forum.opennet.ru - "Детский вопрос по обновлениям" (29)

"Детский вопрос по обновлениям"

Форум Открытые системы на рабочей станции (Разное / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Детский вопрос по обновлениям"	+/–
Сообщение от Шилов (?), 23-Окт-19, 19:03
Вопрос детский, но от этого не менее важный, поскольку касается обновлений ОС. На серверах, которые находятся в Интернете, обновления выполняю регулярно, т.к. это обеспечивает закрытие всяческих уязвимостей (и добавляет новые :)) , через которые хакеры могут осуществить взлом. В основном эти обновления выполняются корректно и не создают проблем. А вот на Десктопе, который стоит под надежной защитой роутера с NAT с закрытыми входнымми портами - так ли уж важны эти обновления? Почему об этом спрашиваю. Дело в том, что на десктопных ОС такие обновления иногда вызывают не улучшение работы ОС, а наоборот, добавляют в нее новые косяки, видимые невооруженным глазом. За пару-тройку лет их накопилось достаточно много - то одно отвалится, то другое, и часть из них довольно чувствительные. И что противно, разработчики в обновлениях только добавляют эти косяки, но совершенно не собираются их устранять, т.к. наверняка трудятся на "новым дистром", а на старый им уже наплевать. Вот я и подумал - а нужно ли вообще обновлять десктоп, который защищен роутером, если начальная финальная версия дистра своей работой меня вполне устраивает, а эти "обновления с косяками" мне совершенно до лампочки? Да, браузеры и некоторые веб-зависимые приложения обновлять таки придется, но вот саму систему, ядра, systemd, и т.д., и т.п. - так ли уж обязательно ее обновлять? Ведь все изначально нормально работает, но стоит несколько раз обновиться, как обязательно во что-то вляпаешься. Причем навсегда :(
Ответить \| Правка \| Cообщить модератору

Оглавление

NAT никоем образом не решает проблемы с безопасностью Он только немного усложня, universite (ok), 20:25 , 23-Окт-19, (1) –1

Cisco ASA смотрит на тебя с удивлением , Pofigist (?), 01:09 , 25-Окт-19, (18) +1

Да, важны Даже если вы закрылись от Интернета NATом Допустим, закрылисть, хот, Licha Morada (?), 23:29 , 23-Окт-19, (2)

Разумеется, что роутер с файрволом, NAT к нему добавил для пущей защиты Попытать, Шилов (?), 00:13 , 24-Окт-19, (3)

gt оверквотинг удален Новые косяки никому не известны, а старые всем , Аноним (5), 00:31 , 24-Окт-19, (5)

Как же неизвестны, если они лежат на поверхности и видны невооруженным глазом Ко, Шилов (?), 18:47 , 24-Окт-19, (9)

Предполагаю, что эти косяки возникли не из-за обновлений, а из-за ошибок в настр, Аноним (28), 13:47 , 04-Дек-19, (28)

Как раз не так свежий финальный дистр работает нормально, а в обновленном сразу, Anonim (??), 18:51 , 04-Дек-19, (29)

Это хорошая мера, но эту модель угроз она закрывает не полностью Например Удал, Licha Morada (?), 01:34 , 24-Окт-19, (6)

gt оверквотинг удален На локалхосте за натом риск еще выше за счет возможности, Аноним (5), 00:31 , 24-Окт-19, (4)
gt оверквотинг удален По моим наблюдениям обновляться лучше чем чаще тем лучше, cool29 (?), 16:09 , 24-Окт-19, (7)

Хм, отвечал Анониму, и мое сообщение ушло наверх и вряд ли кому видно, поэтому в, Шилов (?), 18:50 , 24-Окт-19, (10)

gt оверквотинг удален Гм , ну тогда хотя бы браузеры обновляйте их можно чере, cool29 (?), 21:32 , 24-Окт-19, (11)

Ну, вы тут явно сгустили краски И оставьте, пожалуйста, в покое этот несчастн, Шилов (?), 21:44 , 24-Окт-19, (12)

gt оверквотинг удален Ну так вы же его не обновляете Я про файрволл на дебе , cool29 (?), 22:36 , 24-Окт-19, (13)

gt оверквотинг удален И да сервер понятие растяжимое Ваш роутер это и есть се, cool29 (?), 22:38 , 24-Окт-19, (14)

