Состоялся выпуск дистрибутива Securonis Linux 3.0, сфокусированного на сохранении конфиденциальности и усилении безопасности. Дистрибутив основан на пакетной базе Debian "Testing", преднастроен для отправки всего трафика только через сеть Tor (опционально поддерживается I2P) и включает подборку изменений и компонентов для повышения безопасности. В качестве рабочего стола предлагается MATE. Возможна установка дистрибутива для повседневной работы или загрузка в Live-режиме. Размер iso-образа - 2.5 ГБ...Подробнее: https://www.opennet.me/opennews/art.shtml?num=63412
Я думал там какие-то патчи для харденинга ядра, типа, grsecurity. А там какие-то васянские поделия, mate и тор.
Поддерживаю. Детский сад.
Даже западло - "усилении безопасности" = Tor&Co, которые с твоего IP запросто может любой криминал прокручивать и потом докажи что это был не ты...
Ничего не понятно, пояснить можешь? Или ты exit node у себя поднимаешь?
не пояснит. т.к. не знает
grsecurity проприетарный проект, соответственно задействовать патчи из него невозможно. Да и под большим сомнением сам смысл этой сборки,особенно сомнение нарастает при наличии Kali Linux.
GPL - вирусная лицензия, всё что с ней скомпилировано должно быть открыто. Они нарушают гпл.
Она не вирусная, а защищающая свободу использования и распространения ПО.
Свободные лицензии это: BSD, MIT, Apache. Они дают код и разрешают изменять его не открывая.
> разрешают изменять его не открывая.Вот, а GPL заботится о распространении свободного и открытого ПО. Чтобы Вася был свободен в использовании ПО. А копрорасты не могли закрыть код и запретить его распространение.
Она заботится через принуждение. GPL принужденческая лицензия.
Более она подставляющая, т.к.заведомо нелегальная везде, лицензия - писалось тут уже ранее, притом отзывов на это всё 0... :(
> Более она подставляющая, т.к.заведомо нелегальная везде, лицензия - писалось тут уже ранее,
> притом отзывов на это всё 0... :(Во-первых, в части стран она точно легальна.
Во-вторых, если где-то она нелегальна, то налицо проблема свободы индивидов в таких странах. Да и авторское право, как и потентное, в большинстве стран законно, но оно противоречит свободе индивида. Это чистейшее насилие.
Здесь нет никакого насилия.
На всякий случай: насилие - физическое обнаружимое воздействие на тело индивида и/или его имущество, на каковое не было получено его добровольного информированного согласия.
Лицензия GPL изначально было сформировано средствами юридической составляющей против копрорастов и государства, творящих насилие в виде патентов, авторского права и подобных сфер насилия, продвинутых с целью контроля общества, понижая его свободу.
Принуждение. Я лишь за то чтобы перестать называть GPL свободной лицензией и называть принужденческой.
Либо если есть категория
"Разрешительная лицензия свободного ПО"
то ввести категорию
Принудительная лицензия свободного ПО
, тогда будет корректно, сейчас некорректно.
> Принуждение. Я лишь за то чтобы перестать называть GPL свободной лицензией и
> называть принужденческой.
> Либо если есть категория
> "Разрешительная лицензия свободного ПО"
> то ввести категорию
> Принудительная лицензия свободного ПО
> , тогда будет корректно, сейчас некорректно.Ты можешь расскрыть тему подробнее? Я тебя не понимаю.
Принуждение возможно только через насилие. Следует из определения. Свобода - отсутствие инициированного насилия. Определение "насилия" я раскрывал в предыдущем сообщении. В чем заключается принуждение?
>В чем заключается принуждение?В тексте лицензии GPL.
> Она заботится через принуждениеИ что в этом плохого?
>> Она заботится через принуждение
> И что в этом плохого?Во-первых, принуждения здесь нет.
Во-вторых, плохо - это оценочное суждение.
В-третьих, принуждение возможно только через насилие, а в таком случае о свободе бы говорить не пришлось, т.к. свобода - отсутствие инициированного насилия.
