Полезная информация

Вы можете получить техническую поддержку и просто поболтать в jabber-конференциях Mozilla Россия: support@conference.mozilla-russia.org — для решения проблем с программами Mozilla, talks@conference.mozilla-russia.org — для общения на свободные темы.

Флейм » Инженер Google сравнил антивирусы с мёртвой канарейкой » 18-12-2016 00:42:06

Rosenfeld пишет:

Понятно! "Мяч налево - мяч направо!" .. Значит использование "su-" - открывает, а использование "sudo" - не открывает!

Где я говорил, что использование "sudo" - не открывает [вредоносному ПО возможность повысить свои привилегии с пользовательских до root]? Открывает, ещё как!

Rosenfeld пишет:

И какие тогда лично у вас варианты? Поделитесь, пожалуйста!

Не использовать ни su, ни sudo.  Если нужны права root, заходить в систему изначально под root-ом, переключившись в текстовую консоль.

Rosenfeld пишет:

X Strange пишет:

Чтобы защититься от этого, остаётся фактически только логин root-ом из консоли.

А разве вы сами так не делаете?

Именно так и делаю. На самом деле, кроме этого использую и su, и sudo, но настройки этих программ отличаются от "умолчательных". В частности, выполнять по sudo всё подряд, как в ubuntu, у меня, безусловно, запрещено. Однако некоторые написанные мной скрипты, про которые я более-менее уверен, что они не дадут повыси

Флейм » Инженер Google сравнил антивирусы с мёртвой канарейкой » 15-12-2016 23:09:48

Rosenfeld пишет:

К примеру, я с возрастом и опытом от "sudo" потихоньку перешел к благородному "su -" (причины, надеюсь, я изложил достаточно подробно)...

Так ведь su тоже небезопасно использовать. Использование su открывает вредоносному ПО возможность повысить свои привилегии с пользовательских до root. Простейший пример атаки: используя права пользователя гипотетический вирус добавляет в .bashrc alias su='/path/to/fake_su', где fake_su так же, как и su, спрашивает пароль, затем вызывает обычный su, чтобы пользователь ничего не заметил. И ждём, пока пользователь введёт пароль root при попытке вызвать su. Чтобы защититься от этого, остаётся фактически только логин root-ом из консоли.

Флейм » Инженер Google сравнил антивирусы с мёртвой канарейкой » 14-12-2016 00:12:17

krigstask пишет:

Ради справедливости замечу, что у всех распространённых файловых системах есть ACL.  Правда, я их в деле не видел ни разу.

Очень существенная оговорка. На наличие ACL в linux можно не обращать внимания, так как оно не может разрешить то, что запрещено обычными правами доступа. Да и поддержку их в ядре легко выпилить нафиг. Естественно, в современном линуксе тоже дофига наворотов. Например, про process capabilities я относительно недавно узнал. Также есть атрибуты, acl, selinux, apparmor, и ещё дофига всего (по выбору). Но важно то, что классические права доступа UNIX по-прежнему работают, и на практике их хватает.

krigstask пишет:

sudo — важная и полезная вещь.

Безусловно, но применять его нужно с осторожностью, особенно выдавая доступ с правами root.

Флейм » Инженер Google сравнил антивирусы с мёртвой канарейкой » 13-12-2016 23:30:09

Rosenfeld пишет:

Я уже опосредованно отвечал на данный вопрос в текущей теме, приведя ссылку: https://diasp.org/posts/5814100 (осторожно, лоли!)

Посмотрел, но не нашёл ничего конструктивного. Если можно, поясните, что имелось в виду.

Rosenfeld пишет:

X Strange, вот сформулируйте сами - в чем опасность применения sudo?

Ну, на мой взгляд, в двух вещах.
1. sudo спрашивает пароль у пользователя в сеансе ограниченного аккаунта. Если последний скомпрометирован, то это приводит к компрометации root (например, sudo может запуститься поддельный). То же самое относится к screensaver (вы его тоже вроде как упоминали, поэтому рискну предположить, что речь шла именно об этой проблеме), а также к графическим утилитам типа gksu. Решения же возможны разные, поэтому я и спросил. Самое простое --- логиниться под root-ом только из текстовой консоли (когда это необходимо).
2. sudo является suid-файлом (точнее, должно иметь capability setuid), что повышает вероятность наличия уязвимости (на

Флейм » Инженер Google сравнил антивирусы с мёртвой канарейкой » 13-12-2016 22:25:22

krigstask пишет:

Пф, а открытие-закрытие окна ты не заметишь, конечно.