А чего его обновлять с Его есть надо из анекдота Разумеется, обновляю,, Шилов (?), 23:15 , 24-Окт-19, (15)

Хто сказал что это поможет Ну не сможет он сохранить взломанную конигурацию Ну, cool29 (?), 23:49 , 24-Окт-19, (16)

В смысле Я имел в виду, что чистую прошивку записать во флеш-память и запереть, Шилов (?), 00:40 , 25-Окт-19, (17)

Ну так ПЗУ же readOnly, а не ОЗУ Любой пакет попадает сначала на внешний интерфе, cool29 (?), 01:25 , 25-Окт-19, (19)

Об ОЗУ и речи не было, она шла о флеш-памяти, запертой специальной перемычкой, Шилов (?), 02:35 , 25-Окт-19, (20)

Спасибо за познавательную лекцию , Шилов (?), 18:21 , 25-Окт-19, (21)

это так не работает, если у вас есть любые сервисы доступные извне те же торрен, Аноним (22), 18:51 , 26-Окт-19, (22)

Застращали вы меня взломом роутера Отсюда возникала некая идея - использовать , Шилов (?), 20:15 , 29-Окт-19, (23)

Обычно такая задача решается мониторингом Маячок появляется на экране дашборде, Licha Morada (ok), 22:58 , 29-Окт-19, (24)

b Licha Morada b Обдумал ваши предложения Да, они хороши для какой-нибудь ко, Шилов (?), 02:17 , 09-Ноя-19, (25)

Дело хозяйское Я бы ещё порекомендовал поискать по словам linux personal firewa, Licha Morada (ok), 03:15 , 09-Ноя-19, (26)

Да, спасибо, именно всплывающие в риалтайме окна как раз мне и нужны, как повто, Шилов (?), 06:08 , 09-Ноя-19, (27)

Ну вот, блин, и дообновлялся Сначала, после какого-то обновления, перестал , Шилов (?), 13:35 , 19-Апр-20, (30)

Сообщения [Сортировка по времени | RSS]

1. "Детский вопрос по обновлениям" –1 +/–

Сообщение от universite (ok), 23-Окт-19, 20:25

> А вот на Десктопе, который стоит под надежной защитой роутера с NAT
> с закрытыми входнымми портами - так ли уж важны эти обновления?
NAT никоем образом не решает проблемы с безопасностью. Он только немного усложняет жизнь хулхакерам и вирусописателям.

Ответить | Правка | Наверх | Cообщить модератору

18. "Детский вопрос по обновлениям" +1 +/–

Сообщение от Pofigist (?), 25-Окт-19, 01:09

> NAT никоем образом не решает проблемы с безопасностью. Он только немного усложняет
> жизнь хулхакерам и вирусописателям.
Cisco ASA смотрит на тебя с удивлением...

Ответить | Правка | Наверх | Cообщить модератору

2. "Детский вопрос по обновлениям" +/–

Сообщение от Licha Morada (?), 23-Окт-19, 23:29

> А вот на Десктопе, который стоит под надежной защитой роутера с NAT
> с закрытыми входнымми портами - так ли уж важны эти обновления?
Да, важны.
Даже если вы закрылись от Интернета NATом... Допустим, закрылисть, хотя выше дело говорят, блокировка входящих подключений осуществляется файерволлом, а сам по себе NAT это ширма, не более. Они обычно вместе настраиваются, поэтому считается что раз NAT, значит файерволл, значит защита. А если кто, по недоразумению, средний пункт перепрыгнет, то подвергнет себя риску.
Так вот, даже если, допустим, то останется по меньшей мере две модели угроз, обобщённо:
1. Сосед по локалке или по публичному вайфаю, нахватавшийся дряни, или возомнивший себя пентестером общественником. Или и то и другое. Его машина запросто может попытаться атаковать вашу.
2. Безобидная картинка, или ПДФка, или документ который вы скачали из Интернет или принесли на флешке, может сбить с толку программу, которой вы его открываете, и попытатсья сделать что-то интересное в userspace или эксплотировать локальную уязвимость.
Никакой NAT, даже с файерволлом, вас не защитит если вы привели врага в дом за руку. Только запоры на комодах, холодильник антивандалной редакции и дворецкий с дробовиком.
> Ведь все изначально нормально работает, но стоит несколько раз обновиться, как обязательно
> во что-то вляпаешься.
По моим наблюденям, это происходит тем чаще, чем экзотичнее (с точки зрения системы) запросы у пользователя. Мне помогает держаться ближе к дефолтам.
Ну, или если железо глючное, но там с с системы спроса мало.