> Свободные лицензии это: BSD, MIT, Apache. Они дают код и разрешают изменять
> его не открывая.Толерантные к паразитам вы имели в виду? ;)
А GPL разве не толерантная? Сколько кода делается кривым, только для того, чтобы зарабатывать на поддержке.
А, когда это GPL мешало им использовать в своих корпорациях не открывая - просто используя локально...
> А, когда это GPL мешало им использовать в своих корпорациях не открывая
> - просто используя локально...*владельцы-акционеры AWS-амазонов-облаков-абажуров-гугло-сервисов и прочих много-много-миллиардных SaaS смотрят на тебя (чисто гипотетически, конечно - на самом деле им до тебя или меня нет дела) с умилением и поднимают бокал игристого Dom Pérignon Rosé Gold*
> Они дают код и разрешают изменять его не открывая.как и GPL
Она именно что вирусная, она изначально таковой задумывалась.
Но, притом оч.замутняющая сознание при чтении её, без официального перевода на русский (т.е.как я понимаю в РФ уже только потому нелегальна), и даже с самопротиворечиями по факту - только один вопрос линковки с закрытым...
> grsecurity проприетарный проектПатчи к свободному ядру Linux проприетарным быть не могут согласно GPL-2 п. 2, пп. B.
Почему-то разработчики grsecurity посчитали иначе
Пруф? Где доказательства, что они считают иначе? В случае недопонимания и нарушение суд может им разъяснить.
Почитайте историю GRSecurity, они и закрыли исходники потомуш всякие китай-васяны стали выдавать за своё достижение их наработки =)
Патчей нет, есть настройки: "Предложены новые режимы "Performance" и "Extreme hardening", включающие настройки ядра для достижения максимальной производительности и безопасности."Запустите тест: lynis https://cisofy.com/lynis/
> Запустите тест: lynisЭтот лучше: https://www.opennet.me/openforum/vsluhforumID3/129886.html#309
Глянул их: https://github.com/Securonis/SecuronisSystemHardening/blob/m...Мне кажется что больше пользы от тестовых систем типа lynis. Которые делают детальный аудит текущих настроек и дают рекомендации.
Очень полезны тестовые системы проводящие аудит на соответствие определенным требованиям. Полезным будет для lynis написать дополнительные тесты:
https://www.linux.org.ru/forum/security/17104486?cid=17717042
если постараться прочитать всю новость, то там что то есть про настройки ядра.
вы то конечно сделали полный аудит сборки? ))
мы можем положится на ваш профффесионализьм?
Это правда. Не удивлюсь если там какой-нибудь васянский криптомайнер на жабоскрипте или Питоне вкорячен.
man wireshark # лови криптомайнер
> Не удивлюсь если там какой-нибудь васянский криптомайнер на жабоскрипте или Питоне вкорячен.Судя обще по тормознутости не на последних ПК - такое везде или почти в никсах.
Почти уверен что и в проприетарной продукции вроде от MS/Apple - аналогично всё. И уж точно в пиратках.Но, самое паршивое что даже если бы его небыло тут - то, тоже не факт что небыло бы... т.к.можно же тонко подстаривать расход производительности.
> man wireshark # лови криптомайнер
Насмешил... они же не дураки - сами себя засвечивать в нём...
> они же не дураки - сами себя засвечивать в нём..ну то есть у криптомайнера трафика нет?
он просто майнит в офлайн )))
>Прекращена поставка рабочего стола GNOME (оставлен только MATE)Пока мейнстрим дистрибутивы активно деградируют и идут на поводу у мировой закулисы, независимые дистрибутивы понимаю что нужно пользователям.
> независимые дистрибутивы:)
Хоть можно пойти дальше и прийти к выводу что, даже если ты лично сделаешь свой дистрибутив
- всёравно там будет всё что нужно zog и прочим.
И это ведь даже не касаясь пользования (даже)иностранной техникой... выполняя роль безплатнго шпиона (такие независые у нас страны), а уж про мобилки,Secure/Web-Cam и регистраторы как форма слива себя и т.б.окруающих - и не говорю.
