id: Гость   вход   регистрация
текущее время 01:47 29/03/2024
Автор темы: Гость, тема открыта 23/07/2013 01:13 Печать
Категории: софт, сайт проекта, свободный софт, закрытый софт
https://www.pgpru.com/Форум/UnixLike/СписокСледящегоПОбезопаснаяУстановкаDebian
создать
просмотр
ссылки

Список следящего ПО (безопасная установка Debian)


Давайте соберём список проприетарных и открытых программ, которые без ведома пользователя по умолчанию отправляют статистику и подобные вещи? Если эта функция в программе не отключается, то можно выделять заголовок страницы с программой жирным.


Ещё можно читать соглашения конфиденциальности и брать только интересные части, отсеивая всё лишнее, упоминая о продаже пользовательской информации.


Прим. модер.: поскольку тема ожидаемо превратилась в местный филиал ЛОР, то следящие программы в следящих ОС можно обсудить где-то отдельно. В разделе оффтопик, например ;)


 
На страницу: 1, 2, 3, 4, 5, ... , 18, 19, 20, 21, 22 След.
Комментарии
— unknown (23/07/2013 09:38)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Насчёт открытых программ интересно, если такие бы попадали в открытые Unix-подобные ОС прямо в официальные репозитории дистрибутивов.
— Гость (24/07/2013 18:03)   <#>
Насчёт открытых программ интересно, если такие бы попадали в открытые Unix-подобные ОС прямо в официальные репозитории дистрибутивов.

Не вопрос: install debian -> выбираем Expert install -> в софте выбираем опцию laptop (можно было бы наивно подумать, что она установит всякие fireware-дрова, часто нужные для ноутов и ACPI-пакеты, как это было ещё есть в старых добрых системах типа BSD) и получаем установленный geoip. Хорошо, что случайно заметил во время инсталляции.

Ну а если обычная Ubuntu 13.04 без netinstall (т.е. возможность выбирать софт вам не дадут), то она сразу идёт с несколькими backdors preinstalled. Во-первых, geoip, которе GeoClue или кто оно там. Ломится по умолчанию в сеть и всё сливает подчистую. Во-вторых — gvfsd-http, с ним то же самое. Активирован по умолчанию, сразу лезет в сеть без спроса, непонятно куда и сливает непонятно что. В-третьих — remote-login-screen, тоже активированный по умолчанию, он сразу после загрузки системы и старта lightdm лезет в сеть на какие-то IP на 443 и 80 порты. Открываешь netstat сразу после загрузки системы, видишь соединение (вывод обрезается) на внешний IP от имени remote-login-s, после чего сразу перед глазами проплывает многое. Remote login shell, сразу после инсталла, немедленное предоставление удалённого root доступа к root-аккаунту собственной системы — первые ассоциации, не так далёкие от реальности. Даже никаких UEFI с её network из гипервизора, computrace и Intel AMT не надо — всё уже есть в убунте, всё под GPL! Наконец, в-четвёртых — включенная отправка краш-репортов в Центр™. Что при этом утекает — можно только догадываться (имена файлов, их содержимое, ещё что-то?). И у меня есть чёткая уверенность, что всё это только верхушка айсберга. Ubuntu сообщает каждый ваш шаг и каждый ваш клик. Языки говорят, что даже Apple на своих i-устройствах не дошла до такой наглости, как включение всего тракинга по умолчанию и без показа каких-либо предупреждений пользователю. Лично я наткнулся на всё это случайно благодаря тому, что в Ubuntu забыли встроить качественный rootkit, который бы скрывал соединения с этими серверами. Так бы никто ничего и не заметил бы, не будь внешних роутеров.

