Есть смысл использовать Grsecurity+PAXD на десктопе?

nail	# 6 лет, 11 месяцев назад (отредактировано 6 лет, 11 месяцев назад)
Темы: 10 Сообщения: 90 Участник с: 01 октября 2015	Пользуюсь арчем уже 1 месяц. Ядро linux-grsex+paxd. Ничего не настраивал, просто установил пакеты. Проверил paxtest(https://wiki.archlinux.org/index.php/PaX). Без уязвимостей из теста. Делает данное ядро систему более защищенным от троянов, вирусов, кейлоггеров, эксплойтов, чем стандартное linux, linux-lts и прочее(linux-ck, zen etc)? Может есть какие-то тесты на уязвимость десктоп систем с различными ядрами? ) PS: в поиске по форуму ничего не нашел. В ветке на reddit и на форуме англо-арча - особо тема не ракрывается... Участников, обсуждающих grsec+paxd - мало. Поэтому, решил, что и устанавливающих grsec+paxd обычных пользователй - очень мало. (скорее админы для серваков только юзают). Но решил использовать на десктопе, так как частенько храню некоторые важные данные и доступы на компе. ACER V3 771G Intel Core i5 3230m + Intel HD Graphics 4000 + 6 GB RAM + 1920x1080. AMD Phenom II X6 Black Thuban 1100T + ATI Radeon HD 4200 + 16 GB RAM + 2560x1440.

# 6 лет, 11 месяцев назад (отредактировано 6 лет, 11 месяцев назад)

Сообщения: 90

Участник с: 01 октября 2015

Пользуюсь арчем уже 1 месяц.
Ядро linux-grsex+paxd.
Ничего не настраивал, просто установил пакеты. Проверил paxtest(https://wiki.archlinux.org/index.php/PaX). Без уязвимостей из теста.

Делает данное ядро систему более защищенным от троянов, вирусов, кейлоггеров, эксплойтов, чем стандартное linux, linux-lts и прочее(linux-ck, zen etc)?

Может есть какие-то тесты на уязвимость десктоп систем с различными ядрами? )

PS: в поиске по форуму ничего не нашел. В ветке на reddit и на форуме англо-арча - особо тема не ракрывается... Участников, обсуждающих grsec+paxd - мало. Поэтому, решил, что и устанавливающих grsec+paxd обычных пользователй - очень мало. (скорее админы для серваков только юзают). Но решил использовать на десктопе, так как частенько храню некоторые важные данные и доступы на компе.

ACER V3 771G Intel Core i5 3230m + Intel HD Graphics 4000 + 6 GB RAM + 1920x1080.
AMD Phenom II X6 Black Thuban 1100T + ATI Radeon HD 4200 + 16 GB RAM + 2560x1440.

nafanja	# 6 лет, 11 месяцев назад (отредактировано 6 лет, 11 месяцев назад)
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	nail, не работай под рутом и не нужна будет доп. защита. и не запускай то в чем не уверен! Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874

nail	# 6 лет, 11 месяцев назад (отредактировано 6 лет, 11 месяцев назад)
Темы: 10 Сообщения: 90 Участник с: 01 октября 2015	nafanja nail, не работай под рутом и не нужна будет доп защита. Ну это само собой. ) может опять параноидальный топик возникает тут от новичка ) + везде поставил мастер пароли(filezilla, chromium, thunderbird и keepass). KeePass только для FileZilla - sftp аккаунтов.(Их очень много набирается - 20-30 штук). + AdBlock, NoScript + забыл добавить. Браузеры, почтовые клиенты и transmission работают через FireJail. Похоже параноик я ))) (диагноз) PS: Вообще с линуксом знаком 1-2 года. Использую и на впсках. Но там centos(6-7). Selinux никогда не оставлял включенным. Все запреты только через chmod, sshd(sftp chroot), iptables. Не заморачивался даже по поводу grsec, selinux... Хотя на впсках и серваках они куда важнее ведь. ) Но почему-то решил, что десктоп может быть более уязвим. Так как браузеры, торренты, флеш и прочие архивы-файлы с интернета, которые приходится часто скачивать и просматривать на десктопе. ) ACER V3 771G Intel Core i5 3230m + Intel HD Graphics 4000 + 6 GB RAM + 1920x1080. AMD Phenom II X6 Black Thuban 1100T + ATI Radeon HD 4200 + 16 GB RAM + 2560x1440.

nail

# 6 лет, 11 месяцев назад (отредактировано 6 лет, 11 месяцев назад)

Темы: 10

Сообщения: 90

Участник с: 01 октября 2015

nafanja
nail, не работай под рутом и не нужна будет доп защита.

Ну это само собой. )

может опять параноидальный топик возникает тут от новичка )
+ везде поставил мастер пароли(filezilla, chromium, thunderbird и keepass). KeePass только для FileZilla - sftp аккаунтов.(Их очень много набирается - 20-30 штук).
+ AdBlock, NoScript
+ забыл добавить. Браузеры, почтовые клиенты и transmission работают через FireJail.
Похоже параноик я ))) (диагноз)

PS: Вообще с линуксом знаком 1-2 года. Использую и на впсках. Но там centos(6-7). Selinux никогда не оставлял включенным. Все запреты только через chmod, sshd(sftp chroot), iptables. Не заморачивался даже по поводу grsec, selinux... Хотя на впсках и серваках они куда важнее ведь. )
Но почему-то решил, что десктоп может быть более уязвим. Так как браузеры, торренты, флеш и прочие архивы-файлы с интернета, которые приходится часто скачивать и просматривать на десктопе. )

ACER V3 771G Intel Core i5 3230m + Intel HD Graphics 4000 + 6 GB RAM + 1920x1080.
AMD Phenom II X6 Black Thuban 1100T + ATI Radeon HD 4200 + 16 GB RAM + 2560x1440.

corner	# 6 лет, 11 месяцев назад
Темы: 6 Сообщения: 773 Участник с: 21 июля 2011	Для того, чтобы опасаться эксплоитов, нужно сначала попробовать установить в систему хотя бы один самостоятельно. Как правило, к каждому эксплоиту прилагается подробная инструкция :)

frankyboy	# 6 лет, 11 месяцев назад
Темы: 15 Сообщения: 324 Участник с: 05 декабря 2012	вместо adblock можно использовать ublock + Norequest ;)

nail	# 6 лет, 11 месяцев назад
Темы: 10 Сообщения: 90 Участник с: 01 октября 2015	frankyboy вместо adblock можно использовать ublock + Norequest ;) чем лучше связки adblock plus + noscript(scriptblock в хроме)? или просто как альтернативный вариант без каких-либо преимуществ над другими дополнениями? ACER V3 771G Intel Core i5 3230m + Intel HD Graphics 4000 + 6 GB RAM + 1920x1080. AMD Phenom II X6 Black Thuban 1100T + ATI Radeon HD 4200 + 16 GB RAM + 2560x1440.

nail

# 6 лет, 11 месяцев назад

Темы: 10

Сообщения: 90

Участник с: 01 октября 2015

frankyboy
вместо adblock можно использовать ublock + Norequest ;)

чем лучше связки adblock plus + noscript(scriptblock в хроме)?

или просто как альтернативный вариант без каких-либо преимуществ над другими дополнениями?

ACER V3 771G Intel Core i5 3230m + Intel HD Graphics 4000 + 6 GB RAM + 1920x1080.
AMD Phenom II X6 Black Thuban 1100T + ATI Radeon HD 4200 + 16 GB RAM + 2560x1440.

frankyboy	# 6 лет, 11 месяцев назад
Темы: 15 Сообщения: 324 Участник с: 05 декабря 2012	nail чем лучше связки adblock plus + noscript(scriptblock в хроме)? или просто как альтернативный вариант без каких-либо преимуществ над другими дополнениями? ublock - меньше памяти кушает, нежели adblock. noscript отвечает за скрипты, norequest отвечает за обращения к другим страницам с открытой страницы. то бишь ublock+noscript+norequest

frankyboy

# 6 лет, 11 месяцев назад

Темы: 15

Сообщения: 324

Участник с: 05 декабря 2012

nail
чем лучше связки adblock plus + noscript(scriptblock в хроме)?

или просто как альтернативный вариант без каких-либо преимуществ над другими дополнениями?

ublock - меньше памяти кушает, нежели adblock.
noscript отвечает за скрипты, norequest отвечает за обращения к другим страницам с открытой страницы.
то бишь ublock+noscript+norequest

nail	# 6 лет, 11 месяцев назад (отредактировано 6 лет, 11 месяцев назад)
Темы: 10 Сообщения: 90 Участник с: 01 октября 2015	Для паранойков, как я - Ещё один способ добавлю в копилку, которым скорее всего воспользуюсь. Достаточно легкий и в принципе эффективный способ ). 1) (Securing the Web browser) https://grepular.com/Protecting_a_Laptop_from_Simple_and_Sophisticated_Attacks 2) https://wiki.archlinux.org/index.php/Skype#Use_Skype_with_special_user Для брузера, скайпа, sftp-клиента и почтовика - по отдельному аккаунту с ограниченными правами. + umask сменить у юзера с 022 на 066. Example: sudo -u mike.firefox -H /usr/lib/firefox-6.0/firefox.sh mike ALL=(mike.firefox) NOPASSWD: /usr/lib/firefox-6.0/firefox.sh ps: надеюсь, не доведет меня паранойя до шифрования всего и вся :) ACER V3 771G Intel Core i5 3230m + Intel HD Graphics 4000 + 6 GB RAM + 1920x1080. AMD Phenom II X6 Black Thuban 1100T + ATI Radeon HD 4200 + 16 GB RAM + 2560x1440.