Ответить | Правка | Наверх | Cообщить модератору

3. "Детский вопрос по обновлениям" +/–

Сообщение от Шилов (?), 24-Окт-19, 00:13

Разумеется, что роутер с файрволом, NAT к нему добавил для пущей защиты.
> ... Его машина запросто может попытаться атаковать вашу.
Попытаться-то он может, только в этом и вопрос - как?
Как, если он переберет сканером все 0...65535 и наткнется на глухую стену - ведь все входящие порты закрыты файрволом.
> 2. Безобидная картинка, или ПДФка, или документ который вы скачали из Интернет или принесли на флешке,....
Этот способ угрозы понятен, но он опасен больше всего для Windows.
Речь же идет о Linux - много ли для него существует подобных эксплоитов и т.п.?
> По моим наблюденям, это происходит тем чаще, чем экзотичнее (с точки зрения системы) запросы у пользователя. Мне помогает держаться ближе к дефолтам.
Никакой экзотики - я вообще все делаю по дефолту, ни шага влево, нишага вправо, и обновления тоже.
Но вот только от криворуких разрабов это не спасает - чем дольше времени проходит, тем больше система нахватается их кривых обновлений, и тем больше начинает хромать система.
Вот я призадумался - на кой фиг эти "обновления", если они одни косяки удаляют, а новые прибавляют?

Ответить | Правка | Наверх | Cообщить модератору

5. "Детский вопрос по обновлениям" +/–

Сообщение от Аноним (5), 24-Окт-19, 00:31

>[оверквотинг удален]
> Речь же идет о Linux - много ли для него существует подобных
> эксплоитов и т.п.?
>> По моим наблюденям, это происходит тем чаще, чем экзотичнее (с точки зрения системы) запросы у пользователя. Мне помогает держаться ближе к дефолтам.
> Никакой экзотики - я вообще все делаю по дефолту, ни шага влево,
> нишага вправо, и обновления тоже.
> Но вот только от криворуких разрабов это не спасает - чем дольше
> времени проходит, тем больше система нахватается их кривых обновлений, и тем
> больше начинает хромать система.
> Вот я призадумался - на кой фиг эти "обновления", если они одни
> косяки удаляют, а новые прибавляют?
Новые косяки никому не известны, а старые всем.

Ответить | Правка | Наверх | Cообщить модератору

9. "Детский вопрос по обновлениям" +/–

Сообщение от Шилов (?), 24-Окт-19, 18:47

> Новые косяки никому не известны, а старые всем.
Как же неизвестны, если они лежат на поверхности и видны невооруженным глазом?
Когда только поставил вышедший финальный Debian 9.0, в нем всё работало как часы.
Прошло всего два года с небольшим, и после этих "чудо-обновлений" имею:
- отвалилось автомонтирование всех моих смарфонов, телефонов, планшетов, вместо которого выскакивает совершенно невообразимая ошибка;
- при попытке открыть по правому клику картинку в mtPaint выскакивает чрезвычайно информативная ошибка - "Невозможно открыть файл"
- при попытке открыть по правому клику в Avidemux MOV или MP4 файлы возникает ощибка - "file:///home/user/............._2019-10-19_0001.MOV" does not exist"
- в трее пропал буфер Cliplt
- в трее перестал работать погодный индикатор
и т.д. и т.п.
Это только навскидку, на что теперь натыкаюсь каждый день, на самом деле накопившихся "неустанным трудом" разрабов косяков намного больше.
То, что они якобы улучшают, я в упор не вижу, зато прекрасно вижу, что они гробят.
Ну и на кой хрен имне такие "обновления" ??

Ответить | Правка | Наверх | Cообщить модератору

28. "Детский вопрос по обновлениям" +/–

Сообщение от Аноним (28), 04-Дек-19, 13:47

Предполагаю, что эти косяки возникли не из-за обновлений, а из-за ошибок в настройках программ. Попробуйте с новым пользовательским профилем: если проблемы уйдут, то обновления не виноваты.

