LINUX.ORG.RU

Security Linux

 , , ,


1

1

Доброго времени. Сегодня поставил чистый Арчик. И вот хотел узнать у нормальных людей, чем реально вы пользуетесь для защиты. Доку на вики конечно же почитал, статейки с гугла и тд. Поделитесь опытом, что реально помогает, а что лишь трата времени. Заранее благодарен за адекватные ответы. ППС: Просьба ко всем мистерам роботам: писать по существу.


Не запускать говно по типу sudo bash ./myMegaGTARepack_by_Nagibator2004.exe.sh, регулярно устанавливать обновления, не ставить что попало из AUR без проверки PKGBUILD, если параноишь — можешь браузер и прочие штуки изолировать в firejail, от мамки зашифровать хомяк или весь диск.

anonymous
()

И вот хотел узнать у нормальных людей, чем реально вы пользуетесь для защиты

Здравый смысл, меры предосторожности и нормы приличия. Всякие антивирусные приложения, фаерволлы и шифровальщики дисков у меня не работают.

Анонимус выше здравые советы уже написал.

xDShot ★★★★★
()

чем реально вы пользуетесь для защиты

Для защиты от чего? Без описания модели угроз вопрос «что реально помогает, а что лишь трата времени» не имеет ровным счетом никакого смысла.

Deleted
()
Ответ на: комментарий от anonymous

не очень информативный ответ, но срасибо

q13
() автор топика

Генерируй пароли openssl rand -base64 6.

Deathstalker ★★★★★
()
Ответ на: комментарий от Deleted

предположим что есть некоторые приложения которые приходится использовать для пентеста веб приложений. я не вижу смысла ради них ставить кучи отдельных окружений, виртувлок и тд. но и частью ботнета быть тоже не хочется. Системы типа selinux или apparmor может, я вот здесь хз. фаервол + настройка есть, если что

q13
() автор топика
Ответ на: комментарий от q13

предположим что есть некоторые приложения которые приходится использовать для пентеста веб приложений. я не вижу смысла ради них ставить кучи отдельных окружений, виртувлок и тд. но и частью ботнета быть тоже не хочется

Что еще за приложения для пентеста такие?

И это совсем не тот ответ, который я от тебя ждал. Как минимум необходимо знать что ты защищаешь и от кого, а также окружение.

Deleted
()

openssl rand -base64 32 | sha256sum | base64 | head -c 32; echo — остальное так, по мелочи.

system-root ★★★★★
()
Ответ на: комментарий от Deleted

Что еще за приложения для пентеста такие?

1) Nessus 2) Burp Suite и пара самописов(к ним нет претензий)

Как минимум необходимо знать что ты защищаешь и от кого, а также окружение.

в корни не то. Но всеравно спасибо)

q13
() автор топика
Ответ на: комментарий от q13

1) Nessus 2) Burp Suite и пара самописов(к ним нет претензий)

И в чем проблема с Nessus и Burp Suite? Ты считаешь, что они в сборках распространяют malware?

в корни не то. Но всеравно спасибо)

Нет, чувак, это как раз в корне то, от чего нужно идти. Иначе это будет пустой треп.

Deleted
()
Ответ на: комментарий от Deleted

Дело в том, что мне не известно внутреннее устройство данного софта и я не хочу особо замарачиваться, по этому ожидал что то типо контроля файлов в реальном времени или как то так. вот сейчас гуглю...

q13
() автор топика
Ответ на: комментарий от Deleted

не подумай, я тебя не как не упрекаю и не говорю что ты не прав, просто мне кажется что должно быть какое-то простое решение как организовать это без особых напрягов.

П.С. приложения которые тестятся, это сервисы с которых берется инфа и которые взаимодействуют по апи

q13
() автор топика
Ответ на: комментарий от q13

Положи сомнительное приложение в LXC-контейнер, например.

anonymous
()
Ответ на: комментарий от q13

Дело в том, что мне не известно внутреннее устройство данного софта и я не хочу особо замарачиваться, по этому ожидал что то типо контроля файлов в реальном времени или как то так. вот сейчас гуглю...

Это уже ближе к сути. Ты можешь воспользоваться selinux/apparmor/firejail/bubblewrap, но для графических приложений они тебя в полной мере не спасут, потому что X11.

Единственный нормальный в данном случае вариант ― использовать виртуальную машину. С аппаратной виртуализацией проблем в этом нет совсем. Я вообще чуть ли не каждое приложение запускаю в отдельной виртуалке.

Это если о проприетарных приложениях, в которых ты не уверен.

Если про тот софт, который ты тестируешь, то тут только виртуальные машины, без исключений.

Deleted
()

На десктопе grsec, на ноутбуке пока ничего. На ноутбуке будет SELinux,
и десктоп перевeду на него: последнее сообщение в gentoo-hardened было
весной 2018; надоели постоянные ошибки компиляции из-за того, что мейнтейнер
не делает paxmark; в дереве gentoo протухшее hardened-ядро без фиксов
(да, вот такое оно сесурити в реальности).

На десктопе хост изолирован от сети, все работает через вечно тупящие прокси.
На ноутбуке файервол.

Дефолтно зашифрованные диски, кроме /boot: с ним не стал заморачиваться.
/boot на флешке, флешку храню под подушкой и уже перепрятал.
Secure boot, TPM не пробовал; coreboot не стал прошивать.

хотел узнать у нормальных людей, чем реально вы пользуетесь для защиты

Каждый день молю боженьку, чтобы не хакнули. Без этого никак.

gentoo1love
()
Ответ на: комментарий от gentoo1love

grsec

Где взял? Они же давно патчи перестали публиковать публично.

anonymous
()
Ответ на: комментарий от q13

предположим что есть некоторые приложения которые приходится использовать для пентеста

Пентестер спрашивает чем защищаться. Сюрр какой-то.

Mr_Alone ★★★★★
()
Ответ на: комментарий от Mr_Alone

в том то и дело что нет, но даже если бы и да, в этом ничего такого нет)

q13
() автор топика

Не запускать говно по типу sudo bash ./myMegaGTARepack_by_Nagibator2004.exe.sh

Вот и всё.

anonymous
()
Ответ на: комментарий от q13

У виртуалки меньше ресурсов вычислительных. В отличии от песочницы, которой доступны все вычислительные мощности ПК.

Riniko ★★
()
Ответ на: комментарий от Riniko

ну врядли это настолько критично, обычно данные проверки проходят во время написания отчётов.

q13
() автор топика
Ответ на: комментарий от q13

Если ты используешь скрипты для пентеста то там скорость вычислений напрямую зависит от мощности ПК.

Riniko ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.