Дистрибутив для параноиков

дляради пошутейки

Сарказм типа? Понятно.

А то развелось мамкиных параноиков выше крыши.

SELinux

удобно

Ну-ну…

Тогда если выбирать между АНБ и ФСБ

Ты полагаешь, они не делятся информацией?

Ты полагаешь, они не делятся информацией?

В нынешней мировой политической ситуации уверен, что нет. Они скорее враждуют (хоть и не напрямую), нежели сотрудничают.

1. Умеет шифровать весь раздел при установке системы.

Chain of trust - что-то можно нагородить вручную по arch wiki.

Я не заморачиваюсь, шифрую только home, от утери устройства или диска спасет.

2. Имеет полноценную систему SELinux, которая позволяет удобно давать разрешения приложениям (как это сделано в Андроид).

Чтоб прямо удобно через UI? Не знаю таких.

3. Имеет качественный фаервол, который настроен не по портам, а по приложениям

В linux все файрволы это фроненды над встроенным в ядро netfilter framework, а там нет там таких возможностей которые ты хочешь.

В том же android каждое приложение работает из под своего пользователя, вот фильтровать трафик для каждого отдельного пользователя можно.

Я лично на своем компе создал несколько пользователей для разных задач, напрмер работают я из под другого пользователя, и он может выходить в сеть только через VPN, когда VPN выключен там нет сети, это мой способ защиты от ошибок и утечек геолокоации (чтоб не заблочили).

Я немного припозднился, всего на 3 дня (и 1 месяц), но всё же спрошу пожалуй тут, поскольку вопрос немножко нетехнический.

хром и фаерфокс точно огорожены

У меня фаефокс не открывал локальные html файлы. Это из-за этого? Как попроще обойти запрет заботливых openbsd-шников? (ну предположим я страничку пишу, статическую, и хочу посмотреть как она выглядит). Мне конечно приходит в голову запуск локального веб-сервера и проставление сим-линков на нужные файлы, но как-то геморно это.

И ещё, мне что-то кажется, это немного неадекватно. Вот так резко, взять, и обрубить браузеру весь доступ. Учитывая что:

• для доступа к банкам мы и так даём ему пароли
• есть другое решение, проще: запуск из-под другого пользователя, которому запрещён доступ к нашим секретным файлам

Чем вызвана резкость этого решения?

Первое время мне тоже было непривычно, но потом я понял, что браузеру по хорошему не нужен доступ к файловой системе. Да, иногда неудобно таскать файлики в Downloads, но зато безопасно :). Если все же нужно дать браузеру доступ куда-то - то это сделать не просто, а очень просто. Достаточно к̶у̶п̶и̶т̶ь̶ ̶п̶р̶о̶с̶т̶о̶й̶ ̶с̶о̶в̶е̶т̶с̶к̶и̶й̶.̶.̶.̶ отредактировать файлики /etc/firefox/unveil.* /etc/chrome/unveil.* если нужно дать доступ к файловой системе, либо /etc/firefox/pledge.* если нужен какой-то системный вызов.

в файликах unevil все очень просто и понятно:

...
~/.pki rwc
~/.sndio rwc
~/.terminfo r
~/.mozilla rwc
~/Downloads rwc
...

несложно же ведь, правда?

Как понять, что не хватило доступа к каким-то системным вызовам? Очень просто. Если упал браузер - загляни в dmesg, если там последние строчки будут про firefox и pledge - это оно. Там же будет написано, что именно оно пыталось сделать, и ты можешь это принести в /etc/firefox/pledge.*

Запускать браузер из-под другого пользователя сложнее, да и менее безопасно, куча файлов в системе открыта на чтение. Ну и эта штука сделана не для того, чтобы у тебя из браузера не сперли пароль от сайта, а чтобы через потенциальную уязвимость в браузере у тебя не стырили ~/.ssh/id_rsa

Gpac

Дистр слегка не доделан, но то мелочи, скоро ng

MS-DOS

Зачем эта пропиертарщина, когда есть отличный опенсорсный FreeDOS ?