nail

# 6 лет, 11 месяцев назад (отредактировано 6 лет, 11 месяцев назад)

Темы: 10

Сообщения: 90

Участник с: 01 октября 2015

Для паранойков, как я - Ещё один способ добавлю в копилку, которым скорее всего воспользуюсь.
Достаточно легкий и в принципе эффективный способ ).
1) (Securing the Web browser) https://grepular.com/Protecting_a_Laptop_from_Simple_and_Sophisticated_Attacks
2) https://wiki.archlinux.org/index.php/Skype#Use_Skype_with_special_user
Для брузера, скайпа, sftp-клиента и почтовика - по отдельному аккаунту с ограниченными правами.
+ umask сменить у юзера с 022 на 066.

Example:
sudo -u mike.firefox -H /usr/lib/firefox-6.0/firefox.sh
mike ALL=(mike.firefox) NOPASSWD: /usr/lib/firefox-6.0/firefox.sh

ps: надеюсь, не доведет меня паранойя до шифрования всего и вся :)

ACER V3 771G Intel Core i5 3230m + Intel HD Graphics 4000 + 6 GB RAM + 1920x1080.
AMD Phenom II X6 Black Thuban 1100T + ATI Radeon HD 4200 + 16 GB RAM + 2560x1440.

nail	# 6 лет, 10 месяцев назад
Темы: 10 Сообщения: 90 Участник с: 01 октября 2015	Для безопасного просмотра ACESTREAM(ENGINE_PLAYER) использую FIREJAIL в режиме PRIVATE: 1) firejail --private acestreamengine --client-gtk --port {num} вместо {num} указываем любой свободный порт до 65000. 2) firejail --private acestreamplayer Никаких профилей и исключений в /etc/firejail для acestream создавать не нужно. Всё по-умолчанию(generic profiles) будет работать в максимально изолированном виде! ACER V3 771G Intel Core i5 3230m + Intel HD Graphics 4000 + 6 GB RAM + 1920x1080. AMD Phenom II X6 Black Thuban 1100T + ATI Radeon HD 4200 + 16 GB RAM + 2560x1440.

nail

# 6 лет, 10 месяцев назад

Темы: 10

Сообщения: 90

Участник с: 01 октября 2015

Для безопасного просмотра ACESTREAM(ENGINE_PLAYER) использую FIREJAIL в режиме PRIVATE:
1) firejail --private acestreamengine --client-gtk --port {num}
вместо {num} указываем любой свободный порт до 65000.
2) firejail --private acestreamplayer

Никаких профилей и исключений в /etc/firejail для acestream создавать не нужно. Всё по-умолчанию(generic profiles) будет работать в максимально изолированном виде!

ACER V3 771G Intel Core i5 3230m + Intel HD Graphics 4000 + 6 GB RAM + 1920x1080.
AMD Phenom II X6 Black Thuban 1100T + ATI Radeon HD 4200 + 16 GB RAM + 2560x1440.

akorop	# 6 лет, 10 месяцев назад
Темы: 111 Сообщения: 1755 Участник с: 29 февраля 2012	nail nafanja nail, не работай под рутом и не нужна будет доп защита. Ну это само собой. ) Настоящий параноик и под собой тоже не работает с интернетом, а создаёт для этого специального особо бесправного пользователя. А то вредитель из интернета влезет, украдёт пароли и контакты, а потом потрёт все фото. PS А что, сетевые вредители для десктопного линукса реально есть? Хоть один?

akorop

# 6 лет, 10 месяцев назад

Темы: 111

Сообщения: 1755

Участник с: 29 февраля 2012

nail
nafanja
nail, не работай под рутом и не нужна будет доп защита.
Ну это само собой. )

Настоящий параноик и под собой тоже не работает с интернетом, а создаёт для этого специального особо бесправного пользователя. А то вредитель из интернета влезет, украдёт пароли и контакты, а потом потрёт все фото.

PS А что, сетевые вредители для десктопного линукса реально есть? Хоть один?