Антивирус Касперского будет предустанавливаться на андроид-смартфоны

ссзб, надо было ставить убунту

не знаю. Если UID'ы совпадают, то это явно не нативный контроль ядра, а прибитый слева костыль. Или в ядре есть ещё одно, неведомое средство контроля прав?

Я использую AppArmor. Когда адимнил RHEL, к моему сожалению, был не знаком с SELinux, чтобы его настраивать.

Ну во первых, по моей теории, браузер вовсе не должен быть у каждого свой (хотя у моей жены — свой. Нам так удобнее).

А вот я как раз за свой браузер менее всего переживаю, потому что я знаю какие сайты посещаю и мой браузер обмазан add block и no script, но я не ручаюсь за других пользователей.

Во вторых, когда же ты наконец расскажешь, КАК это разделяется? Я-то все жду, когда ты расскажешь почему оно не разделает, как ты и утверждал.

Ограничить доступ браузера к моим данным чем тебе не юзкейс? Твой вариант с разделением по пользователям работает на локалхосте и серверах, он не расширяем и костылен на десктопе. AppArmor может задать правило для всех пользователей

если пользователей(физических) 1 или 2, то это не нужно. Ты разве так и не понял, что у меня user1 и user2 могут запускать браузер с правами user3? Один и тот же, если ты не понял.

AppArmor может задать правило для всех пользователей, его конфиги можно перенести в другую систему.

ага. А с пользователями и переносить практически ничего не нужно, кроме /etc/sudores.

Ты разве так и не понял, что у меня user1 и user2 могут запускать браузер с правами user3?

и эти люди потом что-то говорят о безопасности

Что ты бросаешься из крайности в крайность? Это список открытых дескрипторов, а не мониторинг. В общем, с inotify ты слился, просто признай это.

что это не мониторинг активности дисков? Да, слился. Ещё-бы узнать, где я такое утверждал…

Там есть искоробочный аналог atop'а с логгированием и графиками.

за то там нет ps, top, lsof, inotify, и много чего ещё, включая те-же права доступа. Потому и приходится говноедствовать.

Ты разве так и не понял, что у меня user1 и user2 могут запускать браузер с правами user3?

и эти люди потом что-то говорят о безопасности

если ты не понял, то могут _только_ эти юзеры, _только_ с этого хоста, _только_ эту команду, и _только_ от имени user3. Потому-как такое правило в sudoers.

А не так как у вас: sudo rm -rf, и система в /dev/null

если пользователей(физических) 1 или 2, то это не нужно.

Тебе не нужно.

Ты разве так и не понял, что у меня user1 и user2 могут запускать браузер с правами user3?

Я во времена Windows Millenium перешел на Win2K только из-за того, что у меня был свой пользователь со своим браузером и мне было почти пофиг на то, где лазят другие пользователи, а ты предлагаешь мне вернуться во времена Win98.

А с пользователями и переносить практически ничего не нужно, кроме /etc/sudores.

Нужно создавать группы, назначать их пользователям, настраивать служебного пользователя, чтобы браузер не выглядел в твоем окружении как нечто неродное. Чем это лучше переноса конфигов?

если пользователей(физических) 1 или 2, то это не нужно.

Тебе не нужно

а тебе нужно? Но ты опять не сможешь сказать — зачем…

Ты разве так и не понял, что у меня user1 и user2 могут запускать браузер с правами user3?

Я во времена Windows Millenium перешел на Win2K только из-за того, что у меня был свой пользователь со своим браузером и мне было почти пофиг на то, где лазят другие пользователи, а ты предлагаешь мне вернуться во времена Win98.

блжад, ну какой-ты тугодум ☹

Я могу:

1. сделать общий браузер для user1 и user2, работающий от имени user3

2. я могу сделать персональный браузер для user1, работающий от имени user4

3. я могу… Лучше спроси, чего я не могу.

Нужно создавать группы, назначать их пользователям, настраивать служебного пользователя, чтобы браузер не выглядел в твоем окружении как нечто неродное. Чем это лучше переноса конфигов?

какие группы? Ты о чём? Создаёшь юзера, и всё. Можно теперь делать общий браузер с разными профилями, или два разных браузера с двумя разными профилями, или ещё как-то, как надо, в данном конкретном случае. Что касается внешнего вида браузера моей жены, то это проблема моей жены, она его настраивает сама, по своему вкусу. И никуда внешний вид её браузера переносить не нужно(потому-что скажем на ноуте она всё равно настраивает по другому).

а тебе нужно? Но ты опять не сможешь сказать — зачем

Нужно. Чтобы в случае уязвимости в браузере, не потерять свои данные. Но зачем ты меня об этом спрашиваешь, ведь ты же этого понять не можешь всеравно.

Я могу

Но делаешь всеравно какую-то фигню, я понял.

какие группы?

И как же твоя жена отправляет файлы через браузер?

Что касается внешнего вида браузера моей жены, то это проблема моей жены

Не балаболь, ты сказал, что она может только запустить браузер. Что она будет делать, если сменит у себя оформление гтк? Наслаждаться вырвиглазным браузером с дефолтной темой, которая не вписывается в ее тему?

защищать надо ДАННЫЕ, а не код. Это же разве не очевидно?

Команда rm умеет удалять и данные и код. Для вас это новость?

Нужно. Чтобы в случае уязвимости в браузере, не потерять свои данные. Но зачем ты меня об этом спрашиваешь, ведь ты же этого понять не можешь всеравно.

а вот теперь объясняй, как невозможность одновременного задания одного правила двум пользователям приведёт к потери данных. Или тебе что-то другое нужно? Тогда скажи, что именно.

И как же твоя жена отправляет файлы через браузер?

какие файлы? Ей это не нужно видимо. Мне скрины нужно, я их в общую «папку» делаю.

Не балаболь, ты сказал, что она может только запустить браузер. Что она будет делать, если сменит у себя оформление гтк? Наслаждаться вырвиглазным браузером с дефолтной темой, которая не вписывается в ее тему?

ну дык тему иксы рисуют, а это ЕЁ иксы. Тема сама меняется, как надо. Или ты думаешь, в браузере есть все темы, для всяких юнити? Нет там нихрена, он просто просит окошко нарисовать, а там вкладочки всякие, вот и всё. А иксы уже и рисуют, как оно у неё настроено. Думаешь, если ты сменишь юнити на кде, в настройках браузера что-то поменяется?

Команда rm умеет удалять и данные и код. Для вас это новость?

если честно: да. Я всегда думал, что rm умеет удалять только ИМЕНА файлов. Код удаляется после его завершения, а файлы удаляются тогда, когда у них кончатся имена, и когда они станут никому не нужны.

Можете самостоятельно попробовать, выполнив в виртуалке rm -rf, она удалит все файлы, в том числе и саму себя, но тем не менее, доработает до конца, даже после своего удаления. А вот шел будет работать и дальше, и даже выполнять команды(хотя, зависит от шелла конечно). Правда толку от команд уже не будет.

Или тебе что-то другое нужно?

У меня все ок. Без разделения по пользователям.

Ей это не нужно видимо.

Твоя жена это не все пользователи.

Мне скрины нужно, я их в общую «папку» делаю.

А права какие у общей папки? Общую для всех или общую для тебя и браузера?

Тема сама меняется, как надо.

Каким образом? Вот браузер использует тему гтк, я установил себе новую тему, у браузерного пользователя стоит дефолтная тема. Каким образом браузер подхватит мою тему, к которой у него нет доступа?

за то там нет ps, top, lsof, inotify, и много чего ещё, включая те-же права доступа.

Есть аналоги этого всего, причем тот же «inotify» с незапамятных времен, а в линуксах только с 2.6

ты не понял, у тебя два пользователя имеют доступ к одному и тому же браузеру с одними и теми же куками и сохраненными паролями, это не просто дыра, а дырыще

А как выпилить данное подделие, там не написали?

У меня все ок. Без разделения по пользователям.

теперь объясняй, как невозможность одновременного задания одного правила двум пользователям приведёт к потери данных у меня.

Твоя жена это не все пользователи.

я в курсе. Потому см. ниже:

А права какие у общей папки? Общую для всех или общую для тебя и браузера?

у меня общие для всех. Но можно сделать только для меня и браузера. Только я не понимаю, зачем прятать то, что я и так публикую в интернетах? Если оно надо, то это какой-то узкоспециальный случай, и его надо настроить индивидуально.

Каким образом? Вот браузер использует тему гтк, я установил себе новую тему, у браузерного пользователя стоит дефолтная тема. Каким образом браузер подхватит мою тему, к которой у него нет доступа?

не знаю. Как-то подхватывает.

за то там нет ps, top, lsof, inotify, и много чего ещё, включая те-же права доступа.

Есть аналоги этого всего, причем тот же «inotify» с незапамятных времен, а в линуксах только с 2.6

считай, что Linux это торт с 2.6.