Думаю, что большинство windows-пользователей не смутит, если при втыкании флэшки быстро появится-исчезнет какое-нибудь окно. Скорее всего, пользователь примет это за установку драйверов к новому устройству или вроде того, так как винда часто так делает при втыкании незнакомой до этого флэшки. Другой вопрос, чем тут может помочь антивирус? Если флэшка смогла прикинуться клавиатурой, то для антивируса она так и будет клавиатурой. Если ОС не может отличить настоящую клавиатуру от фэйковой, то как тут антивирус поможет?

С тезисом о том, что антивирус не нужен, согласен, так как для того, чтобы те или иные способы обеспечения безопасности работала, администратор системы  (в данном случае он же пользователь) должен полностью их контролировать, а для этого он должен понимать, на чём основана и как работают эти самые способы обеспечения безопасности.
Например, про права доступа всё предельно ясно: если у процесса

Флейм » Linux, Windows, Mac OS X - IX » 29-08-2016 12:30:09

krigstask пишет:

Тогда надо их и попробовать убивать, наверняка mc просто ждёт их отклика.

Попробовал. Таки приходится убивать и mc, и эти процессы в любом случае.

Флейм » Linux, Windows, Mac OS X - IX » 26-08-2016 20:49:10

krigstask пишет:

X Strange пишет:

mc перехватывает Ctrl+Z, как и большинство полноэкранных ncurses-программ

Фу таким быть!
vifm вот не перехватывает.

Кстати, как оказалось, вру. Ничего он не перехватывает. Пока mc не завис, ctrl+z срабатывает.

krigstask пишет:

Я знаю, что можно заставить показывать это саму оболочку.  Например, у меня zsh там показывает путь.

Спасибо, посмотрю. Возможно, это как раз то, о чём я думал.

ladserg пишет:

Кста, утилита htop позволяет так же видеть процессы в виде дерева и убивать их. Весит немного, консольная но с интерфейсом. Рекомендую, удобнее чем top.

Да, про htop знаю, хорошая программа.

P.S. Кстати, мне ещё подсказали¸ что можно по состоянию процесса попробовать определить¸ какой из них завис.
P.P.S. Конкретно mc, открывающий архив, можно вычислить по дочерним процессам perl и unzip (это удобнее всего делать с помощью упомянутого htop).

Флейм » Linux, Windows, Mac OS X - IX » 26-08-2016 17:26:31

ladserg пишет:

Да и не зависало у меня ничего уже лет двенацать :-/

mc, например, зависает намертво если войти в запароленный zip и нажать F3 на любой файл.

krigstask пишет:

А Ctrl-Z не работает?

mc перехватывает Ctrl+Z, как и большинство полноэкранных ncurses-программ.

krigstask пишет:

Тут проблема в том, что никто, кроме эмулятора терминала не знает, что в какой вкладке запущено…

Я вот думал, может быть, какой-нибудь эмулятор терминала можно заставить показывать в заголовке вкладки если не pid, то хотя бы tty, по которому можно было бы различить процессы, запущенные в этих вкладках.

krigstask пишет:

Через `/proc` можно различить процессы по переменным окружения (кажется) и открытым файлам/каталогам.

Иногда можно, но это не универсально. Хотя в сегодняшнем случае, скорее всего, прокатило бы, но мне в голову сразу не пришло.

krigstask пишет:

Можно различить процессы, если они запущены разными родительскими процесами.

Так для это нужно как-то разл

Флейм » Linux, Windows, Mac OS X - IX » 26-08-2016 13:20:14

Что-то ветка совсем заглохла, а тем временем у меня возник вопрос¸ может кто знает.

Предположим, что у меня запущена  консольная программа в терминале (например, mc). Допустим, программа зависла, нужно уничтожить процесс командой kill. В случае если такая программа всего одна, то можно набрать ps aux | grep mc и узнать её pid, или  просто набрать killall mc.
А если процессов несколько, как узнать, какой из них открыт в нужной вкладке, чтобы вызвать kill с правильным pid? Я в таких случаях обычно закрывал вкладку, либо делал killall mc, но может быть, есть какой-нибудь более вменяемый способ? Например, если во вкладке были выставлены переменные окружения, которые не хочется терять, а другие mc тоже открыты по делу, а не просто так.

Флейм » Linux, Windows, Mac OS X - IX » 24-01-2016 23:47:39

krigstask пишет:

Старая шутка про то, что вирус для линупсов надо самому скачать и собрать, обретает новое дыхание!

Да не обязательно. Поскольку у него уже есть права root (выданные админом), то он вполне может позвольть себе быть скриптом на bash.

Флейм » Linux, Windows, Mac OS X - IX » 24-01-2016 22:51:16

krigstask пишет:

Вот это да. Осталось исхитриться написать код вируса через `echo`, и дело в шляпе. Смехота.

