Да, читеры тоже могут. Но сделать один модуль не совместимым с любыми кроме разрешенных не так уж и сложно. Может быть это конечно не пойдет в основную ветку ядра, но тем не менее. Сомневаюсь что способа нет вообще. Просто это дорого.
Популярные сетевые игры с античит-системами будут недоступны на Steam Machine, поскольку SteamOS основана на Linux поскольку производители античитов не хотят вносить патчи в ядро и разрабатывать античиты под Linux
Вот, так правильно. Учитывая что в линуксе ты буквально можешь вставить в ядро свой код в любой слой не думаю что это менее безопасно чем виндовые апи...
Ну так я тоже сижу на арче и работает всё прекрасно. Какой смысл в мануале который не решает проблему а просто предлагает костыль? Ещё и с заявлением "в арче не работает а работает только в убунте", полностью вводящем в заблуждение. Написали бы тогда "на арче я не осилил настройку так что...". В прочем ладно, почему бы и нет...
Сначала я использовал timeshift и не рекомендую использовать его в арче потому, что в арче он работает просто как обертка над rsync, а все возможности btrfs в timeshift работают лишь в убунте.
Нет.
It supports rsync snapshots for all filesystems, and uses the built-in snapshot features for Btrfs drives configured to use the @ and @home subvolume layout for root and home directories respectively.
Это принцип, по которому интернет-провайдер не должен делить трафик на «лучший» и «худший» в зависимости от сайта, приложения, типа контента или того, кто заплатил. В классической формулировке он запрещает:
блокировку отдельных сайтов/сервисов;
замедление отдельных типов трафика;
платную приоритизацию — «быстрые полосы» для тех, кто заплатил;
ценовую дискриминацию по контенту, например разные условия для YouTube, мессенджеров, игр, VPN, «зарубежного интернета» и так далее.
В ЕС это оформлено как правила open internet / net neutrality, в частности Regulation (EU) 2015/2120: пользователи имеют право получать доступ к законному контенту и сервисам по своему выбору, а управление трафиком должно быть недискриминационным, с ограниченными исключениями.
Ну и когда трафик для конечного пользователя к гуглу был более платным чем к амазону? Или может когда то с вас брали отдельную плату за доступ к Яндекс? Я про это и говорю. Это настолько дико что вы даже не поняли и зачем то стали про межаоператорскую тарификацию рассказывать. Когда был, трафик за мегабайт конечному пользователю было всё равно куда этот мегабайт высылать. Когда безлимит то безлимит. Нечто подобное было с банковскими картами когда скидки/наценки запретили в зависимости от оператора платёжных сервисов. В прочем и это уже пошло по известному месту.
В целом напоминаю что сейчас отдельный платный трафик за границу собираются учитывать, вводят верификацию ру доменов по паспорту ( и как то удивительно не продумали что у человека паспорта РФ может и не быть, тем более аккаунта на госуслугах. Так же как и с Максом собственно) . И вишенкой на торте конские штрафы за чужие openID и прочие безумные законы. Так что ру зона близка к могиле и без того. Останутся только гос. структуры и крупняк который окажется заложником своего домена. Лично я все ру домены ещё в мае поменял после плашки с регистрацией на госуслугах.
Самое прямое имеют отношение. Когда один сервис неожиданно становится выгоднее/лучше/быстрее не за счёт разработки или каких то архитектурных решений а потому что кто то кабель/полосу режет то наступает именно то что наступает. Даже без санкций и огораживания ру сегмент просто выдавят с нашей стороны в конце концов в изоляцию а внешний мир так и не узнает о невероятных преимуществах рутуба и макса. Зачем остальному миру обслуживать людей из ру сегмента которые трафиком не делятся принципиально?
Интернет держался на соглашении что все сайты в равной степени обязаны быть доступны у всех. Буквально. Даже плата не должна вводиться. Что же сделала Россия?
Заблокировала половину интернета
Борется с ВПН
Хочет ввести платный трафик для "зарубежных" сайтов
А когда ей бьют ответкой с обратным отключением или удалением приложений то сразу "крах глобального интернета". Это не глобальный интернет рушится, это просто рушится ру зона. С обеих сторон.
Потому что это всё уже есть. Chromium-ghost, Яндекс браузер, УЦ госуслуг и т. д. Только пользуется этим полтора землекопа.
Ну и SSL trust это не когда "мамой клянусь не утечёт" а когда нормальная изоляция и " ставлю 40к баксов страховки что не утечёт" и постоянный аудит безопасности. Поэтому то все эти сертификаты госуслуг никогда не попадут в CA bundle обычных браузеров.
Как будете окупать инвестиции на локальном рынке в стратеги не увидел. Как попасть в зарубежные игровые магазины (особенно консольные) тоже не увидел. Разве что делать "отечественную игровую разработку с базой на Кипре". Разработка качественного ААА тайтла вроде экспедиции 33, прагматы или врат балдура это годы работы. Иногда десятилетия.
План конечно интересный но на выходе боюсь будут одни "Смуты" получаться и инди проекты.
Лучше ставить не docker а podman. Есть в обычном репе без шаманства.
Если уж ставить podman то можно выдать доступ не от рута, тогда каждый пользователь сможет запускать контейнеры на своём uid:gid диапазоне и (что важно) в своём home
Просто запуск nginx не очень объясняет цель такой виртуалки. Возможно вообще можно обойтись даже не podman а systemd-nspawn.
Да, видел вашу плашку и уже благополучно вывел все свои домены из .ru зоны. Хорошо что заранее предупредили. Такой сервис и даром не нужен.
UPD: добавьте пожалуйста в связи с этим блокировку автопродления на домен в личном кабинете, а то не хочется терять бонусы на домены которые продлевать и не собираешься.
Да, у меня были в семье случаи когда мошенники получали доступы к гос. услуам и брали кредиты на ничего не подозревающего пенсионера, параллельно сливая все его данные и пробегаясь по ФСН, пенс фонду и даже попытавшись переоформить собственность по тихой. И ничего ты не докажешь потом если уже до конца схема дошла. Благо почти всё получилось оспорить но это лютый ад.
Для этого нужен доступ к SMS-кам на номер телефона жертвы. Причем, как пишут ниже - именно того, что в Госуслугах. И чтобы саму MAX-овскую учетку создать и чтобы в Госуслуги залогинится для создания привязки.
Последний раз мне звонили: "Вам пришла посылка на почту. Что бы не стоять в очереди за справкой мы вам сейчас вышлем код, продиктуйте пожалуйста и тут приходит код от госуслуг". Ну будет приходить код от макса. Будет техподдержка МАХ или техподдержка госуслуг или что там мошенники в очередной раз придумают... Можно даже задвинуть полуправду что "для безопасности подключаем МАХ к вашим госуслугам"... Кто нибудь да поведётся.
А по поводу двух уж точно независимых факторов - "доверенный контакт" не пойдет? По рекламе, пока кто-то еще не подтвердить процедуру восстановления - она не сработает.
Да просто вынести нужно всю эту госфигню в отдельную сеть. наподобие иггдрасилля или тора, только если там даркнет то это будет "вайтнет" или "клиннет" если хотите. и что бы даже подключиться к сети было нельзя не вставив загранник/внутренний паспорт с модулем для генерации ключа. И всё. Никакие мошенники не срашны, и если ты потеряешь паспорт то это немного другого уровня проблема, и даже войти без авторизации в клиннет не сможешь. Современные проблемы требуют современных решений. И пусть там сидят все этигосуслуги и прочие гос сервисы даже без логинов или с минимальной аваторизацией или пусть даже как есть, только вторым фактором уже после паспорта. В результате всех будут в лицо узнавать по ИП вычислив ещё до загрузки формы входа.
На VoIP схема великолепно работает сто лет. Осталось не в SIPе чарджинг векторы генерить а PSK ключи для шлюза авторизации прямо на чипе и проблема как бы решена. Или просто позаимствовать у VoIP ipsec на симках хотя бы.