Отключение этих зловредов — тяжёлая процедура. Они настолько интегрированы в Unity (графическая оболочка в Ubuntu, которой люди пользоваться не могут), что apt-get remove разрушит её полностью. В интернетах раздают советы как дизейблить зловредов без удаления через /etc/hosts и другие трюки. Когда вы обнаруживаете такой софт, вы ожидаете, что google про него всё расскажет — достаточно только поискать, но не тут-то было. Это на самом деле недокументированные зловреды. На страницах убунту нет ничего внятного про эти сервисы. Нигде не написано, куда, зачем и когда лазит gvfsd-http или remote-login-screen после умолчальной инсталляции (при том, что вы никогда не пользовались remote login screen!). Я вбил некоторые из IP, куда лез remote login screen и обнаружил, что они принадлежт GHCQ GB. И в гугле нет практически никаких результатов поиска по этим IP. Я первый среди миллионов пользователей Ubuntu, кто заинтересовался тем, что она сразу после запуска лезет на некому неведомые тайные сервера в GB, по whois'у принадлежащие Caninical? А ещё есть Ubuntu store и подобное, там копни и тоже много чего вылезет. Если сегодня взлетят иксы в Debian, снесу Ubuntu моментально и самым жёстким образом. Она мне BIOS не перепрошила bootkit'ами, пока несколько дней была запущена? Ни в чём нельзя быть уверенным. Конечно, не надо утрировать, я понимаю, что такое автообновление софта, праверка апедйтов и всё такое, но вышеупомянутые зловреды не имеют к апдейтам никакого отношения.

Debian "тоже хорош", но пока ещё спрашивает вопросы при инсталле типа "хотите ли сливать вашу статистику популярности используемых пакетов?", "хотите ли включить обновления безопасности и др. по умолчанию?", "хотите ли рассказать ntp серверам о вашем существовании?", "расскажите нам ваше location" и т.д. В BSD такой х-и не было! Вообще, много интересного было подмечено, как-нибудь надо будет расписать.

И самый главный вопрос: Debian netinstall подписи/хэши скачиваемых с сети пакетов проверяет хоть? У меня есть немало сомнений на этот счёт. Или у них логика, что netinstall — он для экспертов, а те из собственных репов всё ставяет по зашифрованному сторонними средствами каналу? Честно говоря, перерыл гугл, но не нашёл ничего внятного на этот счёт (как и вообще мануалов по тому, как ставить Debian через netinstall с объяснением пунктов меню). Как проверить подпись iso — с трудом разобрался, но вот насколько этот iso образ потом проверят скачиваемый с сети софт — это вопрос.

Вообще, есть вопрос и топик, куда все подобные наблюдения последнее время складывались. Может, лучше там продолжать, а не развивать ещё один, этот? Хотел туда написать, но unknown тут отписался.
— unknown (25/07/2013 09:48, исправлен 25/07/2013 09:51)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Наблюдения очень интересные, но тот топик не совсем то (как, получается и этот — раз есть более интересный подход к заданной теме). Если вас интересует не Live-(CD/USB), которые всё-таки отдельное решение для временной периодической работы, а нужна регулярная система (пусть противник ломает голову при анализе трафика над тем, что вся ваша работа в интернете анонимна всегда, по принципу "буду скрывать, что мне нечего скрывать, вдруг в будущем пригодиться что-то скрыть"), то лучше создать отдельную тему. Там можно подредактировать коменты для большей ясности.



Да. По умолчанию в инсталляторе есть и активируются все нужные ключи и это специально сложно отключить вручную. По-крайней мере, про косяки в реализации этого вроде неизвестно.



Нет. Это ведь не защищает от подмены пакетов на самом сервере репозитория, а Debian рассчитывает на множество зеркал, которые не обязаны быть доверяемыми.



Вам, надеюсь, в игры играть не нужно? Ставьте простые иксы, современных процов хватит даже на вытягивание нагрузки при просмотре HD-video без аппаратной помощи видяхи.

— Гость (25/07/2013 18:53)   <#>

firmware, опечатался.


Я хотел немного рассказать про Ubuntu, Debian и Tails, попробовал их все. Ну, и про половую ориентацию тех, кто делал инсталлятор Debian — это особо заслуживает внимания.


Это радует.


