7987
Что посоветуете почитать/посмотреть что бы лучше понимать линукс?
В частности хочу научиться делать что то подобное qubes os, то есть к сборке следующего пк (к сожеленю этот такое не потяент, точнее потянет, но что то высоко нагруженное делать нельзя будет) Только вместо гипервизора xen использовать kvm. То есть взять какой нибудь наиболее стабильный (и желательно минимальный) дистр в нем завсти kvm, а уже в нем запускать гостевые системы и что бы у них был один DE (может не правильно написал, посмотрите qubes os поймете)
Вобщем меня устраивает qubes (пока не пробовал, сужу по описанию, так как комп слабенький как написал выше) но так как я хотел бы еще и играть в этой системе, то что бы нормально пробросить видео карту на игровой дистибутив в вирталке, как я понял мне больше подойдет гипервизор kvm, а не xen. (то есть будет слабая общая видеокарта или встроенная и отдельная для проброса)
Знаю что вообщем можно такое сделать (хотя пока и не умею) вот только сомнения на счет «безшовности», то есть видимости как будто ты сидишь на одном дистре и в qubes os, что бы понимать в каком дистре запущенны программы, они выделяются цветовой рамкой. И в этом дистре преподнесено это как иновация. Правда ли это такая иновация и самому не сделать или будет очень трудно?
Потом еще бы хотелось изучить как можно настроить систему что бы новые программы устанавливались каждая в отдельную песочницу как в дистибутиве Subgraph OS. То есть в идеале (если такое возможно) хотелось бы ставить программы с flatpack и что бы каждая оборачивалась в песочницу для безопасности.
Потом еще узнать про переполнение буфера в программах и как с этим бороться? Ну и в таком же духе, то есть интересует повышение бозопаснеости. Ну и еще интересует как настраивать vpn, пропускать через него весь трафик или нет (если такое вообще возможно) и так же про прокси.
То есть что почитать посмотреть по этой теме? Пробовал гуглить и начинать читать предложенные книги, но там сразу начинают про безопасность на сервере, а мне нужно для пк. Да и просто сравнивая с другой темой, учитывая сколько сейчас развелось писателей и они могут писать полную чушь или что то устаревшее, лучше уж спросить у тех кто разбирается, а не читать первое что попалось.
Вобщем меня устраивает qubes (пока не пробовал, сужу по описанию, так как комп слабенький как написал выше) но так как я хотел бы еще и играть в этой системе, то что бы нормально пробросить видео карту на игровой дистибутив в вирталке, как я понял мне больше подойдет гипервизор kvm, а не xen. (то есть будет слабая общая видеокарта или встроенная и отдельная для проброса)
Знаю что вообщем можно такое сделать (хотя пока и не умею) вот только сомнения на счет «безшовности», то есть видимости как будто ты сидишь на одном дистре и в qubes os, что бы понимать в каком дистре запущенны программы, они выделяются цветовой рамкой. И в этом дистре преподнесено это как иновация. Правда ли это такая иновация и самому не сделать или будет очень трудно?
Потом еще бы хотелось изучить как можно настроить систему что бы новые программы устанавливались каждая в отдельную песочницу как в дистибутиве Subgraph OS. То есть в идеале (если такое возможно) хотелось бы ставить программы с flatpack и что бы каждая оборачивалась в песочницу для безопасности.
Потом еще узнать про переполнение буфера в программах и как с этим бороться? Ну и в таком же духе, то есть интересует повышение бозопаснеости. Ну и еще интересует как настраивать vpn, пропускать через него весь трафик или нет (если такое вообще возможно) и так же про прокси.
То есть что почитать посмотреть по этой теме? Пробовал гуглить и начинать читать предложенные книги, но там сразу начинают про безопасность на сервере, а мне нужно для пк. Да и просто сравнивая с другой темой, учитывая сколько сейчас развелось писателей и они могут писать полную чушь или что то устаревшее, лучше уж спросить у тех кто разбирается, а не читать первое что попалось.
55 комментариев
интересный журнал
весьма интересная книжица
Сам собой разумеющийся ресурс
неплохая подборочка
Или просто винда в VirtualBox, если чисто в игрушки пару часов поиграть.
И если не ошибаюсь в VirtualBox будет большая потеря и вообще туда можно нормально карту пробросить? Да в любом случае мне такой способ не подходит, почему я опсиал в теме.
По поводу VB, то судя по всему, там можно и видео пробросить да и в целом, производительность у них (KVM/VB/VMWare) примерно одинаковая, при должной настройке.
То есть сами себе противоречат и не могут объяснить что плохого в закрытии пары дыр и уменьшении вероятности проникновения. То есть как безопаснее по умолчанию или с доп. зашитой?