Ага. Не просто раскатали accesslist на всю платформу а с особым цинизмом накатывают чуть ли не на каждый хост отдельно. Признались бы сразу что блокируют ВПНы и гитхаб задевает, да и всё... Похоже скоро мы увидим "деградацию серверов" гитхаба в исполнении РКН.
Т.е. при личном визите в банк ничего нельзя поменять ?
Можно, но банки бывают разные. Например в другом городе или даже другой стране. Я от аппаратного ТОТП отказался в тот момент когда стали выдавать ТОТП плохого качества а банк был международным. Лететь 8 часов ради замены одного брелка... спасибо, но нет.
Пароль спокойно сбрасвыается прямо с главной страницы. Попросило только серию паспорта (что мошенник может узнать легко так же как код). Главное не пытаться залогиниться а сразу жать "не помню пароль". Соответвенно пароля просто несуществует. Нет никакой двухфакторки. Есть только ТОТП, который все мошенники так активно и выциганивают по телефонам. Потому что двухфакторная аутентификация подразумевает 2 независимых фактора входа.
UPD: сейчас хотя бы функционал блокируется на 72 часа. Раньше просто было "выпроси код сброса пароля и следом СМС ТОТП и сиди в чужих госуслугах сколько влезет". И то и другое по умолчанию приходило на зарегистрированный телефон как понимаете прямо соседними СМС. только историю поправдоподобнее придумай. Сейчас скорее всего и то и другое будет по умолчанию приходить в MAX и соответсвенно даже симкой владеть физически не понадобится. будет достаточно ломануть аккаунт MAXа. А дальше только проверять насколько сложно свапнуть "доверенный" девайс.
UPD2: а теперь представьте ситуацию. Мошенник просто регистрирует свежий аккаунт MAX на номер атакуемого, потому что у атакуемого просто вообще нет MAX. И всё, госуслуги его полностью. И управление доверенными девайсами тоже. И ТОТП от банков тоже. Отличная же идея... что могло пойти не так... И снова будут разводить пенсионеров. Просто на другой код...
Да, читеры тоже могут. Но сделать один модуль не совместимым с любыми кроме разрешенных не так уж и сложно. Может быть это конечно не пойдет в основную ветку ядра, но тем не менее. Сомневаюсь что способа нет вообще. Просто это дорого.
Популярные сетевые игры с античит-системами будут недоступны на Steam Machine,
поскольку SteamOS основана на Linuxпоскольку производители античитов не хотят вносить патчи в ядро и разрабатывать античиты под LinuxВот, так правильно. Учитывая что в линуксе ты буквально можешь вставить в ядро свой код в любой слой не думаю что это менее безопасно чем виндовые апи...
Классно было бы сделать не такой же канал на русском а клиент тиктока с кнопкой "перевести и переозвучить".
Ну так я тоже сижу на арче и работает всё прекрасно. Какой смысл в мануале который не решает проблему а просто предлагает костыль? Ещё и с заявлением "в арче не работает а работает только в убунте", полностью вводящем в заблуждение. Написали бы тогда "на арче я не осилил настройку так что...". В прочем ладно, почему бы и нет...
Нет.
https://wiki.archlinux.org/title/Timeshift раздел 4
В остальном просто перепечатка Installation guide своими словами: https://wiki.archlinux.org/title/Installation_guide
И пакеты в AUR всегда проверяйте глазами перед установкой. Особенно после https://habr.com/ru/news/1047240/
И если уж хочется роллинг релизов то NixOS можно ещё посмотреть. Там база пакетов шире.
Есть способ попроще:
И для такого случая можно включить просто в браузере DNS over HTTPS
Специально для вас даже нагуглил:
сетевой нейтралитет
Это принцип, по которому интернет-провайдер не должен делить трафик на «лучший» и «худший» в зависимости от сайта, приложения, типа контента или того, кто заплатил. В классической формулировке он запрещает:
блокировку отдельных сайтов/сервисов;
замедление отдельных типов трафика;
платную приоритизацию — «быстрые полосы» для тех, кто заплатил;
ценовую дискриминацию по контенту, например разные условия для YouTube, мессенджеров, игр, VPN, «зарубежного интернета» и так далее.
