forum.opennet.ru

Составление сообщения

Исходное сообщение

"В рамках проекта OpenSnitch развивается динамический межсете..."
Отправлено Аноним, 02-Май-18 13:01

> Т.е. ты предлагаешь пихать каждое приложение в контейнер, вместо того чтобы один
> раз нормально настроить файрвол? Да ты просто гений.
Можно 1 раз настроить отсутствие сети в дефолтном неймспейсе и рабочую сеть в недефолтном. И потом в него пускать тех кому сеть явно нужна. При том это можно оформить alias-ами и шорткатами на десктопе. Да и загон в контейнер - звучит страшно, но набрать 1 команду никто не разваливался. Какая разница, с контейнером или без? Разница в нескольких набираемых буковках. Или слегка отредактированном ярлыке. Или что там у тебя.
А бонусом - можно взять штуку типа firejail. И не только с сетью разобраться, но и кучу иных левых поползновений зарубить. Ну вот например, читалке PDF решительно нечего делать в кишках системы. Не требуется это для чтения PDF. А сервису VPN совершенно ни к чему иметь возможность что-то делать в юзеровском /home. Это ему тоже совершенно не требуется для работы. И без чтения пдфки он, определенно, обойдется. Как и без доступа к большинству системных утилит.
Как бы системная безопасность только сетью не заканчивается, а программы работающие с сетью - кандидаты номер 1 на то чтобы им доступ порубать. Потому что они - крайние. И получат первую пулю от хакеров. Очень кстати если хакер при этом все-таки не получит полный доступ и встрянет по какой-нибудь веселой причине. Вплоть до отсуствия ls в представлении системы и неработы большинства сисколов связанных с ФС, потому что например сетевой программе это было ни к чему.

Исходное сообщение
"В рамках проекта OpenSnitch развивается динамический межсете..." Отправлено Аноним, 02-Май-18 13:01
> Т.е. ты предлагаешь пихать каждое приложение в контейнер, вместо того чтобы один > раз нормально настроить файрвол? Да ты просто гений. Можно 1 раз настроить отсутствие сети в дефолтном неймспейсе и рабочую сеть в недефолтном. И потом в него пускать тех кому сеть явно нужна. При том это можно оформить alias-ами и шорткатами на десктопе. Да и загон в контейнер - звучит страшно, но набрать 1 команду никто не разваливался. Какая разница, с контейнером или без? Разница в нескольких набираемых буковках. Или слегка отредактированном ярлыке. Или что там у тебя. А бонусом - можно взять штуку типа firejail. И не только с сетью разобраться, но и кучу иных левых поползновений зарубить. Ну вот например, читалке PDF решительно нечего делать в кишках системы. Не требуется это для чтения PDF. А сервису VPN совершенно ни к чему иметь возможность что-то делать в юзеровском /home. Это ему тоже совершенно не требуется для работы. И без чтения пдфки он, определенно, обойдется. Как и без доступа к большинству системных утилит. Как бы системная безопасность только сетью не заканчивается, а программы работающие с сетью - кандидаты номер 1 на то чтобы им доступ порубать. Потому что они - крайние. И получат первую пулю от хакеров. Очень кстати если хакер при этом все-таки не получит полный доступ и встрянет по какой-нибудь веселой причине. Вплоть до отсуствия ls в представлении системы и неработы большинства сисколов связанных с ФС, потому что например сетевой программе это было ни к чему.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Т.е. ты предлагаешь пихать каждое приложение в контейнер, вместо того чтобы один >> раз нормально настроить файрвол? Да ты просто гений. > Можно 1 раз настроить отсутствие сети в дефолтном неймспейсе и рабочую сеть > в недефолтном. И потом в него пускать тех кому сеть явно > нужна. При том это можно оформить alias-ами и шорткатами на десктопе. > Да и загон в контейнер - звучит страшно, но набрать 1 > команду никто не разваливался. Какая разница, с контейнером или без? Разница > в нескольких набираемых буковках. Или слегка отредактированном ярлыке. Или что там > у тебя. > А бонусом - можно взять штуку типа firejail. И не только с > сетью разобраться, но и кучу иных левых поползновений зарубить. Ну вот > например, читалке PDF решительно нечего делать в кишках системы. Не требуется > это для чтения PDF. А сервису VPN совершенно ни к чему > иметь возможность что-то делать в юзеровском /home. Это ему тоже совершенно > не требуется для работы. И без чтения пдфки он, определенно, обойдется. > Как и без доступа к большинству системных утилит. > Как бы системная безопасность только сетью не заканчивается, а программы работающие с > сетью - кандидаты номер 1 на то чтобы им доступ порубать. > Потому что они - крайние. И получат первую пулю от хакеров. > Очень кстати если хакер при этом все-таки не получит полный доступ > и встрянет по какой-нибудь веселой причине. Вплоть до отсуствия ls в > представлении системы и неработы большинства сисколов связанных с ФС, потому что > например сетевой программе это было ни к чему.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру