Portál AbcLinuxu, 8. května 2025 00:39
16.1.2024 14:23
Max | skóre: 72
| blog: Max_Devaine
16.1.2024 14:49
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Pokud jde o firewall, tak většinou nastavuji bez grafického klikátka. Ubuntu používalo UFW a k němu grafickou nadstavbu GUFW. Jestli existuje něco podobně přívětivého, to nevím.To není ani tak o tom, že máš nějakou nadstavbu nad iptables (osobně jsem se s tím tedy nikdy nesžil a používám přímo iptables), ale co tam nastavíš. Co tam nastavíš? Mně dává trochu smysl zakázat defaultně INPUT, ale stejný vliv má když se podíváš, co za služby ti tam poslouchá, a zakážeš je. Teda až na situace když nevíš jak je zakázat, já třeba teď mám:
udp 0 0 224.0.0.251:5353 0.0.0.0:* 1765622/chromium --Pak ještě dává smysl zakázat FORWARD, ale ten je defaultně zakázaný stejně (ip_forward je 0) a na počítači co není router nemá moc co kam forwardovat, leda možná že by se mu takhle někdo dostal třeba do nějaké VPN kterou má z notebooku navázanou.
16.1.2024 16:28
Max | skóre: 72
| blog: Max_Devaine
17.1.2024 01:45
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Mně dává trochu smysl zakázat defaultně INPUT, ale stejný vliv má když se podíváš, co za služby ti tam poslouchá, a zakážeš je. Teda až na situace když nevíš jak je zakázat
Jo, toto bývalo účelem lokálního firewallu - služby, které neuměly poslouchat jenom na konkrétní adrese, typicky s bind(0.0.0.0) natvrdo v kódu. Ale dneska už jsou IMHO prakticky vymýcené. Ale je možné, že se s rozmachem "korporátního" SW v linuxu budou zase vracet. Ale i tady půjde spíš o "volání domů", než o "naslouchání všem".
16.1.2024 21:09
Max | skóre: 72
| blog: Max_Devaine
17.1.2024 08:14
Max | skóre: 72
| blog: Max_Devaine
[08:56:28] Checking for packet capturing applications [ Warning ] [08:56:28] Warning: Process '/usr/sbin/wpa_supplicant' (PID 1150) is listening on the network.Kábel si kvôli tomu kupovať ozaj nebudem.
Antivirus není potřeba na žádné platformě, natož na linuxu. V mnoha případech jeho přítomnost pro vaše data přináší dokonce zápornou bezpečnostní hodnotu...
16.1.2024 14:50
Max | skóre: 72
| blog: Max_Devaine
16.1.2024 14:51
Max | skóre: 72
| blog: Max_Devaine
16.1.2024 16:28
Max | skóre: 72
| blog: Max_Devaine
16.1.2024 16:50
Max | skóre: 72
| blog: Max_Devaine
O tom co je krasne rozhodujeme my - strana!
Ty sice nic nikomu nezakazuješ, ale já dodnes vzpomínám na tu legendární diskuzi tady, kdy si byl do jednoho jediného příspěvku schopný zároveň napsat: "mé zákazy nikoho z uživatelů neomezují" a "uživatelé si furt stěžují, že nemají admina"...
16.1.2024 20:49
Max | skóre: 72
| blog: Max_Devaine
16.1.2024 22:48
Max | skóre: 72
| blog: Max_Devaine
Jedinej, kdo neustále blábolí něco o doktorkách, mindrácích a diagnózách a při tom ostatním nařizuje, aby se drželi tématu, jseš tady ty...
16.1.2024 14:41
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Chtěl bych se zeptat jak je to tady se zabezpečením, něco jako je na Windows Defender je tu nějaký antivirus a je vůbec potřeba?Uveď konkrétní příklady co by měl takový antivirus dělat.
A firewall, je třeba?Hodil by se aplikační firewall - zakázat aplikacím, u kterých není důvod, aby přistupovaly k síti (konkrétní příklady Stardict, Audacity), přistupovat k síti, případně u aplikací, které se mají připojovat jen na konkrétní místa, povolit jen tato místa. Bohužel nic takového na Linuxu neexistuje - existuje OpenSnitch, ale je to takový slabý pokus. Nebo se můžeš pokusit to omezit přes nějaké namespaces/kontejnery/flatpak(?), ale je to uživatelsky nepřívětivé a málo podporované. Co se týče „klasického“ firewallu, tak ten podle mě není potřeba, a místo toho je vhodné zkontrolovat, co za služby ti poslouchá do světa (
netstat -tlpn, resp. po novu a méně přehledně ss -tlpn). Čili jestli třeba nemáš omylem vystavený poštovní či webový server a nevíš o tom.
Hodil by se aplikační firewall - zakázat aplikacím, u kterých není důvod, aby přistupovaly k síti (konkrétní příklady Stardict, Audacity), přistupovat k síti, případně u aplikací, které se mají připojovat jen na konkrétní místa, povolit jen tato místa. Bohužel nic takového na Linuxu neexistuje
Tohle je podle mě cesta do Androidu (pekel). Bezpečnost Linuxu podle mě nemá stát na tom, že se budeš snažit "umravňovat" zlé aplikace, nebo "workaroundovat" bezpečnostní chyby nějakejma dalšíma vrstvama "zákazů", ale na tom, že zlé aplikace nebudeš používat* a bezpečnostní chyby opravovat.
* ano, dá to podstatně víc práce, než věřit obchodu se strachem a chce to podstatně větší znalosti než má průměrný korporátní ajťák, ale jde to
16.1.2024 15:30
Jendа | skóre: 78
| blog: Jenda
| JO70FB
nebo "workaroundovat" bezpečnostní chyby nějakejma dalšíma vrstvama "zákazů"To se snaží lidi už desítky let, a faktem je, že ve všem od prohlížečů PDFek přes prohlížeče obrázků a přehrávače videí po webové prohlížeče se neustále objevují další a další díry. Velká část z nich jsou paměťové chyby způsobené kultem programování všeho v C, ale občas se objeví i nějaká logická, se kterou by jazyk/runtime s bezpečnou pamětí nepomohly.
ale na tom, že zlé aplikace nebudeš používatTak si vezmi třeba takové GPXSee. Představ si, že ti jebne v kouli, přidáš do něj malware a vydáš update, který se všem, co používají repozitáře, automaticky nainstaluje. Než si toho někdo všimne, mají tisíce lidí počítače plně kompromitované. A přitom je to úplná blbost - GPXSee má mít přístup pouze k aktuálně prohlíženým souborům, řekněme plný přístup k internetu (stahování dlaždic) a jeden cache adresář s dlaždicema. Určitě ale nemá mít možnost prohledávat ~ na uložená hesla, SSH klíče, instalovat do ~/.bashrc aliasy pro ssh a sudo a následně získaná data posílat ven.
Tak si vezmi třeba takové GPXSee. Představ si, že ti jebne v kouli, přidáš do něj malware a vydáš update, který se všem, co používají repozitáře, automaticky nainstaluje. Než si toho někdo všimne, mají tisíce lidí počítače plně kompromitované. A přitom je to úplná blbost - GPXSee má mít přístup pouze k aktuálně prohlíženým souborům, řekněme plný přístup k internetu (stahování dlaždic) a jeden cache adresář s dlaždicema. Určitě ale nemá mít možnost prohledávat ~ na uložená hesla, SSH klíče, instalovat do ~/.bashrc aliasy pro ssh a sudo a následně získaná data posílat ven.
To se samozřejmě může stát, že mi jebne v kouli (někteří dokonce tvrdí, že už se tak stalo) a pokusím se pomocí GPXSee ovládnout svět, ale každý má stále možnost se před tím, než ten balíček updatuje podívat, co v něm je, protože process jeho vzniku je plně transparentní. Kdo je líný (a není uživatelem Debianu, přirozeně), tak si pár dní počká a použije balíček z jeho distribuce, který za něj (alespoň teoreticky) zkontroluje někdo jiný. Ano, je to o důvěře, ale statisticky to prostě funguje, protože při existenci tisíců balíčků v desítkách běžných distribucí si nevybavuju jedinej případ, kdy by autor SW nebo "balič" záměrně (nekompetence lidí z Debianu je samozřejmě jiný příběh...) kompromitoval stroje uživatelů. Tam kde je dostatečná transparence je prostě velmi malá ochota lidí se veřejně zcela kompromitovat. Pokud tedy nejsi antivirová firma, samozřejmě (a i tam by se pod to konkrétní lidé "nepodepsali", funguje to pouze díky anonymitě firmy).
Celé to má navíc ještě jeden aspekt, který poznáš teprve když začneš nějaký projekt alespoň podobného rozsahu jako GPXSee tvořit - začneš být alergický na lidi, co za tebou přijdou a povídají ti: "já si strašně rád od tebe vezmu ty tisíce hodin práce/peněz, co si pro mě zadarmo udělal/utratil, ale stejně si myslim, že mě chceš ojebat a okrást o data/peníze/..."...
každý má stále možnost se před tím, než ten balíček updatuje podívat, co v něm je, protože process jeho vzniku je plně transparentní.Vždy mě zajímalo kolik lidí v opensource světě zdrojáky kontroluje. Jednou jsem chtěl zkontrolovat zdrojáky updatu balíčku Manjara. Nemohl jsem zdrojáky toho updatu najít. Po dotazu mi bylo odpovězeno, že správce balíčku má zdrojáky zřejmě u sebe na localu a zapomněl je zveřejnit. Bavím se o oficiálně vydaném stable balíčku, nikoliv nějakém testovacím. Od té doby jsem nedůvěřivý k distrům, které dělá pár lidí na koleni.
Nemohl jsem zdrojáky toho updatu najít.V tom prípade sa nejednalo o otvorený kód. Čo to bolo za balíček a z ktorého roku? Pýtam sa len aby som sa tomu vyhol.
Od té doby jsem nedůvěřivý k distrům, které dělá pár lidí na koleni.Ja by som to zmenil na: distribúcie alebo inštalačné balíčky ktoré nemajú reprodukovateľný build. Napríklad sa jedná o OS Windows alebo o produkty Apple o ktorých bezpečnosti sa dá viesť zaujímavá diskusia plná citosloviec.
V tom prípade sa nejednalo o otvorený kód.Byl otevřený, jen ho lajdák programátor zapomněl hodit na GitLab. Kupodivu to nikomu nevadilo a takový balíček byl v oficiálním repozitáři nejoblíbenějšího distra v té době (podle DistroWatch), Manjara. Proto ta má otázka kolik lidí reálně zdrojáky balíčků kontroluje.
Čo to bolo za balíček a z ktorého roku?Byl to balíček přímo OS Manjaro. Nevzpomenu si jaký konkrétně, možná balíček, který předkonfigurovával Sambu. Nebo nějaký takový doplňkový balíček, který naprogramovali přímo tvůrci OS Manjaro. Už si nevzpomenu. Asi 5 let zpátky.
Ja by som to zmenil na: distribúcie alebo inštalačné balíčky ktoré nemajú reprodukovateľný build.Ano je to možnost. Ručně to ale nikdo kontrolovat nebude. Existuje třeba u Debianu možnost jak automatizovaně zkontrolovat, že všechny balíčky v oficiálním repu Debianu odpovídají oficiálním zdrojákům těch balíčků???
Byl otevřený, jen ho lajdák programátor zapomněl hodit na GitLab.Tým "zabudnutím" sa posledná verzia uzavrela, a prestal to byť otvorený kód.
Byl to balíček přímo OS Manjaro. Nevzpomenu si jaký konkrétněNetuším či má Manjaro reprodukovateľný build, takže si asi nevieš overiť či poskytnuté zdrojové kódy vygenerujú zhodný inštalačný balíček ktorý je 100% identický s tým čo ponúka repozitár a nik do balíčka nepridal niečo nekalé.
Existuje třeba u Debianu možnost jak automatizovaně zkontrolovat, že všechny balíčky v oficiálním repu Debianu odpovídají oficiálním zdrojákům těch balíčků?Debian mal v minulosti problém keď šírili nakazené balíčky, a tak sa zaviazali že tomu zabránia pomocou Debian Reproducible Builds. Na tom linku máš aj štatistiky a ďalšie distribúcie. A ak máš zdrojáky, tak ich môžeš aj skontrolovať na rôzne typy automatizovaných testov ktoré dokážu odhaliť chybovosť kódu. A rovno si vyberieš to, čo ti vyhovuje.
takže si asi nevieš overiť či poskytnuté zdrojové kódy vygenerujú zhodný inštalačný balíček ktorý je 100% identický s tým čo ponúka repozitárU většiny dister to neověříš, protože většina dister nemá Reproducible Builds.
Debian Reproducible BuildsDebian tam uvádí 35 tisíc amd64 balíčků. Přitom na svých stránkách uvádí: "The Debian package management system, when used properly, offers the user to install consistent sets of binary packages to the system from the archive. Currently, there are 71629 packages available for the amd64 architecture." Nevíš čím je způsoben ten rozdíl v počtu balíčků?
A ak máš zdrojáky, tak ich môžeš aj skontrolovať na rôzne typy automatizovaných testov ktoré dokážu odhaliť chybovosť kódu.Dejme tomu že můžu, ale jde o to kdo to reálně dělá. Uživatelé to nedělají. Jen věří, že za ně nějaký velký hráč (korporace) ověřil jak zdrojáky, tak proces buildu balíčku.
Debian tam uvádí 35 tisíc amd64 balíčků. Přitom na svých stránkách uvádí ... 71629 packagesDebian nezodpovedá za contrib (OSS a binárne balíky ktoré tam môže dať hocikto, ale ľudia to chcú ako napr. prehliadač Chrome). Debian zodpovedá za main (updates/backports) a to je len podmnožina dostupného programového vybavenia.
Dejme tomu že můžu, ale jde o to kdo to reálně dělá.Robil som vo firme ktorá papierovo zakázala používanie neschváleného SW. Ak niečo niečo chcel, tak zobrali zdrojáky toho SW v poslednej verzii, prehnali testami. A ak to neprešlo základnými testami kvality, tak ten SW papierovo nedovolili nainštalovať. V výsledku tak zakázali napr. VLC lebo používal pretypovanie premenných ale bol rýchlejšie opravovaný ako vstavaný multimediálny prehrávač z OS ktorý bol deravejší lebo delegovali zodpovednosť na dodávateľa. Fail jak (ehm).
Ale dokazuje to jenom to, že to distro má omezené zdroje, ne že tam jsou nějaké nekalé úmysly.Ale že tam nejsou nekalé úmysly je pouze víra. Běžní uživatelé nemají kapacity zkontrolovat všechny zdrojáky[1] včetně buildování balíčku. Zatímco nastavení firewallu v kapacitách uživatelů je. [1] u dister které nemají Reproducible Builds, což je většina, je kontrola zdrojáků v podstatě zbytečná, protože správce distribuce může do repa uploadnout balíček, který vůbec nebyl vykompilován z veřejných zdrojáků.
Ale že tam nejsou nekalé úmysly je pouze víra.
Celej tvůj život je o víře, protože množina věcí, co si sám můžeš ověřit je minimální... Statisticky (dle zkušeností) ale někde prostě věříš míň a někde víc a u OSS (obecně tam kde je dostatečná transparence) je ta statistika (zatím...) velmi příznivá.
Běžní uživatelé nemají kapacity zkontrolovat všechny zdrojáky[1] včetně buildování balíčku. Zatímco nastavení firewallu v kapacitách uživatelů je.
Skutečně? Ty sis opravdu zkontroloval, že ten firewall není upravený a třeba jenom nevypisuje, že něco blokuje ale ve skutečnosti to nedělá? A zkontroloval sis to ve zdrojácích toho balíčku kernelu, který je u drtivé většiny distribucí nereprodukovatelný, nebo si poctivě prošel celý strojový kód?!...
někde prostě věříš míň a někde vícMáš pravdu. Právě proto jsem v prvním komentáři rozporoval tvé tvrzení, že "každý má stále možnost se před tím, než ten balíček updatuje podívat, co v něm je, protože process jeho vzniku je plně transparentní." Já tvrdím, že běžný uživatel zdrojáky nekontroluje a proces buildování u většiny dister není transparentní.
Ty sis opravdu zkontroloval, že ten firewall není upravený a třeba jenom nevypisuje, že něco blokuje ale ve skutečnosti to nedělá?Nezkontroloval. I v tomto je část víry, souhlasím. Ale náš spor je v tom, že ty nabízíš jen jednu "víru". Víru, že tvůrci open source nemají nekalé úmysly a že za uživatele někdo zkontroloval zdrojáky, proces buildování atd., a odmítáš firewall. Nevidím nic špatného když uživatel podle svého uvážení používá více vrstev ochrany (více vrstev víry): - zvolí distro, které používají korporáty, protože se tam očekává důkladnější kontrola zdrojáků z jejich strany, - zvolí distro kde proces buildování balíčků je maximálně transparentní (Fedora Koji, SUSE OBS,..) + je tam snaha o Reproducible Builds, - firewall, - sandboxování, - antivir,...
Máš pravdu. Právě proto jsem v prvním komentáři rozporoval tvé tvrzení, že "každý má stále možnost se před tím, než ten balíček updatuje podívat, co v něm je, protože process jeho vzniku je plně transparentní." Já tvrdím, že běžný uživatel zdrojáky nekontroluje a proces buildování u většiny dister není transparentní.
To jsou ale dvě zcela odlišné věci, jestli ten proces je transparentní a jestli ho někdo kontroluje. Build GPXSee je obecně reprodukovatelný, takže u distribucích, které se o reprodukovatelné buildy snaží to můžeš do jisté míry zkontrolovat, že v binárce je to co bys tam podle zdrojáků očekával. Jasně, není to 100%, protože k tomu by si musel mít zkontrolovaný celý ten řetězec, což asi v žádném distru dneska nemáš, ale když věříš zbytku toho distra, není důvod nevěřit zrovna buildu jednoho konkrétního balíčku...
Jestli to někdo skutečně dělá už je zcela jiný příběh. Ale statistiky ukazují to, že pokud tady ta možnost je (a pod tím procesem jsou podepsaní konkrétní lidé - v anonymních prostředích to tak úplně nefunguje), tak je šance, že tam nějaký "nekalý úmysl" bude minimální.
odmítáš firewall
Odmítám ho jako řešení nedůvěry k nějaké části systému, který je tvořen stejným procesem a stejnými lidmi jako ta "nedůvěryhodná" část. Tvářit se, že sis nějak pomohl tím, že si jednu náhodnou část v tom systému více izoloval, je dle mě jenom falešný pocit bezpečí. Navíc všechny tyhle mechanismy mají nějaké "vedlejší účinky" na které časem s největší pravděpodobností narazíš. No a v neposlední řadě je tu ten "psychologický efekt", kdy je tahle otevřená nedůvěra vyloženě urážkou těch lidí, co pro tu komunitu ty komponenty, kterým ty nedůvěřuješ (většinou zadarmo) tvoří. Až se budeš ptát, proč v OSS světě nemáme to či ono, tak si vzpomeň, že jedním z důvodům jsou i tyhle snahy, které autorům otevřeně ukazují prostředníček...
Takže vlasně skončíme u toho, že prohlásíme nainstalovaný linux od této chvíle za bezpečný?
Každý složitější mechanismus, který začneš používat prohlásíš v ten okamžik za bezpečný (když někam letíš, bereš si s sebou bandu mechaniků/konstruktérů, kteří to letadlo do posledního šroubků zkontroluji, než do něj sedneš?). Tak proč ne Linux?
A kdo by měl v případě Linuxu podle tebe být ta "banda mechaniků"? Nějaká antivirová společnost, která byla usvědčena, že prodává uživatelská data, nebo třeba spolupracuje s FSB?!
A vše ostatní stahneš ze zdrojového kódu, který si před kompilací důkladně prohlídneš. Používal myslím Slackware. Takže žádný sudo apt-get update && sudo apt-get upgrade. Hezky stáhnou, kouknout, zkompilovat, nainstalovat.
Kromě toho, že i Slackware má normálně distribuční balíčky mimo naprostý základ systému (jen jich je méně), tak tak, že někdo stáhne SW z upstreamu a zkompiluje ho vznikají i ty distribuční balíčky. A pokud nejsi schopný ten SW zkontrolovat sám (což očividně vzhledem k tvým znalostem nejsi), tak je stejně jediná tvoje šance nechat tu kontrolu na tom baličovi...
ale ani to není záruka bezpečnosti OSVidel som kopec licenčných ujednaní. Veselé bolo keď výrobca komerčného uzavretého SW v ujednaní uviedol, že sa zbavuje akejkoľvek škody ním spôsobenej aj v prípade že by bol ten SW vadný. Teda tým efektívne zrušil záruku na ním dodaný komerčný produkt. Tá smernica o zodpovednosti za SW má dôvod. Chceli ju dať do NIS3, ale došlo im že sa nedá toľko čakať. Je smutné keď to museli takto riešiť. A je smutné že to začali riešiť až niekedy teraz. Ohľadne telemetrie, tak sa pozri či je vo východzom stave zapnutá, či sa vôbec dá vypnúť, a či bez nej funguje dodaný SW. Kľudne to môže byť správca clipboardu v ktorom sa uchová heslo alebo fragment literárneho diela chráneného NDA, alebo celé takéto dielo.
firewall...Odmítám ho jako řešení nedůvěry k nějaké části systému, který je tvořen stejným procesem a stejnými lidmi jako ta "nedůvěryhodná" část.Když nějaké části systému (jádro, moduly, hlavní balíčky distra), kterou tvořili nějací lidé budu důvěřovat a na ni nebudu používat firewall, sandbox nebo antivir a na jinou část systému, kterou tvořili jiní lidé ano, tak je to v pořádku?
Až se budeš ptát, proč v OSS světě nemáme to či ono, tak si vzpomeň, že jedním z důvodům jsou i tyhle snahy, které autorům otevřeně ukazují prostředníček...Kdybych na veřejnosti deklaroval, že tvůrcům OSS bezmezně věřím, ale tajně bych používal antivir a aplikační firewall, tak bychom mohli dosáhnout vyšší funkcionality i kvality OSS?
Když nějaké části systému (jádro, moduly, hlavní balíčky distra), kterou tvořili nějací lidé budu důvěřovat a na ni nebudu používat firewall, sandbox nebo antivir a na jinou část systému, kterou tvořili jiní lidé ano, tak je to v pořádku?
Ty u tvé distribuce lustruješ jednotlivé baliče a podle toho se rozhoduješ, jestli tomu kterému balíčku důvěřuješ, nebo ne? A pokud ti jde o autory SW, tak proč používáš něčí práci, když tomu člověku nevěříš?
Kdybych na veřejnosti deklaroval, že tvůrcům OSS bezmezně věřím, ale tajně bych používal antivir a aplikační firewall, tak bychom mohli dosáhnout vyšší funkcionality i kvality OSS?
Rozhodně dosáhneš větší motivace lidí pro tebe tu práci zadarmo dělat.
Když v dětském sportovním klubu všude v tělocvičně, špatných, i sprchách nainstaluješ kamery s tím, že trenérovi nevěříš, že nebude zneužívat děti, myslíš, že to zvýší motivaci lidí ty děti trénovat a budete mít pro tu mládež více a lepších trenérů? To ale neznamená, že si nikdo nemá ověřovat reputaci těch lidí, co ty děti přichází trénovat.
Ty u tvé distribuce lustruješ jednotlivé baliče a podle toho se rozhoduješ, jestli tomu kterému balíčku důvěřuješ, nebo ne?Ne, ale kdybych novou distribuci nepotřeboval nutně na železe, tak ji dám do VM, nastavím CPU, které zabrání, aby se potencionální Meltdown & Spectre útok nedostal ven z VM, nepovolím jí přístup ke všem svým datům na hostiteli a omezím jí přístup do místní sítě. Nevidím na tom nic špatného.
A pokud ti jde o autory SW, tak proč používáš něčí práci, když tomu člověku nevěříš?Protože ten SW potřebuji. Třeba jen na chvíli v sandboxu.
Rozhodně dosáhneš větší motivace lidí pro tebe tu práci zadarmo dělat.Pro mě? Myslel jsem, že tu práci dělají primárně pro sebe nebo svoje platící zákazníky.
Když v dětském sportovním klubu všude v tělocvičně, špatných, i sprchách nainstaluješ kamery s tím, že trenérovi nevěříš, že nebude zneužívat děti, myslíš, že to zvýší motivaci lidí ty děti trénovat a budete mít pro tu mládež více a lepších trenérů?Tvůj příklad se týký důvěry lidí, kteří se osobně znají. Já autory SW ani baliče neznám, jsou to cizí lidé. Nedůvěra v cizí lidi není nic neobvyklého.
Ne, ale kdybych novou distribuci nepotřeboval nutně na železe, tak ji dám do VM, nastavím CPU, které zabrání, aby se potencionální Meltdown & Spectre útok nedostal ven z VM, nepovolím jí přístup ke všem svým datům na hostiteli a omezím jí přístup do místní sítě. Nevidím na tom nic špatného.
Pokud se stále bavíme o desktopu, o kterém celá tato diskuze je, tak takto paranoidně drtivá většina uživatelů svůj desktop (a to i Linux) opravdu nepoužívá, takže ano, je to divné. Kromě toho tady opět mícháš "ochranu" před externími útoky a před SW, který ses rozhodl dobrovolně používat...
Protože ten SW potřebuji. Třeba jen na chvíli v sandboxu.
Ano, využívat zadarmo tisíce hodin cizí práce by se ti líbilo, ale místo poděkování od tebe přijde akorát: "stejně si myslím, že jste zmrdi a chcete mě ojebat"...
Pro mě? Myslel jsem, že tu práci dělají primárně pro sebe nebo svoje platící zákazníky.
Tomu sám nevěříš. To možná platí pro nějaký 100 řádkový script z GitHubu, ale určitě ne pro něco, co je běžně v distribucích. Funkcionalita běžných balíčků je daleko za hranicí toho, co může autor sám využít. A o nějakém placení si většina autorů SW, který v běžné distribuci je může jenom nechat zdát...
Tvůj příklad se týký důvěry lidí, kteří se osobně znají. Já autory SW ani baliče neznám, jsou to cizí lidé. Nedůvěra v cizí lidi není nic neobvyklého.
Od cizích lidí taky běžně nedostáváš zadarmo výsledky jejich tisíců hodin práce. Ty lidé nejsou cizí/anonymní, v drtivé většině případů je jejich reputace velice dobře známa, stačí se zajímat. Jenomže tobě se to, že pro tebe jsou cizí náramně hodí, protože pak je mnohem jednodušší si od nich bez přispění brát tu jejich práci a k tomu jim ještě otevřeně ukazovat fakáče...
VM...takto paranoidně drtivá většina uživatelů svůj desktop (a to i Linux) opravdu nepoužívá, takže ano, je to divné.Na používání VM (i na desktopu) nevidím nic divného. Např. Gnome Boxes je na Gnome předinstalovaná aplikace právě pro snadné spouštění VM na desktopu.
Ano, využívat zadarmo tisíce hodin cizí práce by se ti líbilo, ale místo poděkování od tebe přijde akorát: "stejně si myslím, že jste zmrdi a chcete mě ojebat"...Taky jsem přispěl pár řádky kódu do Linuxu. Nijak mne neurazilo když ke mne (defakto k cizímu člověku) neměli bezmeznou důvěru a kód prověřili před tím než prošel Pull Requestem.
Přesně tak tomu bylo v mém případě. Opravoval jsem chybu především pro sebe a zároveň jsem ji sdílel ostatním.Myslel jsem, že tu práci dělají primárně pro sebe nebo svoje platící zákazníky.Tomu sám nevěříš.
určitě ne pro něco, co je běžně v distribucích. ... A o nějakém placení si většina autorů SW, který v běžné distribuci je může jenom nechat zdát.Běžně v distribucích je především kód zaměstnanců Red Hatu/IBM/Oracle/Intel a ti to dělají pro své platící zákazníky.
k tomu jim ještě otevřeně ukazovat fakáčeZase přeháníš. Nikdo nikomu fakáče neukazuje. Bavíme se o "věř, ale prověřuj".
Na používání VM (i na desktopu) nevidím nic divného. Např. Gnome Boxes je na Gnome předinstalovaná aplikace právě pro snadné spouštění VM na desktopu.
Používat VM na desktopu je jedna věc (a i tady bychom mohli diskutovat, jak běžné to mimo vývojáře je), používat tak, jak si popsal, včetně té Spectre/Meltdown paranoie je něco zcela jiného...
Taky jsem přispěl pár řádky kódu do Linuxu. Nijak mne neurazilo když ke mne (defakto k cizímu člověku) neměli bezmeznou důvěru a kód prověřili před tím než prošel Pull Requestem.
To je taky zcela běžná věc, že ten kód prochází kontrolou před tím, než se použije. Stejně tak si můžeš zkontrolovat ten libovolný OSS projekt před tím, než ho použiješ a případně jej odmítnout používat, pokud s ním máš problém, to nikoho neurazí. To co děláš ty je ale jako by v kernelu ten tvůj kód použili a potom o něm všude hlásali, že větší sračky v kernelu v životě neviděli...
Přesně tak tomu bylo v mém případě. Opravoval jsem chybu především pro sebe a zároveň jsem ji sdílel ostatním.
Když pominu, že gró OSS projektů opravdu netvoří něčí párřádkové fixy, tak i v tomto případě to stálo práci několika lidí, kteří to pro sebe s pravděpodobností hraničící s jistotou nedělali. Někdo musel udělat code review a pak to několik lidí až k samotnému Linusovi muselo zamergovat. A stále je spousta subsystémů, kde za to maintaineři nejsou nikým placení.
Běžně v distribucích je především kód zaměstnanců Red Hatu/IBM/Oracle/Intel a ti to dělají pro své platící zákazníky.
Zdroj? Pro Linuxový desktop (a to celkově, od kernelu až po KDE aplikace) to AFAIK není pravda, ale rád se nechám přesvědčit nějakými "tvrdými" daty.
Používat VM na desktopu je jedna věc (a i tady bychom mohli diskutovat, jak běžné to mimo vývojáře je), používat tak, jak si popsal, včetně té Spectre/Meltdown paranoie je něco zcela jinéhoJestli je to běžné nebo ne je pro naši diskuzi nepodstatné. Spectre/Meltdown je ošetřená ve výchozím stavu, ale nechce se mi rozepisovat proč jsem to psal.
to nikoho neurazí.Veřejné odmítnutí kódu je větší urážka než nasazení aplikačního firewallu, sandboxu nebo VM na mém osobním počítači o čemž se tvůrce kódu ani nedozví. Mohl bych ti poslat komunikaci mezi Red Hatem a tvůrci Dockeru, kteří kódy RH ve velkém zahazovali a Redhaťáky to štvalo, ale nechce se mi to hledat. Studii na to co autory SW více urazí žádnou nemáš, jen pocit. Můj pocit je jiný proto tento spor nevyřešíme.
Zdroj? Pro Linuxový desktop (a to celkově, od kernelu až po KDE aplikace) to AFAIK není pravda, ale rád se nechám přesvědčit nějakými "tvrdými" daty.Oracle: https://blogs.oracle.com/linux/post/oracle-linux-2023-year-in-review "Oracle is the #1 contributor to the Linux kernel in 6.1, responsible for the most lines of the code changes in the kernel. By developing innovative features that are shared with the community, Oracle's Linux engineering teams strive to make the operating system better for all." Red Hat je zase tvůrcem Gnome, Pulseaudio, PipeWire, Systemd, Libvirt, Wayland... Poslední dobou hodně do linuxu investuje Steam, aby se zbavil závislosti na OS Windows. Zase byznys pro platící zákazníky (gamery). Ale líbí se mi tvůj idealismus, že linux stojí na lidech, kteří neprogramují pro sebe, ale pro ostatní a to zcela zdarma. Neříkám, že takoví lidé nejsou, ale linux posunují kupředu především lidé co programují za peníze a jsou navázáni na nějaký byznys model.
Veřejné odmítnutí kódu je větší urážka než nasazení aplikačního firewallu, sandboxu nebo VM na mém osobním počítači o čemž se tvůrce kódu ani nedozví. Mohl bych ti poslat komunikaci mezi Red Hatem a tvůrci Dockeru, kteří kódy RH ve velkém zahazovali a Redhaťáky to štvalo, ale nechce se mi to hledat. Studii na to co autory SW více urazí žádnou nemáš, jen pocit.
Nic takového nepíšu. Píšu, že nikoho neurazí, když jeho projekt nebudeš používat. Každý autor je zvyklý, že všem se nezavděčí...
Oracle: https://blogs.oracle.com/linux/post/oracle-linux-2023-year-in-review "Oracle is the #1 contributor to the Linux kernel in 6.1, responsible for the most lines of the code changes in the kernel. By developing innovative features that are shared with the community, Oracle's Linux engineering teams strive to make the operating system better for all." Red Hat je zase tvůrcem Gnome, Pulseaudio, PipeWire, Systemd, Libvirt, Wayland... Poslední dobou hodně do linuxu investuje Steam, aby se zbavil závislosti na OS Windows. Zase byznys pro platící zákazníky (gamery).
Takže jediná data co máš jsou ke změnám v jedné konkrétní verzi kernelu a podle toho usuzuješ, že "Běžně v distribucích je především kód zaměstnanců Red Hatu/IBM/Oracle/Intel"?! Mé desktopy mají něco mezi 1000 a 2000 balíčků a třeba z těch tvých RedHat věcí používám akorát systemd. Od Steamu žádný projekt, i když je samozřejmě možné, že nějaké jejich patche mám třeba v Mesa. Pokud bych měl věřit té tvé tezi, tak pod pojmem "tvrdá data" si představuju přece jenom něco trochu výmluvnějšího...
linux posunují kupředu především lidé co programují za peníze a jsou navázáni na nějaký byznys model
To sice ano, ale především v oblasti desktopu jich IMHO není tolik, kolik si představuješ. A v oblasti desktopových aplikací už je to úplná tragedie, to je takřka výhradně komunitní záležitost.
Píšu, že nikoho neurazí, když jeho projekt nebudeš používat.A já píšu, že nikoho neurazí když jeho projekt budu používat v sandboxu, VM nebo když na ni šáhne firewall nebo antivir.
Takže jediná data co máš jsou ke změnám v jedné konkrétní verzi kernelu a podle toho usuzuješ, že "Běžně v distribucích je především kód zaměstnanců Red Hatu/IBM/Oracle/Intel"?!Zmínil jsi "od kernelu až po KDE aplikace", tak jsem ti uvedl příklad jak je to u kernelu. Vážně myslíš, že u jiných verzí kernelu se poměr otočí a místo největšího přispěvatele z řad korporací to bude komunita nerdů co pracují zdarma? Teď jsi na řadě ty: máš nějaká data, že většina programátorů KDE to dělá: a) pro ostatní zdarma, jak tvrdíš ty, b) pro sebe (potřebuje kód, pro peníze), jak tvrdím já?
A v oblasti desktopových aplikací už je to úplná tragedie, to je takřka výhradně komunitní záležitost.Nejpoužívanější aplikace dnešních běžných uživatelů je webový probhlížeč. Konkrétně Google Chrome, zase korporát.
A já píšu, že nikoho neurazí když jeho projekt budu používat v sandboxu, VM nebo když na ni šáhne firewall nebo antivir.
To ale není pravda. Důkaz sporem - já. A bavil jsem se i s jinými autory OSS a někteří to vidí úplně stejně jako já. Nemá asi cenu se na tom neustále točit dokola - tobě to prostě přijde normální. Ale vem prostě alespoň jako fakt, že existují i autoři OSS, kterým vadí, když si někdo od nich bere a při tom je považuje za zmrdy, co ho chtějí ojebat.
Zmínil jsi "od kernelu až po KDE aplikace", tak jsem ti uvedl příklad jak je to u kernelu. Vážně myslíš, že u jiných verzí kernelu se poměr otočí a místo největšího přispěvatele z řad korporací to bude komunita nerdů co pracují zdarma?
Ano vybral sis kernel, ale to je jeden balíček z tisíce, kde míra kódu od zaměstnanců korporací bude jedna z nejvyšších. Když si vyberu coreutils nebo KDE, bude ten poměr úplně jiný. Co se týče toho poměru v kernelu, tak ten se asi úplně neotočí, ale u kompletního kódu bude přece jenom jiný, než v sadě změn z poslední doby.
Teď jsi na řadě ty: máš nějaká data, že většina programátorů KDE to dělá: a) pro ostatní zdarma, jak tvrdíš ty, b) pro sebe (potřebuje kód, pro peníze), jak tvrdím já?
Finanční reporty KDE jsou dostupné na https://ev.kde.org/reports/. Především jsem ale nikde netvrdil, že většina vývojářů dělá pro ostatní zdarma. Co jsem rozporoval je tvé tvrzení: "Běžně v distribucích je především kód zaměstnanců Red Hatu/IBM/Oracle/Intel a ti to dělají pro své platící zákazníky.". Spousta kódu je v distribucích od programátorů financovaných nadacemi jako FSF nebo KDE e.V., a tam o nějakých korporacích a platících zákaznících prostě mluvit nelze. Lze samozřejmě vést debaty o tom, nakolik je třeba dneska OpenSSL neziskovka a nakolik filiálka korporací ale většina kódu tam zase bude z jejich chudých dob před Heartbleedem. Kód od "chudáků", kteří to dělají zadarmo je dneska určitě v minoritě, ale není ho zas tak málo a dost lidí by se dost divilo, co všechno by jim přestalo fungovat, kdyby ten kód najednou zmizel...
Nejpoužívanější aplikace dnešních běžných uživatelů je webový probhlížeč. Konkrétně Google Chrome, zase korporát.
Jako ano, "kernel & Chrome" určitě spoustě lidem stačí, ale to se potom nebavíme o linuxovém desktopu ale o "boot to Google"...
Především jsem ale nikde netvrdil, že většina vývojářů dělá pro ostatní zdarma.Tak to jsem tvá slova odtud https://www.abclinuxu.cz/poradna/linux/show/495660#105 špatně pochopil:
"Ty: Tomu sám nevěříš. To možná platí pro nějaký 100 řádkový script z GitHubu, ale určitě ne pro něco, co je běžně v distribucích. Funkcionalita běžných balíčků je daleko za hranicí toho, co může autor sám využít. A o nějakém placení si většina autorů SW, který v běžné distribuci je může jenom nechat zdát... "Ty: Rozhodně dosáhneš větší motivace lidí pro tebe tu práci zadarmo dělat.Já: Pro mě? Myslel jsem, že tu práci dělají primárně pro sebe nebo svoje platící zákazníky.
Spousta kódu je v distribucích od programátorů financovaných nadacemi jako FSF nebo KDE e.V., a tam o nějakých korporacích a platících zákaznících prostě mluvit nelze.Ty nadace mají nějaký byznys model (mají příjmy a vyplácí mzdy programátorům) + korporáty jsou jedni z příspěvatelů do rozpočtu KDE (v příloze).
Jako ano, "kernel & Chrome" určitě spoustě lidem stačí, ale to se potom nebavíme o linuxovém desktopu ale o "boot to Google"...Ty jsi v nějaké části diskuze začal psát, že VM není pro běžné uživatele, takže ti popisuji co je dnes na desktopu nejpoužívanější. Browser je dnes nejpoužívanější desktopová aplikace. Znám lidi, kteří si grafiku (loga, vizitky, dárkové poukazy...) dělají v online editorech. Ať se ti to líbí nebo ne, tak korporátní browser nahradil mnoho desktopových aplikací. Když jsou některé online služby nebo editory také OSS, tak se řídíš stejnou filozofií jako u offline OSS? Tzn. že online OSS neuzavřeš do sandboxu nebo na ni nešáhneš firewallem nebo antivirem, aby jsi náhodou autora OSS neurazil?