Ответить | Правка | Наверх | Cообщить модератору

29. "Детский вопрос по обновлениям" +/–

Сообщение от Anonim (??), 04-Дек-19, 18:51

> Предполагаю, что эти косяки возникли не из-за обновлений, а из-за ошибок в
> настройках программ. Попробуйте с новым пользовательским профилем: если проблемы уйдут,
> то обновления не виноваты.
Как раз не так: свежий финальный дистр работает нормально, а в обновленном сразу вылязят те же косяки.
Более того - они "благополучно" переползли в новую мажорную версию - Debian-10.
Вот что с такими криворукими надо делать??

Ответить | Правка | Наверх | Cообщить модератору

6. "Детский вопрос по обновлениям" +/–

Сообщение от Licha Morada (?), 24-Окт-19, 01:34

>> ... Его машина запросто может попытаться атаковать вашу.
> Попытаться-то он может, только в этом и вопрос - как?
> Как, если он переберет сканером все 0...65535 и наткнется на глухую стену
> - ведь все входящие порты закрыты файрволом.
Это хорошая мера, но эту модель угроз она закрывает не полностью. Например: Удалённо эксплуатируемая уязвимость в Linux-драйвере для чипов Realtek (https://www.opennet.me/opennews/art.shtml?num=51700). Апдейт ядра спасёт владельцев rtlwifi.
>> 2. Безобидная картинка, или ПДФка, или документ который вы скачали из Интернет или принесли на флешке,....
> Этот способ угрозы понятен, но он опасен больше всего для Windows.
> Речь же идет о Linux - много ли для него существует подобных
> эксплоитов и т.п.?
Я предположу, что Windows стрёмнее в этом плане. Но не надо полагать что Linux абсолютно защищён. Например: Уязвимость в медиапроигрывателе VLC (https://www.opennet.me/opennews/art.shtml?num=51161). Апдейт пакетов спасёт пользователей VLC 3.0.7.1.
>> По моим наблюденям, это происходит тем чаще, чем экзотичнее (с точки зрения системы) запросы у пользователя. Мне помогает держаться ближе к дефолтам.
> Но вот только от криворуких разрабов это не спасает - чем дольше
> времени проходит, тем больше система нахватается их кривых обновлений, и тем
> больше начинает хромать система.
> Вот я призадумался - на кой фиг эти "обновления", если они одни
> косяки удаляют, а новые прибавляют?
Действительно, модель "все козлы" позволяет предсказывать события в нашем несовершенном мире точнее чем хотелось бы. К сожалению, планировать что-то конструктивное по ней очень трудно.
Случаи бывают очень разные, общего ответа на вопрос "обновлять или нет" я дать не возьмусь. Но для этого конкретного примера, соображения которые я привёл существенны. IMHO.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "Детский вопрос по обновлениям" +/–

Сообщение от Аноним (5), 24-Окт-19, 00:31

>[оверквотинг удален]
> а на старый им уже наплевать.
> Вот я и подумал - а нужно ли вообще обновлять десктоп, который
> защищен роутером, если начальная финальная версия дистра своей работой меня вполне
> устраивает, а эти "обновления с косяками" мне совершенно до лампочки?
> Да, браузеры и некоторые веб-зависимые приложения обновлять таки придется, но вот саму
> систему, ядра, systemd, и т.д., и т.п. - так ли уж
> обязательно ее обновлять?
> Ведь все изначально нормально работает, но стоит несколько раз обновиться, как обязательно
> во что-то вляпаешься.
> Причем навсегда :(
На локалхосте за натом риск еще выше за счет возможности эксплуатации изнутри (из браузера, из офисного пакета, из pdf-просмотровщика, и так далее).

