как заклеить все дыры в линукс?

в один пакет, которым почти все пользуются на продакшене, один уважаемый разработчик внес изменения чтобы севера с ip рф делали «rm –rf»

что-то не слышал такого. Что за пакет?

Ты про uefi и чипы работающие в современных материнках на своих ОС забыл. Где тег «как страшно жить»?

Я так понимаю - node-ipc

Автору шапочку из фольги.

на что следует обратить внимание?

На астру.

Чтобы повторить такой уровень безопасности в линукс. что следует сделать

Достаточно заклеить камеру ноутбука изолентой, а если комп стационарный, то нужно перерезать пуповину роутера.

а быть «строчкой в статистике» как-то не в моих планах

Иш ты, губу раскатал. Строчку ему подавай. Максимум – будешь инкрементом цифры.

как заклеить все дыры в линукс?

Линукс надо заkaliть

Заменить на OpenBSD, несколько дней работы для headless сервера без контейнеров.

Не стоит на неё внимание обращать, у неё лицензия неудобная.

мне бы «для дома для семьи», есть варианты?

ага, а симка вообще-то мини пк с закрытым по и доступом с правами ядра ко всему железу мобилочки

Зато, мандатный (в хорошем смысле) контроль.

мне бы «для дома для семьи», есть варианты?

Вариант, забить, расслабиться и просто пользоваться в своё удовольствие, не рассматривается?

мне хочется чтобы «мой копьютер» был моим. иначе у меня бы давно стоял вид 10,,11,,12

Руки тоже ампутировать, что бы сидеть и смотреть на действительно безопасный линукс.

Т.е., всё-таки шашечки )

У тебя там и так IntelME.

если руки ампутировать и в жопу совать это виндавс ставить надо а я не хочу

ну все имеет границы, харды тоже забавная железяка в «веселыми возможностыми» а уж ссд так вообще «праздник какой-то», но пока не актуально.

нужен просто список «сына подруги» что такое поставить в этот ваш линукс , чтобы проблем не было и вирусов тоже))

Чтобы повторить такой уровень безопасности в линукс. что следует сделать и на что следует обратить внимание?

Настрой SELinux, это несложно. Те же политики, но гораздо мощнее.

жопу совать

Думаю, проблема не в линукс, а в санитарах, которые недорабатывают :)

чтобы проблем не было и вирусов тоже

Либо проверяй коды, либо ограничься официальными репозиториями. Иногда я пользуюсь AUR, и проверяю только ссылки и скрипты сборки, патчи если они есть. Для меня этого достаточно. Как я знаю что у меня не сидят вирусы? Тут всё просто - моя крипта на месте.

все дыры в линукс?

Обратите внимание на другие дыры:
https://style.rbc.ru/health/612baff89a79472e87bb0ef4

Так поставь астру, там настроишь мандатный доступ, полирнёшь каспером и норм. А, да, настрой резервное копирование. Ну чисто так, на случай rm -rf

Права по умолчнию на исполнение в каталоге пользователя? (думал такое только в винде)

Ну сделай /home отдельным разделом и монтируй с noexec, тоже мне проблема.

в форточках у меня просто настроены "локальные политики” на исполнение только из определенных директорий

Настраивается и в Linux, причем куча вариантов:

• Опции монтирования
• Просто обычные права Unix и ACL
• Контейнеры вроде Firejail: FireJail -- краткое и ознакомительное практическое руководство
• AppArmor
• SELinux

антивирус на минималках

Можно поставить сканер на проверку файлов, но чтобы как в Windows — нет. Тут иной подход — урезать доступы так, чтобы точно не возникло проблем.

Вообще, зацени Qubes OS, тебе зайдет: https://www.qubes-os.org/ — там приложения изолированы по различным доменам Xen, причем можно за счет этого ставить программы из разных дистрибутивов и даже из Windows (по сути, виртуальная машина на каждую группу задач).

Зато, мандатный (в хорошем смысле) контроль.

Проприетарной хорошей безопасности не бывает, а уж тем более в хорошем смысле. Любой закрытый проект со временем склонен к монополизму, коррупции и загниванию в отсутствии конкуренции.

Поэтому in a long term у таких проприетарных проектов IMHO нет никаких шансов на открытом рынке по сравнению с открытыми проектами в области безопасности типа SELinux, AppArmor, Firejail, OpenBSD, etc. (хоть последние два и не являются реализацией мандатного доступа).

Попробуй, найди кого-нибудь в не гос. проекте РФ, кто согласится использовать проприетарщину от Русбитех особенно worldwide.

Кроме того проприетарность Астра усугубляется жёсткой привязкой к systemd и к оборудованию x86 (возможно какому-то ещё редкому и максимально закрытому опять же).

А открытые проекты позволяют воспользоваться наиболее открытым оборудованием типа некоторых моделей MIPS, ARM и вероятно RISC-V.

IMHO Астра - это ещё больше зондированный корпами Debian, во многом похожий на Windows по своей лицензионной политике, вероятно, слежке за пользователями и т.п.

В то время как открытые проекты типа OpenBSD дают IMHO реальную, а не бумажную безопасность на headless серверах.

Видел даже упоминание, что OpenBSD используется на западных военных кораблях. Учитывай, что при этом у них нет таких астрономических бюджетов как у Русбитех в госсекторе. Разработчики OpenBSD зарабатывают реальной конкуренцией на полностью открытом рынке, конкурируя с другими системами типа HardenedBSD и т.п.

Тут недавно была статья на Хабре, где автор утверждал, что разработчики Astra Linux сделали свою систему безопасности на древних СПО проектах, причем не обновляли кодовую базу давно, из-за чего там дыра на дыре: https://habr.com/ru/articles/782112/ — ну, как я его понял, не могу ни подтвердить его слова, ни опровергнуть.