в бзде kqueue с функционалом inotify тоже с 90х годов :)

ты не понял, у тебя два пользователя имеют доступ к одному и тому же браузеру с одними и теми же куками и сохраненными паролями, это не просто дыра, а дырыще

Это не дыра, а совместный ресурс. Повторю, у меня НЕ ТАК, но в принципе _можно_ и так сделать, тогда будет веселуха: я и мой брат (которого у меня нет) сможем писать по очереди с одного акка на LOR. От разных юзеров, и с разным оформлением окошек ☺

ога, а потом когда твой брат будет смотреть порнуху и схватит трояна, то деньги пропадут с твоего qiwi кошелька

в бзде kqueue с функционалом inotify тоже с 90х годов

в венде хардлинки и симлинки тоже 20 лет уже как сделали, только их до сих пор никто не использует.

Функционал «inotify» используется многим софтом, например, чуть ли не всеми медиа-проигрывателями на винде для обновления библиотеки, собственно для этого оно и нужно, а не для того, чтобы «мониторить куда пишет апач». Ссылки в винде я использую.

ога, а потом когда твой брат будет смотреть порнуху и схватит трояна, то деньги пропадут с твоего qiwi кошелька

кошельки у меня на моём личном браузере.

теперь объясняй, как невозможность одновременного задания одного правила двум пользователям приведёт к потери данных у меня.

Что это за наркоманский бред?

у меня общие для всех.

Ну ок, ты считаешь это безопасным, я нет.

Но можно сделать только для меня и браузера.

И разруливать ты будешь группами и правами.

Только я не понимаю, зачем прятать то, что я и так публикую в интернетах?

Как ты не поймешь, твои узкие юзкейсы никого не интересуют, твои немасштабируемые решения тоже.

Если оно надо, то это какой-то узкоспециальный случай, и его надо настроить индивидуально.

У меня для всех одинаково настроено в одном конфиге. Переустановлю ОС, перетащу конфиги.

не знаю. Как-то подхватывает.

В твоих снах, ага.

Если не брать в расчет, что ты балабол и рассказываешь нам тут какие-то сказки, сколько у тебя служебных пользователей для запуска десктопного софта?

Функционал «inotify» используется многим софтом, например, чуть ли не всеми медиа-проигрывателями на винде для обновления библиотеки.

да, я заметил: копируешь музыку, и всё колом встаёт, ибо плеер надо выключать. А на кой леший это всё с каждым байтом обновлять, и как оно выключается — я так и не понял.

Ссылки в винде я использую.

«ты» это сколько миллионных процента?

интересней другое, а что будет если случайно забудешь про sudo (а ведь так оно и будет, если стоит over9000 софта) и запустишь софтину не под тем пользователем?

да, я заметил: копируешь музыку, и всё колом встаёт, ибо плеер надо выключать.

это 12309, который в линуксах никак не могут полечить :)

А на кой леший это всё с каждым байтом обновлять

не знаю на кой, нормальные люди вешаются на CREATE/MOVE/... а не на WRITE

теперь объясняй, как невозможность одновременного задания одного правила двум пользователям приведёт к потери данных у меня.

Что это за наркоманский бред?

отмотай назад, если забыл, что говорил.

Ну ок, ты считаешь это безопасным, я нет.

да, я не вижу опасности в том, что злые хакеры украли мой скриншот, который я вчера на ЛОРе опубликовал. А ты — видишь?

Но можно сделать только для меня и браузера.

И разруливать ты будешь группами и правами.

конечно. ACL и для этого тоже избыточно.

Как ты не поймешь, твои узкие юзкейсы никого не интересуют, твои немасштабируемые решения тоже.

как ты не понимаешь, что ты даже _придумать_ не в состоянии юзкейс, который я не смогу реализовать? Уйду на хобот, там народ ушлый, придумали с год назад. Правда у них юзкейс получился из серии «а в своей венде я вот так сделал!». Пришлось мне ACL подключить, да. Не сливаться же! Но нахрена так делать, я так и не понял…

У меня для всех одинаково настроено в одном конфиге. Переустановлю ОС, перетащу конфиги.

А я просто хомяк разверну из бекапа. Ну и /etc/ тоже. Это если железо поменяю. Не впервой.

не знаю. Как-то подхватывает.

В твоих снах, ага.

кто мешает тебе попробовать, и удивиться?

сколько у тебя служебных пользователей для запуска десктопного софта?

пять.

интересней другое, а что будет если случайно забудешь про sudo (а ведь так оно и будет, если стоит over9000 софта) и запустишь софтину не под тем пользователем?

о, шит! Ты упоролся??? ОНО В ЯРЛЫКЕ ЗАБИТО!

А если ручками...

Sorry, user drb is not allowed to execute '/usr/bin/ls' as drb on ksu.

да, я заметил: копируешь музыку, и всё колом встаёт, ибо плеер надо выключать.

это 12309, который в линуксах никак не могут полечить

Откуда я знаю, что это? Дело в венде было, и довольно давно.

в венде как раз такое воспроизвести крайне сложно, у меня не получается

без sudo, и если я не хочу ярлыком запускать?

А ты — видишь?

А у меня могут быть не только скриншоты, я же работаю, а не херней за компом страдаю.

как ты не понимаешь, что ты даже _придумать_ не в состоянии юзкейс, который я не смогу реализовать?

Но зачем мне придумывать для тебя юзкейсы? У меня есть свои и я их решил. Раньше отдельнам пользователем, теперь AppArmor.

конечно

А изначально ты спорил с тем, что группы нужно настраивать.

А я просто хомяк разверну из бекапа.

И? Как это отменяет мой вариант?

кто мешает тебе попробовать, и удивиться?

Браузер другого пользователя читает твои настройки темы? И тебя это не волнует? Ок, я больше ничего не хочу с тобой обсуждать.

в венде как раз такое воспроизвести крайне сложно, у меня не получается

дык у тебя надо думать и компьютер не 2003го года.

линуксовое 12309 воспроизводится везде, даже на 32х ядренике с 64гигами оперативы

без sudo, и если я не хочу ярлыком запускать?

что, гуефоб? открой для себя help alias

Хотя как-то странно, запускать десктопный софт из консоли.

Ну если даже запустить, то откроется чистый, девственный браузер. Это тоже по твоему «дыра»?

А у меня могут быть не только скриншоты, я же работаю, а не херней за компом страдаю.

для моей работы не требуется заливать что-то секретное через браузер. У меня есть например ssh. Ну помню как-то был нужен phpmyadmin(обычно я юзаю консольный клиент, да), дык я свой браузер у себя запустил. Сейчас не 90е годы, пару мегабайт для профиля я найду.

Но зачем мне придумывать для тебя юзкейсы? У меня есть свои и я их решил. Раньше отдельнам пользователем, теперь AppArmor.

что-бы доказать, что apparmor лучше.

А изначально ты спорил с тем, что группы нужно настраивать.

от блин, если нужно, то нужно. А если не нужно, то не нужно. С чем тут можно спорить?

И? Как это отменяет мой вариант?

никак. Кроме того факта, что мне твой вариант не нужен, а ты не можешь сказать, зачем он нужен тебе.

Браузер другого пользователя читает твои настройки темы? И тебя это не волнует? Ок, я больше ничего не хочу с тобой обсуждать.

ты про какие «настройки» говоришь? Темы относятся к иксам, а никак НЕ к браузеру.

линуксовое 12309 воспроизводится везде, даже на 32х ядренике с 64гигами оперативы

уже говорил, у меня НЕ воспроизводится. На моём двухядернике с 4Гб оперативы. ЧЯДНТ?

для моей работы...

Твоим браузером неудобно пользоваться. По крайней мере мне и моим близким.

что-бы доказать, что apparmor лучше.

Зачем? Тебе не понятно, что в данном случае это разные решения для одних задач. Я пробовал оба варианта, и решил, что удобнее AppArmor. Ты уперся рогом в posix-права и решил, что раз ничего больше не пробовал, значит для всех сойдет твое решение.

С чем тут можно спорить?

Ты спорил, себя и спрашивай, наркоман.

Кроме того факта, что мне твой вариант не нужен, а ты не можешь сказать, зачем он нужен тебе.

Я уже говорил, что ты наркоман? Я хочу, чтобы браузер не имел доступа к моим данным, я это сделал. С помощью AppArmor. В чем ты хочешь меня убедить? Что есть другое решение? Я знаю, пробовал и отказался от него.

Твоим браузером неудобно пользоваться. По крайней мере мне и моим близким.

я ничего не навязываю. И кстати, раньше думал также, как и ты. Но вот было _нужно_, я и сделал. Оказалось: оно даже удобно.

Зачем? Тебе не понятно, что в данном случае это разные решения для одних задач. Я пробовал оба варианта, и решил, что удобнее AppArmor. Ты уперся рогом в posix-права и решил, что раз ничего больше не пробовал, значит для всех сойдет твое решение.