Я понял. Имелось в виду, что на крайняк можно создать собственный себе подктрольный реп, проверить его аутентичность какими-то средствами (тем же PGP), а потом натравливать netinstall на этот реп, обеспечивая шифрование канала связи. Но раз Debian проверяет всё, что надо, то это излишне.


Ну, это смотря что считать играми. Debian netinstall — ну чем не игра? Чем не квест? Вы даже не представляете, насколько сложно пройти все уровни, сколько там пасхалок скрыто, сколько тонких никак не задокументированных тонкостей есть, которые можно только угадать. Если на каком-то уровне попал в тупик, то обратно уже не вернёшься, сохраниться в игре нельзя, остаётся только перезагружаться и снова начинать установку с нуля. Debian — он ведь очень умный, он позаботится о том, чтобы вы после совершения каких-то шагов не могли их совершить снова, не начав установку с нуля. Я где-то с 50-ой попытки только прошёл эту игру, потратил часов 12, и до конца не уверен был, что вообще игру можно пройти тем способом, что я хотел. Было дело, думал, что LFS пройти от начала и до конца, если есть знания, проще, чем Debian-овский инсталлятор. Там надо было угадать штук 5 вещей, которые полностью контруинтуитивны, даже если знать LUKS, LVM2 и чётко понимать, что хочешь сделать. Честно говоря, установка Debian вошла в TOP-2 самых сложных вещей в жизни, какие я когда-либо делал (из работы с софтом). По сложности её можно сравнить только с настройкой паравиртуализации на BSD-current-ядрах, где половина не работает, а другая половина становится ясной только из чтения рассылок (в своё время угробил неделю на это, но всё запустил, чему был несказанно рад). В общем, те, кто играют в установку и настройку открытого софта, в другие игры не играют — те слишком просты, да и времени нет.

Где-то на форуме ранее вы кому-то объясняли как ставить Debian и разбивать диски, но я с ходу не нашёл тот топик. Или мне показалось?


Уже поставил, вроде всё работает. Осталось только принтеры настроить и, по мере временных возможностей, установить паравиртуальные миры. Заодно вопрос тут же задам: если какая-то ОС не имеет DomU-ядра, но BIOS поддерживает хардварную виртуализацию, то, как утверждают, её всё равно можно запустить в Xen. Вопрос: что такая DomU ОС будет знать про хардваре? По всей видимости, всё? Т.е. никакой анонимности?

Вопросов много, не знаю, куда их складывать. Может, пока всё валить в этот топик, а там дальше видно будет...
— unknown (25/07/2013 21:35)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
А в Debian всё сделано как будто для тех, кто уже знает как им пользоваться. Это касается даже того, что на его сайте многое не найти, если не ползать по рассылкам и пр. Вообще, один раз пройдёте инсталлятор и зато на всю оставшуюся жизнь запомните — он десятилетиями меняется слабо. Ставится тупо как винда, next-next-ok, откиньтесь на спину кресла, или что там у неё сейчас пишется.

Единственное, что шифрованный LVM ставится крайне неудобно, согласен.


CUPS. Плюс к нему графический пакет system-config-printer для самых маленьких. Его можно после конфигурации снести с ненужными зависимостями. Да, он сам залезет на linux-printing.org и скачает драйвер под вашу модель, но этот драйвер, скорее всего — простой текстовый файл на несколько строчек, так что можно вроде как не бояться. CUPS прикройте iptables, хотя он снаружи по умолчанию и не слушает, но для перестраовки так лучше делать для всех даже локально слушающих демонов. А сверху CUPS и прочие локальные демоны прикрываете SELinux, чтобы никто не взломал, кроме АНБ.


firmware дрова не ставьте, если они не целиком GPL, а предлагаются из доп. репозитория, за который команда сборщиков Debian снимает с себя моральную ответственность. Для те же сетевух и видях. Пусть железо работают на открытых драйверах, но хуже. Тогда для параноиков лучше — это когда хуже. Firmware — это закрытые блобы или даже открытые с плохо исправляемыми уязвимостями и очень подозрительными при их внимательном рассмотрении. Как можно случайно в драйверах NVidia сделать дырку, дающую рута — не представляю, а в открытых драйверах серьёзные уязвимости бывают крайне редко.
— Гость (26/07/2013 01:14)   <#>

Ага, аж тоска берёт по FreeBSD handbook, NetBSD guide и OpenBSD FAQ — почти исчерпывающие описания соответствующих систем. Многие вещи изложены очень понятно, вплоть до настройки почты и того, как настраивать цвета в vim сконфигурировать mutt.


Всё было бы более-менее ОК за исключением ряда мелких пакостей, если бы не требовалось ничего шифровать. Там по сути весь ступор только на связывании LVM с LUKS. Надо бы написать эссе «Debian глазами BSD-юзера» по аналогии с древним баяном «Windows глазами Linux'оида».


Несколько раз выполнял apt-get install cups, смотрел на список того, что будет установлено (зловредный avahi-daemon, samba и пр.) и жал NO. Сегодня перешерстил интернет на предмет LPD, но добрые люди подсказали, что без CUPS никак (LPD в Linux якобы нет(?), а тот, что есть — всего лишь интерфейс с CUPS, причём я так и не понял, умеет ли аутентичный LPD печатать что-то помимо текстовых файлов). Ещё люди подсказали очень важную вещь, про которую, как водится, нигде не на сайте не написано, но которая очень помогает параноикам и вообще всем тем, кто не любит хлама в системе — опцию --no-install-recommends для apt-get. После неё сразу в 10 раз уменьшилось количество навязываемых пакетов при установке нужных, даже CUPS встал. Её куда-то можно прописать в умолчальные настройки? Завтра буду настраивать.


Спасибо за предупреждение, понятно. Но у меня принтер сетевой (хотя и не postscript printer), ему тоже дрова нужны?


Да, это в самую первую очередь сделал. Кстати, если подскажете как сделать так, чтобы cupsd при старте системы не запускался, пока я его не попрошу, буду благодарен. Каждый раз делать service cups stop после старта системы не хочется. Команду «update-rc.d трах-тибидох культ вуду заклинаю на SystemV уровнях старта» пока не умею. А если руками симлинки переименовать команда service cups start потом будет работать? Хочу, чтобы cups всегда был выключен, а когда надо, я его сам руками запущу, напечатаю, что нужно, и выключу.

На loopback почти никто кроме заядлых параноиков не фильтрует, а зря. Всякие локальные сервисы типа CUPS — идеальный способ обхода firewall'а: анонимный пользователь, который не имеет права ходить в сеть иначе, чем через Tor, обращается к локальному демону и отправляет ему на печать файл (указать, что его надо напечатать на удалённом сервере, нельзя?), вуаля.

Кстати, про avahi-daemon, который по умолчанию засунут зависимостями везде, куда только можно и нельзя: почитал в интернете длинный тред про Debian avahi от 2009-го и возмущения тем, что он установлен в Debian по умолчанию. Как ни крути, но по сути он тот же зловред, что и geoip: сам без спроса лезет в сеть, всем всё разбалтывает, знакомится со всеми подряд, всем рассказывает, что у кого запущено, какие сервисы есть, на каких IP. От такого ни один firewall не спасёт — он же сам лезет, от вашего лица, с вашими полномочиями. Ну вот зачем такой discovery protocol по умолчанию? Понимаю, что домохозяйки рады тому, что более не надо вбивать IP-адреса локальных принтеров и всё такое, но о безопасности тут никто не думает.


Никаких дополнительных репов не подключал, разве что non free, но он вроде официальный(?), причём его тоже удалось включить из инсталлятора, не залезая в комстроку. Что касается firmware, бывает такое, что без него железо вообще не работает. Кажется, я с таким сталкивался для некоторых wi-fi карточек под BSD.