Пример (пусть будет не реальный, просто для наглядности) ходит страшный вирус/хакер для линукса, не прям заточенный под конкретного человека со всей извесной про него инфой (что у него стоит, как он зашишаяется и т.д.) если до такой степени заинтересовались, противоятоять думаю сможет только проф. высокого класса, которым я врятли буду. да и интересоваться мной на таком уровне никто не будет.
В задачи этого вируса входит получение прав суперпользователя и шифровки файлов. И этот вирус попал на машину через уязвимость какой нибудь программы. По у молчанию все, он сделал свои дела.
А если я каждую программу заверну в песочницы/app armor (как в subgraph os) тут что бы из нее выйти нужно лучше разбираться и кроме уязвимости программы, знать уязвимости пеочницы (да и вобще предпологать/знать что программа в песочнице) То есть уже понижаеться вероятность успешной атаки, так как чем сложнее вирус, тем их меньше и маловероятнее что хакер такого уровня заинтересуется тобой. (так как нужного выхлопа от его усилий не будет) А если найдеться выход из песочницы, то это пргграмма (с другими из той же группы) стоит в отдельной VM и опять веростность заражения всей машины снижаеться.
А если еще настроить фаервол на белый список (пока на это знаний не хватает, а как будут возможно и не понадобиться) ну не знаю, допустим прошить ядро для зашиты по переполнения буфера и т.д. Это только то что я знаю, что возможно сделать, а еще много чего я не знаю.
Еще раз, во первых, если это можно сделать для перестраховки, вам какая разница, зачем вы отговариваете? во вторых, мне это интересно как хобби. А вы знаете что вашу квартиру/дом можно взломать (намного легче чем банк) так зачем вы тогда ее на ключ закрываете?
И не помню цитаты, но как говорят профи по безопасности: Нет не пробиваемой защиты, но можно защититься так, что бы был не выгоден взлом.
Я вас ни разу не отговариваю от того, что вы задумали. Более того, я и сам использую виртуалки для разных задач не первый день. Моя же реплика про безопасность виртуалок была ответом на ваше странное замечание: «Если кто думает что линукс по умолчанию не приступная стена» — что действительно есть такие люди кто так думает? Ну ок, это дилетанты. И создалось впечатление, что возможно вы подумали, что VM + Linux будет такой стеной — так нет, не будет. Всегда остаётся шанс, что вы что-то не учли и все ваши пароли утекли. И я рад, что вы это понимаете.
Кстати, в тему Qubes OS — послушайте youtu.be/8H4W6QDDoBE?t=3709 ( radioma.org/radioma-se-3.html )
А у вас в сообщении было на это похоже, вот и прнял за такую же категорию, но раз вы нормально мыслите в этом + еще можете помочь, то да, я был не прав.
а я говорю: можно я к ней добалю еще перед стенку и позади
ответ: да вот через эту дыру тебя взломают, потом через основную стену (которая не преступная) а потом еще вот так.
То есть я не говорю что это решето, а так сами себе протеворечат противники доп. зашиты. А я понимаю что из иеющегося линукс в этом практически лидер. (наверно все таки BSD опережает, но могу ошибаться)
Пока вы будете строить свою «стенку», Вы наверняка откроете дверь в капитальной стене. Доводчик с двери снимете, да ещё и табуреткой её подопрёте чтобы кирпичи таскать было удобнее. Окно откроете, чтоб сохло быстрее...
А когда закончите- обязательно забудете форточку закрыть, или дверь на петлях отвиснет и перекосится, или контргайка с винтика рычага доводчика потеряете.
Когда любитель пытается улучшить то что сделано специалистом- ничего хорошего из этого не получается.
Возможности стандартной защиты в линуксе обычно используются процентов на 30-40 от максимума, и обычно этого вполне хватает. Если есть желание усилить защиту- Продуктивнее будет изучить и использовать максимально стандартные, уже зарекомендовавшие себя способы.
А не городить самодельные кривые стенки где попало и как получится.
Но так как это врятли (я описывал это в теме и выше) то по аналогии со стройкой, я беру строю из прочного металла (kvm, то есть использую проф. инструмент а не сам) зная что все таки можно пробраться через него (возможно где то будут ошибки конструкции) отверстия для комнат или небольших кватир.
И потом в эти отверстия с помощью крана (kvm) ставлю в каждое отверстие бетонную комнату (то есть дистрибутив линукс) при этом не производя манипуляций с комнатой, то есть оставляю ее как есть. То есть защиту по умолчанию в дистибутиве не трогаю, а ставлю вокрг доп. защиту, до того как будет комната, то есть ее я не трону.
