Дебиан слаб в плане безопасности.

Дебиан пал жертвой заговора. Смиритесь и исходите из реалий, а не батхертите по инерции. А то кидисам стало ну очень легко в крайнее время.

Это не для того анона, на комент которого отвечаю. Он то в курсе положения вещей.

Про системдЫ знают уже и сознательные умняши даже https://youtu.be/H5rP4chi6NE

mkdir -p /tmp/users/vasya/bin && ln -s /tmp/users/vasya/bin /home/vasya/bin

самодельный дуршлаг лучше заводского

Кокой там noexec, монтируйте все в ro уже в самом деле.

Все что rw - обязательно монтируется с noexec, а все что exec необходимо монтировать с ro !!!

Выкладываю для тех ыкспертов, что кроме дистров с systemd и винды ничего больше в своей жизни не видели.

Название и версия дистрибутива - правильный GNU/Linux без systemd, dbus, polkitd+JS, BPF, JIT, прочей дряни…

Все команды выполняю под root. MAC - отключен, работает только DAC.

Необходимо для уровня C1:

mount |grep -v -E ‘(noexec|ro,1)’

ничего не должен выводить

cp /bin/ls /tmp/

/tmp/ls

Permission denied

/lib/ld-linux-*.so.2 /tmp/ls

failad to map segment from shared object

Необходимо для уровня C2:

rm /var/log/access.log

и

sed -i ‘s/virus//’ /var/log/access.log

Operation not permitted

В вашем дистре могут применятся другие технологии защиты или не применятся никаких. Соответственно вывод может быть другим. Применяю самые простые технологии которые дают гарантии, иногда несколько технологий.

Выкладываю для тех ыкспертов, что кроме дистров с systemd и винды ничего больше в своей жизни не видели.

Название и версия дистрибутива - правильный GNU/Linux без systemd, dbus, polkitd+JS, BPF, JIT, прочей дряни…

Все команды выполняю под root. MAC - отключен, работает только DAC.

Необходимо для уровня C1:

mount |grep -v -E ‘(noexec|ro,)’

ничего не должен выводить

cp /bin/ls /tmp/

/tmp/ls

Permission denied

/lib/ld-linux-*.so.2 /tmp/ls

failad to map segment from shared object

Необходимо для уровня C2:

rm /var/log/access.log

и

sed -i ‘s/virus//’ /var/log/access.log

Operation not permitted

В вашем дистре могут применятся другие технологии защиты или не применятся никаких. Соответственно вывод может быть другим. Применяю самые простые технологии которые дают гарантии, иногда несколько технологий.

Лучше вообще не монтировать, так как нет разницы.

Разница есть, вы просто ее не видете.

Красавец! Жму руку. Мож хоть так до кого дойдет…

Он о том, что решето, проще не монтировать. Но даже через бут сиди/флеш все бывает интересно:)

failad

Колись, сколько платят за перепечатку непонятных слов с чужого экрана?

Со своего перепечятал.

Непонятно за что платят тем у кого вывод другой…

Со своего перепечятал.

Что, «безопасность» запрещает копировать? А макдак разрешает запускать изменяющиеся js-скрипты?

все, что exec должно лежать в виде образа squashfs на носителе с аппаратным выключателем записи :) чтоб вот, а не так по разгильдяйски.

опять неправильно
не «правильный GNU/Linux без….» а самокомпиленный LFS минимум. ​ хз что там кампеляторы с кривыми мейнтейнерами напатчили в свои дистрибутивы….

… с аппаратным выключателем записи

И доступ к выключателю давать только роботу, у которого «все, что exec лежит в виде образа squashfs на носителе…»

самокомпиленный

«хз что там напатчили в свои» компиляторы

коНпеляторы

Зафиксил.

все, что exec должно лежать в виде образа squashfs на носителе с аппаратным выключателем записи :) чтоб вот, а не так по разгильдяйски.

Есть еще лайт варианты:

1. Блочное устройство на котором эта фс тоже программно перевести в режим ro.

2. LUKS тоже режим ro поддерживает.

3. Наконец ядро Linux можно чуть пропатчить чтобы оно не разрешало перемонтировать ro в rw и noexec в exec.

О как. То есть во времена до системдЫ такого не было, но патчи для ядра секурные таки были.

