Список следящего ПО (безопасная установка Debian)
Давайте соберём список проприетарных и открытых программ, которые без ведома пользователя по умолчанию отправляют статистику и подобные вещи? Если эта функция в программе не отключается, то можно выделять заголовок страницы с программой жирным.
Ещё можно читать соглашения конфиденциальности и брать только интересные части, отсеивая всё лишнее, упоминая о продаже пользовательской информации.
Прим. модер.: поскольку тема ожидаемо превратилась в местный филиал ЛОР, то следящие программы в следящих ОС можно обсудить где-то отдельно. В разделе оффтопик, например ;)
комментариев: 9796 документов: 488 редакций: 5664
Точно не знаю, я бы тоже не рискнул так делать. Скорее это не особо полезное излишество.
Тоже ерунда. Чтобы там что-то сделать, нужно иметь рута, а имея рута можно подмонтировать. Также как и всякие монтирования разделов в noexec или read-only давно устаревшие советы в плане безопасности. Скорее перестраховка от случайных сбоев, но не от преднамеренных атак.
Это распространённый и критичный принцип. Он должен соблюдаться во всех системах. Вроде, для перестраховки можно ещё сам скрипт iptables написать таким образом, что сначало заводятся все правила и только последнее открывает работу всех предыдущих, запускает выход пакето в сеть. Точно не помню, но какая-то фича есть, специально для хостов, где критично при рестарте iptables, чтобы не было никакого окна времени в долях секунды, за которое злоумышленник мог бы что-то успеть.
Да, тоже так подумал, но на всякий случай сделал, хотя понятно, что при получении рута это как мёртвому припарка. SATtva уже писал на эту тему.
комментариев: 11558 документов: 1036 редакций: 4118
Настройте безопасный hibernate, unknown приводил в форуме порядок настройки. В этом случае диски отключатся сами, память будет сброшена в зашифрованный swap, а при возвращении к компьютеру нужно будет только ввести загрузочный пароль, чтобы всё автоматически вернулось на место.
Да, работает. Во всяком случае, теперь dhclient -v -4 eth0 не запускается на udp6.
Тем не менее, всё равно проверил технику автора по автоматическму remount /usr при пользовании apt-get. Тоже работает.
Да, интересная мысль, стоит подумать над этим.
комментариев: 9796 документов: 488 редакций: 5664
Это маловероятно и нефатально: можно всё вручную разрулить, но какие-то неприятные моменты теоретически могут быть.
Вообще, при шифрованной ФС есть смысл грузиться с флэшки, после чего её вынимать. А /boot раздел на винчестере оставить, пусть на нём апдейтится.
Думаю, зависит от конкретного update'а, т.е. от фатальности произведённых изменений и их обратной совместимости с тем, что ранее было.
комментариев: 11558 документов: 1036 редакций: 4118
fixed
комментариев: 9796 документов: 488 редакций: 5664
Совершенно верно. Можно ещё копию /boot и/или загрузочной флэшки хранить и в зашифрованном корне, чтобы при необходимости вручную примонтироваться ещё с одной флэшки — на которой Live-USB система, чтобы можно было с корня вытащить бэкап, если /boot на винчестере недоверяем, а повседневная загрузочная флэшка повредилась.
Ну или ещё как-то придумать как подстелить соломку с бэкапами.