id: Гость   вход   регистрация
текущее время 15:50 29/03/2024
Автор темы: Гость, тема открыта 23/07/2013 01:13 Печать
Категории: софт, сайт проекта, свободный софт, закрытый софт
https://www.pgpru.com/Форум/UnixLike/СписокСледящегоПОбезопаснаяУстановкаDebian
создать
просмотр
ссылки

Список следящего ПО (безопасная установка Debian)


Давайте соберём список проприетарных и открытых программ, которые без ведома пользователя по умолчанию отправляют статистику и подобные вещи? Если эта функция в программе не отключается, то можно выделять заголовок страницы с программой жирным.


Ещё можно читать соглашения конфиденциальности и брать только интересные части, отсеивая всё лишнее, упоминая о продаже пользовательской информации.


Прим. модер.: поскольку тема ожидаемо превратилась в местный филиал ЛОР, то следящие программы в следящих ОС можно обсудить где-то отдельно. В разделе оффтопик, например ;)


 
На страницу: 1, ... , 3, 4, 5, 6, 7, ... , 22 След.
Комментарии
— Гость (30/07/2013 14:17)   <#>
вот еще, на вскидку посмотрел:
– нет vidalia
– в add-ons добавлен pdf viewer и torlauncher(что такое?)
— sentaus (30/07/2013 14:56)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
в которых бэкпортировать решение от уязвимости в старые версии всё сложнее и сложнее.

Я про это и говорю, иногда версия из дебиана уже не поддерживается основными разработчиками, а простое добавление исправления уязвимости что-то ещё ломает.

Ну и ещё бывает, что фикса от производителя вообще нет.
— sentaus (30/07/2013 14:57)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
чем помешал opendns?


Он мешает странными ответами на несуществующие домены.
— Гость (30/07/2013 20:59)   <#>

  • Если мозги есть, опыт есть, желание учиться есть, и железо поддерживает, то NetBSD. Там нет никакого срача в системе, грёбаных UDEV'ов, DBUS'ов, сверхумного grub2 и пр., зачто есть полезные для анонимности и шифрования фичи, такие как LVM2 и Xen.
  • Из Linux'ов, пожалуй, Debian — лучше в плане соотношения расходов на содержание ОС и отдачи от неё, но надо понимать, что со временем говнится всё, все системы обрастают фичами, комбайнами, несовместимыми с безопасностью и, уж тем более, анонимностью.
  • FreeBSD ещё давно превратили в тот же Linux, вид сбоку.
  • В OpenBSD всё прибито гвоздями, она очень неудобна для модификаций. Из неё сделали консольный, но чёрный ящик: включил, работает, и не смей ничего менять. И если OpenBSD-девы решили, что что-то не нужно, то это просто не нужно, и ты замучаешься городить костыли, чтобы это включить/выключить. Оно всё более и более пишется в идеологии just works, а мануалы по её использованию всё домохозяйнее и домохозяйнее (а как иначе завоёвывать рынок?).
  • В DragonflyBSD, как ещё давно писали, выкинули кучу всего из системы, связанного с безопасностью, ради того, чтобы повысить производительность. Более подробно её не курил.
— Гость (30/07/2013 21:01)   <#>

«О выборе операционной системы с нацеленностью на безопасность и анонимность».
— SATtva (31/07/2013 06:58)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
кто пробовал tor-browser-linux32-3.0-alpha-2? при первом запуске появляется окно с предупреждением о передаче инфы о системе. или я что-то неправильно понял?

Вы что-то неправильно поняли.

вот еще, на вскидку посмотрел:
– нет vidalia
– в add-ons добавлен pdf viewer и torlauncher(что такое?)

/comment67576
— Гость (31/07/2013 11:05)   <#>
При New Identity через торкнопку, полностью сбрасываются все вкладки и появляется новое окно (( Вот это новость (
— unknown (31/07/2013 11:33)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Так это же отлично. При такой схеме для этого на данный момент приходится вручную перезапускать браузер и менять произвольным образом размер окна.
— Гость (31/07/2013 12:03)   <#>
А как цепочку менять не сбрасывая вкладки?
— unknown (31/07/2013 12:26)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
А так не надо делать — это способствует профилированию. По умолчанию они сами меняются через интервалы или при невозможности построения. А принудительная смена делается только со сменой профиля, т.е. сбросом всех данных.
— Гость (01/08/2013 02:12)   <#>

Согласен, что чисто с пользовательской точки зрения это крайне неудобно. В браузере открыты куча вкладок, которые надо закрыть, а потом снова открывать, приходится переносить вручную HTTP-адреса в файл, а потом оттуда копипастить обратно после смены личины. Закладками как-то не привык пользоваться. Понятно, что уже открытые вкладки на специальных url-ах при пускании их трафика по новым цепочкам приводят к профилированию, но иногда это не столь важно (если модель анонимности не самая сильная). Впрочем, я всё же придерживаюсь того мнения, что анонимность должна быть =max и неудобства должны испытывать не те, кому анонимности мало, а те, кому её «много».
— Гость (01/08/2013 06:07)   <#>

Accidental local root, Debian Linux


Unknown, а как вы боретесь с локальными рутами в Debian?
Есть ли какие-нибудь средства?


Evidence:

Типичная перезагрузка системы, на последней стадии происходит автоматический старт xdm на нескольких дисплеях. Переключаюсь в текстовую консоль, логинюсь, что-то делаю, потом переключаюсь в иксы и... о, какой-то глюк, xdm не запустился на одной консоли. Переключаюсь в другую — а там... кхм, оконный менеджер запущен. Я вроде не пьяный был, как это так, xdm сам по себе открыл залогиненную сессию? Открываю терминал, права root. Это очень интересно, почему xdm при автоматическом запуске при старте системы предоставляет полный root-доступ к системе без пароля. Куда уж тут Ubuntu'е со своим guest-логином, как говорится...

Investigation:

Может, показалось всё же? Для начала стоит отметить, что невозможно чисто случайно одновременно залогиниться в текстовом терминале и иксах с точностью до секунды. Время, когда произошло событие — 18:04:47. Шерстим логи:
$ last -F -a |grep 18:04
root     :1           XXX 18:04:47 2013 - down              (00:04) :1
root     tty1         XXX 18:04:47 2013 - down              (00:04)
reboot   system boot  XXX 18:04:33 2013 - XXX 18:09:36 2013 (00:05) X.X.X-X-ARCH
18:04:47 — момент одновременной авторизации в консоли (tty1) и иксах (:1).
# cat /var/log/auth.log |grep 18:04
18:04:47 HOSTNAME login[2295]: pam_unix(login:session): session opened for user root by LOGIN(uid=0)
18:04:47 HOSTNAME login[2334]: ROOT LOGIN  on '/dev/tty1'
18:04:47 HOSTNAME xdm[2322]: pam_unix(xdm:session): session opened for user root by root(uid=0)
Время опять точно совпадает. Проверил специально, как выглядит в логах auth.log авторизация под рутом (логин, разлогин, снова последующий логин):
18:24:47 HOSTNAME xdm[2352]: pam_unix(xdm:session): session opened for user root by root(uid=0)
18:25:38 HOSTNAME xdm[2352]: pam_unix(xdm:session): session closed for user root
18:25:45 HOSTNAME xdm[2940]: pam_unix(xdm:session): session opened for user root by root(uid=0)
Есть логи acpid в этот же момент времени (daemon.log), но не похоже, что они имеют отношение к делу. В файле debug есть куча логов ядра, относящихся к загрузке, все помечены моментом 18:04:33, т.е. чуть ранее, то же самое касается и kern.log. В xdm.log:
18:04:34 2013 xdm info (pid 2233): Starting
18:04:34 2013 xdm info (pid 2233): Starting X server on :3
 
X.Org X Server X.X.X
Release Date: XXXX-XX-XX
...
18:04:37 2013 xdm info (pid 2233): Starting X server on :2
 
X.Org X Server X.X.X
Release Date: XXXX-XX-XX
...
18:04:37 2013 xdm info (pid 2233): Starting X server on :1
 
X.Org X Server X.X.X
Release Date: XXXX-XX-XX
...
18:04:38 2013 xdm info (pid 2233): Starting X server on :0
 
X.Org X Server X.X.X
Release Date: XXXX-XX-XX
...
DRM_IOCTL_I915_GEM_APERTURE failed: Bad file descriptor
Assuming XXXXXXkB available aperture size.
May lead to reduced performance or incorrect rendering.
get chip id failed: -1 [9]
param: 4, val: 32675
 
Fatal server error:
no screens found
 
Please consult the The X.Org Foundation support 
         at http://wiki.x.org
 for help. 
Please also check the log file at "/var/log/Xorg.0.log" for additional information.
 
Server terminated with error (1). Closing log file.
18:04:38 2013 xdm error (pid 2233): server unexpectedly died
18:04:39 2013 xdm info (pid 2304): sourcing /etc/X11/xdm/Xsetup
18:04:39 2013 xdm info (pid 2313): sourcing /etc/X11/xdm/Xsetup
18:04:39 2013 xdm info (pid 2322): sourcing /etc/X11/xdm/Xsetup
18:04:47 2013 xdm info (pid 2322): sourcing /etc/X11/xdm/Xstartup
18:04:47 2013 xdm info (pid 2336): executing session /etc/X11/xdm/Xsession
18:04:53 2013 xdm error (pid 2233): Server for display :0 can't be started, session disabled
Обращаем внимание на последние строчки со временем 18:04:47. Предположительный тип рейса: xdm сначала запускается на 4-ёх дисплеях, а только потом считывает свои файлы (более детальной?) конфигурации. К моменту, когда все дисплеи были запущены, и он должен был начать «sourcing», внезапно умирает первый дисплей :0. Возможно, он попытался выполнить «sourcing» на помершем дисплее? Однако, остаётся непонятным, почему автоавторизация под рутом произошла как раз на :1 (см. выше), а не на :0. В логах умершего Xorg.0.log:
[    47.361] (EE) intel(0): [drm] failed to set drm interface version.
[    47.361] (EE) intel(0): Failed to become DRM master.
[    47.361] (II) intel(0): Creating default Display subsection in Screen section
        "Default Screen Section" for depth/fbbpp 24/32
[    47.361] (==) intel(0): Depth 24, (--) framebuffer bpp 32
[    47.361] (==) intel(0): RGB weight 888
[    47.361] (==) intel(0): Default visual is TrueColor
[    47.361] (II) intel(0): Integrated Graphics Chipset: Intel(R) XXX XXX XXX
[    47.361] (--) intel(0): Chipset: "XXX XXX XXX"
[    47.361] (II) UnloadModule: "intel"
[    47.361] (EE) Screen(s) found, but none have a usable configuration.
[    47.361] 
Fatal server error:
[    47.361] no screens found
[    47.361] 
Please consult the The X.Org Foundation support 
         at http://wiki.x.org
 for help.
В логах Xorg.1.log, который самоавторизовался, ничего явно подозрительного не вижу. Сейчас Xorg сам динамически, я так понимаю, пробует использовать разные драйвера, пока не сойдётся, может ли это как-то провзаимодействовать с процессом авторизации? Теоретически после убийства xdm должно убиваться всё на дисплее, хотя на примере локеров экрана все хорошо знают, что это не так, поэтому приходится последние запускать через exec в ~/.xsession.

