Windows vs. Linux , Продолжение

EXTIF=eth0          # Это интерфейс в "Сеть".
IPT=/usr/sbin/iptables      # Здесь живут iptables
 
if [ -e /proc/sys/net/ipv4/tcp_syncookies ]; then
  echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
$IPT -F
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A INPUT -i $EXT_IF -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -o $EXT_IF -j ACCEPT
# Я знаю, я извращенец... И SSH (входящий) у меня на порту ICQ. Так проще, чем отлавливать в логах попытки перебора...
$IPT -A INPUT -i $EXT_IF -p tcp --destination-port 5190 --syn -m state --state NEW -j ACCEPT

И чего тут сложного? То, что в данном случае всех выпускаем, ни кого не впускаем? Ну, как наоборот переписать подсказать или ненадо?

Сообщение отредактировано: Шадофф - 15.02.09, 11:26

Цитата Шадофф @ 15.02.09, 11:25

И чего тут сложного? То, что в данном случае всех выпускаем, ни кого не впускаем? Ну, как наоборот переписать подсказать или ненадо?

Это разрешение на порт. Меня интеросовало ограничение конкретных программ. Т.е. например, чтобы konqueror какой-нить не вылез в инет, или кто левый не полез смотреть обновление (причём на удалённый 80-й порт). А так у меня самого там такие правила, что в какой-то момент пришлось комментарии к правилам добавлять.

Сообщение отредактировано: Спящий - 15.02.09, 13:33

Цитата Спящий @ 15.02.09, 13:33

Меня интеросовало ограничение конкретных программ. Т.е. например, чтобы konqueror какой-нить не вылез в инет, или кто левый не полез смотреть обновление (причём на удалённый 80-й порт).

hardened gentoo а еще точнее SELinux/RSBAC/PaX/Grsecurity играйся с чем угодно и как хочешь.

Цитата Спящий @ 15.02.09, 13:33

то разрешение на порт. Меня интеросовало ограничение конкретных программ. Т.е. например, чтобы konqueror какой-нить не вылез в инет, или кто левый не полез смотреть обновление (причём на удалённый 80-й порт). А так у меня самого там такие правила, что в какой-то момент пришлось комментарии к правилам добавлять.

Ломиться в сеть при первом же случае не спрашивая юзера - прерогатива виндовых программ. Сумлеваюсь, что конверрер будет делать это если его об этом не просить настойчиво (сказать http://www.google.ru в адресной строке). Обновления опять же делаются через какой-нить там apt-get да еще и с sudo и вводом пароля. Вот и все. И не надо в страхе блочить конкверрер, ходящий на 80й порт, у него - бравзер отвалиться =)

Цитата Мяут @ 15.02.09, 15:29

Обновления опять же делаются через какой-нить там apt-get да еще и с sudo и вводом пароля.

Вот только не весь софт знает о том, что его обновляют через apt-get или emerge Да и откуда ты знаешь, что он не лазит? Круглые сутки с netstat/tcpdump/другое сидишь? Али тотальные логи ведешь?

best_lamer, ты мне, по сути, предлагаешь ОС переустановить?

Сообщение отредактировано: Спящий - 15.02.09, 16:29

Цитата Спящий @ 15.02.09, 16:25

best_lamer, ты мне, по сути, предлагаешь ОС переустановить?

Спящий ну ты спрашивал как сделать так чтоб одно там ходило другое не ходило? Так вот как бы iptables хоть и гибкий инструмент но все равно несколько не для того. А вот эта вся братва

Цитата best_lamer @ 15.02.09, 14:16

SELinux/RSBAC/PaX/Grsecurity

вместе в определенных комбинациях и по отдельности решают твою проблему. Подробнее иди по ссылке и читай. Настраиваешь там права приложений и все одно будет ходить второе нет.

Кхммм... Собираю код только из исходников. Ни что ни куда не ходит без моего ведома... Умоляю!!! Скажите! Что я не так делаю?!?

Добавлено 15.02.09, 18:28
Ну нет потребности в том же konqueror'е, так не ставь. Или удали у пользователя оный, или вообще на фиг из системы снеси. Вон, жинке на машинку взгромоздил сейчас для тестов KDE 4.2... Там нет konqeror'а... На машине. Plasma есть, а конкверора нет...