А как-то можно универсально проверить, стоит ли в системе какое-нибудь firmware сейчас? dpkg-query -l |grep firmware |grep ^ii выдавал только alsa-firmware-loaders, я его снёс, и fxload заодно. Больше ничего такого вроде нет.

И ещё вопрос: есть какой-нибудь удобный тул для анализа дерева зависимостей между deb-пакетами? Хочется иметь удобный способ выяснить, какие пакеты можно снести без ущерба для функциональности системы, какие пакеты никому не требуются. Когда ещё не знал про --no-install-recommends, использовал старый дедовский спсоб: ставил как есть, а потом сносил все те зависимости, что не нравятся. Правда, на lib*-пакеты мне всё равно, а вот на остальное старался обращать внимание. Тем не менее, вопрос постоянно висел, не порушит ли это работоспособность программ (возможно, всё равно успел наставить в систему много лишнего). Если deb-пакеты компилили с линковкой с конкретными библиотеками, а я потом что-то из них снёс, оно может не запуститься. Если же все lib на месте, но снесено что-то дургое — тут я даже не знаю.

Подскажите про этот пакет: его снести если, ничего не рухнет? Толком не очень понятно, зачем он нужен, если никакого гнома в системе нет, вместо него оконный менеджер. Кстати, про иксы и менеджер: теперь у нас новая вольница — Debian прописывает дефолтным wm при старте тот wm, который был установлен в системе последним, хотя всю жизнь было такое понятие, как wm по умолчанию, коим служим twm почти во всех системах (хотя в Xenocara вроде был fvwm, возможно). Бинарь x-terminal-emulator удивил. Оказывается, это плоды введения в Debian виртуальных пакетов.

И ещё вопрос: какой сейчас оконный менеджер стоит поставить? Ну, чтоб был базовый функционал и без извращений. Я почитал ваши советы использовать BadWM, ION и RatPoison. Последний для работы и впрямь неплох, поставил его, всё ОК, но он фреймовый, в нём анонимность невозможна, т.к. окно TBB имеет фиксированный размер. Помню, в badwm не было декораций окон, но я его не осиливал, зато там можно было рескейлить окна, и он минималистичен. Слышал про популярность у гиков wm openbox, поставил его, вроде он шустр и не перегружен. В сети есть информация, как убрать в openbox декорации у окон, а то с ними работать вообще невозможно. Экраны на ноутбуках и так мелкие, мало что влазит, а если их ещё и декорациями окон захламлять, работать стнет вообще невозможно. Или есть какие-то варианты получше openbox? Нужен какой-то один хороший wm для работы (тут фреймовый, без вариантов) и один для интернет-серфинга (тут обычный, нефреймовый, тоже без вариантов). ratpoison неплох, его можно пока оставить, хотя dwm вроде популярнее, а вот в оконных нефреймовых я вообще не разбираюсь. Может быть, у каких-нибудь фреймовых wm есть floating-режим с ресайзом окон, и это самый оптимум? Ну, и надо чтобы базовые хоткеи настраивались, но это сейчас почти везде есть.
— Гость (26/07/2013 11:16)   <#>
Единственное, что шифрованный LVM ставится крайне неудобно, согласен.
Да не так уж неудобно. С 3-его раза понятна логика и ставится легко. Думаю, что кто-то и с 1-го раза удачно "прошел", потратив изначально побольше времени на чтение.
— unknown (26/07/2013 11:26)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Можно использовать aptitude и убирать [Shift -] все лишние зависимости.


Тоже хорошо.


Специально — не знаю. В алиасы если только.


Да, mv /etc/rc2.d/S02cups /etc/rc2.d/K02cups. Затем, sudo /etc/init.d/cups start, sudo /etc/init.d/cups stop. Если боитесь sudo, думайте сами, как без него выкручиваться, гвоздями он не прибит, хотя где-то он нужен.


Смотрите всё, что висит по netstat -pan --inet и фильтруйте, чтобы не лезло наружу.


