Список следящего ПО (безопасная установка Debian)

Ещё вопрос: как сделать автоматический локер для текстовой консоли? В сети рекламируют либо делать timeout на shell, либо vlock, но vlock не автоматический, а timeout будет применён ко всем шеллам, включая те, которые запущены в терминальных мультиплексорах (screen, tmux), поэтому неудобно. Если в терминале запущен, допустим, screen, нужно, чтобы сам screen и открытые в нём окна не убивались — вместо этого screen детачился и закравалась сессия в том шелле, где screen был запущен. Думал над выцеплением IDLE time из команд типа w, но там всё запущено: после запуска screen в w исчезает запись о том шелле, из которого screen был запущен, да и не хотелось бы самопальные кривые костыли городить. Кардинальное решение — всегда использовать для рута иксы, а там можно надеяться на таймаут хранителя экрана типа xscreensaver'а, но запускать от рута иксы и xscreensaver не есть хорошо.

Когда я ставил Debian, одним из явных осознанных желаний было избавиться от мерзопакостного и слишком умного PulseAudio, которым убунта напихана по самое нехочу. Вроде бы PA явно не установлено, но один пакет всё же есть в качестве зависимостей — libpulse0. То ли благодаря ему, то ли ещё кому, но некоторый софт (например, mplayer) создаёт временные файлы вида /tmp/pulse-XXXXXXXXXXX. Попытка удалить libpulse0 приводит к:Стоит ли удалить как-то приндительно, с enforce? И всё-таки, почему mplayer так идёт? Он по умолчанию собран в Debian с поддержкой PA? Вроде бы номинально всё работает через alsa, но скорее от невозможности использовать pulse, а не от здравых дефолтов, заложенных при компиляции зависимостей.

Что-то у меня исчерпались знания для ответов на ваши последние посты. Ничего конкретного сказать не могу, честно.

Помню в Linux Mint был пакет apport, который не спрашивал об отправке чего-либо. Узнал о нём, когда убрал анимационную заставку при старте системы и только через неделю единожды высветилось такое при загрузке: "Starting automatic crash reporter [FAIL]". Может с каким-нибудь другим пакетом подтянулось?

А сайт PRISM Break оказывается обновляется, интересно наблюдать.

Немного полезных советов параноикам на случай, когда /tmp смонтировано в память (три команды, которые делают всё хорошо):

Если с чем-то разберусь сам или с помощью других, напишу.


http://packages.debian.org/search?keywords=apport:

experimental (rc-buggy) (utils): automatically generate crash reports for debugging

У меня в apt-cache search его нет.

Результаты поверхностного поиска:

1. Abiword тянет за собой сетевые гномовские уитилиты с очень сомнительным функционалом. Он самый тощий из стандартных программ этого класса.
2. Бывший koffice, который теперь calligra, тянет за собой массу грязи, включая большой кусок kde, поэтому тоже плохой выбор.
3. Утилита docx2txt хороша, но она только для чтения, причём она полностью рушит форматирование текста.
4. Рекламируют вот этот проект, вроде он не завязан на интегрированные графические среды типа гнома и kde, но подробнее не разбирался.
5. Siag Office нахваливают, как самый наилегковеснейший, но его установка в Debian проблематична. Такое впечатление, что этот проект давно заброшен, в Debian сохранились только его археологические останки.

Есть ли какие-то адекватные замены комбайну openoffice для просмотра и редактирования doc-файлов? А то полная Java в системе сильно смущает, она потом поди ещё и плагином к браузеру будет по умолчанию везде становиться. Была раньше масса других офисов, типа libre office и staroffice, но за офисами не слежу; не в курсе, в каком они состоянии.

LibreOffice — это форк OpenOffice, такой же большой и страшный, но полноценных альтернатив ему (им) мне неизвестно. Java не является обязательной зависимостью, просто без неё не будут функционировать некоторые компоненты программы; также она не подцепляется автоматически к FF (по крайней мере, так обстоят дела в Gentoo).

Debian netinstall — ну чем не игра? Чем не квест? Вы даже не представляете, насколько сложно пройти все уровни, сколько там пасхалок скрыто, сколько тонких никак не задокументированных тонкостей есть, которые можно только угадать. Если на каком-то уровне попал в тупик, то обратно уже не вернёшься, сохраниться в игре нельзя, остаётся только перезагружаться и снова начинать установку с нуля. Debian — он ведь очень умный, он позаботится о том, чтобы вы после совершения каких-то шагов не могли их совершить снова, не начав установку с нуля. Я где-то с 50-ой попытки только прошёл эту игру, потратил часов 12, и до конца не уверен был, что вообще игру можно пройти

хочется задать вам вопрос, который раньше задавали на рыночных развалах при выборе игрушек: "ключи дадите?" (всмысле: проходку игры)

Да, дам, только чуток попозже. Даже на фото заснял, что и как проходил. Правда, я снимал в основном спорные и проблемные моменты, а не вообще всё подряд.

Кстати, как можно заскриншотить инсталляцию без фотоаппарата?
Кроме как с виртуалки или оцифровки выхода с видеокарты?

Купить фотоаппарат и заскриншотить Никак. Даже просто сделать скриншот текстовой консоли, когда всё уже установлено (но иксов нет) — не такой простой вопрос. Во FreeBSD для этого была утилита vidcontrol:например. А как в Linux, я вообще без понятия.

Попробуйте fbgrab.

Какой всё-таки ужасный этот Debian. Когда-то много кричали о том, почему Linux'а нет на десктопах и в ынтырпрайзе. Что ж, теперь крупные коммерческие игроки сделали из него ынтырпрайз, запихав туда такую монструозную автоматику, котрая нормальным людям понадобиться вообще никогда не должна. Система давно считает себя умнее пользователя, автоматика затачивается под домохозяек, чтобы всё работало искаропки, безопасность отходит на самый последний план. Параноики вынуждены изучать, как работает то, что им сто лет не нужно.

Ставишь Xen в BSD — всё понятно, установить — значит установить. А что в Debian? Он не просто установил, он просканировал весь диск, нарыв откуда-то левые неиспользуемые разделы (хорошо, не нашёл ОС там, а то бы и её добавил); всё, что распознал, прописал в grub; там же сделал подменю, куда прописал гипервизор, recovery mode для него и ещё помержил опции ему одному ведомым образом. Я на это смотрю и меня аш трисёт™. Я бы никогда не подумал, что он начнёт всё это делать после банального apt-get install. Install в нормальных системах — это скачать бинарный тарболл и распаковать его в /usr, всё. Кому хочется, пусть потом делает autoconfigure на свой страх и риск, если такое для рассматриваемого пакета предусмотрено. И, вообще, никто не понимет, что линуксовая автоматика там делает, за всем этим стоят тома документации, которые уже давно никто не читает, типа работает — ну и ладно, а как работает — дело третье. Чувствуешь себя как на минном поле, никогда не знаешь, что он вытворит очередной раз.

Домохозяйки, может, и рады grub2, но где он может понадобиться специалисту? Всё поубирали, запретили лезть в конфиги руками, ничего не поменять. Одни гомосеки вешают автоматику на графический конфигуратор, без которого не сделать ничего, а другие пишут конфиги, которые будут управлять другими конфигами автоматически, но суть всё та же. Мне-то оно зачем сидеть разбираться с их автоматикой верхнего уровня, всякими опциями типа GRUB_CMDLINE_LINUX_DEFAULT? Я даже не могу переместить приоритет и порядок опций загрузки руками во всем понятном /boot/grub/grub.cfg. Если для изменения порядка пары строчек в /boot/grub/grub.cfg я должен вызывать внешний скрипт со своим конфигом, и это не абсурд, то что такое абсурд?! И на эту автоматику завязано всё, вся документация. Один раз руками залезешь — потом может всё перестать работать автоматически, да и инструкции под ручное изменение уже не пишут, всех принуждают редактировать /etc/default/grub. В BSD таких пакостей не было, и монструозности с кучей автоматики тоже. Вот оно надо кому-нибудь сидеть читать толстый мануал на grub2? И зачем? Чтобы просто загрузить одну единственную свою понятную конфигурацию? Где может понадобится grub2? При клонировании инсталляции на тысячи машин, очевидно, на гиперхостингах, где вручную каждую не наковыряешь. Ынтырпрайз сделал из Linux'а то, что он хотел для себя видеть, насрав на всех остальных. Остальным остаётся только сидеть и жрать, что им приготовили.

По ошибке раскомментировал одну лишнюю строчку GRUB_CMDLINE_LINUX_DEFAULT в /etc/default/grub (да, виноват), и он сразу всё понял правильно: вместо того, чтобы добавить обе опции к параметрам ядра при загрузке, он добавил только последнюю, а первую проигнорировал. Заметил не сразу и чисто случайно, когда увидел по netstat, что гомосервисы уже вовсю слушают на ipv6. И главно, на опцию net.ipv6.conf.all.disable_ipv6 = 1 Linux-ядру почему-то наплевать. Почему — никто не знает, но факт. Думал добавить в rc.local на пожарный случай блокировку ipv6 через ip6tables, но после загрузки с дизейблом ipv6 через grub2, он более не понимает команды, пишет
ip6tables vX.X.X: can't initialize ip6tables table `filter': Address family not supported by protocol Perhaps ip6tables or your kernel needs to be upgraded.Перезагружаться, чтобы проверить, отрабатывают ли команды при включенном ipv6, пока не пытался. Да даже если и отрабатывают, как ими воспользоваться? В норме он будет писать ошибку. В случае ненормы, возможно, подстрахует, но как определить, когда ipv6 по факту включено, а когда нет? Это ж Linux, over-engineered system во всей красе. Зато он умеет фичи A,B,C... которых не умеет BSD! Видимо, деанон тоже предыинсталлирован, чтоб никто не жаловался на отсутствие фичи.

После BSD, несмотря на множество её минусов, всё это линуксовое смотрится предельно омерзительно. Что интересно, всё толковое, что в Linux появилось, в BSD успевают оперативно утягивать (lvm2 уже там). Как однажды было сказано, есть 3 стадии разработки софта: 1 — проприетарщики придумывают идеи и интерфейсы, пишут гнилой пропретарный код. 2 — приходит GNU-тусня и переписывает её на GPL. Как правило, получается коряво и без понимания. Наконец, стадия 3 — приходят BSD'шники и переписывают GPL-код уже начисто, с нуля, учитывая их ошибки, но под BSD-лицензией. Далее проприетарщики забирают BSD код к себе обратно, и цикл начинается снова.

К слову, рекомендуемые опции Xen очень плохие для анонимов и сводятся к прямой доставке трафика виртуалок в сеть через мосты, минуя всё остальное. Чтобы постебаться ещё более изощрённо, в документации старательно советуют отключить iptables на мостах, типа плохо и некошерно там фильтровать, пусть трафик сам ходит свободно. Хорошо, что вовремя одумался и понял, что не всему тщательно рекомендуемому стоит следовать. Настройка домов через NAT (то, что нужно анонимам) вообще нигде толком не описана, есть лишь намёки в официальной документации, причём не на сайте Debian, а на сайте Xen. Один деятель в рассылке раскритиковал дефолтную систему настройки сети в пух и прах, расписал, как он её сделал для себя на NAT'е, но его дока старая, а воз и ныне там. Впрочем, эффект всё тот же, всё логично: на хостингах фильтровать не надо, траф у клиентов ходит, как вздумается, пусть за него сами клиенты радеют с внутренними файерволлами, а если что и надо пофильтровать, то это делают на внешних роутерах централизованно. Естественно, раздача настроек идёт по DHCP, и тут мосты приходят как раз кстати. Опять ынтырпрайз всё перекроил под себя, как всегда, а остальные тихо сидят и хавают, что им положили.

xend, судя по описанию, выбешивает ещё до своего запуска, и это при том, что он самый «примитивный» сервис для управления домами. Другие вообще предназначены для управления группой машин, где разные дома находятся на разном железе, есть живая миграция домов между физическими машинами и пошло поехало. xend автоматически запускает, гасит и прочим образом надругиваетя над домами по ему одному ведомым правилам. Интересно, можно ли им вообще не пользоваться, если запуск и останов всегда будет делаться вручную? В новых версиях Xen обещают уже сделали Open vSwitch — ещё одна штука для ынтырпрайзов, чем-то напоминает такую пакость, как avahi, но в 10-ой степени. Правильно, ручная настройка сети зло — пусть сеть сама настраивает себя по одному ей ведомым механизмам, а какие при этом будут утечки в безопасных средах, никого не волнует, и дальше будет только хуже.

Как добиться того, что Linux ушёл с продакшн-серверов? Может, только после этого его перепилят под гиков нормальных людей и нормальные человеческие задачи?

Ынтырпрайз сделал из Linux'а то, что он хотел для себя видеть, насрав на всех остальных. Остальным остаётся только сидеть и жрать, что им приготовили.

Ну не обобщайте, а? Сижу себе в своей генте под grub 0.9x, никого не трогаю, примус починяю УМВР. (Хотя xen не юзаю, да, по этому поводу ничего сказать не могу.) Не очень понимаю, чего Вы после BSD полезли именно в Debian, а не в Gentoo, как более идеологически близкий линукс.

Виртуалки вообще не предназначены для приватности/анонимности в понимании параноиков. Они для безопасности в применении/понимании энтерпрайза (у которого риски застрахованы финансово), всё правильно.

Subject: Re: About Xen: maybe a reiterative question but ..
Date: Oct 23, 6:14 pm 2007
Virtualization seems to have a lot of security benefits.

You've been smoking something really mind altering, and I think you should share it.

x86 virtualization is about basically placing another nearly full kernel, full of new bugs, on top of a nasty x86 architecture which barely has correct page protection. Then running your operating system on the other side of this brand new pile of shit.

You are absolutely deluded, if not stupid, if you think that a worldwide collection of software engineers who can't write operating systems or applications without security holes, can then turn around and suddenly write virtualization layers without security holes.

You've seen something on the shelf, and it has all sorts of pretty colours, and you've bought it.

That's all x86 virtualization is.

© Theo de Raadt, Virtualization decreases security.

Вот чей-то интересный коммент.