как заклеить все дыры в линукс?

ALT

Там, ещё, при использовании SELinux запросто половина приложений/фич может отвалиться, путь самурая, короче. Зато, да, будет более безопасно.

какой фигней ты страдаешь.. умозрительной ***нёй. вообще попробуй нечего не делать. как это делают подавляющее большинство пользователей линя. и ничего с их системами не делается. ты попробуй, а поймёшь потом. каждый второй, а то и 1 с винды приходит и несёт такую же пургу - мол вы тут все не понимаете и не знаете как оно на самом деле - я у касперского прочитал как оно. вот только мы тут все реальные пользователи, а он прочитал у касперского или еще где.

Поделюсь своим опытом.

как заклеить все дыры в линукс?

Не лазить в inet по помойкам и всё будет ok!

считаем что система изначально «скомпроментированы»

Тогда п.1 не исполнится никак. П.2 не пользоваться устройством.

Это самый строгий вариант в плане безопасности. Дальше можно ослаблять безопасность сколько душе угодно. До какого уровня, опять же решать тебе. Многие здесь используют дистрибутивы с настройками по умолчанию считая их безопасными.

Не пользоваться браузером вообще.

мне хочется чтобы «мой копьютер» был моим

LFS с самостоятельным аудитом и патчингом кода каждого устанавливаемого приложения. Естественно не забывайте, что пользоваться можно только тем железом, которое скрафчено исключительно самостоятельно. Если не готовы, то, по всей, видимости такой уровень безопасности является для Вас излишним. Но тогда уже Вам виднее сколько усилий Вы готовы потратить на обеспечение безопасности, а сколько нет.

Можно просто серфить лишь с использованием виртуальной машины.

Лучше всего иметь два компа.

Один для работы (не подключённый к сети), второй для «не хочу работать».
В первом варианте ещё решаются в добавок все вопросы, связанные с безопасностью.

Ради интереса установите на своём компе какой-нибудь трафик инспектор и увидите как часто кто-нибудь «ломится» в ваш компьютер (боты, ...).

Поставьте OpenSnitch - и все ваши дыры будут как на ладони.
Ну а потом уж латайте их :=)

Чтобы повторить такой уровень безопасности в линукс. что следует сделать и на что следует обратить внимание?

Всё сломать и наставить васянского софта из рандомных мест, конечно.

Про доверие к репам: Даже в ядро может быть злое

Ну тут только лично проводить аудит при каждом обновлении. Код открыт. Осилишь? Ну а если нет, то придётся доверять.

Про «известные и авторитетные пакеты»

Ровно то же самое.

Права по умолчнию на исполнение в каталоге пользователя?

Ну так отключи.

По поводу того, что действительно может иметь смысл: запускать всякие непроверенные программы и тем более проприетарщину в сэндбоксе (например firejail, можно заморочиться с bubblewrap). Если хочется прям совсем по хардкору, то AppArmor.

Если хочется ещё хардкорнее: отдельный дистр в виртуалке. Возможно даже для каждой серьёзной программы, которую нет сил аудитить. Tails, как вариант.

Тут весь вопрос в том, какой долей собственного удобства и беззаботности ты готов пожертвовать ради безопасности и приватности. Это всегда компромис.

Ну а если прям все-все дыры заклетить, то это сперва отключается Ethernet-кабель. Полностью. И как последний этап — выключается комп из розетки. Достаются тетрадки, счёты и т.д. Тут уж точно без физического доступа никто до твоих данных не доберётся.

P.S. Мне лично хватает сэндбоксов + (естественно) банальной «гигиены».

Оно там уже давно в режиме enforcing, и ничего живы. Я уж молчу про Android.

https://www.cs.cmu.edu/~rdriley/487/papers/Thompson_1984_ReflectionsonTrustin...

https://www.youtube.com/watch?v=SJ7lOus1FzQ

http://blog.ezyang.com/2011/10/the-new-reflections-on-trusting-trust/

зы. ну ты понЕл

https://research.swtch.com/nih

https://dwheeler.com/trusting-trust/

сам факт того что вы пользуетесь языком (здесь русским) делает вас уязвимым к мемам языка

железо всяко не достоверно свободно от закладок

так что наслаждаемся и наслаждаемся

сам факт того что вы пользуетесь языком (здесь русским) делает вас уязвимым к мемам языка

Так вот почему Вы обычно пишете таким странным языком! Это способ защиты!

Чтобы повторить такой уровень безопасности в линукс

Бу-го-га. Твой уровень безопасности в венде - говно собачье. Твои локальные политики волнуют микрософт меньше всего - все что ты там налокалил стало глобальным в Редмонде. Куда и как они будут твою безопасность использовать - их личное дело, поставив венду ты согласился что маленький мягкий билли в твоих интимных делах всегда третий. Ну как минимум третий.

Ну а что до линукса - он просто менее массовый и менее интересный, соотвественно твоя безопасность возрастает уже потому что это не венда имя дистрам и репам легион и хакеры просто не сильно морочатся. Ну а так - сделай отдельного юзера под которым будешь качать варезы и порно и не ходи из под него на сайт своего банка - и уже станет многократно безопаснее чем может позволить венда.

Какую из? Есть Орёл на довольно старенькой базе, для дома не особо удобен. И есть Смоленск — на относительно современной базе, но с кучей ненужных для дома инструментов типа мандатного контроля и я даже не уверен, продадут ли его физлицу вообще. Лучшее, что есть у Астры — это Fly DE, к сожалению, большая его часть проприетарна.

Для дома лучше на Альт посмотреть.

достаточно ознакомиться с eula'й астры что бы понять насколько этот шилдик отечественный

Не надо эту проблему решать. Это пустая трата времени. Линукс не настолько популярный, чтобы был шанс поймать случайный вирус.

Не поможет, разве что для успокоения, я проверял.