Список следящего ПО (безопасная установка Debian)
Давайте соберём список проприетарных и открытых программ, которые без ведома пользователя по умолчанию отправляют статистику и подобные вещи? Если эта функция в программе не отключается, то можно выделять заголовок страницы с программой жирным.
Ещё можно читать соглашения конфиденциальности и брать только интересные части, отсеивая всё лишнее, упоминая о продаже пользовательской информации.
Прим. модер.: поскольку тема ожидаемо превратилась в местный филиал ЛОР, то следящие программы в следящих ОС можно обсудить где-то отдельно. В разделе оффтопик, например ;)
В OpenBSD, в предстоящем релизе (1-ое мая):
Правда, по ссылкам на мануалы написано туманно. На всех ли пакетах будет подпись? Или они делают дефолтной сверку только тогда, когда файл с подписью существует, а существовать он будет не для всех пакетов? И как обстоят дела с подписью портов?
Шифры Бернштейна становятся всё популярнее.
Только ECC, только Чача, только Бернштейн, только OpenBSD!
Выделение копирует то, которое в оригинале по ссылке.
комментариев: 1060 документов: 16 редакций: 32
В этих ваших мобильных хромах и всём, что на них основано, они уже основные шифры. У CipherSuites с ними приоритеты поставлены выше, чем у AES-GCM.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 11558 документов: 1036 редакций: 4118
Помимо отрицания, есть и другие модели угрозы — та же cold boot. Как раз есть смысл разделять информацию по разным крипторазделам, чтобы в оперативной памяти не было ключей на те разделы на момент атаки, которые не были жизненно нужны на тот момент.
Да. Ну, или хотя бы LiveCD + бессигнатурное шифрование.
Не обнаружат. Не будет там файлов. И отдельных разделов тоже.
Помимо ссылки SATtva'ы читайте последнее обсуждение вопроса.
комментариев: 9796 документов: 488 редакций: 5664
cryptsetup luksClose именно этим и занимается — вайпит ключи из памяти при закрытии разделов, против cold boot должно помогать.
Вообще было бы здорово систематизировать и вышесказанное, и сказанное в других местах про Debian. Факт, что здесь есть кому и чем дополнить хорошие тексты по теме (1 и 2). Имело бы большую практическую ценность.
Если б ещё на это был воз времени... Когда-нибудь надо будет сделать.
Да в общих чертах хотя бы: если плясать от того, что по ссылкам написано (там всё хорошо написано), то достаточно перечислить что сделали в процессе, что сделали после процесса. Плюс и минус. А добрые люди посмотрят и дополнят.
На всякий случай буду этого ждать :).
В конце этого комментария есть про разбиение дисков и их шифрование (как раз в общих чертах).
И ещё: порядок прохождения пунктов главного меню не всегда строг, но, чтоб не ошибаться, лучше делать попорядку. Если где-то в пункте n вы сделали ошибку (или после пункта n поняли, что надо переделать всё, начиная с пункта n-m), то не всегда можно вернуться выше по меню и повторить действия пунктов, которые хочется, поэтому часто приходится перезагружаться и начинать проходить весь квест снова с нуля. Когда детально не знаете инсталлятор, на это может уйти много времени.
+ Надёргайте советы/обсуждения, которые были на предыдущих страницах этого топика.
Да. Я вообще автор практически любых постов, особенно содержательных, но не только. Их сейчас 80000. Буквально вчера был юбилей, я взял get: /comment80000. Из них порядка 40000 моих. Это очень много. Посмотрите на эту страницу. 40k — это ведь больше, чем TOP-50 всех пользователей, вместе взятых (26454) и больше, чем TOP-100. Мне реально страшно. Другие тоже боятся, включая SATtva'у и unknown'а. 40k комментариев и 9 лет жизни, больше 10000 часов потраченных на какой-то ИБ-форум. Я обычно значительно лучше помню, что они писали, где и когда, чем они сами. Они об этом подозревают, но даже они догадываются далеко не о всём. И если в конфликтах кто-то говорит «я устал, я ухожу» это будет реально хреново не просто потому, что -50% полезного содержимого сразу (это ещё пол беды), а потому, что оставшимся двум-трём будет уже не с кем здесь говорить. И та редкая ценная публика, которая пока сюда нагоняется искуственно и пишет годноту, перестанет её писать — её просто никто не будет заставлять. Т.е. реальные потери будут не один, а больше, чем один. Об этом тоже не задумываются.
Обычно я ежемесячно зеркалирую содержимое обновлений. Последние 2 месяца времени реально не было, писал значительно меньше обычного. И вот сразу было видно, как сильно просело общее число новых комментариев. Прошёлся по смысловым топикам — много где ничего даже не откомментировано по существу.
Видите всплеск? А всего-то пару раз зашёл прочитать и написать, если есть что сказать. Сейчас аж самому интересно стало. По умолчанию страница содержит 50 последних комментов. На текущий момент из них 41 принадлежит неавторизованным юзерам. Из этих 41 только 7 не моих. (9+7)/50 ≈ ⅓. Значит, ⅔ моих. Караул. Это больше половины, т.е. даже больше, чем я ожидал из общих соображений. Реально страшно. Жуть.
Самое обидное в том, что форум как объединение широкой группы профессионалов не состоялся. Думаю, 95% его содержимого создали 5-7 человек. Ну, пусть даже 10. Что изменилось, если бы это была приватная площадка этой десятки? Они разве что стимулирующие посты новичков потеряли бы.
Вообще, форум — он наркота. Начинается с безобидных вопросов, вникания в тему, потом втягиваешься, и выбраться обратно уже не можешь. Хочется всё знать, всё читать, про всё быть в курсе. Тут как с чтением новостей — надо соблюдать диету. Просто раньше привык, что ничего не знаешь — и всё хорошо, 5 копеек вставил и сидишь довольный. А теперь куда не глянь — везде можно 5 копеек вставить. И почти каждого можно поправить, и ссылки показать, и неглупые аргументы произнести. Вроде всё по делу, всё хорошо, но есть проблема, поскольку если помогать всем, кому можешь помочь, придётся этим заниматься круглосуточно, а это несовместимо, как минимум, с работой (не все ещё тут на пенсии). Надо привыкать проходить мимо, зная, что можешь протянуть руку помощи, и зная, что «это же быстро — пару строк черкануть», потому что один среднестатистический пост весит (считал специально) 20 минут личного времени, как ни крути, а это очень много.
В следующем месяце у меня точно не будет времени здесь кому-либо что-либо отвечать, разве что наскоком пробежаться глазами. И дальше будет тоже темнота и неопределённость. В общем, вы сами всё увидите. Жалко, но придётся отложить участие на неопределённое время и с неопределёнными последствиями, бо работа вообще стоит. :( Есть 5-7 вопросов, по которым готов материал или которые важны для себя, их выложу скоро. Остальное придётся отложить на неопределённое время. Возможно, даже до зимы. Я знаю, что от меня многие тут много чего ждут (и не только в этом топике), особенно готовых инструкций. И если я их не напишу, никто не напишет, увы. Их тоже придётся отложить. Порой до смешного доходит — «сапожник без сапог». Другим советуешь то, что сам себе не можешь сделать за нехваткой времени, и так тянется годами.
Эффект с этими «сам не сделаешь — никто не сделает», кстати, глобальный. В мире миллиарды людей, а надеяться не на кого. Нужна если вам та же отрицаловка — пишите спеку, статьи, в рассылку, аргументируйте, давите на LUKS-разрабов, пишите патчи. Можно ещё 10 лет ждать, когда кто-то из миллиардов людей это сделает за вас и не дождаться. «Вам нужно — вы и делайте, чай не дети уже, сами поди такие же серьёзные дяди, как и те, которые коммитят код в LUKS» — примерно такой должна быть логика. Все эти разговоры о том, что всё умное уже сделано умными людьми, а люди со стороны будут предлагать только дурость, не имеют под собой оснований. Любая нужная фича, код, проект — прежде всего, не гениальная идея, а результат упорного труда по её продвижению. Гениальные идеи можно придумывать ежедневно, а чтобы воплотить из них хоть одну в жизнь, порой приходится работать годами. Кстати, TrueCrypt с его многомиллионной аудиторией — яркий пример: будь он хоть 100 раз провальный на уровне идей, но конкурентов не было. Никто не сделал отрицание, даже самое примитивное, а они сделали. И теперь они законодатели моды фактически. Можно сделать лучше, но они были первыми. Хотите сделать лучше — пинайте Арно или кто у них там главный.