У меня похожий антививирусник уже два десятка лет работает: https://github.com/Securonis/SystemKnight/blob/main/systemkn...
Похоже не "Иммунитет" для линукс
Иммунитет для Linux это настроенный IMA/EVM + GrSecurity.
debian testing самое то для супер защиты!
Хорошо, но арчлинукс с пакетами из аура был бы ещё лучше.
>> для отправки всего трафика только через сеть TorПовеяло однозадачностью и DOS.
Какой то трафик вообще не пройдет через тор, какой то не уместен, что то надо через vpn, и опять же, для разных нужд через разные vpn. Впрочем если нет корпоративных почтовых ящиков и умных домов, можно и в носу через Тор ковырять. Неспешно ковырять.
Тор уже давным-давно выдает десятки мегабит. У вас все еще 2005 год в голове. Вы там это, размораживайтесь.
Я например ютуп смотрю через Тор в 1080. Платить за впн не хочу - нет нужды.
Речь не о Тор, о заворачивании _ВСЕГО_ трафика. Хоть в любой интерфейс.
Везет вам, а у меня он тупо не подключается к сети луковой.
Надо было сваливать, чо.
datadestroyer.py
А чем shred не устроил?
Тем более еще и на питоне!
> ColdBootDef - утилита для очистки памяти перед завершением работы.Они там больные? Суть ColdBoot в том, что DRAM (состоящая из конденсаторов и транзисторов) обливается из балончика жидким газом для обморожения (что приводит к падению утечки транзисторов), компьютер выключается по-жёсткому, затем быстро включается, и вся память быстро сканируется. Очистка перед выключением - это фигня: ColdBoot был нужен для взлома DRM в винде, где само ядро винды защищало области памяти от чтения другими процессами и само их зануляло когда процессы завершались. Вырубание по-жёсткому позволяло избежать зануления. В современных системах подобные ключи хранятся исключительно в sram процессора, которая при отключени питания теряет состояние почти сразу, в отличие от медленной dram.
Если веровать не мешает - то зачем вникать в такие тонкости, верно?
Особенно если оно тупо делаетlong mem = get_free_mem_in_bytes();
long mz = (mem - (long)(mem*0.005))/sizeof(int);
int *a = (int*)malloc(mz*sizeof(int));
for (int i = 0; i < mz; i++) {
a[i] = a[i]^0xCAFEBABE;
a[i] = a[i]^0xDEADBEEF;
a[i] = 0;
}
с "поправкой" на фоновое изменение размера свободной памяти
Нахер вы все всегда void* к чему-нить кастуете? Плюсовики чтоли?
А почему бы и не кастануть?
Работать не мешает, зато сразу видно, что маллок идет для массива интов
В современных системах DRAM теряет заряд настолько быстро, что вы даже на кнопку от баллончика нажать не успеете.
думаю пора уже секуронис прикручивать и к обычным дистрибутивам. EPEL недоступен, часть софта из flathub, из AUR и т.д.
Им не дают.Сегодня можешь только сам себе прикрутить.
а что лучше прикрутить чтоб весь трафик через лук пошел? тот что в сабже?
Есть же дистрибутив в котором весь траффик через это.
так весь смысл прикрутить к обычному дистрибутиву и качать софт без ограничений
Мне кажется должен быть рецепт. На домашнем сайте нет?
> На домашнем сайте нет?что на домашнем сайте? ))))
чем качаешь то и проксируй
изучить iptables и tails
посмотреть в сторону прозрачного проксирования.
короче, изучить матчасть )
> преднастроен для отправки всего трафика только через сеть TorТьфу, блин... Я-то ожидал, что "защищённый дистрибутив" - это который для банковских клерков. А это для мамкиных чегевар.
Заглянул в его код:systemhardening.sh
enable_maximum_hardening() {
...
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
...
dev.tty.ldisc_autoload = 1Кажеться он перепутал 0 и 1. И сделал всё наоборот.
