Список следящего ПО (безопасная установка Debian)
Давайте соберём список проприетарных и открытых программ, которые без ведома пользователя по умолчанию отправляют статистику и подобные вещи? Если эта функция в программе не отключается, то можно выделять заголовок страницы с программой жирным.
Ещё можно читать соглашения конфиденциальности и брать только интересные части, отсеивая всё лишнее, упоминая о продаже пользовательской информации.
Прим. модер.: поскольку тема ожидаемо превратилась в местный филиал ЛОР, то следящие программы в следящих ОС можно обсудить где-то отдельно. В разделе оффтопик, например ;)
комментариев: 9796 документов: 488 редакций: 5664
1. Grub поставлен как-то криво. Перед шифрованным физ.томом или на внешней флэшке нужно разбиение на разделы всё равно. Внутри разделов делайте, что хотите.
2. Есть, например, конфиг /etc/grub.d/custom, практически пустой по умолчанию. Только в него и можно добавлять свои строки. Остальные конфиги граба трогать нельзя, в них предупреждения есть, что они только для системных скриптов. Этот подход широко применяется ещё много для чего, когда системный юзерский конфиг разнесён с основным системным конфигом для автопарсинга, который может быть перетёрт при обновлении пакетов.
3. В /etc/rcS.d заменяется название первой буквы симлинка с "S" на "K" (пока Поттеринг всё не испортил). Так нормально отключаются любые демоны, в т.ч. и CUPS. Сами стартовые скрипты в /etc/rc[X]d напрямую править чревато.
4. Не следует увлекаться нестандартными опциями монтирования в fstab (readonly для /boot, noexec для /home и пр). Безопасность это практически никак не повышает, а проблемы штатной работе системы создать может.
5. Нельзя напрямую поставить своё перекомпиленное ядро. Надо собрать из него пакет. Ошибки в стабильном дистрибутивном ядре находят десятками, а поскольку большинство их них некритично, то релизят кумулятивный фикс с большими задержками.
6. Над рамдиском можно издеваться, перепаковывать. Но опять же, смотреть структуру, куда можно лазать, а куда нет. Т.к. при обновлении ядра рамдиск перепаковывается автоматом и там могут быть заменены системные модули. Если туда ставится что-то своё, то как и везде, надо выяснить, где находятся области (конфиги, каталоги), которые предназначены для ручной правки, а в каких областях ничего трогать нельзя.
Самый общий принцип: много конфигов в системе не для человека. Доступные для правки вынесены часто отдельно и многие вещи надо специально читать в манах и инструкциях как делаются, чтобы не было конфликта с системными опциями. Т.е., возможность кастомизации сохраняется, есть даже специальные утилиты, но надо знать особенности не просто системы, но её реализации в своём дистре.
Очевидно, /tmp смонтирован с noexec.
Да. Теперь исправил.
Я понимаю. Это, кстати, одна из тех особенностей, за которые я не люблю современные Linux'ы. В BSD (за исключением FreeBSD) можно было лезть руками практически всюду, и это работало напрямую и без глюков.
По-моему, в последнем стабильном Debian стартовые сервисы и поныне так отключаются. Что не так? Вы про systemd, которого по умолчанию ещё нет?
комментариев: 9796 документов: 488 редакций: 5664
Про него.
Linux'ы есть разные. Помимо вездесущих Debian-based и RPM-based есть ещё и Slackware. Она гораздо ближе к UNIX'оидной старой школе.
Я вот для пробы 2-3 года назад поставил рядом со своим Slackware ещё и Debian и тоже был разочарован (помимо многого другого) тем, что между мной и системой встают "умные автоматы".
Кстати тоже о нём подумал. Из всех дистрибутивов это наверное самый консервативный и соответствующий unix-way. И по словам разработчика, он не планирует переход с init на systemd. Вообще, отношение к systemd очень показательно, как лакмусовая бумажка. Очевидно, что это сложное, ненужное и небезопасное ПО с тоталитарными замашками. Кто этого не видит, разменивает стабильность и безопасность на модные фишки и погоню за "современностью", тот по большому счёту глупец или просто хомячок-виндузятник по ментальности. Ну а идеал это конечно LFS. К слову сказать, пользуюсь сейчас RPM дистрибутивом (CentOS c upstart), проблем описанных unknownом практически не замечаю. Grub там старый и беспроблемный, chkconfig для переключения уровней запуска работает, рамдиск существенно изменён, многие системные конфиги нормально редактируются. Репозиторий довольно беден, но я им не пользуюсь, т.к. ставлю из исходников, поэтому данной проблемы не замечаю.
комментариев: 1079 документов: 58 редакций: 59
Я тоже думаю о смене дистрибутива. Правда пока не знаю, в сторону чего смотреть. Понятное дело – Gentoo, но у меня нет времени на него, да и знаний тоже. Попробую Slackware поставить на днях.
unknown, а ты же на Debian сидишь вроде, какие мысли на этот счет? Ну т.е. если бы пришлось мигрировать, чтобы ты выбрал для себя? Спасибо.
комментариев: 9796 документов: 488 редакций: 5664
Никаких
Firefox и openoffice (libreoffice) тоже самостоятельно собираете?
Почему Патрик выпилил Гном?
И правда ли что:
– по причине того что пакетный менеджер не разрешает зависимостей между пакетами то в один пакет уже все включено?
– из коробки ловится практически всё железо?
1. Начиная с 6 версии есть два основных варианта установки: MinimalCD и обычный десктопный. Первый главным образом предназначен для серверов (использую его на VPS). В десктопном Гном есть, 2 версия. На самом деле предопределённых вариантов установки в инсталляторе больше (порядка пяти или вроде того если использовать образ на DVD), можно вообще все пакеты вручную выбрать. Пользуюсь этим дистрибутивом не так давно, около полугода. Так что специалистом по нему не являюсь. До него 6 лет была Fedora, поэтому трудностей при переходе на CentOS не испытывал, всё было знакомо. С Федоры решил уйти, т.к. новые версии стали слишком нестабильны, а сама система из-за повышающейся сложности, обилия нового и ненужного для меня ПО стала превращаться в чёрный ящик.
2. Никаких проблем с пакетным менеджером не замечал, все зависимости автоматически разрешаются. В пакет обычно входит только то что нужно. Хотя в некоторых случаях бывают не совсем логичные связи. Например cron почему-то зависит от postfix. В принципе это объяснимо, но не вполне разумно, на мой взгляд. Никаких особых проблем это не доставляет, в других дистрибутивах скорей всего есть аналогичные случаи.
3. Про всё железо ничего сказать не могу, на моём всё работает.
Не знаю. Гном меня не волнует.
Нет. Если нужны пакеты не входящие в Slackware (в дефолтный, полный install) это документируется. Пример. Обратите внимание на "This requires:".
Поддержка железа зависит больше от версии ядра, а не от дистра.
Но в Slackware немного лучше, да.
Пример: Моя WiFi карта в Debian'е требует сперва прописать non-free репозитарий в /etc/apt/sources.list, затем установить пакет с firmware. В Slackware — из коробки (пакет с firmware ставится по дефолту).
Видимо нет.