Tak to jsem tvá slova odtud https://www.abclinuxu.cz/poradna/linux/show/495660#105 špatně pochopil
Přiznávám, že to není úplně jasně řečeno, ale mělo to, v kontextu té předchozí diskuze znamenat, že o nějakém placení zákazníkama si mohou jenom nechat zdát. Respektivě ono asi nakonec skutečně většina vývojářů to dělá zadarmo, ale nebude to většina kódu, který se vyprodukuje. Podívej se na ty reporty KDE kolik zaplatili za vývojáře a pak na to, kolik lidí za ten rok přispělo nějakým kódem do repozitářů KDE. Ale to celé je slovíčkaření, snažil jsem se ti vyvrátit, že to většina vývojářů dělá "pro sebe, nebo pro prachy", protože i tam, kde se to nějak financuje přes dary, to je většinou tak, že ty lidé začínají dobrovolně a pak řeší nějaké financování, aby to bylo udržitelné. Většina těch věcí, co má dneska nějakou zastřešující nadaci vznikla jako dobrovolnický projekt. Už z podstaty, že se jedná o neziskovky nemůže zkrátka jít o nějakou výdělečnou činnost.
Ty jsi v nějaké části diskuze začal psát, že VM není pro běžné uživatele, takže ti popisuji co je dnes na desktopu nejpoužívanější. Browser je dnes nejpoužívanější desktopová aplikace. Znám lidi, kteří si grafiku (loga, vizitky, dárkové poukazy...) dělají v online editorech. Ať se ti to líbí nebo ne, tak korporátní browser nahradil mnoho desktopových aplikací.
Myslim, že nikdo nerozporuje to, že browser je dneska na desktopu suveréně nejpoužívanější aplikace. Ale linuxový desktop pravděpodobně nemáš proto, že na něm běží Chrome, to můžeš mít jakýkoliv jiný OS, třeba i jenom ten "kernel + Chrome" (ChromeOS). Linuxový desktop používáš proto, že v něm jsou aplikace (třeba jenom samotný shell), které ti dávají něco navíc, než jenom ten browser. Pro programátora je ten ekosystém knihoven, toolů a jejich propojení IMHO zcela unikátní a jinde ho nedostaneš.
Když jsou některé online služby nebo editory také OSS, tak se řídíš stejnou filozofií jako u offline OSS? Tzn. že online OSS neuzavřeš do sandboxu nebo na ni nešáhneš firewallem nebo antivirem, aby jsi náhodou autora OSS neurazil?
Nikdy mě nenapadlo OSS webové služby nějak sandboxovat, nebo zkoumat nějakým antivirem, takže pro mě ta otázka nedává smysl. Ale jinak ano, na online věci uplatňuju stejnou filozofii a nemám třeba žádné blokování reklam. A to nejenom pro OSS, ale i pro komerční weby. Ani ty se nesnažím "ochcat" - pokuď je to samá reklama neadekvátní obsahu, tak tam prostě nelezu.
A ještě bych doplnil, že to moje
A o nějakém placení si většina autorů SW, který v běžné distribuci je může jenom nechat zdát...
bylo mířeno především na desktop, o kterém celá tahle diskuze je. Ty části linuxové distribuce, které jsou společné se servery mají financování zcela jiné, než ty části, které jsou specifické pro desktop. Tam ty peníze prostě netečou a proto je na tom linuxový desktop v mnoha ohledech tak bídně, jako na tom je - většina práce tam skutečně leží na "ryzích", nikým neplacených, dobrovolnících.
A ještě jenom pro představu, jak "dobře" placený ten OSS desktop je - KDE vydalo za rok 2022 (poslední report) na lidi (ani to všechno nemusí být vývojáři) 210000 EUR. To je při průměrném měsíčním platu/nákladech na zaměstnance 5000 EUR přibližně 3.5 vývojáře. A to se bavíme o jedné z největších a nejlépe dotovaných nadací v linuxovém desktopu....
To co tady píše kolega Golis se většinou nedá vůbec brát vážněNeviem v ktorej firme sme spolu robili, ale podľa mena si nespomínam. V ktorej teda, ak sme kolegovia?
a teze, že když má někdo chyby/chaos v procesu vydávání tak se hned nejdná o opensource jsou přesně ten případAk tie chyby alebo chaos porušujú licenčné ujednanie OSS, tak sa o OSS nejedná. A bodka.
Neviem v ktorej firme sme spolu robili, ale podľa mena si nespomínam. V ktorej teda, ak sme kolegovia?
abclinuxu.cz
Ak tie chyby alebo chaos porušujú licenčné ujednanie OSS, tak sa o OSS nejedná. A bodka.
Vtip je právě v tom, že toto není porušení licenčního ujednání. I když pominu to, že třeba u GPL je možné binárky distribuovat s tím, že zdrojové kódy se dodávají až na vyžádání, tak ani obecně ti žádný soud nevezme takovou neúmyslnou nesrovnalost jako porušování licence.
abclinuxu.czKolega znamená spolupracovník. No a ja s abclinuxu nemám pracovnú zmluvu, a ani ju neplánujem mať.
Vtip je právě v tom, že toto není porušení licenčního ujednání.To sa na to musela vzťahovať výnimka. Nuž OSS bez dostupnosti otvorených zdrojových kódov si priamo odporuje. Poskytli tie zdrojáky aspoň po vyzvaní? Zisťovať po toľkých rokoch či za tým bol úmysel alebo naozaj (ako pravdepodobne tvrdili) len zanedbanie povinností je vedľajšie. A či zjednali nápravu aj s preventívnymi opatreniami, tak to sa už asi nedozvieme. PS: V Licenciách OSS bola aj výnimka ktorá umožňovala nedodať zdrojáky. Tá výnimka sa vzťahovala na firmware a nie software.
Kolega znamená spolupracovník. No a ja s abclinuxu nemám pracovnú zmluvu, a ani ju neplánujem mať.
Člověče, co vás v těch Zahrádkách učili! Vysvětlete tady někdo Golisovi, že v češtině se kolega používá v mnohem širším rozsahu, než jenom spolupracovník...
To sa na to musela vzťahovať výnimka.
Nemusela. Pokud ty zdrojáky prostě jenom zapomněli zveřejnit a na požádání je dodali (chybu v distribuci opravili), tak je to ok. A z toho co tady zaznělo mi nepřijde, že by je na dotaz odmítali zveřejnit.
že v češtině se kolega používá v mnohem širším rozsahu, než jenom spolupracovníkA potom tu máme vysvetlenie jazykovedného ústavu.
Pokud ty zdrojáky prostě jenom zapomněli zveřejnit a na požádání je dodali (chybu v distribuci opravili), tak je to ok.Medzi vyťiadaním a dodaním zdrojákov je to v šedej zóne. Tak dodali tie zdrojáky, resp. v tomto prípade záplaty? Ak nie, tak je to jednoznačné porušenie. A furt sa točíme o tom, že ich nedodali. Ale ajtak také chovanie nevzbudzuje dôveru ani u mňa.
A potom tu máme vysvetlenie jazykovedného ústavu.
Rozumíš vůbec tomu, na co odkazuješ? Nebo snad očekáváš, že mezi příklady musí bý i explicitní "kolegové diskutéři z AbcLinuxu"?!
Tak dodali tie zdrojáky, resp. v tomto prípade záplaty? Ak nie, tak je to jednoznačné porušenie. A furt sa točíme o tom, že ich nedodali.
Mě se neptej, já je nechtěl. Pokud by je odmítli vydat (o čemž pochybuju, to by mělo mnohem větší publicitu, než jeden příspěvek po 5 letech na AbcLinuxu), tak je to samozřejmě problém, ale to tady neřešíme. Řešíme tady případ, kdy někdo "jenom" má ve věcech bordel. A to prostě porušení licence není, s něčím takovým u soudu prostě neuspěješ.