Теперь системдЫ есть. Проблема есть. Патчей открытых внезапно нет. Прогресс!!11

И таки ключевой вопросц: а много ли из ныне присутствующих адептов дебианов вообще хоть раз в своей жизни конпеляли ядро? И если один раз таки да, то как часто вообще? Это о патчинге итд.

хз что там кампеляторы с кривыми мейнтейнерами напатчили в свои дистрибутивы….

У меня воспроизводимый бит в бит дистр на уровне пакетов. Вот stage0, воспроизводимость файловой системы пока в далеком туду.

Некоторые дистры GNU/Linux делают воспроизводимый загрузочный ISO образ.

То есть во времена до системдЫ такого не было

Все было и все работало: / в ro и /home, /tmp, /var в noexec без проблем монтировались в некоторых дистрибутивах по умолчанию.

в некоторых дистрибутивах по умолчанию.

В некоторых, возможно. Спорить не стану, все дистры не свитчил. По мне свитчинг - это такое себе…Но между некоторых и чуть меньше чем всех, разница в пропасть.

Поясню

То есть во времена до системдЫ такого не было

В контексте обсуждаемой проблемы онтопика.

онтопика

Щас пользователи оффтопика, «эксперты» по безопасности, расскажут про то как правильно настраивать безопасность, то есть бесполезность, на онтопике, которым они не пользуются, а только перепечатывают незнакомые слова на свои дырявые дуршлаги-оффтопики.

Слу, ну я рилли с удовольством послухая как оно надо! Нельзя ж помереть и не знать, что всю жизнь как лохъ делал не так.

Тут есть «эксперт», он расскажет, как защищать макдаком доступ в /var/log от рута.

https://wiki.archlinux.org/title/Simple_stateful_firewall

сознательные умняши даже https://youtu.be/H5rP4chi6NE

шизик какой-то

Каштан

Свободный человек!

есть еще ооооочень простое до кучи:

apt-get insall bilibop

vi (и прочие наны) biibop.conf

Пингвинка снова девочка.

install, пардон, очепятка

Советов тред по настройке безопасности

Заиметь роутер на OpenWRT/pfsense и оставить Debian на десктопе в покое с дефолтными настройками.

apt-get

Уже ж не пвагославно1

apt у них теперича.

Пс. Пингвинка теперь мальчег)

Devuan на десктопе

Пофиксил.

Да не будет ему разницы в обычном использовании, но сам Devuan тоже неплох.

А местные ыксперты не знают как с помощью DAC логи в GNU/Linux защищать?

О да какая там защита с systemd логами, они у них бинарны и подписываются.

Ты просто теперь большой человек, насяльника! Отчтал немного от «прогрессу»! Хотя оно и к лучшему. Лучше тебе не знать о современном положении дел в дебиане.

Но танки горят и жареной пингвинятинкой таки попахивает…

Горят те дистры, что даже DAC не осилили.

От малвари работающей под рутом?

А вот странно да, что некогда лучшая серверная пингвин ос (имхо) - это ниасилила. Прогресс!

Форточку прикрой!

"2.2.2.2 Audit

The TCB shall be able to create, maintain, and protect from modification or unauthorized access or destruction an audit trail of accesses to the objects it protects."

Это требование уровня C2.

Как правильно в DAC защитить логи?

Рилли?

АХТУНГ: Пишу из горящего танка , ко мне на linux ПК влез майнер!

Речь веду о правельном GNU/Linux.

А с Debian при всех сняли штаны, поставили раком и вставали сыстемдЫ. Это уже неправильный дистрибутив.

Debian всегда был не про безопасность. Лет 20 назад было очень правильное движение в Debian - Adamantix, но БНД его подсекло. Его наработки подхватили другие дистры.

Скажи еще, что логи пишешь на неперезаписываемые носители.

Форточник, хватит уже чушь нести про то, что ты не делал и чем ты не пользуешься!

Речь веду о правельном GNU/Linux.

А с Debian при всех сняли штаны, поставили раком и вставали сыстемдЫ. Это уже неправильный дистрибутив.

Debian всегда был не про безопасность. Лет 20 назад было очень правильное движение в Debian - Adamantix, но БНД его подсекло. Его наработки подхватили другие дистры.

Ваистену так! Помянем усопшего православного.

Но ручками секурность накрутить таки было можно. Ака напильником. А ща…