Спасибо! Не знал обо всём этом. А как должен новичок об этом (/etc/firefox/unveil.*) узнать? Я чего-то не заметил? (при установке браузера?)

Я не буду пожалуй смотреть уже, удобно, или неудобно так. Я снёс всё. Не устроило потому что там нет атласа для октавы. А атлас убыстряет раз в 10-20, без него октава неполноценная. На фри что-то делают, но и у них вроде тоже пакета нет.

Когда появится атлас – пригодится и эта консультация (записал). Заодно может виртуализацию допилят (с пробросом и графикой). Надеемся, ждём :)

unevil

:)

PS. А, вот ещё (эх, оффтоп). А как по-быстрому (=без интернета) узнавать что именно из депенденсов будет установлено и сколько всё займёт места? (pkg_add -s долго) И как искать по нескольким ключевым словам в описании пакетов? Может есть какие неофициальные пакеты, создающие локальный кэш пакетов и удобные утилитки для работы с ним? (как apt-cache в дебиане)

Я поспешил с PS-вопросом: есть локальный кэш пакетов - порты :) Вобщем, потом когда-нибудь продолжу изучать OpenBSD. Пока вопросов особо нет. Спасибо!

Мне кстати понравилось в OpenBSD кое-что: флаг «manual» для пакетов. Это вполне полезно, в отличие от selection states в дебиане (ни разу не пригодились за много лет, только путают, непонятно зачем они).

Спасибо! Не знал обо всём этом. А как должен новичок об этом (/etc/firefox/unveil.*) узнать? Я чего-то не заметил? (при установке браузера?)

Если новичок - то можно смотреть в ман:

$man firefox
...
SEE ALSO
       /usr/local/share/doc/pkg-readmes/firefox
...

$less /usr/local/share/doc/pkg-readmes/firefox
...
pledge(2) and unveil(2) Support
===============================
Firefox on OpenBSD is secured with pledge(2) and unveil(2) to limit
the system calls and filesystem access that each of Firefox's process types
(main, content, remote data decoder, audio decoder, socket and GPU) is
permitted.  By default, only ~/Downloads and /tmp can be written to when
downloading files, or when viewing local files as file:// URLs.  You can edit
the following files to change the pledge promises, unveil paths, and associated
permissions:

/etc/firefox/{unveil,pledge}.{main,content,gpu,rdd,socket,utility-audioDecoder}

As unveil() can't show non-existing dirs, it is recommended to manually
create ~/Downloads for files to be properly saved in this directory.

Starting firefox should create this dir though, but it wont be available
for downloads until it's restarted.
...

Вообще в бсд хорошие доки, маны в частности, так что не надо стесняться туда смотреть.

Ну или можно гуглить, как и везде.

Про пакеты не скажу, вообще да, я для поиска чаще порты юзаю, но может можно и пакетами искать, хз. Я просто как правило знаю что мне нужно, + есть еще https://openports.se/

судя по описаниям, Windows XP

man firefox

вот долго бы не пришло такое в голову, ман для фаефокса :) Впервые в жизни попробовал сейчас под дебианом, нет (почему-то ожидаемо нет; для хромиума есть однако).

Спасибо!

О, уважуха за критику «Астра линукс». 🤗

удобно давать разрешения приложениям (как это сделано в Андроид).

Где ты видел удобную раздачу разрешений в Андроид?

Думаю, дебианчик всё это позволит тебе сделать. Но не без труда.

MS-DOS
за отсутствием сети, фрайервалл на одно приложение изкоропки

Чего это вдруг отсутствием.

под линуксами маны часто бестолковые, или вообще отсутсвуют и часто проще гуглить, увы.

NetWare можно опустить.

tcp/ip, виндовый домен с шарами итп тоже опускать?
Да даже браузеры есть.