Приходит хороший вор с инструментами под бетон (и не зная что есть другие комнаты, тут к сожалению не приходит на ум аналогия) и взламывает только одну комнату, а через метал уже не может пробраться. А воров с универсальными инструментами и знаниями уязвимостей нескольких материалов меньше. То есть я уменьшаю вероятность. это два.
Потом в каждой комнате для каждого предмета покупаю сейф (конечно не очень аналогия) то есть песочницу/app armor, и если даже в сейфе не будет пароля и его можно открыть, во первых это не уменьшит защиту по умолчанию. А если настроить правильно, то прибавит. это три
И если я не буду уверен что разобрался в ядре, то не буду его патчить, так как раз вот здесь я уже могу уменьшить безопасность, которую настроили профи. это четыре.
То есть я вообще не буду трогать изначальную защиту, а буду строить снаружи (до того как поставлю комнату, что бы не повредить бетон) то есть VM. Не будете же отрицать что в виртуал боксе безопаснее чем на самой системе? но и его конечно же можно взломать, но вероятность уменьшается.
И буду внутри, опять же не трогая сам дистибутив, все засовывать в сейфы (песочницы/app armor) То есть подводя итог, изначальную защиту не трону, а для доп. защиты буду использовать проф. инструменты и даже если не правильно, в худшем случае будет как изначально. А сверлить стены в бетоне для того что бы повесить камеру, буду только если буду уверен на 99% что от этого не пострадает его целостность.
Умный Наф-Наф построил стандартный каменный дом. Но оставил в системе всем волкам (и ламерам) заметную дыру в виде дымохода.
Когда Волк обнаружил уязвимость и получил доступ, включился следующий уровень защиты- котёл с кипятком. Потому что Наф-Наф хорошо изучил маны и построил нормальный дом — не просто с дымоходом, но и с камином. Который по умолчанию холодный, но можно задействовать и растопить.
«А потом три поросёнка спели свою веселую песенку.» ©
Песенка звучала весело и звонко, потому что пели они не из сейфов. От волков достаточно каменного дома с камином. А в сейфе жить холодно и скучно. И вдобавок если кто узнает- рискуешь загреметь в дурку для весёлых поросят.
В общем не хочу я больше с вами спорить, в этой же ветке люди отписываются что тоже пользуются этими инструментами, только точечно, а я с перестраховкой хотел полностью. И просто когда разберусь как это делать, проконсультируюсь у них не забыл чего или не на портачил и все. А вы вместо того что бы писать про психушку (раз вы такой крутой спец безопасности и знаете что надо делать) написали бы как повысить вот это:
Чтобы быстро и просто усилить стандартную защиту- для начала как минимум брандмауэр ставят и диски шифруют. А уж потом всё остальное городят, тут уже по желанию.
Если ты капец какая важная птица, которую хочет ломануть АНБ или мировые хакерские картели, то тебе и Qubes вряд ли поможет, тут только обмазаться OpenBSD на параноидальном уровне безопасности и жить под землёй в клетке Фарадея. А лучше вообще в Сеть не выходить, ибо процессоры и биосы тоже дырявые.
Только что раписал одному челу, еще и по этому поводу подробно раписывать + повторяться не охота, так что прошу проходить мимо если вы считаете это лишним, пусть отвечает кто так делал или знает как сделать.
Читал у людей с kvm потеря была не больше 1-2% а у некторых в пределе погрешности (к сожолению они там писали давно и тема закрыта и эти люди не ответили в лс)
Нет, с этим я извращаться не буду, максимум протон в стим, но как понял это только для более новых карт и моя вроде не поддерживает.
я просто привел один из примеров, допустим если нет игры на линукс, захочу перепрошить девайс и т.д. А если будет как в qubes, то не надо перезагружаться + все будет как в одной системе, то есть очень удобно.
Но, линукс как дек-топная система — полное дерьмо.
Т.е. если тебе нужно сесть и работать (а не изучать системные команды) — лучше забудь про линукс.
Я уж не говорю про стиль и вид окон в линукс — полный отстой.
— ну и еще разные баги, то звук пропадает, то видео не работает, то мышь вдруг повиснет и система не отвечает на клавиатуру вообще: т.е. Ctrl+Alt+F* / Alt+SysRq + key — ничего не работает кроме кнопки на корпусе компа
Для начинающего пользователя могут потребоваться недели и месяцы чтобы довести все до ума.
Что обсолютно неприемлемо.
недавно киндеру windows 8 на ssd диск устанавливал и настраивал несколько дней :-) никак процессор AMD Ryzen 5 2400G не хотел дружить с восьмёркой… и себе на ноут устанавливал с нуля Win 8.1 pro и тоже времени больше потратит чем на установку какого-нибудь linux.
manjaro возможно не совсем для новичков, хотя с другой стороны есть вики и форум… есть manjaro-architec, с помощью которого вполне можно получить систему на любой вкус и цвет.
