Forum Debian Users Gang

1321

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:04:17)

Np. dla bezpieczeństwa czy dla swobody operowania na plikach -- raczej nie zamontujesz / z opcją noexec, a /tmp już tak. xD Wiadomo, że logi się ostro fragmentują, a przez nie będą się inne pliki fragmentować, więc by to nieco ograniczyć, to sobie wrzucasz, /var/log na osobną partycję i tyle. oddzielny /usr , np. by zamontować wszystkie programiki w trybie RO, bo i tak raczej tam nic nie zapisujesz, jedynie co to przy instalacji via apt, trzeba by przemontować to na RW, ale jest regułka by apt robił to automatycznie. Do tego /home /boot /var/cache/apt albo i cały cache -- więcej partycji nie pamiętam ale im bardziej jest podzielony dysk, tym szybciej operacje odczytu/zpisu na nim przebiegają, bo zamiast jednej dużej przestrzeni masz szereg mniejszych, ciągłych i głowica nie lata jak pojebana po całym talerzu, o ile to HDD. xD Z tym, że ja tam wolę trzymać to wszystko na jednej fizycznej partycji i dorobić do tego lvm -- zasada działania jest taka sama, tyle, że mogę zwyczajnie zrobić backup jednej partycji i mieć zwarty system na niej, zamiast robić kopie binarne każdej z nich i przywracać je po kolei. xD

1323

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:04:20)

uzytkownikubunt, mam dysk HDD 1 TB, z czego tylko ~350 GB na chwilę obecną zajmą dane, i to z dużym zapasem. Dotychczas miałem kilka dysków 80 GB więc nie rozrastało się to tak.

I dzięki wszystkim za wytłumaczenie. Czyli najlepiej zrobić jak miało być, tzn 40-50 GB na root reszta na home?

1327

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:04:25)

Tutaj o grach czy partycjach?
Ja mam na steamie linuxowym X-Com:EU/EW oraz X3: Terran Conflict. Wszystko śmiga pięknie :) Wersje natywne pod linucha.
X-Com mam pomodowany i też działa (tylko trzeba pilnować, aby czasami steam nie "updejtnął" gry (czyli wywalił mody poinstalowane....).
Na to sposób mój - ustawione aktualizacje tylko od 4 do 5 rano ;P Wtedy zawsze śpię smacznie, a komp wyłączony.

1439

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:06:57)

thomsson napisał(-a):

Zaczynam widzieć sens selinuxa na desktopie :d ukrywanie świata przed steamem

SElinuxa? przyjemnej zabawy. :D


Ja widzę sens dużo prostszego rozwiązania, osobne konto użytkownika do takich podejrzanych wynalazków, jak Steam, Desura i Wine.

Konfigurowanie chroota to może z 5-10 minut bardzo ciężkiej pracy, :D
a w ten sposób, o ile $HOME ma uprawnienia 700 lub 750, to taki podejrzany program Ci niczego nie rozpieprzy, i nie ukradnie żadnych haseł czy kluczy SSH.

Można też pobawić się Apparmorem, ale to w przypadku takiego "horroru" jak Steam grubsza gimnastyka.

Natomiast SELinux do Steama?
Próbowałeś kiedyś pisać profile SELinuksa (choćby tylko dla profili targeted i strict) dla programu o podobnej strukturze wymagań, jak Steam?
oczyście pomijając  tryby "Multi Level Security" i "Multi Domain Securiy".

Jeśli nie, to przyjemniej zabawy. :DDD
Na początek spróbuj Debiana (desktop) podnieść do poziomu umożliwiającego zalogowanie, na swoje konto użyszkodnika, odpalenie przeglądarki i napisanie posta, z SELinuksem włączonym w  trybie strict.

