Список следящего ПО (безопасная установка Debian)
Давайте соберём список проприетарных и открытых программ, которые без ведома пользователя по умолчанию отправляют статистику и подобные вещи? Если эта функция в программе не отключается, то можно выделять заголовок страницы с программой жирным.
Ещё можно читать соглашения конфиденциальности и брать только интересные части, отсеивая всё лишнее, упоминая о продаже пользовательской информации.
Прим. модер.: поскольку тема ожидаемо превратилась в местный филиал ЛОР, то следящие программы в следящих ОС можно обсудить где-то отдельно. В разделе оффтопик, например ;)
Не знаю, нет определённой статистики. Источники вроде разные, но на 100% не поручусь.
По-моему, почти все проигрыватели под Linux — mplayer и его производные. Ну, vlc ещё относительно популярен.
комментариев: 9796 документов: 488 редакций: 5664
Firefox, который был взят для сравнения — кроссплатформенный. А эксплойты в нём использовались в основном под винду. Mplayer, вроде бы тоже кроссплатформенный, но рассчитывать, что массовый пользователь будет открывать файл именно им, не следует. Эксплойты в нём могут быть использованы скорее только как узко целенаправленные. И возможно, массово распространяемые специально сформированные медиафайлы рассчитаны на уязвимости в других плэйерах и операционках.
комментариев: 5 документов: 0 редакций: 0
комментариев: 5 документов: 0 редакций: 0
комментариев: 9796 документов: 488 редакций: 5664
В текущих стабильных релизах systemd пока ещё по умолчанию не ставится.
Приучайтесь ставить все дистры в режиме "expert-install" в минимальной инсталляции без иксов, с доустановкой всех нужных вам пакетов из системы далее вручную, чтобы не было неожиданных сюрпризов по поводу того, что что-то выбрали за вас по умолчанию. И перед выходом каждого релиза читайте мануал, где подробно описано, что внедрили нового и как ставить. Желательно читайте на английском, а не в переводе. Хотя переводы там вроде как нормальные.
Тема vim'а, пост о п-сах.
Суть: файл ~/.vim/.netrwhist, в который утекают данные. Про emacs говорят, что это хорошая ОС, в которой нет редактора. Видимо, vim решил восполнить этот пробел, добавив к редактору функции ОС. Зачем это всё тащить в редактор? Вопрос риторический. Интересное:
set netrw_dirhistmax=0 в ~/.vimrc закроет утечку?
По ссылкам [1], [2], [3] обсуждается правка сорсов и особо извращённый культ вуду с переменной runtimepath. Что куда прописать, чтобы поменять местоположение директории ~/.vim, так и не понял. Хуже то, что я не совсем понимаю, при каких условиях она создаётся и туда что-то пишется (я не хожу на удалённые сервера, максимум — выполняю скрипты на других файловых системах, но не удаётся создать тестовый пример).
На ум приходят ещё 4 хака:
Ошибка синтаксиса. Наверно, должно быть g:netrw_dirhistmax=0 в конфиге. На такой вариант, по крайней мере, ругани нет, хотя, наверное, нет смысла этим заморачиваться — люди целенаправленно работают над увеличением числа утечек:
Что с патчем, что без создаваться она будет всё равно при каких-то обстоятельствах.
комментариев: 9796 документов: 488 редакций: 5664
Раньше что-то подобное было только в SELinux и GRSecurity.
комментариев: 9796 документов: 488 редакций: 5664
А здесь ядро перекомпилять не надо. Достаточно изменить параметр в /proc на лету из под рута. Иди внести параметр монтирования /proc в /etc/fstab.
Слишком сильное утверждение, легко сводимое к абсурду. Так можно сказать, что и права не нужны и ACL. Пусть тогда всем будут прописаны беспарольные права рута через sudo. В том числе для серверов, торчащих наружу в сеть. А кому не нравится — пусть используют виртуалки.
Но ведь разработчики архитектуры UNIX именно так и думали, иначе вы ничем не объясните те факты, что
- Список процессов каждого юзера виден всем.
- Права на создаваемые файлы и директории по умолчанию таковы, что дают доступ на чтение вообще всем.
- Каждый пользователь имеет широкие права доступа к системным ресурсам: просмотру сетевых настроек, логов ядра, списку пользователей и групп, логам последних логинов пользователей и длительности их сессий... список можно продолжать бесконечно.
- По умолчанию нет никаких квот на системные ресурсы: память, процессор, дисковое пространство, поэтому повесить намертво систему — нефиг делать. Идут года, но ничего не меняется: каждое поколение вновь открывает для себя эти форк-бомбы. И даже самые красноглазые, которые долго игрались с ulimit, прекрасно вырубаются специально написанными эффективными форк-бомбами.
Эти пункты логично объясняются тем, что «все работают над одним общим делом», и «никто не будет друг другу намеренно вредить», «вредителю просто отрежут доступ к серверу». Сервера и истино многопользовательские системы, где «никому доверять нельзя» появились намного позже, чем создавался UNIX, и они до сих пор страдают от изъянов исходной архитектуры безопасности. Впрочем, о чём вообще может идти речь, если изначально там был telnet, а не ssh, т.е. все пароли передавались открытым текстом? Попытка прикрутить безопасность задним числом приводит к тому, что имеем.Общий принцип на серверах — «доступ кому попало не давать». По сути на сервере остаётся только административный персонал, у которого и так рут есть. По этой же причине исходную идеологию «давайте всем сервисам, требующим аккаунты, будем создавать аккаунты системных пользователей» стали заменять на другую, где системные юзеры создаются сторонним приложением, и только оно управляет доступом. Ещё давно это было сделано для дырявой SAMBA'ы, а сейчас, наверное, вообще почти для всего так.
На десктопах мы видим тот же результат, но по другим причинам: юзер сам себе типа не враг, поэтому по умолчанию sudo вообще пароля на рута не требует. Обычный ПК — не «система для безопасной обработки данных», «нормальному юзеру скрывать нечего», поэтому общий крен сейчас как раз в сторону демонтирования даже тех систем защиты, которые в исходном UNIX'е были.
Похоже, топик начал оправдывать ваши прогнозы.