Сайт | Скачать | Видео | Wiki

Голосование

Как сделать PRA-roll безопаснее?

Ничего не менять. sudo для всех без пароля устраивает. run-as-nobody - опционально для перестраховки
5 (31.3%)
Сделать запуск браузеров и т.п. по умолчанию run-as-nobody, а сессию запускать от root
4 (25%)
Сделать запрос пароля для sudo
6 (37.5%)
sudo для всех без пароля. run-as-nobody для всех браузеров симлинком
0 (0%)
2 ярлыка (от live и от nobody) в 084-profile*.pfs.
1 (6.3%)

Проголосовало пользователей: 16

Автор Тема: run-as-nobody - запуск приложения от пользователя без прав  (Прочитано 33244 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн paulus

  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 1732
  • Репутация: +24/-0
Сделать отдельным пунктиком , кому интересно - попробуют, не интересно - мимо пройдут.
Нафиг наши пунктики, так как это поделие не уберешь так хотя бы МОДУЛЕМ сделай! Что бы не надо было выгребать, а просто удалить модуль! Или модульность уже не в почете? Зачем мне сохраненку править, там и так удалений больше, чем настроек?! Какого в меню будет еще 200 пунктов на браузеры и дубликаты симлинков. В пра удалил симлинки, но в сохраненку видимо не правильно прописал это и ваше безтельноегавно вернулось назад. C changes prar с этим легче, но все равно тот же гемор в который пра постепенно все больше превращается :(

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33956
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
roll/180101/083-palemoon-profile-27.9.2_any-sf01.pfs
roll/180101/089-prar-upd-180101-sf28.pfs run-as-nobody переделал на вариант 4 из шапки
остальные профили чуть позже

Оффлайн k0l0p0k

  • Ветеран
  • *****
  • Сообщений: 1610
  • Репутация: +27/-1
ssh -XYC spot@127.0.0.1 firefox
делает тоже самое
(вместо firefox любой другой браузер(прога))
что интересно, профиль spot`a абсолютно пустой, только только создан adduser
если лень постоянно вводить пароль spot`a, можно ssh настроить на вход по ключу, а не по паролю(это еще и безопаснее)
1.пень G2020,8Gb,Radeon RX460 (Debian+openBox+LXPanel)
2.нетбук  Samsung N145 (Debian+openBox+LXPanel, ddr01)

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33956
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
ssh -XYC spot@127.0.0.1 firefox
Только надо запустить ssh сервер и тратить ресурсы на шифрование трафика

Сделаю ln -s /home/live/.config /home/live/nobody/.config
погорячился. Там же конфиги браузеров
Переделал на
ln -s /home/live/.config/fontconfig /home/live/nobody/.config/fontconfig
ln -s /home/live/.icons /home/live/nobody/.icons
залил 089 для пра03 1801 1806

Оффлайн k0l0p0k

  • Ветеран
  • *****
  • Сообщений: 1610
  • Репутация: +27/-1
Только надо запустить ssh сервер и тратить ресурсы на шифрование трафика
Это да.
Но расходы невелики ведь.
Ради безопасности нежалко потратить несколько мегабайт оперативки и пол-процента CPU.
ПыСы
не агитирую, просто один из вариантов
1.пень G2020,8Gb,Radeon RX460 (Debian+openBox+LXPanel)
2.нетбук  Samsung N145 (Debian+openBox+LXPanel, ddr01)

Оффлайн paulus

  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 1732
  • Репутация: +24/-0
run-as-nobody переделал на вариант 4 из шапки
И зачем голосовалку делал, если все равно лепишь так как хочется тебе? ;)

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33956
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
4 вариант переделан на 5 (который по сути ничем не отличается от 1)
2 и 3 описаны в вики и хоть как-то протестированы
что не так?

Оффлайн DdShurick

  • Это Риччи
  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 8634
  • Репутация: +187/-2
  • Старый чайник
что не так?
Ненужная ненужность.
Моноблок Lenovo IdeaCentre c200 (Intel Atom D525, Intel GMA 3150, 2 Gb RAM) Richy64
Nettop Acer Aspire Revo R3610 (Atom N330, nVidia GeForce 9400, 3 Gb RAM) Richy64

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33956
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Все варианты есть. Каждый решит для себя про нужность. Я юзаю nobody

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33956
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
не хватало возможности сохранения страниц. Выяснилось, что с этим как-то связан режим nobody. Убрал его из профиля, теперь нормально.
Т.к. браузер запущен от nobody - сохранить можно только в каталоги, доступные ему на запись, т.е. в /home/live/nobody
Или дать на любой нужный Вам каталог права на запись nobody
Добавил в вики

Оффлайн paulus

  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 1732
  • Репутация: +24/-0
Добавил в вики
Нагородил "Ненужная ненужность" и написал об этом роман.

Оффлайн krasnyh

  • Ветеран
  • *****
  • Сообщений: 5319
  • Репутация: +139/-1
Волна вредоносных дополнений в каталоге Firefox, прикрывающихся Adobe Flash
При установке дополнения запрашивают полномочия для доступа ко всем данным просматриваемых сайтов. В процессе работы запускается кейлоггер, который передаёт на хост theridgeatdanbury.com сведения о заполнении форм и устанавливаемых Cookie. Имена установочных файлов дополнений имеют вид "adpbe_flash_player-*.xpi" или "player_downloader-*.xpi". Код скриптов внутри дополнений незначительно отличается, но выполняемые ими вредоносные действия очевидны и не скрываются


А nobody как-то может помешать вредоносным действиям этих расширений? Или вопрос по другому - в данной конкретной ситуации, nobody проявил бы себя с положительной стороны?
« Последнее редактирование: 30 Май 2019, 15:39:12 от krasnyh »

Оффлайн k0l0p0k

  • Ветеран
  • *****
  • Сообщений: 1610
  • Репутация: +27/-1
А nobody как-то может помешать вредоносным действиям этих расширений? Или вопрос по другому - в данной конкретной ситуации, nobody проявил бы себя с положительной стороны?
запуск браузера от live и nobody отличается только местом хранения профилей и .. и все )
1.пень G2020,8Gb,Radeon RX460 (Debian+openBox+LXPanel)
2.нетбук  Samsung N145 (Debian+openBox+LXPanel, ddr01)

Оффлайн krasnyh

  • Ветеран
  • *****
  • Сообщений: 5319
  • Репутация: +139/-1
.. и все
Нет, если попробовать что-то скачать через браузер (nobody), то он не позволит сохранить из-за недостатка прав.
Вроде можно только в /home/live/Загрузки, не помню.
« Последнее редактирование: 30 Май 2019, 15:55:51 от krasnyh »

Оффлайн k0l0p0k

  • Ветеран
  • *****
  • Сообщений: 1610
  • Репутация: +27/-1
Нет, если попробовать что-то скачать через браузер (nobody), то он не позволит сохранить из-за недостатка прав.
естественно
это аксиома :) упоминать не стал
в хомяк nobody( не лайва ) разрешит сохранять, ну или сохранять туда где ему запись разрешена
1.пень G2020,8Gb,Radeon RX460 (Debian+openBox+LXPanel)
2.нетбук  Samsung N145 (Debian+openBox+LXPanel, ddr01)