смена вывода с заднего на передний на корпусе компьютера.

Там внизу выбор профиля для текущего устройства вывода вообще-то :-)

Ну в линуксе-то этой проблемы нет, там bash-скрипты почтовиками не обрабатываются :-)

Не, там другое. Пользователь просто сохраняет вложение и запускает из файлового менеджера, пытаясь открыть файл. А сам скрипт представляет из себя рамораспаковывающийся архив, там в base64 закодирован обычный бинарь gpg.exe и управляющий им батник.

Если нужна безопасность на таком крутом уровне, тут поможет только антивирус.

Антивирусы всегда опаздывают с добавлением сигнатур в базы. Тем более если троян сделан на скриптах, то вообще сложно, скрипты могут себя рандомно обфусцировать и распространять дальше.

Вон, троян (под линукс, лол) месяц как отсутствует в базе https://www.nn.ru/popup.php?c=classForum&m=forumCutTree&s=69&do=c...

Давно я такой «воды» в тексте как в этой статье не видел.

Написать для него АРМ, в виде Wayland композитора

Смешные вы... Я лучше кнопочки понажимаю.

А что не так? В десктопном Linux дефолтом считается GNOME, где HIG и настроек из GUI действительно мало. В винде вообще крайне неюзабельный Control Center, с первого раза никогда не угадаешь, под какими названиями скрывается нужная настройка (сети, например). И вложенность действий очень большая.
А macos как гном (точнее, наоборот), только юзабельнее за счёт всяких фишечек, вроде просмотра инфы ip/mac/wlan-phy одним кликом по option+значёк.

Пользователи считают иначе

Не знаю как у тебя, но пользователи моих программ не хотят миллион «крутилок». Они хотят гибкую программу с консистентным интерфейсом и непротиворечивым предсказуемым поведением. С высокой производительностью (высокий приоритет) и малым потреблением ресурсов (низкий приоритет).

Познакомься с ними.

Это бессмысленно 3.

Они хотят гибкую программу с консистентным интерфейсом и непротиворечивым предсказуемым поведением. С высокой производительностью (высокий приоритет) и малым потреблением ресурсов (низкий приоритет).

Шо, правда? Прямо приходят к тебе и говорят, что хотят гибкую программу с консистентным интерфейсом? Офигеть. Дай угадаю, твои пользователи — это ты сам?

Ты у программиста спросил как решить задачу. Получил ответ – «нужно написать программу такую чтобы..»

Пользователь просто сохраняет вложение и запускает из файлового менеджера

Ну и бита исполнения на этом файле не будет, поэтому вирусописателя ждёт фейл.

Расскажи пожалуйста, как согнуть гну/линукс так чтобы определенный пользователь имел право запускать только, например, файловый менеджер, браузер, почтовый клиент и LibreOffice, а в сеть могли выходить только браузер и почтовый клиент, а исполнимые файлы, в том числе и скрипты, нельзя было запустить из любых директоий, куда у пользователя есть права на запись.

Взять хромбук с подпиской на их enterprise сервисы, там есть групповые политики. Даже разборка ноута и правка данных на SSD извне не поможет - всё подписано и зашифровано. Правда придётся заменить LibreOffice на гуглдокс, но зато скрипты там вообще никак не запустить.

И не ставили альтернативные шедулеры. И свапнес не крутили.

Прямо приходят к тебе и говорят, что хотят гибкую программу с консистентным интерфейсом

Это обобщение. Ни компания, ни мои знакомые ни разу не хотели крутилки. Они чаще всего хотят «чтобы работало», «чтоб всё как то в одном стиле» и, зачастую, возможность в определённой степени вмешиваться в поведение программы – конфиги, флаги запуска, environment variables, а в особо запущенных случаях приходится плагиный или скриптовый API делать.

Дай угадаю, твои пользователи — это ты сам?

Некоторыми своими программами я пользуюсь сам и небольшой круг моих знакомых, некоторыми не пользуется никто (в основном потому, что эти проги сдохли и/или недописанны, лол), некоторые пишу для компании – ими пользуются люди которых я ни разу не видел.

Ну и бита исполнения на этом файле не будет, поэтому вирусописателя ждёт фейл.

Но это чисто защита от случайного запуска. От злонамеренных действий изнутри тоже неплохо бы иметь защиту.

Ты у программиста спросил как решить задачу. Получил ответ – «нужно написать программу такую чтобы..»

Такое и я мог себе ответить: выкинуть всю упоротую разбросанную то там, то сям, всякую дичь вроде selinux, apparmour, systemd, polkit и что там наплодили ещё и напрограммировать что-то с единым или в одном стиле API, с конфигами в одном формате (почему бы не использовать БД типа sqlite или какую нибудь простое нерелеационное key-value хранилище типа Berkeley) и к этому API уже можно сделать GUI и CLI интерфейсы.

Расскажите им, что GNOME3 != Linux.

Я не застал Linux в 2005, но однажды открыл архив новостей ЛОРа за этот год. Там я узнал, что создавалась GNOME OS :-) И что легендарная GNOME2 ковалась именно в этот период времени

Пользователь просто сохраняет вложение и запускает из файлового менеджера

Ну и бита исполнения на этом файле не будет, поэтому вирусописателя ждёт фейл.

Ну пакуем в чего-то там с сохранением бита исполнения. В tar.

Если нужна безопасность на таком крутом уровне, тут поможет только антивирус.

Антивирус по своей природе не может помочь. По крайней мере от свежего говна или говна сделанного специально для определенных людей. А то что он почистит что-то что уже год как сперло всё что было нужно злоумышленнику такая себе радость.

Gnome OS была маняфантазией разработчиков в период первых версий Gnome 3

Ахахаха. Попробовал сейчас. Не получается. В GNOME же выпилили возможность из файлового менеджера запускать всякое имсполняемое.

Безопасность 😀

Вот, поддерживаю. Отлюбились бы уже от нормальной Винды со своими нововведениями и ставили свои бесперспективные опыты в каком-нибудь отдельном форке для любителей садо-мазо. Так нет, с каждым релизом всё больше и больше параметров в кастрированный новый интерфейс уползает.

Реестр всё равно круче /etc по количеству настроек.

И по самой идее - тоже.

Как минимум MAC-адрес давно уже меняется прямо в иконке в трее

Сегодня меняется, завтра нет. Вон, кое-где на часах по правой кнопке и время не задать - и все жруть.

чтобы определенный пользователь имел право запускать только, например, файловый менеджер, браузер, почтовый клиент и LibreOffice

Засунуть его в LXC контейнер, где есть только это.

в том числе и скрипты, нельзя было запустить из любых директоий

Вот эта задача более интересная. Заменить shell какой-нибудь затычкой.
Надо посмотреть на тему, не пользуется ли тот же LibreOffice (и другие из списка) скриптами для каких-либо нужд, мало ли...
Или, может быть, для окружения рабочего стола составить такой профиль SELinux/AppArmor, что запускать можно только перечисленные программы, ничего кроме.

тут поможет только антивирус.

Не лучше ли профили SELinux/AppArmor для перечисленных программ?
Такие, чтобы им ничего нельзя было запустить. А для окружения рабочего стола такой профиль, что оно может запускать только перечисленные программы.

Но новость гуглится и на других источниках.

Если у вас COM-
выбрать между PIO и DMA
если вы подключите его к разъёму USB 2.0

Ты из когда к нам телепортировался? Год какой?

December 3, 2018

https://www.zdnet.com/article/what-is-microsofts-windows-core-os-lite/

Today, on Petri.com, Brad Sams reported that this Lite SKU might be yet another attempt by Microsoft to take on ChromeOS with a restricted version of Windows 10. Sams says, like Windows 10 in S Mode, Windows Lite might be restricted to UWP/Store applications. He also reported that Microsoft might opt to name this SKU something other than «Windows.»