Ответить | Правка | Наверх | Cообщить модератору

7. "Детский вопрос по обновлениям" +/–

Сообщение от cool29 (?), 24-Окт-19, 16:09

>[оверквотинг удален]
> а на старый им уже наплевать.
> Вот я и подумал - а нужно ли вообще обновлять десктоп, который
> защищен роутером, если начальная финальная версия дистра своей работой меня вполне
> устраивает, а эти "обновления с косяками" мне совершенно до лампочки?
> Да, браузеры и некоторые веб-зависимые приложения обновлять таки придется, но вот саму
> систему, ядра, systemd, и т.д., и т.п. - так ли уж
> обязательно ее обновлять?
> Ведь все изначально нормально работает, но стоит несколько раз обновиться, как обязательно
> во что-то вляпаешься.
> Причем навсегда :(
По моим наблюдениям обновляться лучше чем чаще тем лучше. Запускаю такую вот строку на ubuntu 18/04 два раза в день:
sudo apt update && sudo apt full-upgrade && sudo apt autoremove -y
за 1.5 года систему переставлял 5 раз.
Да linux тоже умирает, причем неожиданно. Один раз у меня такое было. Да косяки бывают при обновлениях. (Наверно кроме debian stable). поэтому я делаю резервное копирование файлов, два-три раза в день на отдельный съемный диск. И все серьезные проблемы решаю переустановкой (у меня это занимает минут 40).
Т.е. я к тому что не важно что вы делаете на своем компьютере. Важно то что он может умереть в любой момент (я имею в виду программную среду) и важно лишь время которое вы затратите на восстановление.

Ответить | Правка | Наверх | Cообщить модератору

10. "Детский вопрос по обновлениям" +/–

Сообщение от Шилов (?), 24-Окт-19, 18:50

Хм, отвечал Анониму, и мое сообщение ушло наверх и вряд ли кому видно, поэтому вынужден повторить его:
Как же неизвестны, если они лежат на поверхности и видны невооруженным глазом?
Когда только поставил вышедший финальный Debian 9.0, в нем всё работало как часы.
Прошло всего два года с небольшим, и после этих "чудо-обновлений" имею:
- отвалилось автомонтирование всех моих смарфонов, телефонов, планшетов, вместо которого выскакивает совершенно невообразимая ошибка;
- при попытке открыть по правому клику картинку в mtPaint выскакивает чрезвычайно информативная ошибка - "Невозможно открыть файл"
- при попытке открыть по правому клику в Avidemux MOV или MP4 файлы возникает ощибка - "file:///home/user/............._2019-10-19_0001.MOV" does not exist"
- в трее пропал буфер Cliplt
- в трее перестал работать погодный индикатор
и т.д. и т.п.
Это только навскидку, на что теперь натыкаюсь каждый день, на самом деле накопившихся "неустанным трудом" разрабов косяков намного больше, некогда вести учет.
То, что они якобы улучшают, я в упор не вижу, зато прекрасно вижу, что они гробят.
Ну и на кой хрен мне нужны такие "обновления" ??

Ответить | Правка | Наверх | Cообщить модератору

11. "Детский вопрос по обновлениям" +/–

Сообщение от cool29 (?), 24-Окт-19, 21:32

>[оверквотинг удален]
> файлы возникает ощибка - "file:///home/user/............._2019-10-19_0001.MOV" does
> not exist"
> - в трее пропал буфер Cliplt
> - в трее перестал работать погодный индикатор
> и т.д. и т.п.
> Это только навскидку, на что теперь натыкаюсь каждый день, на самом деле
> накопившихся "неустанным трудом" разрабов косяков намного больше, некогда вести учет.
> То, что они якобы улучшают, я в упор не вижу, зато прекрасно
> вижу, что они гробят.
> Ну и на кой хрен мне нужны такие "обновления" ??
Гм.., ну тогда хотя бы браузеры обновляйте их можно через snap ставить. Snap можно и в debian поставить. А так если вы ничего ценного на компе не храните (ну там логины от клиент-банков, ксерокопии паспортов и т.д.) то я думаю ничего страшного не случиться.
Тут ведь проблема в том что вас ломанет автобот и сопрет че-нибудь ценное. А у вас все как работало так и работать будет. Просто скажем доступ к файлам компа будет не только у Вас но и у половины интернета.
И таки да. Не забываем что если вы пользуетесь linux то вероятность взлома со стороны ботов, у вас гораздо выше чем на windows, так как в сущности ваш комп ничем ни отличаеться от милионов серверов (!!!) в интернете, которые автоботы пытаються взломать в авторежиме. Поэтому linux желательно обновлять, в отличие от windows.
И кстати никакой nat вас не защитит, так как скорее всего ваш роутер уже давным давно взломан (вы же вероятно заняты чем-то важным и соответственно прошивку роутера вам обновлять некогда). А файрволл на вашем локалхост, соответственно не активирован (а зачем если вы за натом).
В общем я не удивлюсь, если ваши персональные данные(включая фото) уже давным давно используются для развода извращенцев на бабки на сайтах гей-знакомств

Ответить | Правка | Наверх | Cообщить модератору

12. "Детский вопрос по обновлениям" +/–

Сообщение от Шилов (?), 24-Окт-19, 21:44

Ну, вы тут явно сгустили краски :)
И оставьте, пожалуйста,  в покое этот несчастный NAT, я его так, к слову упомянул, и теперь жалею.
Есть файрвол! Как на Дебе, так и на роутре - неужто мало?

