Список следящего ПО (безопасная установка Debian)
Давайте соберём список проприетарных и открытых программ, которые без ведома пользователя по умолчанию отправляют статистику и подобные вещи? Если эта функция в программе не отключается, то можно выделять заголовок страницы с программой жирным.
Ещё можно читать соглашения конфиденциальности и брать только интересные части, отсеивая всё лишнее, упоминая о продаже пользовательской информации.
Прим. модер.: поскольку тема ожидаемо превратилась в местный филиал ЛОР, то следящие программы в следящих ОС можно обсудить где-то отдельно. В разделе оффтопик, например ;)
Сделано [1].
Тревога была ложной (подумал, что это как-то заденет опцию --write-env-file и извлечение переменных, которые она пишет).
Возвращаясь к вопросу об SSH:
© man ssh-agent. Однако, аналогично GnuPG он себя не ведёт, как там описано:
комментариев: 9796 документов: 488 редакций: 5664
В отличие от скриптомесева №1 тут вы уже не сможете сказать, что надо
тупо писать тысячи строкрешать задачу встроенными средствами, потому что она ими уже никак не решается без сторонних костылей. Впрочем, можно сказать, что надо вручную переключаться между разными дисплеями и каждый по отдельности вручную блокировать, рискуя что-то забытьили не успеть,чтобы не усложнять логику работы.Тут сборная солянка получилась. Если убрать обвеску и оставить минимальное, то всё будет просто: скрипт lock.sh и команды запуска в ~/.xsession, всё остальное — излишества под персональные вкусы и заскоки. Неудобства с раскладкой можно пережить, прятки в /tmp по уму решаются только разделением юзеров по виртуалкам, (безопасный?) проброс произвольной инфомации между разными иксами не совсем в тему, а настройка внешнего маскировочного вида xdm'а и xscreensaver'а — во многом вопрос личных вкусов и предпочтений, хотя я старался его делать с упором на безопасность (чёрный ящик должен быть чёрным, а не серым). Если у вас есть желание что-то из этого улучшать/редактировать, скопируйте нужную часть вики-сорса и поместите, куда считаете нужным (я повторную злостную войну с вики-разметкой не осилю, там и так баги движка лезли в несметном количестве, кое-как их под ковёр замёл).
А это хорошая идея, надо будет взять на вооружение, ибо часто хочется показать обновлённую версию скрипта, а повторная публикация полного его текста из-за какой-то пары изменившихся строк смотрится несолидно (недостатоно новизны для написания
содержательной статьикоммента). И тут могут прийти на помощь диффы!комментариев: 9796 документов: 488 редакций: 5664
Вот этим мне и не нравятся скриптовые решения — каждый лепит по своему вкусу. Это допустимо и нормально, ведь скрипт — не минималистичная утилита. Тогда лучше набор команд с коментами, а каждый пусть сам из них соорудит скрипт под свои задачи. А авторский скрипт уже в конце повествования отдельным документом, как пример реализации идеи. Кто хочет, пусть изучает целиком.
И ресурс превращается … в аналог анонимной почтовой рассылки.
комментариев: 11558 документов: 1036 редакций: 4118
Не очень понятно, как это делать. ☹ Дело в том, что после разлогина закешированные ключи SSH (keychain) остаются в памяти, и это удобно. Если убивать все ssh-agent'ы, то убьются и полезные. Надо как-то тонко это учитывать…
Только не надо говорить, что те мои три скрипта сложные. ☺ На самом деле, проблема в том, что мало кто хорошо знает шелл, а способов сделать одно и то же есть миллион. Я не зря в конце поста процитировал:
Те скрипты хоть и были о другом, но наглядно подсказали, как примерно стоит решать такого рода проблемы. Они сильно помогли. Точно так же мои скрипты могут помочь кому-то другому, кто захочет написать нечто подобное, но под свой случай.
Кстати, дело даже не в скрипте. Многие скрипты сами по себе без надлежащих правок в других конфигах, определённых системных настройках и объяснений происходящего просто бессмысленны. Т.е., отделять надо, я бы сказал, не скрипты, а конкретные how-to [инструкции], частью которых являются скрипты.
Для большего минимализма можно добавить архивирование [сжатие] алгоритмом с pgpru-специфичным словарём, учитывающим частоту употребления тех или иных слов на сайте. В пределе точных частот Хаффман лично гарантирует максимум сжатия.
Может быть, это всё и объясняет (в том числе и то, почему ssh+torsocks не дружит с DNS*)?
Debian всех умнее, всех румяней и мудрее.* Упоминание:
Если посмотреть на pstree, можно увидеть, что запуск иксов — команды
В общем, после отключения опции ssh-agent не запускается, а в /tmp ничего лишнего не создаётся, что решает проблему для тех юзеров, которым SSH не нужен. С теми, кому он нужен, пока не тестировал.
Ещё одно применение: таким образом можно сбрасывать цепочки из-под недоверенного юзера. Юзер пишет сигнальный файл в директорию и через какое-то время его удаляет, а демон под рутом периодически проверяет его наличие; если появился, то отдаёт сигнал Tor'у kill -1.
Совсем недоверенным юзерам, конечно, лучше не доверять и это, а то ещё начнут бесконтрольно постоянно цепочки сбрасывать... Метод хорош тем, что давать доступ к управляющему порту не нужно.
комментариев: 1060 документов: 16 редакций: 32
После окончательного решения вопроса с init и внедрения systemd всё это будет настраиваться наверняка в другом месте.
комментариев: 9796 документов: 488 редакций: 5664
Всё никак руки не доходят проверить эту несложную идею. Ведь утонет в форуме, раз не оформлена отдельным документом. Меня интересует вариант, что под SELinux пользователи не могут читать файлы друг друга, а демон, даже запущенный под рутом, не сможет читать в /tmp файлы пользователей. А давать демону нестандартные расширенные права — тот ещё гемор.
Боитесь забыть о её существовании или потерять ссылку? Спросите, что ищете, и вам могут подсказать, где это лежит.
Так там права rwx на директорию и r на все файлы внутри неё. Этого недостаточно? Нужно именно владение?