В ЕС это оформлено как правила open internet / net neutrality, в частности Regulation (EU) 2015/2120: пользователи имеют право получать доступ к законному контенту и сервисам по своему выбору, а управление трафиком должно быть недискриминационным, с ограниченными исключениями.
Ну и когда трафик для конечного пользователя к гуглу был более платным чем к амазону? Или может когда то с вас брали отдельную плату за доступ к Яндекс? Я про это и говорю. Это настолько дико что вы даже не поняли и зачем то стали про межаоператорскую тарификацию рассказывать. Когда был, трафик за мегабайт конечному пользователю было всё равно куда этот мегабайт высылать. Когда безлимит то безлимит. Нечто подобное было с банковскими картами когда скидки/наценки запретили в зависимости от оператора платёжных сервисов. В прочем и это уже пошло по известному месту.
В целом напоминаю что сейчас отдельный платный трафик за границу собираются учитывать, вводят верификацию ру доменов по паспорту ( и как то удивительно не продумали что у человека паспорта РФ может и не быть, тем более аккаунта на госуслугах. Так же как и с Максом собственно) . И вишенкой на торте конские штрафы за чужие openID и прочие безумные законы. Так что ру зона близка к могиле и без того. Останутся только гос. структуры и крупняк который окажется заложником своего домена. Лично я все ру домены ещё в мае поменял после плашки с регистрацией на госуслугах.
Самое прямое имеют отношение. Когда один сервис неожиданно становится выгоднее/лучше/быстрее не за счёт разработки или каких то архитектурных решений а потому что кто то кабель/полосу режет то наступает именно то что наступает. Даже без санкций и огораживания ру сегмент просто выдавят с нашей стороны в конце концов в изоляцию а внешний мир так и не узнает о невероятных преимуществах рутуба и макса. Зачем остальному миру обслуживать людей из ру сегмента которые трафиком не делятся принципиально?
Интернет держался на соглашении что все сайты в равной степени обязаны быть доступны у всех. Буквально. Даже плата не должна вводиться. Что же сделала Россия?
Заблокировала половину интернета
Борется с ВПН
Хочет ввести платный трафик для "зарубежных" сайтов
А когда ей бьют ответкой с обратным отключением или удалением приложений то сразу "крах глобального интернета". Это не глобальный интернет рушится, это просто рушится ру зона. С обеих сторон.
Потому что это всё уже есть. Chromium-ghost, Яндекс браузер, УЦ госуслуг и т. д. Только пользуется этим полтора землекопа.
Ну и SSL trust это не когда "мамой клянусь не утечёт" а когда нормальная изоляция и " ставлю 40к баксов страховки что не утечёт" и постоянный аудит безопасности. Поэтому то все эти сертификаты госуслуг никогда не попадут в CA bundle обычных браузеров.
Как будете окупать инвестиции на локальном рынке в стратеги не увидел. Как попасть в зарубежные игровые магазины (особенно консольные) тоже не увидел. Разве что делать "отечественную игровую разработку с базой на Кипре". Разработка качественного ААА тайтла вроде экспедиции 33, прагматы или врат балдура это годы работы. Иногда десятилетия.
План конечно интересный но на выходе боюсь будут одни "Смуты" получаться и инди проекты.
Они могут сидеть на zapret ещё. Тогда действительно без VPN и MTProxy.
Пара советов:
Лучше ставить не docker а podman. Есть в обычном репе без шаманства.
Если уж ставить podman то можно выдать доступ не от рута, тогда каждый пользователь сможет запускать контейнеры на своём uid:gid диапазоне и (что важно) в своём home
Просто запуск nginx не очень объясняет цель такой виртуалки. Возможно вообще можно обойтись даже не podman а systemd-nspawn.
Сеть в podman так же изолируется из коробки:
По идее можно просто заменить default сеть
Зачем локальные пакеты nginx если он запускается в контейнере так и не понял.
Да, видел вашу плашку и уже благополучно вывел все свои домены из .ru зоны. Хорошо что заранее предупредили. Такой сервис и даром не нужен.