Je to stejné jako s tím heslem v tom slovníku - lidé prostě běžně nemají tak autistický výklad světa jako ty, se stim smiř...
Rozumíš vůbec tomu, na co odkazuješ?Áno, a tak isto rozumiem paradoxu "kolegovia pracujúci u konkurencie".
Řešíme tady případ, kdy někdo "jenom" má ve věcech bordel.Boli verzie OSS ktorá vyžadovali aby (komerčný) dodávateľ riešenia založenom na OSS dodal zdrojové kódy vlastným kanálom. Hoci aj vypálené na CD a zaslané poštou. Internetová konektivita a hosting boli vtedy v exponenciálne inej cenovej hladine, a tak sa to náklady za doručenie delegovali na komerčne zarábajúcu časť komunity. Ak nevieš ktorý balík to bol, tak určite vieš pod ktorou licenciou to bolo zverejnené a si si istý že tú licenciu neporušili. Tomu sa hovorí autizmus. Ako mne je to jedno, Manjaro (ktorého sa to týkalo) som nikdy nepoužil a ani to neplánujem. Jedná sa o jednu z množstva hobby distribúcií čo si robia malé skupiny ľudí na naplnenie svojich vlastných požiadaviek. A dopátrať sa prečo v takom komunitnom výrobku niečo prestalo fungovať, a ktorá zmena tam spôsobila nefunkčnosť je oveľa ťažšie ako u nejakej mainstream distribúcie s rádovo väčšou komunitou maintanerov a exponenciálne väčšou komunitou testerov.
Poskytli tie zdrojáky aspoň po vyzvaní?Kdybych si je vyžádal, tak by je určitě zveřejnil. Neřešil jsem to, nebylo to pro mne zas tak důležité. Jen jsem si v tu chvíli uvědomil jak partyzánsky jsou některé distribuce vytvářeny.
Kdybych si je vyžádal, tak by je určitě zveřejnil.Nemuseli by. Ak boli autori tej aplikácie, tak si mohli vybrať akúkoľvek licenciu. A to aj takú, čo nespadá do rodiny OSS a nie je zaťažená povinnosťou zverejniť zdrojáky. Linuxové distribúcie bežne obsahujú aj uzavretý SW alebo binárne ovládače. A ak to mal byť nejaký nastavovač konfigurákov, tak tie sa zvykli písať v interpretovaných jazykoch. Takže program bol priamo zdrojový kód. Ale to je zbytočné rozoberať keď človek už ani nevie o ktorý balíček sa jednalo a ani z ktorého roku bol.
kultem programování všeho v C
Kult programování v C je možná tak na mikrokontrolerech (tam to má opodstatnění dané dostupností ekosystému/výkonu HW) a v GTK/Gnome (tam to opodstatnění, jako ostatně celý ten projekt, nemá). Pro embedded/kernely a podobný věci je C ale prostě stále velmi dobrá volba. Psát v C GUI aplikace je nesmysl a nikdo soudný to už dneska, pokud nemá desítky let budovanou codebase, nedělá. Možná ale mícháš C s C++, kde jde ale psát "vysokorúrovňový" kód podstatně pohodlněji/bezpečněji než v C a to ani nemusí jít o "moderní hipsterské C++". Dobře navržené frameworky toto řešily již v dobách c++03.
17.1.2024 09:36
Jendа | skóre: 78
| blog: Jenda
| JO70FB
protože při existenci tisíců balíčků v desítkách běžných distribucí si nevybavuju jedinej případ, kdy by autor SW nebo "balič" záměrně (nekompetence lidí z Debianu je samozřejmě jiný příběh...) kompromitoval stroje uživatelůJe to běžné u prohlížečových doplňků. Máš populární extension a někdo ti napíše buď že ti zaplatí když do toho přidáš spyware, nebo že to od tebe koupí, aby si do toho mohl přidat spyware.
Psát v C GUI aplikace je nesmysl a nikdo soudný to už dneska, pokud nemá desítky let budovanou codebase, nedělá. Možná ale mícháš C s C++, kde jde ale psát "vysokorúrovňový" kód podstatně pohodlněji/bezpečněji než v C a to ani nemusí jít o "moderní hipsterské C++". Dobře navržené frameworky toto řešily již v dobách c++03.To je všechno hezký, ale bohužel současná situace vypadá tak, že i ty určitě používáš spoustu děravého kódu (libpng, imagemagick, libavcodec a spol., ghostscript a webové prohlížeče).
Je to běžné u prohlížečových doplňků. Máš populární extension a někdo ti napíše buď že ti zaplatí když do toho přidáš spyware, nebo že to od tebe koupí, aby si do toho mohl přidat spyware.
Nikdo nepopírá, že malware existuje. Já ale píšu o tom, že (zatím...) neexistuje v běžných linuxových distribucích.
To je všechno hezký, ale bohužel současná situace vypadá tak, že i ty určitě používáš spoustu děravého kódu (libpng, imagemagick, libavcodec a spol., ghostscript a webové prohlížeče).
Každý používá spoustu děravého kódu. A ano, spousta toho kódu je v C/C++, ale je to ten nejlepší kód co máme. Můžeš teoretizovat o "kultu programování v C" a hlásat evangelium nutnosti kód přepisovat do nějakého "bezpečného" jazyka, ale to je asi tak všechno co s tím můžeš dělat. Protože ve skutečnosti je po něčem takovém zcela minimální poptávka (ne že by neexistovali lidé co by to chtěli, ale nejsou lidé co by to chtěli platit). A to platí i pro nový kód. Pokud nejsi schopný zaplatit vývoj v nějakém "cool" jazyce (je to drahé, je to pomalé, nejsou lidé, ...) budeš mít i nový SW v C/C++. Protože zákazníkům je nějaké evangelium "bezpečných jazyků" úplně ukradené...
17.1.2024 17:45
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Každý používá spoustu děravého kódu. A ano, spousta toho kódu je v C/C++, ale je to ten nejlepší kód co máme. Můžeš teoretizovat o "kultu programování v C" a hlásat evangelium nutnosti kód přepisovat do nějakého "bezpečného" jazyka, ale to je asi tak všechno co s tím můžeš dělat. Protože ve skutečnosti je po něčem takovém zcela minimální poptávka (ne že by neexistovali lidé co by to chtěli, ale nejsou lidé co by to chtěli platit). A to platí i pro nový kód. Pokud nejsi schopný zaplatit vývoj v nějakém "cool" jazyce (je to drahé, je to pomalé, nejsou lidé, ...) budeš mít i nový SW v C/C++. Protože zákazníkům je nějaké evangelium "bezpečných jazyků" úplně ukradené...…a právě proto je potřeba ty aplikace sandboxovat
Nemám problém s tím, aby Linux nabízel uživatelům mechanismy pro sandboxování, ale pokud nechceme skončit jako Android, tak tyhle mechanismy nesmí být spravovány nikým jiným než samotným uživatelem. Protože jak někdo začne tyhle věci tlačit stylem: "O tom co je krasne rozhodujeme my - strana!" přestane lidem půlka věcí fungovat a shitstorm bude směrovat na autory aplikací...
Opravdu se nechci v Linuxu dožít toho, že přístup k souborům nebude náhodně fungovat a bude díky těmhle mechanismům 100x* pomalejší jako je tomu na Androidu.
* to není nějaká hyperbola, to je rozdíl mezi tím, když k souborům na Androidu přistupuješ skrze všechny ty "bezpečnostní" vymoženosti z file dialogu a tím, když aplikace k souboru (na stejném fyzickém médiu) přistupuje ze svého privátního adresáře, kde jedině tyhle mechanismy nejsou aplikované.
16.1.2024 17:55
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Nevím dopodrobna, předpokládám kontroluje aplikace/stažené soubory zda neobsahují škodlivý kód, tuším nejdříve kontrolují hash vůči nějaké databázi virůTohle se na Linuxu řeší tak, že běžný způsob distribuce softwaru je přes různé repozitáře.
pak v sandboxu spustí a kouká se na nějaký nestandartní chováníUpřímně nevím jak úspěšné tohle bude když si útočník dá alespoň nepatrnou práci s tím, aby se škodlivé chování neprojevilo ihned.
Nevím, prostě když stáhnu filmy, pdf, cokoliv tak mít nějakou kontrolu že je to OK.Tohle by zase chtělo konkretizovat -- bavíme se tedy o nespustitelných souborech, a bojíš se například chyby v prohlížeči PDF (řekněme klasický buffer overflow)? To opravdu může antivirus detekovat, ale informace o chybě se pravděpodobně dostane stejně rychle k antivirové společnosti jako k autorům toho děravého softwaru -- a vydání virové definice tak bude jen o trochu rychlejší než vydání záplaty toho programu.
a vydání virové definice tak bude jen o trochu rychlejší než vydání záplaty toho programu
Ač jsem ten poslední, kdo by chtěl obhajovat antiviry, tak tohle prostě není pravda. Běžný AV má dneska i několik updatů definic za hodinu a většina těch definic vzniká automatizovaně. Srovnávat to s procesem vydání nového balíčku pro libovolnou distribuci (a nemusí to být ani Debian) je o několik řádů mimo.
Jiná otázka ovšem je, jak pravděpodobné je to, že člověk otevře "infikovaný" dokument dříve, než tu záplatu SW co s takovým dokumentem pracuje dostane. Kromě SW, co z podstaty otevírá dokumenty sám (browser, mail klient, ...) je ta pravděpodobnost malá a závisí na idiocii uživatele. U browseru/mail klientu dnešní AV mají mechanismy, které jim dovolují vidět/blokovat taková data dříve než je dostane browser/mail klient, ale je velmi sporné, jestli tyto mechanismy nejsou nebezpečnější, než browser/mail klient samotný...
A to ještě tak nějak tiše předpokládáme, že ten buffer overflow nemůže být v tom AV, což jsou dneska pěkné miliony řádků kódu (celková velikost dnešních AV jde klidně do GB), kterými všechna ta "zákeřná" data projdou...
17.1.2024 13:05
Max | skóre: 72
| blog: Max_Devaine
19.1.2024 22:52
Max | skóre: 72
| blog: Max_Devaine
20.1.2024 00:01
Max | skóre: 72
| blog: Max_Devaine
??! O jakém bezdůvodném napadání tady zase plácáš?! Ty začneš diskuzi tím, jak jsou AV skvělé, že pomocí nich pod záminkou bezpečnosti zakazuješ/znefunkčňuješ uživatelské stroje a když tě někdo upozorní na rozpor s tím, že v jiném příspěvku se ptáš, jak je možné, že někdo prodává něco, co pod záminkou bezpečnosti znefunkčňuje uživatelské stroje, tak se zmůžeš jenom na osobní napadání...
20.1.2024 12:49
Max | skóre: 72
| blog: Max_Devaine
20.1.2024 14:54
Max | skóre: 72
| blog: Max_Devaine
20.1.2024 18:21
Pavel 'TIGER' Růžička | skóre: 54
20.1.2024 00:03
Max | skóre: 72
| blog: Max_Devaine
20.1.2024 08:26
Pavel 'TIGER' Růžička | skóre: 54
16.1.2024 15:17
Pavel 'TIGER' Růžička | skóre: 54
16.1.2024 15:19
Jendа | skóre: 78
| blog: Jenda
| JO70FB
co se týče firewallu, pak používám jeden pro domácí síť v podobě virtuálního strojeCo ten firewall dělá? Já si dokážu představit jenom standardní konfiguraci routeru, že třeba nedovolí příchozí spojení.
17.1.2024 10:34
Pavel 'TIGER' Růžička | skóre: 54
Co ten firewall dělá? Já si dokážu představit jenom standardní konfiguraci routeru, že třeba nedovolí příchozí spojení.Nedávno som videl článok Skutočne poznáte firewally? a začal som pochybovať o tom, že viem, o čom je firewall
…je tu nějaký antivirus…
Je.
…a je vůbec potřeba?
Není.
A firewall, je třeba?
Není.
A jaký je v tom rozdíl?
Žádný.
A BFU si nakonfiguroval vzdialené pripojenie na počítač bez hesla…
Jo, to se může stát, pokud BFU (bohužel) používá Debilan nebo Blbuntu, jako v tomto případě.
V normálním distru je to vždycky tak, že instalace balíčku != povolení (systemctl enable) démona != spuštění (systemctl start) démona. Díky tomu nehrozí, že pouhá instalace balíčku (který v Debilanu i v Blbuntu bude zásadně zastaralý a děravý) by mohla sama od sebe nečekaně spustit nezabezpečeného démona vystaveného do internetu, ne-li nakonfigurovat vzdálené připojení na počítač bez hesla.
V případě tohoto konkrétního dotazu: Ano, uznávám, něco na tom bude; jakési riziko tam může být.
Špatná volba distribuce. To je ten problém, na který upozorňuju stále dokola. Debilan je nejhorší dostupná distribuce, téměř kterákoliv jiná distribuce je lepší v téměř každém ohledu (jasně, kromě podpory pro MIPS, já vím), ale zabednění uživatelé se nevzpamatovali z roku 1995 a z doby, kdy Debilan byl první a jediná distribuce a rozesíral se poštou na disketách, později na CD.
Je to podobné jako klienti České topořitelny. Proč vůbec ještě existují, když Česká topořitelna je asi tak nejméně zajímavá a nejméně výhodná banka v ČR? Stejný prapodivný jev.
18.1.2024 14:31
Pavel 'TIGER' Růžička | skóre: 54
Přitom změna banky dnes už není vůbec nic složitého.
Jen málokterá změna v konečném důsledku přináší něco navíc. Změna banky, pojišťovny, poskytovatele energií, atp. obnáší oser a nová rizika za háčky, které mi za těch pár ušetřených kaček nestojí.
19.1.2024 10:15
Pavel 'TIGER' Růžička | skóre: 54
Jo a když už ses tak připomněl. Stále s s nadějí čekám, na tvůj názor a pokud o vysvětlení, proč mi zůstává pokaždé viset zavádění v ramdisku a Btrfs se nepřipojí, přestože někdy následný mount bez problému proběhne. Vše ohledně konfigurace a popisu problému je v té diskuzi. Třeba budeš mít také nějaký užitečný tip, než se pustím do přepsání ramdiskových skriptů z btrfs-progs.
Pro nfs z initramfs-tools-core jsem to musel udělat už dávno a jen se upřímně divím jak s tím může někdo existovat, protože diskless systém, který nemá dostupný systém přes NFS by měl buď vypnout, nebo po nějakém intervalu skončit s patřičným oznámením v ramdisku. A ne bušit jak hluchý do vrat na NFS server, když mohlo dojít k chybě v konfiguraci.
- jiny sec. kontext, zorry vole, reportuji do logu a papapapapa
Bacha clamav umi scanovat i soubory ala win ativir - pokud vim, asi na to ma nejaky wrapper, pak samozrejme kupa jinych - ale bacha, antivor je spise dira do systemu - nejaka tajna sluzba ala ESET - agetura CIA vam urciote nekrade data a urcite tam nejsou zadni vratka )
Mnohem lepsi je na Linuxu SELinux - Fedora ma imho default FW povoleny jen pro jeho sit, jinak vse co je IN blokuje - otazka je k cemu to je dobre - linux nejsou windows - ale jo, ma smysl omezit na ssh roota, pokud jej clovek nepotrebuje, tak vypnout, mam treba server, kde je vypnute vse, vcetne portmapper a jede tam jen apache s aplikaci a SSH - FW mam externi, povolene jen IP a porty a to dokonce na ty servery, se kterymi komunikuje, na naj muzou jen site adminu - takovy vesely server ze i security cumi, ze o nem nic nevi a meli jej zakazany - no nikdo se na nej ani nedostane a navrch ma vse co nemusi mit zastavene, nic nedicoveruje, prste sedi tise na siti a komunikuje jen se zarizenimi, ke kterym taky nema sec. pristup, nebot jsou to zarizeni, kde nic nezjisti.
)
https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint-linux?view=o365-worldwide
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