я не понимаю, как работает apparmor, а как работают unix-права я понимаю.

Я хочу, чтобы браузер не имел доступа к моим данным, я это сделал

и я сделал. Хотя оно для тебя почему-то «неудобно».

Буду благодарен, если расскажешь.

Почитай что пишет winlook38. ACL позволяют определять не столько права, сколько политики. А это куда гибче просто прав.

Ну а про ненужность POSIX прав — это ты сам додумал.

Очередной бред как и с аудитом ? И где это я говорил что POSIX права не нужны ?

У тебя ей богу какая то странная манера общаться, постоянно приписываешь собеседнику какие то _свои_ левые домыслы, и потом непонятно кем предъявляешь претензии. Я тут конечно новичок, но завязывал бы ты с веществами.

Дык в винде он рекурсивный. Поэтому и применяемый.

…продолжать?

Бредить то ? Конечно продолжай - я тебе не мамка запрещать курить траву. Могу только посоветовать завязывать.

inotify это не костыль, это встроенный аудит в Linux ядре. Ты его спутал с одноимённой командой, для простых случаев. Команды может и не быть вообще, а вот сам аудит всё равно будет, если ты конечно ядро не пересоберёшь.

У меня в посте, относительно inotify, нет ни слова костыль ни слова команда - зачем ты опять лютуешь с 4.2 ?

Ну и по матчасти, inotify как подсистема в ядре Linux НЕ РЕКУРСИВНА - именно в ядре, а не в команде. RTFM уже

ну если документацию не читать, то да, только top. Хотя лучше lsof для этого.

Ну тогда уже прочти доки inotify. Узнаешь много нового. Увы не могу гарантировать что приятного.

«ты» это сколько миллионных процента?

Идем сюда http://www.netmarketshare.com/report.aspx?qprid=11&qpcustomb=0 смотрим апрель 2013, складываем Windows Vista, Windows 7, Windows 8 получаем 4.75% + 44.72% + 3.82% = 53.29% используют линки.

Буду благодарен, если расскажешь.

Почитай что пишет winlook38. ACL позволяют определять не столько права, сколько политики. А это куда гибче просто прав.

у него нет фактов и примеров. И да, unix-права, это тоже политики. Тоже списки доступа. Да, они упрощённые, и потому работают без оверхеда и не всегда годные. Это не баг, а фича.

Т.е. если я создаю юзера, я тем самым создаю _множество_ политик доступа для какого-то (каких-то) приложения(приложений). Т.о. это приложение получает доступ к тем, и только к тем устройствам, которые мне нужны. Единственная проблема состоит в том, что я сам не хочу работать от рута, но только рут может запускать приложения от определённого пользователя. Эта проблема решается sudo.

Например мой юзер wine представляет собой множество политик для приложения wine. Если я решу запретить доступ в интернет для wine, я просто запрещу интернет для юзера wine. ВСЕ приложения этого юзера метят своим именем и трафик, и ВСЕ файлы.

Как то твой подход неясен. ACL не нужно потому что POSIX наше всё, а если вдруг нужно что то сверху POSIX то сразу морг/гарантия/костыли/не помогут. А какой смысл с POSIX правами возиться тогда ? Один фиг же если захотят сломают.

И где это я говорил что POSIX права не нужны ?

я процитировал. Что ты этим сказать хотел? Моя позиция разве непонятна?

У тебя ей богу какая то странная манера общаться, постоянно приписываешь собеседнику какие то _свои_ левые домыслы, и потом непонятно кем предъявляешь претензии. Я тут конечно новичок, но завязывал бы ты с веществами.

А я разве неоднозначно выразил _свою_ позицию? Хорошо, повторю ещё раз:

1. разделение прав доступа приложений нужно.

2. пункт №1 верен даже если физический юзер _один_.

3. UNIX-права проверены опытом, и десятки лет доказывают свою годность на многочисленных серверах.

4. Для известных мне юзкейсов unix-прав достаточно на десктопе/лаптопе. (Примечание: кроме юзкейса «как в маздае»).

5. за последние 7 лет, никто мне не привёл какого-либо юзкейса на десктопе, в котором unix-прав не хватило. Откуда я делаю вывод, что если такие юзкейсы и есть, то они никому не нужны.

Конечно продолжай - я тебе не мамка запрещать курить траву. Могу только посоветовать завязывать.

если-бы ты был моей мамкой, то давно-бы умер. А траву я не курю.