Вот насчёт статуса пакетов в нём у меня некоторые сомнения. Сейчас даже debian-backports и debian-multimedia почти как официальные, хотя включить их при инсталляции и нельзя.


aptitude. Выбираете, что сносить, выходите в главное меню, если видите, что сносит пол-системы — то оставляете, что необходимо. Делаете несколько итераций, если понадобится и только когда результат удовлетворит — даёте окончательное подтверждение. Есть ещё графический synaptic, но у него проблема с ведением базы пакетов. Вроде то, что им наудалять, может потом само поставиться обратно, если снова воспользоваться apt-get или aptitude.


apt-cache rdepends [packagename]
Рухнет скорее всего.

Есть ещё полезные штуки:
apt-cache depends [packagename], apt-cache search [someword], apt-cache show [packagename].


Вопрос предпочтений. Для fluxbox можно накачать сотни стилей, например отсюда. А вроде и в конфиге можно полностью отключить обрамление окон и навести полный минимализм.


Не знаю таких.
— Гость (26/07/2013 12:15)   <#>
а как MC?
— unknown (26/07/2013 13:32)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Вы про это?
— Гость (26/07/2013 15:04)   <#>
да Midnight Commander. Плох? Тем кто и в Винде работает комфортно им пользоваться.
— SATtva (26/07/2013 15:23)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
А к чему Вы его привели? Это файловый, а не оконный менеджер.
— Гость (26/07/2013 21:01)   <#>

CUPS непобедим. Зашёл на 127.0.0.1:631, всё настроил, покормил принтер ppd-файлом. Пытался напечатать, ничего не выходило, потом вижу ошибку, что не найден файл hpcups. Установил printer-driver-hpcups, ошибка исчезла и из настроек cups смог распечатать их тестовую страницу. Потом начал думать, как напечтать что-то из консоли. Вроде lpr filename.pdf должно работать, но не работает. Судя по интерфейсу из браузера к 127.0.0.1:631, job в списке не появляется. Для печати создал отдельного юзера, добавил ему права в этом CUPS-интерфейсе, также его прописал в группу lpadmin. Эксперименты:



lprm вроде удаляет очереди. Почему нет сокета к lpd — без понятия, руками вроде ничего не удалял. Вся загвоздка в нём? Пробовал service lpd stop/start — не помогает. Может, какого-то софта не хватает? Писали, что нужен apsfilter или magicfilter, но если уже установлен cups-filters, то надо ли ещё чего-то для печати pdf-файлов? Пока ставить не стал.


Ввиду вышеприведённых экспериментов его не стоит уже ставить? Чем он тут поможет(?).

P.S. alsamixer показывал много регуляторов в Ubuntu, а тут — всего лишь 4: Master, PCM, S/PDIF и BEEP. У amixer их чуть больше — штук 5, но всё равно мало. Звук работает.


mc не нужен для большинства задач, если есть zsh + умное_автодополнение + алиасы + авто_cd + hashы_(шорткаты)_для_директорий.
— Гость (26/07/2013 21:12)   <#>

А почему в rc3.d, rc4.d и rc5.d можно S*cups в K*cups не переименовывать? Сейчас вот так:

— unknown (26/07/2013 23:47, исправлен 27/07/2013 00:01)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

В /etc/inittab см. п. default runlevel. Если иксы запускаете не вручную, то скорее всего он не второй, а пятый. Если другими уровнями не пользуетесь, то в них можно не трогать.


Не помню как, но CUPS УМВР из консоли через стандартную заглушку lpr только при запущенном демоне.


alsamixer должен показывать всё [F5]. Переключайтесь между несколькими звуковухами [F6], сейчас они бывают виртуальными, даже внутри видях или внешних мультимедиа устройств. Хотя в Убунте могло быть новее и фичастее ядро и alsa.


P.S. По теме есть устаревший материал: Uwe Hermann: Towards a moderately paranoid Debian laptop setup.

На страницу: 1, 2, 3, 4, 5, ... , 18, 19, 20, 21, 22 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3