Сообщение отредактировано: Шадофф - 15.02.09, 18:28

Цитата Шадофф @ 15.02.09, 18:26

Умоляю!!! Скажите! Что я не так делаю?!?

Я не такой маньяк, чтоб читать по 500 строчек из ./configure --help.

Цитата Спящий @ 15.02.09, 16:25

Да и откуда ты знаешь, что он не лазит?

Потому что доверяю честности опенсорс разработчиков

Цитата Герыч @ 15.02.09, 18:37

Я не такой маньяк, чтоб читать по 500 строчек из ./configure --help.

Я не такой маньяк, чтобы ставить программы, исходников которой не видел никто кроме ее автора.

Цитата Мяут @ 15.02.09, 19:40

программы, исходников которой не видел никто кроме ее автора.

И что тебе дадут исходники? Когда строк в программе больше 30 тысяч, разобраться в ней постороннему нереально.

Добавлено 15.02.09, 20:03
Но времена меняются.. Ubuntu наступает. Линуксу действительно не нужен антивирус. Зачем? Я ведь могу просто запостить пакет с "иконками для KDE 5", а установщик спросит пароль к root. А дальше уже можно открывать любые порты, благо это очень просто..

Так что, скоро Linux-сообщество будет перенасыщено дебилоидами. Придется писать платформонезависимые трояны..

Герыч, ну как тебе сказать... Вообще-то большая часть вывода из configure соотвтествует общепринятым соглашениям, так что здесь проще. А так... А так помогает вот такая вот командо -> ./configure --help > options;vim options
И спокойненько на листочек себе выпиши нужные тебе опции сборки. Со временем просто накапливается опыт.

Цитата

Так что, скоро Linux-сообщество будет перенасыщено дебилоидами.

Да их и сейчас не так уж мало... Главное, в их число не попасть самому... А там... Да пусть ubuntu наступает...

Добавлено 15.02.09, 20:20
Кстати, Герыч, одна из прелестных возможностей Линукс как-раз таки и состоит в том, что если тебе не нравится вот это редактор (броузер файловый менеджер, ...), то просто выкинь его на фиг и не используй.

Цитата Шадофф @ 15.02.09, 20:14

Кстати, Герыч, одна из прелестных возможностей Линукс как-раз таки и состоит в том, что если тебе не нравится вот это редактор (броузер файловый менеджер, ...), то просто выкинь его на фиг и не используй.

что имеется в виду? выкинуть софт из стартового дистрибутива?

у винды, если захотеть, можно тоже пооткусать большую часть..., но только после установки

вообще в линуксе необдуманно что-нибудь ставить - это можно кучу времени потерять на разрешение зависимостей, причём возможно зря

Цитата ElcnU @ 15.02.09, 20:35

вообще в линуксе необдуманно что-нибудь ставить - это можно кучу времени потерять на разрешение зависимостей, причём возможно зря

ElcnU а был опыт установки чего либо на gnu linux или это так к слову... когда то где то слышал/читал ?

Цитата ElcnU @ 15.02.09, 20:35

у винды, если захотеть, можно тоже пооткусать большую часть..., но только после установки

Это не отменяет того факта, что в винде нет полноценного менеджера пакетов и нельзя сказать apt-get remove, чтобы ДЕЙСТВИТЕЛЬНО удалить данный функционал.

Цитата ElcnU @ 15.02.09, 20:35

вообще в линуксе необдуманно что-нибудь ставить - это можно кучу времени потерять на разрешение зависимостей, причём возможно зря

Твоя неправда. Линукс вежливо выдаст список того чего ему надо и спросит: "Хотите продолжить?"

Цитата

что имеется в виду? выкинуть софт из стартового дистрибутива?

А это зачем? Для начала, например познакомиться с LSB и понять -- что из стартового достирибутива нужно, а что нет. Далее например ту же Слаку взять, можно ставить ПО по выбору. Как библиотеки, так и сервера, так же и прикладнуху... Смысл в каких-то революциях?

В других дистрибах может быть другая реализация этого механизма. Но выбор всегда есть..