История изменений
Исправление CrX, (текущая версия) :
Чтобы повторить такой уровень безопасности в линукс. что следует сделать и на что следует обратить внимание?
Всё сломать и наставить васянского софта из рандомных мест, конечно.
Про доверие к репам: Даже в ядро может быть злое
Ну тут только лично проводить аудит при каждом обновлении. Код открыт. Осилишь? Ну а если нет, то придётся доверять.
Про «известные и авторитетные пакеты»
Ровно то же самое.
Права по умолчнию на исполнение в каталоге пользователя?
Ну так отключи.
По поводу того, что действительно может иметь смысл: запускать всякие непроверенные программы и тем более проприетарщину в сэндбоксе (например firejail, можно заморочиться с bubblewrap). Если хочется прям совсем по хардкору, то AppArmor.
Если хочется ещё хардкорнее: отдельный дистр в виртуалке. Возможно даже для каждой серьёзной программы, которую нет сил аудитить. Tails, как вариант.
Тут весь вопрос в том, какой долей собственного удобства и беззаботности ты готов пожертвовать ради безопасности и приватности. Это всегда компромис.
Ну а если прям все-все дыры заклетить, то это сперва отключается Ethernet-кабель. Полностью. И как последний этап — выключается комп из розетки. Достаются тетрадки, счёты и т.д. Тут уж точно без физического доступа никто до твоих данных не доберётся.
P.S. Мне лично хватает сэндбоксов + (естественно) банальной «гигиены».
Исправление CrX, :
Чтобы повторить такой уровень безопасности в линукс. что следует сделать и на что следует обратить внимание?
Всё сломать и наставить васянского софта из рандомных мест, конечно.
Про доверие к репам: Даже в ядро может быть злое
Ну тут только лично проводить аудит при каждом обновлении. Код открыт. Осилишь? Ну а если нет, то придётся доверять.
Про «известные и авторитетные пакеты»
Ровно то же самое.
Права по умолчнию на исполнение в каталоге пользователя?
Ну так отключи.
По поводу того, что действительно может иметь смысл: запускать всякие непроверенные программы и тем более проприетарщину в сэндбоксе (например firejail, можно заморочиться с bubblewrap). Если хочется прям совсем по хардкору, то AppArmor.
Если хочется ещё хардкорнее: отдельный дистр в виртуалке. Возможно даже для каждой серьёзной программы, которую нет сил аудитить. Tails, как вариант.
Тут весь вопрос в том, какой долей собственного удобства и беззаботности ты готов пожертвовать ради безопасности и приватности. Это всегда компромис.
Ну а если прям все-все дыры заклетить, то это сперва отключается Ethernet-кабель. Полностью. И как последний этап — выключается комп из розетки. Достаются тетрадки, счёты и т.д. Тут уж точно без физического доступа никто до твоих данных не доберётся.
Исправление CrX, :
Чтобы повторить такой уровень безопасности в линукс. что следует сделать и на что следует обратить внимание?
Всё сломать и наставить васянского софта из рандомных мест, конечно.
Про доверие к репам: Даже в ядро может быть злое
Ну тут только лично проводить аудит при каждом обновлении. Код открыт. Осилишь? Ну а если нет, то придётся доверять.
Про «известные и авторитетные пакеты»
Ровно то же самое.
Права по умолчнию на исполнение в каталоге пользователя?
Ну так отключи.
По поводу того, что действительно может иметь смысл: запускать всякие непроверенные программы и тем более проприетарщину в сэндбоксе (например firejail, можно заморочиться с bubblewrap). Если хочется прям совсем по хардкору, то AppArmor.
Если хочется ещё хардкорнее: отдельный дистр в виртуалке. Возможно даже для каждой серьёзной программы, которую нет сил аудитить. Tails, как вариант.
Тут весь вопрос в том, какой долей собственного удобства и беззаботности ты готов пожертвовать ради безопасности и приватности. Это всегда компромис.
Исправление CrX, :
Чтобы повторить такой уровень безопасности в линукс. что следует сделать и на что следует обратить внимание?
Всё сломать и наставить васянского софта из рандомных мест, конечно.
Про доверие к репам: Даже в ядро может быть злое
Ну тут только лично проводить аудит при каждом обновлении. Код открыт. Осилишь? Ну а если нет, то придётся доверять.
Про «известные и авторитетные пакеты»
Ровно то же самое.
Права по умолчнию на исполнение в каталоге пользователя?
Ну так отключи.
По поводу того, что действительно может иметь смысл: запускать всякие непроверенные программы и тем более проприетарщину в сэндбоксе (например firejail, можно заморочиться с bubblewrap). Если хочется прям совсем по хардкору, то AppArmor.
Тут весь вопрос в том, какой долей собственного удобства и беззаботности ты готов пожертвовать ради безопасности и приватности. Это всегда компромис.
Исходная версия CrX, :
Чтобы повторить такой уровень безопасности в линукс. что следует сделать и на что следует обратить внимание?
Всё сломать и наставить васянского софта из рандомных мест, конечно.
Про доверие к репам: Даже в ядро может быть злое
Ну тут только лично проводить аудит при каждом обновлении. Код открыт. Осилишь? Ну а если нет, то придётся доверять.
Про «известные и авторитетные пакеты»
Ровно то же самое.
Права по умолчнию на исполнение в каталоге пользователя?
Ну так отключи.