Наверно, не в тему написал, но ладно, пусть будет на правах оффтопика.
[/оффтоп, шутки и фантазии, не верьте написанному]
Я в основном предпочитал не ставить лишнее вместо того, чтобы сносить уже установленное. Сносить — это исключительный случай. Помню, что в инсталляторе выбрал не ставить laptop-специфичный софт (тянет всякую геолокацию). После инсталляции удалил (перенёс) sudo и su. Удалил dbus. Соответствующие библиотеки оставил, они вроде не опасны. Отключил IPv6 на уровне grub. После загрузки добавил автоудаление модуля ядра (rmmod rts5139, он жрал процессор) и остановку демона печати (service lpd stop). Отключил авторстарт CUPS и ещё чего-то, уже не помню. Смотрите по netstat -lpn, что у вас запущено, и что из этого не нужно. avahi, к счастью, не были установлен. Вот так сходу полный список всех модификаций я не припомню, это просто первое, что пришло в голову, потому и говорю: прочитайте внимательно этот топик. Вроде про все проблемы я тут отписывался. Ну, и я не слишком привередлив в плане софта, у меня достаточно аскетичное программное обеспечение (нет гномов, kde и прочего). Не факт, что это подойдёт и вам. Также не факт, что в новом релизе Debian все эти рекомендации по тому, что сносить, не устареют.
Там и про PulseAudio написано. Когда она у меня стояла на убунте, это было сложным и глючным комбайном, который часто или не работал или работал не так, как было нужно. Старая добрая ALSA меня всем устраивала, и я не видел никакого смысла в том, чтобы пихать себе этот комбайн и терпеть его глюки. Часть глюков шла от того, что PA — это система для домохозяек. Она очень плохо дружит с тем, когда вы начинаете пытаться параллельно работать со звуком через ALSA или ещё как-то. Естественно, масса консольного софта (тот же musicpd или прочие простые проигрыватели-нотификаторы в скриптах типа mpg123) не очень хотят знать про PA, и это хорошо. PA не терпит такого пренебрежения и начинает мешать.
Добивает и то, что вы ничего не можете изменить, если что-то идёт не так. Например, мне нужно было, чтоб звук работал независимо от того, какой дисплей (иксы или консоль) сейчас активны. Я привык работать под несколькими пользователями одновременно, переключаясь между ними. Однако, если один из них проигрывает музыку, а вы переключаетесь в соседние иксы, звук останавливается. После окончания проигрывания каждого файла было несколько секунд таймаута, ранее истечения которого mplayer не завершал свою работу. Иногда это просто глючило и не работало, поэтому приходилось полностью рестартить иксы и PA, чтобы получить хоть какой-то рабочий звук. Я всю эту херню терпел годами. И уверен на 100%, что в нормальном минималистичном гнезде параноика под названием «заточенный под мои нужды Linux/Unix» этот PA на данном этапе нахрен не нужен ни в каком виде. Помню, что гуглил, пытался применить какие-то хаки из сети, сответовался с более опытными, но толком починить это поведение мне так и не удалось. Если чинилось одно, то тут же переставало работать другое и т.д.
Это всё гуёвое, разработанное гуеориентированными разработчиками для гуёв. Это та же дичь, что и freedesktop и прочее. В общем, ссылка на лурке появилась не зря. В сообществах линуксоидов PA и другие поделия известного персонажа ругают уже который год. Вы, наверно, это и без меня знаете. Кстати, библиотеки от PA всё равно приходится ставить, и оно создаёт левые временные директории в /tmp и прочих местах. Однако, номинально PA у меня сейчас не установлен, и никаких проблем со звуком нет.
Вообще, стоит признать, скоро «установить систему без X (отключить на этапе инсталляции или снести потом)» будет требовать виртуозного искусства. Всю эту дичь так плотно встраивают во всё, что только можно, что отключить становится нереально. Например, всякие встроенные в железки Linux'ы спокойно работают без dbus'ов и udev'ов, а вы попробуйте их выпилить из дистра общего назначения... скоро целый LFS для этого понадобится.
Linux планомерно превращается в винду, всё под массового пользователя.