Код вируса вполне может скачиваться командой wget, а такое написать вполне реально.

krigstask пишет:

Вы, ребята, такие затейники, всё бы вам дистрибутивы менять:

Ну, почему бы нет? Я, например, люблю экспериментировать, поэтому систему переустанавливаю (и дистрибутивы меняю) часто. Но к потере важных данных из домашнего каталога это пока ни разу не привело.

krigstask пишет:

Да для всяких ненастоящих пользователей, к примеру. Загляни в свой `/etc/passwd`:

И даже для вполне "настоящего" пользователя root :)
Ещё это может применяться, например, в университетах, где домашние каталоги преподавателей (аккаунтов которых добавляются/удаляются относительно редко) и домашние каталоги студентов (список аккаунтов которых сильно меняется каждый год, а на время контрольных/зачётов их могут и вовсе отключать) могут находиться в разных каталогах, на разных дисках и даже н

Флейм » Linux, Windows, Mac OS X - IX » 24-01-2016 20:32:08

KOT040188 пишет:

На улицу тоже опасно выходить…

Это безусловно, только это предмет для обсуждения в отдельной теме. А вот понимать, что может произойти при копировании текста из html --- полезно.

X Strange пишет:

KOT040188 пишет:

Вы бы убрали, а то вдруг кто попробует ввести её

Не попробует, это ж классика :)

Кстати, говорят, эта команда не работает в современных дистрибутивах (disclaimer: я не проверял!).

Флейм » Linux, Windows, Mac OS X - IX » 24-01-2016 20:19:00

KOT040188 пишет:

Чего не знали?

Что опасно копировать команды из браузера в командную строку, даже понимая, что они делают.

KOT040188 пишет:

Вы бы убрали, а то вдруг кто попробует ввести её

Не попробует, это ж классика :)

Флейм » Linux, Windows, Mac OS X - IX » 24-01-2016 18:49:23

Наткнулся на такую статью: https://habrahabr.ru/post/275075/.
Может и известная вещь, но я не знал.

Флейм » Linux, Windows, Mac OS X - IX » 24-01-2016 15:55:52

KOT040188 пишет:

Да мало ли, дистрибутив сменить или ещё чего…

Или после выполнения команды, что у меня в подписи :)

Флейм » Linux, Windows, Mac OS X - IX » 24-01-2016 14:28:25

krigstask пишет:

X Strange
Бесспорно, но чаще всё-таки пользователи с нестандартным домашним каталогом так прямо и создаются, а не перетаскиваются потом.

Это да, но как оказывается, в linux даже потом перетащить проще, чем в винде.

Флейм » Linux, Windows, Mac OS X - IX » 23-01-2016 22:08:16

krigstask пишет:

Да это стандартная возможность `adduser`, указать домашний каталог у чёрта на рогах.

Да, но на десктопе этого обычно не делают. А хранится этот путь именно в /etc/passwd, и ничто не мешает отредактировать его вручную без всяких adduser.

Флейм » Linux, Windows, Mac OS X - IX » 23-01-2016 20:25:41

Ну, если для решаемых задач хватает linux, то почему бы и нет...

Флейм » Linux, Windows, Mac OS X - IX » 23-01-2016 20:09:53

KOT040188 пишет:

Я не в курсе, винды у меня нет.

Вы её специально удалили? Или это не ноут, где установлен OEM?
А мне, к сожалению, приходится держать и винду. Хотя загружаю редко.

Флейм » Linux, Windows, Mac OS X - IX » 23-01-2016 19:28:04

KOT040188 пишет:

А зачем?

Смотря что зачем.
Если вопрос был "зачем права root", то ответ состоит в том, что владелец каталога /home вообще-то root.
Если "зачем делать /home символьной ссылкой" - для того, чтобы запустить описанную ниже гипотетическую глючную программу.

KOT040188 пишет:

Глубоко капаете…

Ну, может на практике оно и не так часто применяется, но знать про это полезно.

KOT040188 пишет:

А очень надо?

Пока не очень, но если вы знаете, где про это можно почитать, буду признателен если кинете ссылку. Симлинками в винде пользуюсь.

Флейм » Linux, Windows, Mac OS X - IX » 23-01-2016 19:16:04

KOT040188 пишет:

Опять не понял, при чём здесь root. В linux симссылки легко редактируются в графике из-под пользователя. По крайней мере в kde. В винде по-моему вообще никак…

Чтобы сделать /home символьной ссылкой, нужны права root.

KOT040188 пишет:

Это куда же? Я может чего упустил в монтировании хомяка, просветите примерами…

Про монтирование я сказал не совсем корректно, я в своей исходной фразе поправил. Имелось в виду, что в /etc/passwd можно написать любой путь к домашнему каталогу, не обязательно /home/имя_пользователя.