Potem chętnie poczytam Twoje kolejne opinie na temat SELinuksa. xD

Panowie spokojnie, tamten uśmieszek, miał wywołać u was usmieszek :d Jacku ja wiem mniej a więcej czym jest Selinux, a nawet kiedyś udało mi się usłyszeć, (to chyba radio wolna Europa była czy cuś...) o takich zabawkach jak wspomniany App Armor, chroot, czy nawet lxc (my knowledge, so huge) XD ale w życiu nie chciałoby mo się tego pchać na desktop, bo zwyczajnie jestem za leniwy (pomijając już całą katorżniczość tej operacji) to miała być tylko taka mała humorystyczna wstawka :)  z resztą spójrz na to jeszcze raz :d pakować na desktop Selinuxa, biorąc pod uwagę upierdliwość tego rozwiązania tylko dlatego by zabezpieczyć Steama :D

I tak masz racje nie potrafię go skonfigurować, z tego co pisałeś na forum nawet ty unikasz go jak ognia i raczej jak masz wchodzić w tego typu hardening, to wtedy idziesz w stronę chroota, apparmora i grseca (całego podkładu z gentoo zhardeningiem na poziomie kompilatora pomijam juz zupełnie), czego stosowanie w tym wypadku podchodziloby pod podobny poziom
A paranoizmu
B katorzniczosci
(Ofcoz jak mówisz można to po prostu zamknąć do chroota)

Nom, zatem skoro wyjasniłem juz kwestie mojego mniej lub bardziej dziwnego humoru i niejako wykazałem ze cos tam jednak słyszałem (właśc. Czytałem i to w dużej mierze z twoich  postów), to życzę miłego dnia, a co do Selinuxa, to kto wie :p może nie na desktopie, ale na VMce z centem może się skuszę na podstawową konfiguracje i utwardzenie jej, tak edukacyjnie...

Parafrazując, to by było na tyle ;)

W Gentusiu konfigurację robisz raz, potem już chodzi, ja poświęciłem trochę czasu na zabawę z konfiguracją Gentusia w zimie 2009-2010 i jakoś chodzi do dzisiaj bez wiekszych problemów na tej konfiguracji, choć przeszedł po drodze kilka reinkarnacji na nowych kompilatorach.

Apparmor? wystarczy poszukać na necie profilu do aplikacji, i wrzucić go do /etc/apparmor.d/. i aktywować, czasem jakieś kosmetyczne zmiany są potrzebne.

SElinux - ma tyle "nadbudowy" w postaci milionów opcji, kontekstów nawet dla pakietów sieciowych i podobnych cudów na kiju, że oczywiście można go używać pod warunkiem, że dostaniesz gotowy i skonfigurowany system z SElinuxem, jak np Fedora czy CentOS.
Jakbyś chciał od zera konfigurować system, w którym SELinux nie jest domyślnie używany, to już w Debianie jest niezła jazda, a Gentoo 3/4 roboty Hardened-teamu, to są błędy polityk SELinuxa.

Polityka SELinuxa nawet na prostym serwerze, który ma trzy demony na krzyż, to jest więcej, zabawy, niż Apparmor+Grsec-RBAC, i to dużo trudniejszej.
99,9% użytkowników SELinuxa bierze gotowe systemy z gotową polityką, i nie zmienia w nich ani przecinka.
SELinux to fajna zabawka dla RHEL czy SLES, gdzie korpo bierze abonament za roczne wsparcie, ale dla administratora, który miałby konfigurować to  w systemach bez wsparcia takiej korpo, to ciężka katorga, zwłaszcza, że SELinux nie pokazuje wszystkich błędów, jakich pod jego polityką doznają aplikacje.

A kto ma czas bawić się debugerrem, żeby zobaczyć, dlaczego np GDM się wysypuje, bez śladu w logach? albo Nautilus wiesza, też beż śladu w logu?
To wszystko przeżyłem na Gentusiu z włączonym profilem targeted SELinuxa.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2015-06-26 17:08:59)

2017

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:19:33)

2019

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:19:36)

2503

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:30:02)