Сейчас и скачал и запустил вещь сию и пишу из под нее- нормально работает, но есть там целый ряд недоработок (и если бы этот дистрибутив прежде чем его зарелизить мне на тестирование бы сначала дали, то в этом случае недостатков там бы было намного меньше- и я и не один такой умный и с помощью кого-то другого тоже можно бы было это все там проделать- что-то вот не сумели). В общем когда там появятся обновления ядра (и еще каких-либо существенных компонентов (в том числе устранение каких-либо CVE))- надо бы "роллинг-перевыпустить" этот дистрибутив- вещь хорошая, но могла бы быть лучше- а будет ли лучше в следующий раз? (У меня нет квалификации в программировании и в целом ряде другого в IT, а вот способностей и дизайнера и тестировщика- есть (и в дизайне там в темах оформления тоже есть свои недоработки, целого ряда нужного ПО там нет и вот если автомобили в случае брака на завод назад это исправлять отправляют, что а вот в линуксах намного реже подобное уже что-то встречается)).
И из тех вопросов, которыми по этому дистру я задаюсь- например с такой его версией ядра может ли в нем оборудования поддерживаться больше, чем в ядре Дебиана версии "Stable"? (В нем там она сейчас вот какая- https://www.tracker.debian.org/media/packages/l/linux/change... а в этом более новая- "6.12" уже- в чем между ними вообще может быть разница?))И что за ошибку "Synaptic" у меня выдает-
" Failed to fetch https://repo.protonvpn.com/debian/dists/stable/InRelease Could not wait for server fd - select (11: Resource temporarily unavailable) [IP: 188.114.99.228 443]Some index files failed to download. They have been ignored, or old ones used instead. "
(в окне, отображающем процесс загрузки данных со ссылок с различных репозиториев на ссылке "ПротонVPN" процесс загрузки и надолго "задумывается" (а все остальные загружаются быстро) и потом выдает то сообщение об ошибке- откуда это берется? (Или быть может это из за каких-либо "типа антинавальных" блокировок по той ссылке не хочет ничего загружаться? (Но все же намного хуже со всем этим дело обстоит у провайдера "Туркментелеком" ("Алтын Асыр")- там вообще несколько миллиардов IP-адресов заблокировано- это и большинство существующих в мире и нормально там вообще слишком мало что работает и если этот дистрибутив и там на тех сетях запустить то интересно, а как он себя и там поведет? (Есть ли в этой стране хоть какие-то и зеркала и CDN ? (А и в Северной Корее?) А то говорят, что про таких как там (и в некоторых африканских странах) правителей умело поется в одной из лучших песен группы "Сектор газа"- в песне "Подкуп"- и ну конечно нормального интернета там тоже не будет)).И дистрибутив этот немного поспешили зарелизить- там быстро целый ряд существенных обновлений появились, которые туда войти не успели (в том числе ядра- https://www.tracker.debian.org/media/packages/l/linux/change... (а в этой версии много и багфиксов и вообще много там я смотрю всего (а добавления поддержки какого-либо нового оборудования там есть?) Ну и "32" уже ожидается- еще не вышло, но на том же трекере написано, что уже и почти готово и что скоро выйдет). Эти обновления ядра появились на второй кажется день после релиза этого дистра а ранее до этого были целый ряд чего-то на Nvidia а что это было? (И если они были установлены (а пакеты из apt-кэша были потом удалены), то где в логах тогда посмотреть- и с какой на какую версию обновления в системе чего вообще были и в чем изменения те (changelog) заключаются? В том числе и какой командой в терминале сделать, чтобы не было автоматическаго удаления пакетов обновлений из apt-кэша после их установки? (Их бэкапы для установки оффлайн на флешке потом бывают нужны- а они в той папке после их установки когда сохраняются а когда и сразу автоматически оттуда после их установки удаляются- заранее не всегда поймешь, что будет)).