Prosecution:

Не использовать xdm? Не отходить от ПК до тех пор, пока не убедился, что все xdm запустились и запустились правильно? После случайной смерти xdm не окажется ли однажды, что вместо него появилась залогиненная сессия? Что происходит с авторизацией и иксами при смерти xdm на дисплее?

Количество автоматики, которое наворотили в последних версиях иксов и xdm ужасает. Когда-то это были относительно простые сервисы с понятной логикой, а теперь там даже конфиги автогенерятся (а если не савтогенерились, то непонятно, откуда их взять, и что редактировать, даже образца xorg.conf, более-менее подходящего под систему, нету).

Punishment:

Uninstall Debian, install Xenocara?
It is currently based on X.Org 7.6
Вот живут же люди!

P.S. Удивляют многие строчки в kern.log, его взаимодействие с BIOS'ом и фирмварями. Совершенно не понял, откуда при стандартной инсталляции берётся паравиртуальность (логи ядра):
[ 0.000000] Booting paravirtualized kernel on bare hardware
Как сказал бы Тео, это mess of firmware, багов и проприетарных BIOS'ов::
[ 0.509140] mtrr: probably your BIOS does not setup all CPUs
[ 0.515562] [Firmware Bug]: ACPI: BIOS _OSI(Linux) query ignored
[ 0.641895] PCI: Using host bridge windows from ACPI; if necessary, use "pci=nocrs" and report a bug
[ 2.318630] pci 0000:XX:XX.X: EHCI: BIOS handoff failed (BIOS bug?) 01010001
[ 3.914534] pci 0000:XX:XX.X: EHCI: BIOS handoff failed (BIOS bug?) 01010001
[34.107660] psmouse serio1: elantech: assuming hardware version 3 (with firmware version 0xXXXXXX)
[35.311183] [Firmware Bug]: ACPI(PEGP) defines _DOD but not _DOS
Можно только догадываться, сколько в таком железе может сидеть сидит бэкдоров и закладок.
— Гость (01/08/2013 06:17)   <#>

Что-то похожее: https://bugs.launchpad.net/ubuntu/+source/xserver-xorg-video-intel/+bug/605124 [опять движок не любит плюсы в ссылке].
— unknown (01/08/2013 10:13, исправлен 01/08/2013 10:15)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Никогда не видел ничего подобного в множественных xdm, правда и не логинился перед ними через консоль.



Все пользовательские логины (кроме одного резервного, который оставлен только для администрирования и в нём не запускается никаких обычных программ) закрыты SELinux'ом, так что там рут всё равно не получится.



Потом ещё будет Wayland или Mir с прицелами не на безопасность и конфигурируемость, а на большую совместимость со смартфонами и прочими гаджетами.

— Гость (02/08/2013 00:17)   <#>

Вы ранее писали иначе: root получится, но с его правами под SELinux'ом всё равно сделать ничего не получится. Кстати, по умолчанию xdm и X запущены с правами рута.


Страшно представить, чем вы занимаетесь в сети, если знаете такие слова. Зачем оно вам? Я-то думал, что здесь даже про Unity почти никто не знает. Окошко с Unity напоминает key binding фреймовых wm, только корявый, нелогичный, недоделанный и извращённый. В rp достаточно набрать ctrl+t ?, и сразу появляется подобное же окно, как и по ссылке.

Ещё вопросы:
  • glib-networking-services — это опасно? Куча всяких network-зависимостей идёт бонусом к gimp'у.
  • Есть ли какие-то адекватные замены комбайну openoffice для просмотра и редактирования doc-файлов? А то полная Java в системе сильно смущает, она потом поди ещё и плагином к браузеру будет по умолчанию везде становиться. Была раньше масса других офисов, типа libre office и staroffice, но за офисами не слежу; не в курсе, в каком они состоянии.
На страницу: 1, ... , 3, 4, 5, 6, 7, ... , 22 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3