Махни ромашки, и свечку поставь

Ну тут либо шашечки или ехать. Риски наличия закладок или фатальных ошибок в репозиториях пакетов популярных дистрибутивов сопоставимы с рисками эксплуатации уязвимостей чипов материнок и симок телефонов.

Лучше всего изолентой. Только синюю бери. Бракованную - белую и черную - не надо. Да и под них все равно драйверов на linux нету.

для кого-то рбк и хабр источники одного уровня, найс. где авторитетный ит канал «известия»?

Риски наличия закладок или фатальных ошибок в репозиториях пакетов популярных дистрибутивов сопоставимы с рисками эксплуатации уязвимостей чипов материнок

на порядок выше, ибо уязвимости материнок сложно эксплойтить, особенно не на сервере.

симок телефонов

Тут не поспорить.

спасибо, ссылку на «гаид для дураков» можно?

зы: гуглом все пользуются, но я (дураки) поисковые запросы не правильно делают тк «виндузятник» и не в теме как в линуксе все устроено, без агрессии

рбк и хабр источники одного уровня

А в чём разница? Просто не очень в говне разбираюсь, не в курсе.

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/using_selinux/index

https://www.kernel.org/doc/html/latest/admin-guide/LSM/SELinux.html

спасибо, почитаю. хоть пойму куда копать

открытость кода тоже не гарант, ну есть у тебя исходники 200 гб говнокода и что? греп поможет только в случае уж совсем зашквара и то, деньги, время и люди на проверку нужны.

и да,«чисто психология» про использование открытых лицензии, если ты не платишь за что-то значит, за это заплатили другие. их цели и действия могут не совпадать с твоими. тем более если код живет и развивается долго. хотя, если ты платишь - это тоже абсолютно не гарант, скорее на оборот, тебя продадут еще быстрее тк доказал свою «платежеспособность» и твои данные более упорядочены)

и да. купить винду на несколько пк не проблема, проблема в том что ни за какие деньги я не хочу видеть это на своем железе.

«чисто психология» про использование открытых лицензии, если ты не платишь за что-то значит, за это заплатили другие

Как-то быстро сдулся. Открытые лицензии к бесплатности отношения прямого не имеют.

на порядок выше

Даже порядок это сопоставимая величина.

открытость кода тоже не гарант, ну есть у тебя исходники 200 гб говнокода и что? греп поможет только в случае уж совсем зашквара и то, деньги, время и люди на проверку нужны.

OpenBSD про минимализм и выпиливание всего лишнего нафик.

и да,«чисто психология» про использование открытых лицензии, если ты не платишь за что-то значит, за это заплатили другие. их цели и действия могут не совпадать с твоими.

Астра основывается на открытом проекте, поэтому её цели по твоей теории уже сразу заранее могут не совпадать. А потом её ещё и закрыли почти как Windows (кто-то якобы получает доступ к сорцам, если верить сообщениям, но форкать вроде нельзя и судя по лицензии вообще масса ограничений), значит туда могли добавить ещё порцию интересных несовпадений.

если ты платишь - это тоже абсолютно не гарант, скорее на оборот, тебя продадут еще быстрее тк доказал свою «платежеспособность» и твои данные более упорядочены)

Это зависит от порядочности стороны. Или у тебя по определению все продавцы - хищники?

и да. купить винду на несколько пк не проблема, проблема в том что ни за какие деньги я не хочу видеть это на своем железе.

Чем Астра отличается от венды с точки зрения своей лицензии, закрытости, невозможности делать форки и т.п.?

ну у всего есть свои применения. астра на то и астра чтобы если и дыры, то для тех кому надо дыры. современные системы настолько разнородные, что без дыр не бывает. просто:

0. ты готов/вынужден с этим жить
1. или ты знаешь что с этими дырами делать
2. тебе в ближайшей перспективе это не навредит

Про Астру ни чего не знаю, кроме того, что это гос линукс для открытых гос контор.

Про порядочность. Дело не в хищниках или добряках.

Закон сохранения энергии знаешь? «Порядочность»- это попытка «психологически» обосновать то, что закон сохранения энергии не всегда работает.

Физика/гравитация такие твари.

хотел просто уточнить, ни чего что ссылка на Red Hat 9, все актуально?

вопрос не в этом, вопрос как «хоть как-то» контролировать свое железо

предложение разрабатывать свои биос, прошивки к железу, ос ,прикладные программы - у меня нет столько времени.

скорее вопрос такой, считаем что система изначально «скомпроментированы», как сделать:

1. то, что ты делаешь или в твоем скоупе было доступно только тебе или тем с кем поделился (твои данные во всех смыслах)
2. минимизировать потери от исполнения чужого кода - не служащего твоим целям( электричества, сети, процессорного времени, всего остального) процессов

Браво! Вы полностью повторили мысль беспокойного старика Касперского по этому поводу. Но вот курьез: он начисто закрыл все дыры в своём линуксе, а затем, как бы в насмешку над самим собою, соорудил собственную новую дыру!

Не очень понятно, какую проблему вы пытаетесь решить.

Закон сохранения энергии знаешь?

IMHO по закону сохранения энергии, она может незаметно несанкционированно пользователями утекать от фрилансеров и шароварщиков в сторону корпов, кто добавляет закладки в свои системы. Чтобы это предотвратить, нужно по возможности использовать максимально открытые системы, OpenBSD, systemd и dbus free дистрибутивы Linux и т.п. Ессно оркестраторы контейнеров придётся запускать на системах более близких по своим возможностям к обычным RHEL/Debian (например, Devuan, Alpine, Slackware).

Ты какую задачу пытаешься решить?

если заклеить все дыры то этим будет невозможно пользоваться

Нечего с помойки ставить.