LINUX.ORG.RU

История изменений

Исправление Moisha_Liberman, (текущая версия) :

Скажу сразу, как гентарь.

Ну так надо свой оверлей, где точно будет всё с гитхаба, как в тз. По крайней мере ТС не будет очковать по поводу того, что дистростроители накатили сверху патчей от всех служб разведки разом.

В общем, когда SysRescCD спрыгнул с Gentoo на арчик, я таки запилил себе LiveUSB, взяв catalyst и разработки Gentoo Release Engineers. Понапихал туда кучку скриптов, сразу русифицировал, выставил vim вместо nano по дефолту, выставил более толковые опции для ssh, ntp (в т.ч. и выставив российские сервера времени в Пулковской обсерватории), … ещё кое чего. Достойненько получилось в общем.

Кроме того, свой оверлей уже есть и давно. Даже запилил несколько своих профилей, чтоб по eselect profile list можно было выбрать профиль с минимальным количеством ненужного кала и хлама.

Но не помогает и не поможет. Даже тотальный анализ исходников тоже не поможет. Во-первых, нет столько людей, во-вторых, нет столько денег. В третьих, ну разок пропатчил всё говно, дальше тоооолько отвернулся, херак, и ещё кода кривого, а то и с закладками нахерачат. И опять всё снова и заново. И не факт что нахерачат меньше, чем было. Я такое не осилю. Это просто 146%.

Тут один только выход – hardening системы. Как это сделано в той же hardened gentoo, чтоб было активированно SELinux и система собиралась бы с тулчейном, который с ASLR. Тогда система либо сама пришибёт корявое приложение, либо эксплоит сложнее приложить. Хотя бы какая-то гарантия есть. Ну и да, добавлю что сборку надо контролировать. И в т.ч. сборку ядра тоже, так что в «сонсоли попердолиться» придётся.

AstraLinux тоже не зря эту работу проделали для Special Edition. По-другому тут ни как.

Исправление Moisha_Liberman, :

Скажу сразу, как гентарь.

Ну так надо свой оверлей, где точно будет всё с гитхаба, как в тз. По крайней мере ТС не будет очковать по поводу того, что дистростроители накатили сверху патчей от всех служб разведки разом.

В общем, когда SysRescCD спрыгнул с Gentoo на арчик, я таки запилил себе LiveUSB, взяв catalyst и разработки Gentoo Release Engineers. Понапихал туда кучку скриптов, сразу русифицировал, выставил vim вместо nano по дефолту, выставил более толковые опции для ssh, ntp (в т.ч. и выставив российские сервера времени в Пулковской обсерватории), … ещё кое чего. Достойненько получилось в общем.

Кроме того, свой оверлей уже есть и давно. Даже запилил несколько своих профилей, чтоб по eselect prifile list можно было выбрать профиль с минимальным количеством ненужного кала и хлама.

Но не помогает и не поможет. Даже тотальный анализ исходников тоже не поможет. Во-первых, нет столько людей, во-вторых, нет столько денег. В третьих, ну разок пропатчил всё говно, дальше тоооолько отвернулся, херак, и ещё кода кривого, а то и с закладками нахерачат. И опять всё снова и заново. И не факт что нахерачат меньше, чем было. Я такое не осилю. Это просто 146%.

Тут один только выход – hardening системы. Как это сделано в той же hardened gentoo, чтоб было активированно SELinux и система собиралась бы с тулчейном, который с ASLR. Тогда система либо сама пришибёт корявое приложение, либо эксплоит сложнее приложить. Хотя бы какая-то гарантия есть. Ну и да, добавлю что сборку надо контролировать. И в т.ч. сборку ядра тоже, так что в «сонсоли попердолиться» придётся.

AstraLinux тоже не зря эту работу проделали для Special Edition. По-другому тут ни как.

Исправление Moisha_Liberman, :

Скажу сразу, как гентарь.

Ну так надо свой оверлей, где точно будет всё с гитхаба, как в тз. По крайней мере ТС не будет очковать по поводу того, что дистростроители накатили сверху патчей от всех служб разведки разом.

В общем, когда SysRescCD спрыгнул с Gentoo на арчик, я таки запилил себе LiveUSB, взяв catalyst и разработки Gentoo Release Engineers. Понапихал туда кучку скриптов, сразу русифицировал, выставил vim вместо nano по дефолту, выставил более толковые опции для ssh, ntp (в т.ч. и выставив российские сервера времени в Пулковской обсерватории), … ещё кое чего. Достойненько получилось в общем.

Кроме того, свой оверлей уже есть и давно. Даже запилил несколько своих профилей, чтоб по eselect prifile list можно было выбрать профиль с минимальным количеством ненужного кала и хлама.

Но помогает и не поможет. Даже тотальный анализ исходников тоже не поможет. Во-первых, нет столько людей, во-вторых, нет столько денег. В третьих, ну разок пропатчил всё говно, дальше тоооолько отвернулся, херак, и ещё кода кривого, а то и с закладками нахерачат. И опять всё снова и заново. И не факт что нахерачат меньше, чем было. Я такое не осилю. Это просто 146%.

Тут один только выход – hardening системы. Как это сделано в той же hardened gentoo, чтоб было активированно SELinux и система собиралась бы с тулчейном, который с ASLR. Тогда система либо сама пришибёт корявое приложение, либо эксплоит сложнее приложить. Хотя бы какая-то гарантия есть. Ну и да, добавлю что сборку надо контролировать. И в т.ч. сборку ядра тоже, так что в «сонсоли попердолиться» придётся.

AstraLinux тоже не зря эту работу проделали для Special Edition. По-другому тут ни как.

Исходная версия Moisha_Liberman, :

Не поможет.

Скажу сразу, как гентарь.

Ну так надо свой оверлей, где точно будет всё с гитхаба, как в тз. По крайней мере ТС не будет очковать по поводу того, что дистростроители накатили сверху патчей от всех служб разведки разом.

В общем, когда SysRescCD спрыгнул с Gentoo на арчик, я таки запилил себе LiveUSB, взяв catalyst и разработки Gentoo Release Engineers. Понапихал туда кучку скриптов, сразу русифицировал, выставил vim вместо nano по дефолту, выставил более толковые опции для ssh, ntp (в т.ч. и выставив российские сервера времени в Пулковской обсерватории), … ещё кое чего. Достойненько получилось в общем.

Кроме того, свой оверлей уже есть и давно. Даже запилил несколько своих профилей, чтоб по eselect prifile list можно было выбрать профиль с минимальным количеством ненужного кала и хлама.

Но помогает и не поможет. Даже тотальный анализ исходников тоже не поможет. Во-первых, нет столько людей, во-вторых, нет столько денег. В третьих, ну разок пропатчил всё говно, дальше тоооолько отвернулся, херак, и ещё кода кривого, а то и с закладками нахерачат. И опять всё снова и заново. И не факт что нахерачат меньше, чем было. Я такое не осилю. Это просто 146%.

Тут один только выход – hardening системы. Как это сделано в той же hardened gentoo, чтоб было активированно SELinux и система собиралась бы с тулчейном, который с ASLR. Тогда система либо сама пришибёт корявое приложение, либо эксплоит сложнее приложить. Хотя бы какая-то гарантия есть.

AstraLinux тоже не зря эту работу проделали для Spetial Edition. По-другому тут ни как.