И непонятное у меня по сетевым настройкам там- вот когда я там запустил ПО "Seconionis" (зеленоватое такое), то там и много кнопок под разные варианты альтернативных настроек сетевых и когда я там что-то из них нажал, то сеть у меня тогда вообще пропала- и когда всякими переборами я там опять что-то (и опять сам не понял что) понажимал- сеть возстановилась- а какими тогда командами в терминале определять- и какие сетевые настройки в системе вообще выставлены (в том числе отдельно внутри браузеров) и какими командами сбросить их до исходных (то есть к тем, что во всех дистрибутивах по умолчанию выставлены как прямое подключение "auto eth0" (что винда что любой линукс к такому как у меня роутеру в режиме "auto eth0" подключаются а сам роутер настроен вручную теми настройками, какие напечатаны в договоре с провайдером- и я думаю в каких-то ситуациях может потребоваться такой комп и напрямую к кабелю провайдера без того роутера подключать и настройки в нем вручную вводить). И что заодно там за такое ПО как "DNS changer"? (Я попереключал-поперебирал в нем все варианты- разницы не заметил- вроде одинаково все в сети так и было- или разница будет только если такой комп напрямую без роутера к сетевому кабелю подключить?) И еще один сетевой вопрос (вокруг этого- debian.org/mirror/mirrors_full )- во 1х как в Synaptic (и в другие менеджеры обновлений) добавить кнопку- функционал и ручного выбора зеркал и автоматическаго их поиска ближайшего? (В убунтах это вот везде есть, а вот в Дебиане я этого там почему-то уже не встречал- нашел рекомендацию и установить ПО "Netselect apt" и запустить его в терминале- но оно вроде не дает возможности отредактировать sources list ? (Вручную я в текстовом редакторе его редактировал- то ПО в терминале у меня выдает и очень большой список зеркал, а вот зеркала Яндекса mirror.yandex.ru почему уже не выдает? Но ведь оно и очень давно уже как существует и оно по-прежнему и есть и работает- а почему тогда в тех списках его нет? (В убунтах тоже не выдает). И у меня (провайдер istranet.ru ) выдает, что то ли ближайший то ли самый быстрый для меня такой сервер- это сервер mirror.docker.ru но не может ли оказаться так, что какие-то компоненты с таких зеркал эта ОС в отличие от основного сервера не будет уже видеть? (Ну или как в sources list их там оба прописать, чтобы наверняка все виделось?) Ну и оттуда заодно я установил второй браузер- уже не ESR-браузер,- mirror.docker.ru/debian/pool/main/f/firefox/ он с тем ESR в одной системе без проблем уживается (а в винде почему уже нет?) И вот Хром в этом дистре у меня уже почему не установился? ubuntuupdates.org/package/google_chrome/stable/main/base/google-chrome-stable И еще один браузерный вопрос- как и в эту ОС и наоборот из нее переносить частично или полностью данные из профиля пользователя? (Например те куки, по которым с браузера осуществляется вход без пароля в аккаунты соцсетей, почты, web-версии мессенджеров? Ну то есть допустим после использования этой ОС в live-режие я осуществил в ней входы по паролю в целый ряд аккаунтов- как на флешку бэкапить такие куки, чтобы при перезапуске этой (да и других) ОС эти данные было можно потом вставить в системные папки пустого чистого браузера так, чтобы он вел себя точно также как и тот исходный? (В том числе данные push-уведомлений и истории посещения сайтов бэкапить и переносить как? В том числе если это будет в ситуации, когда браузер в убунтах там и виде snap-пакетов установлен и его системные папки там называются и расположены уже как-то иначе- в них те пользовательские данные как искать? (Вроде это (и в других ОС) определенные файлы с разширением "db"? (И чем такие файлы можно открыть, чтобы прочитать их содержание?))И насколько в этом дистрибутиве может поддерживаться и Wayland ? (И какой пароль в этой сборке задан теми, кто ее собирал? Не помню, как в мануалах его нашел но помню, что пароль там " live "- в том числе при выходе из спящего режима вводить надо именно это слово).