал.

я специально ради него ставил слаку и проверял, работает.

это ты сейчас про тот, который просто роняет, а все остальные (и я) — про тот, кто рута даёт. Ну впрочем как обычно...

про взлом mysql.com, kernel.org, hostgator и тд конечно ты умолчал.

конечно умолчал. Как и про кучу упавших серверов, которые упали 10 лет назад из-за программы из одной строчки на перловке. Как и умолчал про говноселинух, который никак не помог АНБ в случае со Сноуденом. Ну и про многие другие «уязвимости в ядре».

это ты сейчас про тот, который просто роняет, а все остальные (и я) — про тот, кто рута даёт. Ну впрочем как обычно...

отличие лишь в payload.

конечно умолчал. Как и про кучу упавших серверов, которые упали 10 лет назад из-за программы из одной строчки на перловке. Как и умолчал про говноселинух, который никак не помог АНБ в случае со Сноуденом. Ну и про многие другие «уязвимости в ядре».

как обычно куча слов и ничего по сути.

это ты сейчас про тот, который просто роняет, а все остальные (и я) — про тот, кто рута даёт. Ну впрочем как обычно...

отличие лишь в payload.

это только твои слова. Не более.

про взлом mysql.com, kernel.org, hostgator и тд конечно ты умолчал.

как обычно куча слов и ничего по сути.

у тебя тоже по сути ничего нет.

sudo cast andreyu Aceler

ЩИТО?! А я как вешаю???

Ты не понял, я не о том что в кедах в принципе нельзя вешать шорткат на скрипт, а о том что если скрипт будет не исполняемым, то скрипт по шорткату не запустится.

секретарша ходит по девичьим сайтам, где успешно ловит троян, после этого хитрые хацкеры сливают информацию, а меня банит начальство.

И правильно, что начальство вас нагнет. Почему это секретарша имеет возможность ползать по любым сайтам с рабочего компьютера?

Почему вообще на хмяк секретарши стоит exec?

Вы тред одним глазом читали? Построение с секретаршей чисто гипотетическое, интересует прежде всего безопасность десктопного линукса и каким образом обезопасить десктоп под линуксом.

Почему вообще на хмяк секретарши стоит exec?

Потому что noexec роли никакой не играет, перечитайте тред.

хватит запомнить правило «каждый день ставь апдейты»

В некоторых широко известных дистрибутивах это часто приводит к коллапсу и руинам.

Windows «весёлыми» апдейтами иногда грешит тоже, впрочем.

Вы тред одним глазом читали?

Вы бы сказали спасибо, что я вообще его читал. Ведь кастуя меня, вы не сказали, что от меня требуется.

Построение с секретаршей чисто гипотетическое, интересует прежде всего безопасность десктопного линукса и каким образом обезопасить десктоп под линуксом.

В первую очередь заменой прокладки между стулом и клавиатурой.

Потому что noexec роли никакой не играет, перечитайте тред.

Роль играет. Перечитайте ман.

andreyu

Вы бы сказали спасибо, что я вообще его читал. Ведь кастуя меня, вы не сказали, что от меня требуется.

Я кастанул вас ссылкой на свой вопрос, на который не получил ответа в треде:

anonymous

Хочу тоже разобраться в этом вопросе, ибо в треде не нашел ответа на поставленный вопрос о безопасности использования Линукс на десктопе (может плохо искал?). Вот например есть троян Hand of Thief, который преспокойно заражает линуксовые десктопы, как от него защититься? Стоит ли использовать антивирус при серфинге интернета? Или же запускать браузер в виртуальной машине (какой?)? Например когда я сидел под оффтопиком я использовал ICore Virtual Accounts, один профиль в нем для игрушек с трекеров, другой для серфинга в злачных местах вэба, третий для теста всяческих неизвестных программ, которые не запустишь под своей системой в целях безопасности. Каким образом превратить Линукс в безопасную систему для десктопа (шапочку из фольги не предлагать)?

andreyu

Роль играет. Перечитайте ман.

В треде этот момент уже разжеван, перечитайте, роли не играет.

andreyu

В первую очередь заменой прокладки между стулом и клавиатурой.

Вы пришли помочь или проявить чудеса демагогии?

Я кастанул вас ссылкой на свой вопрос, на который не получил ответа в треде:

Там, куда вы меня скастовали, вопроса не содержалось.

