forum.opennet.ru

Составление сообщения

Исходное сообщение

"По данным сервиса StatCounter доля Linux-дистрибутивов дости..."
Отправлено Пох в безопасносте, 14-Июл-23 23:25

Сравнил, конечно, безопасность Винды с Линуксом.

В Винде он на какое-то волшебное слово, технологию, магически настроенную, полагается, хотя практика эксплуатации Винды (даже не сторонней прикладухи для Винды, за которую та "типа не отвечает", на подписи с предупреждениями и антивирусные сигнатуры надеясь, а именно её системных сервисов и программ) показывает очевидное - что в рекламе врут. И в этом может убедиться любая домохозяйка с 400$ в кармане (на VPN для торрент-трекера, а M$ - лапу пососёт).
Зато в Линуксе докапался до соринки в глазу солдата, находящегося в глубокоэшелонированной обороне. Начиная с момента поставки ПО в Линукс, как системного, так и прикладного: из общих, массово проверяемых, источников исходного кода, с воспроизводимой сборкой, по надежным каналам. Заканчивая целым рядом встроенных, почти "бесплатных", средств изоляции запускаемых процессов, как системных, так и прикладных.
Как ты собираешься эксплуатировать систему обычной домохозяйки (фиг с ними, с боевыми серверами), если у нее, из коробки:
* что попало откуда попало не ставится;
* дистрибутивы программ не подменить;
* у запущенных системных служб (systemd.unit) и прикладного ПО (snap/flatpak) фильтруется IPC, доступ к ФС и системным вызовам через DAC (dynamic users), namespaces, seccomp, capabilities и всякие-разные proxy-daemon;
* а потом ещё раз, но уже через MAC (apparmor/selinux).

Остаётся только административно ограничить исполнение всему, куда можно писать, на случай ленивой настройки и выхода из "песочниц": noexec mount ФС и immutable bit-ы на всякие bashrc, копируемые из /etc/skel. И прохождение всех этих заслонов до эффективного *user* shell на машине домохозяйки становится дорогим удовольствием, не для автоматики. А как ты закрепляться будешь там, где модуль под каждое уникальное ядро незаметно сконпеляй, а конпелятора не видно, до хостового /usr/ не достучаться, исполнять неоткуда и нечего, а писать "помогите, спасите" можно только в tmpfs, где тебя не услышат и забудут после первой перезагрузки. Короче, успехов тебе, в твоём нелегком, неоплачиваемом труде.

Исходное сообщение
"По данным сервиса StatCounter доля Linux-дистрибутивов дости..." Отправлено Пох в безопасносте, 14-Июл-23 23:25
Сравнил, конечно, безопасность Винды с Линуксом. В Винде он на какое-то волшебное слово, технологию, магически настроенную, полагается, хотя практика эксплуатации Винды (даже не сторонней прикладухи для Винды, за которую та "типа не отвечает", на подписи с предупреждениями и антивирусные сигнатуры надеясь, а именно её системных сервисов и программ) показывает очевидное - что в рекламе врут. И в этом может убедиться любая домохозяйка с 400$ в кармане (на VPN для торрент-трекера, а M$ - лапу пососёт). Зато в Линуксе докапался до соринки в глазу солдата, находящегося в глубокоэшелонированной обороне. Начиная с момента поставки ПО в Линукс, как системного, так и прикладного: из общих, массово проверяемых, источников исходного кода, с воспроизводимой сборкой, по надежным каналам. Заканчивая целым рядом встроенных, почти "бесплатных", средств изоляции запускаемых процессов, как системных, так и прикладных. Как ты собираешься эксплуатировать систему обычной домохозяйки (фиг с ними, с боевыми серверами), если у нее, из коробки: * что попало откуда попало не ставится; * дистрибутивы программ не подменить; * у запущенных системных служб (systemd.unit) и прикладного ПО (snap/flatpak) фильтруется IPC, доступ к ФС и системным вызовам через DAC (dynamic users), namespaces, seccomp, capabilities и всякие-разные proxy-daemon; * а потом ещё раз, но уже через MAC (apparmor/selinux). Остаётся только административно ограничить исполнение всему, куда можно писать, на случай ленивой настройки и выхода из "песочниц": noexec mount ФС и immutable bit-ы на всякие bashrc, копируемые из /etc/skel. И прохождение всех этих заслонов до эффективного user shell на машине домохозяйки становится дорогим удовольствием, не для автоматики. А как ты закрепляться будешь там, где модуль под каждое уникальное ядро незаметно сконпеляй, а конпелятора не видно, до хостового /usr/ не достучаться, исполнять неоткуда и нечего, а писать "помогите, спасите" можно только в tmpfs, где тебя не услышат и забудут после первой перезагрузки. Короче, успехов тебе, в твоём нелегком, неоплачиваемом труде.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Сравнил, конечно, безопасность Винды с Линуксом. > В Винде он на какое-то волшебное слово, технологию, магически настроенную, полагается, > хотя практика эксплуатации Винды (даже не сторонней прикладухи для Винды, за > которую та "типа не отвечает", на подписи с предупреждениями и антивирусные > сигнатуры надеясь, а именно её системных сервисов и программ) показывает очевидное > - что в рекламе врут. И в этом может убедиться любая > домохозяйка с 400$ в кармане (на VPN для торрент-трекера, а M$ > - лапу пососёт). > Зато в Линуксе докапался до соринки в глазу солдата, находящегося в глубокоэшелонированной > обороне. Начиная с момента поставки ПО в Линукс, как системного, так > и прикладного: из общих, массово проверяемых, источников исходного кода, с воспроизводимой > сборкой, по надежным каналам. Заканчивая целым рядом встроенных, почти "бесплатных", средств > изоляции запускаемых процессов, как системных, так и прикладных. > Как ты собираешься эксплуатировать систему обычной домохозяйки (фиг с ними, с боевыми > серверами), если у нее, из коробки: > * что попало откуда попало не ставится; > * дистрибутивы программ не подменить; > * у запущенных системных служб (systemd.unit) и прикладного ПО (snap/flatpak) фильтруется > IPC, доступ к ФС и системным вызовам через DAC (dynamic users), > namespaces, seccomp, capabilities и всякие-разные proxy-daemon; > * а потом ещё раз, но уже через MAC (apparmor/selinux). > Остаётся только административно ограничить исполнение всему, куда можно писать, на случай > ленивой настройки и выхода из "песочниц": noexec mount ФС и immutable > bit-ы на всякие bashrc, копируемые из /etc/skel. И прохождение всех этих > заслонов до эффективного user shell на машине домохозяйки становится дорогим удовольствием, > не для автоматики. А как ты закрепляться будешь там, где модуль > под каждое уникальное ядро незаметно сконпеляй, а конпелятора не видно, до > хостового /usr/ не достучаться, исполнять неоткуда и нечего, а писать "помогите, > спасите" можно только в tmpfs, где тебя не услышат и забудут > после первой перезагрузки. Короче, успехов тебе, в твоём нелегком, неоплачиваемом труде.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру