Comments 6
Может тоже попробовать. Вот только интересно как оно себя поведёт с: ATI, VirtualBox
Кстати, знакомый на hardened проверял недавнюю уязвимость с локалрутом — hardened не пробить.
Кстати, знакомый на hardened проверял недавнюю уязвимость с локалрутом — hardened не пробить.
Конкретно этим эксплоитом действительно не пробивается, я сам проверял, но см.коммент.
C ATI и VirtualBox поведёт себя точно так же, как и с Nvidia/VMware. Работать будет. Была у меня ATI карточка когда-то (с тех пор я зарёкся покупать ATI для линуха, проблемы с дровами задолбали невероятно), и VirtualBox я тоже иногда использую.
C ATI и VirtualBox поведёт себя точно так же, как и с Nvidia/VMware. Работать будет. Была у меня ATI карточка когда-то (с тех пор я зарёкся покупать ATI для линуха, проблемы с дровами задолбали невероятно), и VirtualBox я тоже иногда использую.
А можно ли как-то заставить работать hardened с проприетарными дрова nvidia?
И что делать с альсой? Там же модуль подгружается. Каждый раз, при выключении, редактировать настройки?
И что делать с альсой? Там же модуль подгружается. Каждый раз, при выключении, редактировать настройки?
А в чём проблема с nvidia и alsa? У меня они используются. Модули ядра в hardened подгружать никто не мешает, просто это рекомендуется делать только при загрузке системы после чего через sysctl устанавливать kernel.modules_disabled=1 чтобы заблорировать дальнейшую загрузку модулей для защиты от руткитов (кстати, эта настройка по-моему входит в стандартное ядро и с hardened не связана).
Для работы с nvidia-drivers приходится делать paxctl -m /usr/bin/Xorg. Неприятно, но не критично. К тому же, по большому счёту, nvidia-drivers нужны только для поддержки 3d-ускорения в vmware-ной винде (которая многим не нужна) и opengl-ных приложениях (которых практически нет), так что многие могут обойтись открытыми дровами nouveau вместо nvidia-drivers. Кроме того в самих nvidia-drivers есть кучка много лет не закрываемых дыр, из-за чего, собственно, они в hardened-профайле и замаскированы.
Для работы с nvidia-drivers приходится делать paxctl -m /usr/bin/Xorg. Неприятно, но не критично. К тому же, по большому счёту, nvidia-drivers нужны только для поддержки 3d-ускорения в vmware-ной винде (которая многим не нужна) и opengl-ных приложениях (которых практически нет), так что многие могут обойтись открытыми дровами nouveau вместо nvidia-drivers. Кроме того в самих nvidia-drivers есть кучка много лет не закрываемых дыр, из-за чего, собственно, они в hardened-профайле и замаскированы.
>совместимость всего этого с обычной домашней рабочей станцией
Но зачем?
Но зачем?
А как, по-вашему, проще сломать сервер? Взломав его, или рабочую станцию админа/дизайнера/владельца и зайдя на сервер через эти рабочие станции, украв ssh-ключи, пароли, etc.?
Кроме того, нет желания оказаться в положении сапожника без сапог — админа, чью домашнюю машину так же легко взломать, как и комп его соседки-домохозяйки.
Ну и последнее — не знаю кому как, а лично мне гораздо дороже мои файлы на моей рабочей станции, чем файлы на серверах.
С учётом того, что hardened один раз ставится, и потом про него вспоминаешь крайне редко, обычно никакой разницы в поддержке не-hardened и hardened системы нет, то почему бы и не поставить, значительно увеличив этим защищённость своей машины?
Кроме того, нет желания оказаться в положении сапожника без сапог — админа, чью домашнюю машину так же легко взломать, как и комп его соседки-домохозяйки.
Ну и последнее — не знаю кому как, а лично мне гораздо дороже мои файлы на моей рабочей станции, чем файлы на серверах.
С учётом того, что hardened один раз ставится, и потом про него вспоминаешь крайне редко, обычно никакой разницы в поддержке не-hardened и hardened системы нет, то почему бы и не поставить, значительно увеличив этим защищённость своей машины?
Sign up to leave a comment.
GrSecurity/PaX: предустановленные security level