id: Гость   вход   регистрация
текущее время 08:07 23/06/2024
Автор темы: Гость, тема открыта 23/07/2013 01:13 Печать
Категории: софт, сайт проекта, свободный софт, закрытый софт
https://www.pgpru.com/Форум/UnixLike/СписокСледящегоПОбезопаснаяУстановкаDebian
создать
просмотр
ссылки

Список следящего ПО (безопасная установка Debian)


Давайте соберём список проприетарных и открытых программ, которые без ведома пользователя по умолчанию отправляют статистику и подобные вещи? Если эта функция в программе не отключается, то можно выделять заголовок страницы с программой жирным.


Ещё можно читать соглашения конфиденциальности и брать только интересные части, отсеивая всё лишнее, упоминая о продаже пользовательской информации.


Прим. модер.: поскольку тема ожидаемо превратилась в местный филиал ЛОР, то следящие программы в следящих ОС можно обсудить где-то отдельно. В разделе оффтопик, например ;)


 
На страницу: 1, 2, 3, 4, 5, ... , 18, 19, 20, 21, 22 След.
Комментарии
— unknown (28/07/2013 01:51)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Точно не знаю, я бы тоже не рискнул так делать. Скорее это не особо полезное излишество.


Тоже ерунда. Чтобы там что-то сделать, нужно иметь рута, а имея рута можно подмонтировать. Также как и всякие монтирования разделов в noexec или read-only давно устаревшие советы в плане безопасности. Скорее перестраховка от случайных сбоев, но не от преднамеренных атак.


Если в какой-то момент сетевого интерфейса ещё нет, а правило есть, ни один сетевой пакет под правило не подпадает и всё ОК.

Это распространённый и критичный принцип. Он должен соблюдаться во всех системах. Вроде, для перестраховки можно ещё сам скрипт iptables написать таким образом, что сначало заводятся все правила и только последнее открывает работу всех предыдущих, запускает выход пакето в сеть. Точно не помню, но какая-то фича есть, специально для хостов, где критично при рестарте iptables, чтобы не было никакого окна времени в долях секунды, за которое злоумышленник мог бы что-то успеть.
— Гость (28/07/2013 02:32)   <#>

Да, тоже так подумал, но на всякий случай сделал, хотя понятно, что при получении рута это как мёртвому припарка. SATtva уже писал на эту тему.
— SATtva (28/07/2013 10:38)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Хотелось бы каждый раз перед блокированием экрана выключить джаббер и отмонтировать раздел с конфигами/логами, которые он пишет/читает, это было бы самым надёжным, но тут получается много шагов

Настройте безопасный hibernate, unknown приводил в форуме порядок настройки. В этом случае диски отключатся сами, память будет сброшена в зашифрованный swap, а при возвращении к компьютеру нужно будет только ввести загрузочный пароль, чтобы всё автоматически вернулось на место.
— Гость (28/07/2013 19:28)   <#>

Да, работает. Во всяком случае, теперь dhclient -v -4 eth0 не запускается на udp6.


Тем не менее, всё равно проверил технику автора по автоматическму remount /usr при пользовании apt-get. Тоже работает.


Да, интересная мысль, стоит подумать над этим.
— unknown (28/07/2013 22:26)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Предположим, при скачивании security-update что-то неочевидное захочет обратиться к /boot. Не апдейт для grub или ядра, а какой-нибудь для LVM или что-то для работы с ФС. Понадобятся новые модули при загрузке и пересборка рамдиска, который лежит на /boot. По идее оно как бы напишет, что апдейт прошёл неуспешно, но есть сомнение: если не провести повторно правильный апдейт-апгрейд со смонтированным как нужно /boot, а вместо этого нечаянно сделать reboot, то не получится ли после перезагрузки, что из-за недозавершённого апдейта поимеем невозможность войти в систему, особенно если там всё пошифровано?

Это маловероятно и нефатально: можно всё вручную разрулить, но какие-то неприятные моменты теоретически могут быть.

Вообще, при шифрованной ФС есть смысл грузиться с флэшки, после чего её вынимать. А /boot раздел на винчестере оставить, пусть на нём апдейтится.
— Гость (28/07/2013 23:03)   <#>
поимеем невозможность войти в систему, особенно если там всё пошифровано?
ошибка update действительно выскакивает, но система загружается.
— Гость (28/07/2013 23:23)   <#>
Насчёт /boot согласен. Как раз чего-то такого и боялся.
— Гость (28/07/2013 23:26)   <#>

Думаю, зависит от конкретного update'а, т.е. от фатальности произведённых изменений и их обратной совместимости с тем, что ранее было.
— Гость (28/07/2013 23:38)   <#>
А /boot раздел на винчестере оставить, пусть на нём апдейтится.
который открывается (при полнодисковом шифровании) после загрузки? иначе не понятно.
— Гость (29/07/2013 00:06)   <#>
/boot никогда не шифруется, это обычный раздел на диске. Точнее, в grub2 вроде добавили опцию шифрования /boot, но большого смысла это обычно не имеет.
— Гость (29/07/2013 00:13)   <#>
/boot никогда не шифруется,
Не шифруется, но речь идет о другом. /boot находится на флеш, но и на венчестере так же. unknown (28/07/2013 22:26) правильно?
— Гость (29/07/2013 00:53)   <#>
На флэш находится копия /boot. Загрузка идёт по умолчанию с неё. По мере необходимости можно /boot и флэшку синхронизировать.
— SATtva (29/07/2013 08:45)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
На флэшке находится доверенная копия /boot.
fixed
— unknown (29/07/2013 10:08, исправлен 29/07/2013 10:09)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Совершенно верно. Можно ещё копию /boot и/или загрузочной флэшки хранить и в зашифрованном корне, чтобы при необходимости вручную примонтироваться ещё с одной флэшки — на которой Live-USB система, чтобы можно было с корня вытащить бэкап, если /boot на винчестере недоверяем, а повседневная загрузочная флэшка повредилась.


Ну или ещё как-то придумать как подстелить соломку с бэкапами.

— Гость (29/07/2013 10:16)   <#>
Если флэш попадает в руки злоумышленику, это не является угрозой? Иными словами, то что /boot в открытом виде – это не угроза?
На страницу: 1, 2, 3, 4, 5, ... , 18, 19, 20, 21, 22 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3