Но мне не понятно, почему секретарша (или иной сотрудник), не знающий азов, имеет доступ на любой сайт в рабочее время с рабочего компьютера?

В треде этот момент уже разжеван, перечитайте, роли не играет.

Играет. Не нужно смотреть на этот вопрос однобоко. Вы же ищите способ защиты? А способ только комплексный.

Вы пришли помочь или проявить чудеса демагогии?

Я пришел пояснить, что серебрянной пули не бывает. Поскольку уязвимое место - это пользователь.

Если вам не нравятся советы в этом треде, то просто не пользуйтесь ими.

Ясно понятно, могли просто сразу сказать, что не разбираетесь.

Ты не понял, я не о том что в кедах в принципе нельзя вешать шорткат на скрипт, а о том что если скрипт будет не исполняемым, то скрипт по шорткату не запустится.

это ты не понял: в шорткате пропиши перед скриптом /bin/bash, или какой тебе нужен интерпретатор. И всё будет работать. Как у меня. Даже с правами 0400.

А можешь написать в шорткате sudo -u userX, и запустится вообще от другого юзера, в изолированной и огороженной песочнице.

Почему вообще на хмяк секретарши стоит exec?

кстати да, это нужно _только_ разработчику.

Вы тред одним глазом читали? Построение с секретаршей чисто гипотетическое, интересует прежде всего безопасность десктопного линукса и каким образом обезопасить десктоп под линуксом.

э не, дядя. «просто так» нельзя. Надо знать, какие задачи стоят. Например разработчику нельзя ставить noexec, ибо его работа — создание и тестирование ПО. (если конечно это не пхп-негр. Негру noexec обязателен)

Потому что noexec роли никакой не играет, перечитайте тред.

сам почитай — выйти из песочницы вредонос может только одним путём: собрав и запустив эксплоит. А запустить эксплоит на noexec FS невозможно (ну точнее довольно проблематично, даже при ручном взломе, а уж скрипт-то точно не осилит)

Как и любая защита noexec не идеальна, но в комплексе она сильно затрудняет взлом. И кроме того никак не вредит «обычному пользователю» (он её и не заметит никогда).

хватит запомнить правило «каждый день ставь апдейты»

В некоторых широко известных дистрибутивах это часто приводит к коллапсу и руинам.

тащемто эти твои дистрибутивы никогда и не позиционировались как рабочая платформа. Это тестовый полигон: у кого есть желание и возможность — тестируют. Кто сказал «безопасность»?

Построение с секретаршей чисто гипотетическое, интересует прежде всего безопасность десктопного линукса и каким образом обезопасить десктоп под линуксом.

В первую очередь заменой прокладки между стулом и клавиатурой.

часто это нерационально. Эксперты по безопасности редко бывают ещё и годными художниками или журнализдами.

Смирись.

никогда и не позиционировались как рабочая платформа

Убунта вполне себе позиционируется, и там неприятности после апдейтов случаются.

Смирись.

Смириться с чем? Проблемы не у меня, а у ТСа.

Ясно понятно, могли просто сразу сказать, что не разбираетесь.

Ну пусть не разбираюсь, только проблема то у вас, а не у меня :)

ты делишь на ноль: как *рабочая* позиционируется LTS, но в LTS вроде народ не жалуется. Ничего там не ломается. Ну если конечно ты всякого говна непонятно откуда не засунул. А тестинг — дык никто там ничего и не обещал.

тебе придётся смирится с тем, что прокладку между клавой и монитором заменить невозможно. Она из области «дано».

тебе придётся смирится с тем, что прокладку между клавой и монитором заменить невозможно. Она из области «дано».

Что значит «придется» да еще и «смириться»?

как *рабочая* позиционируется LTS

Она примерно такая же виртуально-рабочая, как CentOS. Только на сервер.

Основа любой системы безопасности предприятия или даже домашнего хозяйства - регламент. А вовсе не технические средства. Если есть регламент, можно говорить о безопасности, если нет - можно говорить только у чувстве безопасности. Например, под linux люди себя чувствуют безопасно, потому что под него меньше вредоносного кода. Или под windows с антивирусом. Но это не безопасность, оценивать субъективные качества системы бесполезно.

А если есть регламент, вопрос теряет смысл - обезопасить себя можно соблюдением регламента.

А, из технических средств повышения чувчтва безопасности можно выделить apparmor. Идея та же.