> Поэтому linux желательно обновлять, в отличие от windows.
Вы тут ничего не перепутали, не? Linux надо чаще обновлять, чем Windows??
Это явно что-то новенькое! :) Как и сомнительное.

> И таки да. Не забываем что если вы пользуетесь linux то вероятность взлома со стороны ботов, у вас гораздо выше чем на windows, так как в сущности ваш комп ничем ни отличаеться от милионов серверов (!!!) в интернете
Опять непонятное и загадочное... Мой комп радикально отличается от "милионов серверов (!!!) в интернете" тем, что он сидит за роутером со своим файрволом.
А сервера в интернете увы, такого счастия лишены ;(

Ответить | Правка | Наверх | Cообщить модератору

13. "Детский вопрос по обновлениям" +/–

Сообщение от cool29 (?), 24-Окт-19, 22:36

>[оверквотинг удален]
> И оставьте, пожалуйста,  в покое этот несчастный NAT, я его так,
> к слову упомянул, и теперь жалею.
> Есть файрвол! Как на Дебе, так и на роутре - неужто мало?
>> Поэтому linux желательно обновлять, в отличие от windows.
> Вы тут ничего не перепутали, не? Linux надо чаще обновлять, чем Windows??
> Это явно что-то новенькое! :) Как и сомнительное.
>> И таки да. Не забываем что если вы пользуетесь linux то вероятность взлома со стороны ботов, у вас гораздо выше чем на windows, так как в сущности ваш комп ничем ни отличаеться от милионов серверов (!!!) в интернете
> Опять непонятное и загадочное... Мой комп радикально отличается от "милионов серверов (!!!)
> в интернете" тем, что он сидит за роутером со своим файрволом.
> А сервера в интернете увы, такого счастия лишены ;(
Ну так вы же его не обновляете :)
Я про файрволл на дебе.
А прошивку на роутере давно обновляли?
А вы можете гарантировать, что ваш роутер уже не взломан?

Ответить | Правка | Наверх | Cообщить модератору

14. "Детский вопрос по обновлениям" +/–

Сообщение от cool29 (?), 24-Окт-19, 22:38

>[оверквотинг удален]
>> Вы тут ничего не перепутали, не? Linux надо чаще обновлять, чем Windows??
>> Это явно что-то новенькое! :) Как и сомнительное.
>>> И таки да. Не забываем что если вы пользуетесь linux то вероятность взлома со стороны ботов, у вас гораздо выше чем на windows, так как в сущности ваш комп ничем ни отличаеться от милионов серверов (!!!) в интернете
>> Опять непонятное и загадочное... Мой комп радикально отличается от "милионов серверов (!!!)
>> в интернете" тем, что он сидит за роутером со своим файрволом.
>> А сервера в интернете увы, такого счастия лишены ;(
> Ну так вы же его не обновляете :)
> Я про файрволл на дебе.
> А прошивку на роутере давно обновляли?
> А вы можете гарантировать, что ваш роутер уже не взломан?
И да сервер понятие растяжимое. Ваш роутер это и есть сервер который видно из интернета.

Ответить | Правка | Наверх | Cообщить модератору

15. "Детский вопрос по обновлениям" +/–

Сообщение от Шилов (?), 24-Окт-19, 23:15

> Ну так вы же его не обновляете :)
> Я про файрволл на дебе.
А чего его обновлять? (с) Его есть надо! :)  (из анекдота).
> А прошивку на роутере давно обновляли?
> А вы можете гарантировать, что ваш роутер уже не взломан?
Разумеется, обновляю, и гарантирую, т.е. рассчитываю именно на то, что роутер не взломан, иначе нет смысла говорить о необходимости (или наоборот) обновлений.
> И да сервер понятие растяжимое. Ваш роутер это и есть сервер который
> видно из интернета.
Фирмам, которые производят роутеры, элементарно сделать его невзламываемым - для этого достаточно было поставить перемычку - "Прошивка/Работа в режиме ReadOnly", но им лень.
Ладно, это уже несколько другая тема, а я веду к тому, что 1-й бастион защиты, т.е. роутер, будем считать невзламыевым.
Иными словами, "Жена Цезаря вне подозрений" ;)