December 3, 2018

Не зря говорят, что линуксами вашими пользуются неосиляторы венды.

Ядро, ядро там от Линукса?

Ядро, ядро там от Линукса?

Нет конечно. А было бы прикольно.

Засунуть его в LXC контейнер, где есть только это.

Убого.

Или, может быть, для окружения рабочего стола составить

Вобщем, куча всего разбросано везде и за разные вещи отвечает свой костыль. Вот например задача запретить непривилегированному пользователю выключать или перезагружать систему. Решается почему-то написанием javascript файла для какой-то дикой опердени под названием polkit1. Запретить или требовать пароль для выключения/перезагрузки компьютера

Фиг с ним с GUI, текстовые конфиги тоже неплохо, но не в таком виде. Была бы нормальная, логичная структура в /etc, с каким-то одним форматом, уже было бы замечательно. И так чтобы очевидно всё было просто посмотрев на содержимое, без необходимости гуглинга.

Ну хотя бы внутри него ядро от Хрома?

Была бы нормальная, логичная структура в /etc, с каким-то одним форматом

Надеемся на Поттеринга, ждём реестр.

Ну хотя бы внутри него ядро от Хрома?

Где-то читал, что MS отказались от своего движка браузера.
А поскольку, тут речь идёт о веб приложениях, то можно так сказать, я думаю.

И установка программ только UWP из ms store.

Такие, чтобы им ничего нельзя было запустить.

А им и не надо. Спам-то рассылать и так всё нужное есть — в почтовике адресная книга и реквизиты доступа к smtp, в браузере — кукисы от втентаклика и подобных.

Попробуй аргументы по теме.

Это обобщение. Ни компания, ни мои знакомые ни разу не хотели крутилки. Они чаще всего хотят «чтобы работало», «чтоб всё как то в одном стиле» и, зачастую, возможность в определённой степени вмешиваться в поведение программы – конфиги, флаги запуска, environment variables, а в особо запущенных случаях приходится плагиный или скриптовый API делать.

А на практике получается, что всех хотят хром, МС офис и далее по списку, которые имеют довольно опосредованное отношение как к консистентности интерфейса, так и к производительности с ростом версии. Или, например, используют телеграм вместо IRC.

Так что глядя на популярные программы, понимаешь, что где-то в твоей теории дырка.

От злонамеренных, повторюсь, ничего не спасёт, потому что скрипт можно запустить простым копипастом из файла скрипта в консоль :-)

Убого.

Убого не убого, а у Рутковской так и сделано, ИЧСХ, оно вовсю работает.

Танцы с бубном начинаются, когда надо свойство одного дистрибутива да сопрячь со свойством другого дистрибутива, да.

Редхатовцы уже хотять сделать политики в своём https://wiki.gnome.org/Projects/FleetCommander

Политики, Карл!

Редхатовцы уже хотять сделать политики

Но конфиги так и будут текстовые, каждый в своём формате?

Нет, конечно, там же dconf. По ссылке ходил?

https://wiki.gnome.org/Projects/FleetCommander?action=AttachFile&do=get&a...

Нет, конечно, там же dconf. По ссылке ходил?

Пардон. Я просто о другом думал. Тут где-то говорили о конфигах в /etc. Они же ещё не на dconf?

Для конфигов в /etc есть ansible и другие подобные костыли :-)

А в Red Hat сделали управление пользовательскими настройками.

Я ещё не определился. То ли 2003, то ли 2005

ИМХО ты слишком сильно генерализуешь задачу. Решение задачи «сделать из пользователя бесправного раба» в общем виде решается как раз разрозненными «selinux, apparmour, systemd, polkit и что там наплодили ещё». Но решение «втупую» может выиграть именно за счёт своей ориентированности на данный конкретный случай.

Так что глядя на популярные программы, понимаешь, что где-то в твоей теории дырка.

Ни компания, ни мои знакомые

Нерепрезентативность выборки как вариант.

Ну да, на это и был толстый намёк.