Они потом возникают.
1. Очень понравился Markdown. Освоил в 5 мин. — базовые возможности конечно. Но приложений для просмотра md документов нет. Все только для создания — некоторые с предпросмотром. Ну что это все писатели (как чукча) а читателей нет. Нет, в начале октопи работал как просмотрщик — но внезапно перестал. Смотрел mime — не смог исправить. (На самом деле задать вопрос, чтобы тебя правильно поняли — это многое знать нужно, а когда уже многое знаешь, то вопросы часто не возникают. Это типичный порочный круг в обучении — а очень многие на форумах начинают почти что оскорблять. Пример ниже от dimonmmk "Ну блин, детский сад.")
2. Обновил ядро до 4.19 LTS. Вошел в него — мышь не работает и клавиши Ctrl+Alt+F* / Alt+SysRq + key. Пришлось перезагружать кнопкой на компе. В 4.18 — работает. Emergency keys вообще никогда не должны отваливаться!!! Вы видели чтобы в разруганной винде Ctrl+Alt+Del не работал. Я не припомню. Повторяю, винда мне не нравится. Перезагрузился в 4.19 после очередного обновления — мышь работает, сеть не работает — проводная.
Можно продолжать и далее — но мне кажется хватит.
Вам когда-то эту фразу наверняка говорили, зря не слушали.
И вот потому я настаиваю, что GUI-шные приложения это самое важное в дек-топной системе, потому что они избавляют от этого тяжелого труда, который большинствнсву не нужен, т.е. если система работает корректно мне не нужно знать как она работает.
Хватит искусственно создавать трудности а потом героически их преодолевать.
И не забывайте пожалуйста, что это ветка флуд — не реагируйте слишком нервно.
Из уст в уста сейчас никто тайные знания не передаёт. А Вы все продолжаете учиться как в античной палестре, задавая вопросы учителям. И кстати, и за учителей-то признавать их не желаете.
Вы настаиваете на несуществующем в реальности идеале. Не понимаете почему не работают Ваши любимые GUI-шные приложения- читайте документацию. Отдельного GUI-шного приложения с кнопкой «исправить все глюки» не существует.
Только поэтому так и реагирую. Мы же не о настоящих проблемах говорим, а о вымышленных глупостях.
Вымышлено всё, по каждому пункту.Освоил язык разметки текста но не понял зачем он нужен. Не читать а именно писать тексты, с последующей конвертацией в разные удобочитаемые форматы. Да, именно «все чукчи писатели».
Программ предпросмотра куча, не говоря уж о конверторах.
Пакетный менеджер как вьюэр .md — это отдельный цирк.
Ассоциации файлов настроить не смог. Что (там вроде gui) помешало?
Новое ядро глючит, старое работает- бывает. Используйте старое, оно LTS, в чем проблема?
SysRq не работает- так он вообще-то отключен, сначала включить надо.
Память тоже глючит- мертвых зависаний и синих экранов в винде Вы не припомните.
По той же причине не помните что в винде кнопка SysRq — это PrintScreen, и не более того.
Ну вообще-то я другую мысль хочу донести до сообщества. Очень часто видел что GUI-шные приложения называют свистелками-перделками. Думаю потому что хорошо сделанных «родных» GUI-шных приложений почти нету. Сравните внешний вид и функциональность кстати VS-code от Microsoft и что-л. родное линуксовое… под тем же линукс.
т.е хочу сказать что давно пришло время (а может прошло) занятьтя серьезно разработкой GUI-шных приложений. А то все выглядит как будто сделано на коленке.
И помощи я вообще-то не прошу, потому и постил сообщение в флуд.
Почти нет, за исключением нескольких сотен.
Прямо-таки ВСЁ? А может, нужно просто выбрать другую тему оформления?
Если привык на ходу жрать- все рестораны полное дерьмо. Сначала меню нужно изучать, потом ждать заказа, ножом и вилкой зачем-то пользоваться…
Шаурма рулит.
Он хочет делать свою работу (ну кто-то может и развлекаться), а не заниматься настройкой.
А рестораны я не посещаю
Я ведь не сказал, что линукс вообще дерьмо. Но Х над ней — это дерьмо.
А без Х — это не для конечного пользователя, а для системного администратора…
Перестаньте уже ныть и витать в эмпиреях. Всё имеет свою цену. Линукс, внезапно, тоже.
Он становится хорош не сразу, да. Нужно настроить под себя. Это цена его доступности и универсальности.
С иксами то же самое.
ЗЫ: Почему-то под «конечным пользователем» в таких постах всегда имеется в виду капризное дитятко. А Линукс — для взрослых.