А без иксов жизнь есть?

Есть! setenforce permissive, audit2allow < /var/log/audit/*, и пошло-поехало.

Не доберутся.

слушай, мне твой коммент не дает спать уже 3и сутки, серьезно, я раз за разом прокручиваю твой пост в голове.

б твою мать, б мою мать, блин, если такой беспредел творится от казалось бы единичных проприетарных, но так необходимых флешей, скайпов, вбоксов, драйверов нвидии... то что творится на винде? нереально представить масштабы зондирования.

я уже и так, сделал себе уютненький NAT за которым сижу, а wi-fi раздает ноутбук, и на нем стоит линукс и софт исключительно с открытым исходным кодом. но я допустил ошибку, что создал ~/.ssh/id_rsa для рута, потому что флеш — одна единственная проприетарная софтина, может этим воспользоваться и получить доступ к железке. блин. я уже не знаю, стоит ли драйвера нвидии ставить.

Повышение безопасности файлов passwd и shadow

Читаю вот ваше сообщение и думаю,зачем делали этот костыль в виде /etc/shadow ?
Ведь хоть этот файл добавили,passwd выкинуть тем не менее нельзя.
А ведь если его настраивать по уму,то он помимо логина будет ещё содержать и Фамилии,Имена,телефоны и быть может адреса.
(что к стати может и объяснять охоту за этим файлом)

Я предагаю сделать третий :) файл,в котором
хранить информацию из passwd и shadow разом,
и с начала при логине проверять его,и только потом,
при отсутствии в нём пользователя обращаться к классическим passwd-shadow.
Это позволит начать внедрение с изменения программы passwd,
меняя остальное по мере необходимости или наличия времени.
Так удастся скрыть хотябы приватные данные из passwd.
Ну а потом лет через 15 passwd-shadow можно будет убрать из системы.

Не понятно только,почему люди так не поступили сразу?

Ну и для повышения удобства редактирования сделать новый файл в формате XML/ini.
А то очень уж напряжно эти точки с запятой отсчитывать.

Ты все слишком, близко воспринял. И да к VB претензий нет, просто под ним очень много всего запускают. И тебе лучше приобрести роутер под openwrt. Можешь написать мне в jabber.

стоит ли драйвера нвидии ставить

Покупай радеон. Я недавно для игрищ брал невидию, теперь собираюсь нормальный радеон купить.

По сабжу - перешел на профиль hardened/linux/amd64/no-multilib/selinux, пишу свои политики. Ядро, разумеется, тоже hardened. С ним не хотел собираться проприентарный модуль от брудкома, приходится пока сидеть без вафли. Скоро куплю атерос с синезубом. А в целом - все просто прекрасно.

Лучший интернет, это флешка для стягивания файлов с другого компа.

wget+vim же! другое не нужно.

Но, если честно, мне тоже кажется, что apple сломало мне фс на внутреннем макбуковском и внешнем дисках из-за вареза.

wget+vim же! другое не нужно.

Ага, счас. Надейся товарищ на программные фаерволы поставляемые слугами большого брата!

причем тут фаерволы? флешки тоже у всех заражены 10 раз. возможно что и ББ'ом.

кстати, зачем монстрячить какие-то невнятные apparmor или selinux, когда отправку файлов и стремные коммуникации можно прибить парой простых правил iptables?

причем тут фаерволы?

Притом что сеть нужно отключать аппаратно. У персоналок пока нету манипулятора которым можно воткнуть шнур в гнездо.

флешки тоже у всех заражены 10 раз. возможно что и ББ'ом.

Без автозапуска заражённость мало что может сделать. Да, фс на флешку надо ставить попроще, типа FAT`а.

Можно, но это неудобно, и это совсем из другого жанра. Но в качестве временной меры, у меня есть примерно кое-что такое.

также пару раз я ловил на сайтах с adult контентом, что flash пытался запустить /bin/bash и xterm

На таких сайтах флеш вообще запускать нельзя. Или его возможно анально отгородить, чтобы он инфу не сливал?

Смотря что ты под этим подразумеваешь. Для начала у flash есть хороший administration guide

чтобы он инфу не сливал

Ну, когда сидишь через анонимайзер с нодами, чтобы он не раскрывал, кем является пользователь (IP, информация о компьютере).

DisableSockets = 1
EnableSocketsTo = 127.0.0.1
RTMFPP2PDisable = 1

По идеи эти три опции уже сделают определение твоего ip адреса более затруднительным. Но в любом случае оно дырявое и тебе нужно направлять весь трафик через «анонимайзер с нодами». А если ты еще и будешь ходить через vpn, то флеш не покажет твою версию ядра, просто покажет, что какой-то Linux. Просто забудь флеш, или заведи отдельный браузер, в котором ты его будешь запускать, естественно не заботясь о «приватности».
Кстати говоря, мой профиль apparmor, вообще блокирует доступ к библиотеке с флешем, так что браузер даже не знает, что он установлен.

Можешь предоставить руководство по защите домашнего ПК: apparmor, криптование, политика поведения для повышения безопасности?

Нет, потому-что универсального «правильного» способа не существует. Но на вопросы в jabber могу ответить.

ну и как ты со своим шифрованием решил спасать себя от ректального криптоанализатора?

нет, серьезно. А Большой Брат - это кто в твоем случае? Вова что-ли? Если да, то точно не поможет твое шифрование.