История изменений
Исправление fornlr, (текущая версия) :
Домашний каталог, /tmp, /var и любые съёмные носители можно монтировать noexec, а пользователям прав рута не давать.
Noexec на том же /tmp принесёт просто кучу проблем с неработающим софтом. Так же и на венде можно рута не давать, если не знал. В венде щас кастате запиливают ограничение доступа для не доверенных приложений к /home, чего в линуксах нет (настроить грамотно Selinux или AppArrmor даже не каждый красноглазый сможет, что уж о домохозяйках говорить).
Централизованные репозитории вместо вирусо-помойки, разбросанной по всей глобальной Сети.
Не работает. Только для весьма ограниченного софта. Вот мой список, за котором я иду по «помойкам»: virtualbox, opera, sublime text, steam, deadbeef, майнер и кошелек для XMR, более новая CUDA (предыдущий пункт требует 8-ку, которой нет в Ubuntu 16.04 LTS), texas SDK... Наверно еще что-то забыл. Естественно, что куча производителей софта просто не захочет пригимать правила всяких репозиториев дистрибутива.
Так что да - принцип неуловимого Джо и не более.
PS: а за принцип «сложность для разработчиков софта как защита от вредносного ПО» - это пять :D
Исходная версия fornlr, :
Домашний каталог, /tmp, /var и любые съёмные носители можно монтировать noexec, а пользователям прав рута не давать.
Noexec на том же /tmp принесёт просто кучу проблем с неработающим софтом. Так же и на венде можно рута не давать, если не знал. В венде щас кастате запиливают ограничение доступа для не доверенных приложений к /home, чего в линуксах нет (настроить грамотно Selinux или AppArrmor даже не каждый красноглазый сможет, что уж о домохозяйках говорить).
Централизованные репозитории вместо вирусо-помойки, разбросанной по всей глобальной Сети.
Не работает. Только для весьма ограниченного софта. Вот мой список, за котором я иду по «помойкам»: virtualbox, opera, sublime text, steam, deadbeef, майнер и кошелек для XMR, более новая CUDA (предыдущий пункт требует 8-ку, которой нет в Ubuntu 16.04 LTS), texas SDK... Наверно еще что-то забыл. Естественно, что куча производителей софта просто не захочет пригимать правила всяких репозиториев дистрибутива.
Так что да - принцип неуловимого Джо и не более.