23-01-2016 19:16:45

KOT040188 пишет:

Есть относительные симссылки.

В linux да, в винде я не понял, как это сделать.

Флейм » Linux, Windows, Mac OS X - IX » 23-01-2016 18:55:33

KOT040188 пишет:

Вы не копируете с раздела на раздел

Таки да. При копировании ссылки указывают на старое место, так как ссылаются по абсолютному пути. Может и существует решение, но я не стал копать.
Есть ещё в windows команда robocopy с диким количеством параметров, может быть с её помощью можно что-то сделать.

KOT040188 пишет:

Зачем, если можно в нормальной графике?

Сложные графические приложения несколько стрёмно запускать под root'ом. Хотя у krusader и есть такой режим.

KOT040188 пишет:

Так я не понял, что произойдёт? На всякий случай: речь идёт об одном пользователе, а не о нескольких…

Произойдёт то, что кривая программа полезет в каталог /home/имя_пользователя, настоящий домашний каталог которого в системе с экзотическими настройками на самом деле находится совершенно в другом месте. А каталога /home/имя_пользователя нет вовсе. И такая программа заглючит если не создать символьную ссылку /home/имя_пользователя на настоящий домашний каталог.

Флейм » Linux, Windows, Mac OS X - IX » 23-01-2016 18:08:27

KOT040188 пишет:

Ничем копировать нельзя! Они же побьются!

Неправда. Специально проверил в FAR manager. Делал так:
1. Создаём каталог 1, внутри файл hello.txt.
2. Alt+F6 - делаем симлинк на 1 с именем 2.
3. F5 - копируем 2 в 3.
В итоге 3 --- по-прежнему симлинк на 1.
Что я делаю не так?

KOT040188 пишет:

В linux это делается в графике, но нет необходимости.

В linux это делается в mc так же, как в windows в FAR. Просто в mc вместо Alt+F6 нужно нажимать Ctrl+X S --- вот и вся разница.

KOT040188 пишет:

Какие такие? Куда бы вы не положили хомяк, приложениям будет пофиг. Это юникс, файловая система с единым корнем, и я считаю это грамотным подходом…

В теории ничто не запрещает написать программу, которая напрямую полезет в /home/имя_пользователя. На практике я таких программ не видел, но кто знает?

23-01-2016 18:11:21

KOT040188 пишет:

Разница в том, что ещё до покупки диска может случится необходимость переустановить систему. Тут без отдельного хомяка т

Флейм » Linux, Windows, Mac OS X - IX » 23-01-2016 17:20:53

KOT040188 пишет:

но если человек не дурак, то обязательно выделит отдельный раздел.

Зачем? Если он уже заранее запланировал покупку нового диска? Чтобы потом переразбивать? Да и даже если выделил, всё равно потом переносить. Какая разница --- с системного раздела, или нет? В линуксе разницы однозначно нет.

KOT040188 пишет:

Симссылки например копировать нельзя, надо создавать заново.

Командой copy --- нельзя, но это всё равно неудобно. Far Manager символьные ссылки отлично копирует.

KOT040188 пишет:

Приложения, которые будут в ужасе от переноса. В linux такого быть не может…

Что правда, то правда. Хотя может и под линуксом можно такие приложения, но я не встречал. Да и даже если можно --- символьные ссылки в linux тоже никто не отменял. Наряду с mount -o bind

KOT040188 пишет:

Я так и написал. http://kubuntu.ru/node/13310#comment-156727

KOT040188@http://kubuntu.ru пишет:

Спёрли! Но как всегда коряво: скорее всего пользователь вообще не будет уп

Флейм » Linux, Windows, Mac OS X - IX » 23-01-2016 16:12:23

KOT040188 пишет:

В linux достаточно на этапе установки задать отдельный раздел для хомяка.

Это правда, но во-первых, начинающий пользователь мог этого не сделать по незнанию, а продвинутый --- мог это сделать специально, зная, что с процессом переноски на другой жёсткий диск (который, например, отсутствует на момент установки) справится без труда. Кроме того, может возникнуть задача просто перенести домашний каталог на другой раздел или диск, даже если он не был системным.

KOT040188 пишет:

Но даже если кому-нибудь взбредёт в голову такая фигня, то это делается черезвычайно просто: копируется хомяк на новый раздел, правится fstab.

Так я об этом и говорю. В windows по сути то же самое, но сложнее: вместо правки fstab правятся ветки реестра. Кроме того, в windows ещё на всякий случай выставляется символьная ссылка для совместимости с не очень адекватными программами, которые захардкодили у себя путь "C:\Users\Name", или ещё хуже: "C:'\Documents and Settings\Name", если это

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2011 Mozilla Russia
Язык отображения форума: [Русский] [English]