UPD: добавьте пожалуйста в связи с этим блокировку автопродления на домен в личном кабинете, а то не хочется терять бонусы на домены которые продлевать и не собираешься.
Да, у меня были в семье случаи когда мошенники получали доступы к гос. услуам и брали кредиты на ничего не подозревающего пенсионера, параллельно сливая все его данные и пробегаясь по ФСН, пенс фонду и даже попытавшись переоформить собственность по тихой. И ничего ты не докажешь потом если уже до конца схема дошла. Благо почти всё получилось оспорить но это лютый ад.
Последний раз мне звонили: "Вам пришла посылка на почту. Что бы не стоять в очереди за справкой мы вам сейчас вышлем код, продиктуйте пожалуйста и тут приходит код от госуслуг". Ну будет приходить код от макса. Будет техподдержка МАХ или техподдержка госуслуг или что там мошенники в очередной раз придумают... Можно даже задвинуть полуправду что "для безопасности подключаем МАХ к вашим госуслугам"... Кто нибудь да поведётся.
Да просто вынести нужно всю эту госфигню в отдельную сеть. наподобие иггдрасилля или тора, только если там даркнет то это будет "вайтнет" или "клиннет" если хотите. и что бы даже подключиться к сети было нельзя не вставив загранник/внутренний паспорт с модулем для генерации ключа. И всё. Никакие мошенники не срашны, и если ты потеряешь паспорт то это немного другого уровня проблема, и даже войти без авторизации в клиннет не сможешь. Современные проблемы требуют современных решений. И пусть там сидят все этигосуслуги и прочие гос сервисы даже без логинов или с минимальной аваторизацией или пусть даже как есть, только вторым фактором уже после паспорта. В результате всех будут в лицо узнавать по ИП вычислив ещё до загрузки формы входа.
На VoIP схема великолепно работает сто лет. Осталось не в SIPе чарджинг векторы генерить а PSK ключи для шлюза авторизации прямо на чипе и проблема как бы решена. Или просто позаимствовать у VoIP ipsec на симках хотя бы.
Ага. Не просто раскатали accesslist на всю платформу а с особым цинизмом накатывают чуть ли не на каждый хост отдельно. Признались бы сразу что блокируют ВПНы и гитхаб задевает, да и всё... Похоже скоро мы увидим "деградацию серверов" гитхаба в исполнении РКН.
Можно, но банки бывают разные. Например в другом городе или даже другой стране. Я от аппаратного ТОТП отказался в тот момент когда стали выдавать ТОТП плохого качества а банк был международным. Лететь 8 часов ради замены одного брелка... спасибо, но нет.
Пароль спокойно сбрасвыается прямо с главной страницы. Попросило только серию паспорта (что мошенник может узнать легко так же как код). Главное не пытаться залогиниться а сразу жать "не помню пароль". Соответвенно пароля просто несуществует. Нет никакой двухфакторки. Есть только ТОТП, который все мошенники так активно и выциганивают по телефонам. Потому что двухфакторная аутентификация подразумевает 2 независимых фактора входа.
UPD: сейчас хотя бы функционал блокируется на 72 часа. Раньше просто было "выпроси код сброса пароля и следом СМС ТОТП и сиди в чужих госуслугах сколько влезет". И то и другое по умолчанию приходило на зарегистрированный телефон как понимаете прямо соседними СМС. только историю поправдоподобнее придумай. Сейчас скорее всего и то и другое будет по умолчанию приходить в MAX и соответсвенно даже симкой владеть физически не понадобится. будет достаточно ломануть аккаунт MAXа. А дальше только проверять насколько сложно свапнуть "доверенный" девайс.
UPD2: а теперь представьте ситуацию. Мошенник просто регистрирует свежий аккаунт MAX на номер атакуемого, потому что у атакуемого просто вообще нет MAX. И всё, госуслуги его полностью. И управление доверенными девайсами тоже. И ТОТП от банков тоже. Отличная же идея... что могло пойти не так... И снова будут разводить пенсионеров. Просто на другой код...