Ответить | Правка | Наверх | Cообщить модератору

16. "Детский вопрос по обновлениям" +/–

Сообщение от cool29 (?), 24-Окт-19, 23:49

> Фирмам, которые производят роутеры, элементарно сделать его невзламываемым - для этого
> достаточно было поставить перемычку - "Прошивка/Работа в режиме ReadOnly", но им
> лень.
Хто сказал что это поможет? Ну не сможет он сохранить взломанную конигурацию. Ну так роутеры месяцами работают без перезагрузки.
> Ладно, это уже несколько другая тема, а я веду к тому, что
> 1-й бастион защиты, т.е. роутер, будем считать невзламываемым.
> Иными словами, "Жена Цезаря вне подозрений" ;)
Уля-ля. Ни разу не видел женщину, которая не изменяла) Потому и не женюсь)
Вот как раз потому, что вы считаете свой роутер невзламываемым, он в первую очередь должен быть под подозрением. Это же в сути обычный комп, просто с маленькой памятью и слабым процессором.
А теперь смотрите: на роутер прошивки выходят раз в несколько месяцев, причем на старые модели обычно забивают. т.е. если у вас в ядре на роутере уязвимость, закроют ее скорее всего через несколько месяцев.
На Debian и Ubuntu уязвимости закрывают обычно в течении суток.
Ну так вот если ваш роутер подвержен не закрытой уязвимости, он взламываеться за несколько минут. И зависит это лишь от того обратит ли бот внимание на внешний ip  вашего роутера или нет. Т.е. достаточно лишь одной дырки. После того как бот взломает роутер и установит на него свою копию, все члены внутренней сети будут взломаны в течении нескольких минут, если конечно на них не установлены последние обновления безопастности.
Запомните никакие настройки фаервола не спасут вас от ситуации когда в силу ошибок в ядре или драйвере, любой пакет попавший на ваш сетевой интерфейс превращаеться в исполняемый код с root правами. Только обновления безопастности закрывающую данную ошибку.

Ответить | Правка | Наверх | Cообщить модератору

17. "Детский вопрос по обновлениям" +/–

Сообщение от Шилов (?), 25-Окт-19, 00:40

> Хто сказал что это поможет? Ну не сможет он сохранить взломанную конигурацию.
В смысле? Я имел в виду, что чистую прошивку записать  во флеш-память и запереть ее с упомянутой перемычкой, или вообще записать его в тупое ПЗУ - ну и как его взломать?

> Уля-ля. Ни разу не видел женщину, которая не изменяла) Потому и не  женюсь)
Шекспира как-то спросили:
- Какие женщины меньше изменяют - брюнетки или блондинки?
Он ответил:
- Седые!
Так что у вас есть еще шанс! :))

Ответить | Правка | Наверх | Cообщить модератору

19. "Детский вопрос по обновлениям" +/–

Сообщение от cool29 (?), 25-Окт-19, 01:25

>> Хто сказал что это поможет? Ну не сможет он сохранить взломанную конигурацию.
> В смысле? Я имел в виду, что чистую прошивку записать  во
> флеш-память и запереть ее с упомянутой перемычкой, или вообще записать его
> в тупое ПЗУ - ну и как его взломать?
Ну так ПЗУ же readOnly, а не ОЗУ.
Любой пакет попадает сначала на внешний интерфейс, затем копируется в буфер, который обычно находится в ОЗУ, далее этот буфер анализируется ПО роутера и затем пакеты либо отбрасываеться, либо передаеться получателю путем их копирования на другой интерфейс. Проблема в том что при уязвимостях, специальным образом сформированная группа пакетов может непредусмотренным образом перенестись из собственно буфера в область памяти какого либо процесса (иногда даже ядра) и выполнить свое тело в качестве исполняемого кода с root правами, что позволит создать новый процесс который займеться скачкой дополнительного кода с удаленного сервера и собственно его запуска. Невозможность же записи данного кода в ПЗУ, не означает невозможности его исполнения в текущем сеансе работы устройства.
Если же вы подразумеваете ОЗУ readOnly, ну я не слышал про такое. Какая та часть все равно должна быть доступна для записи,а значит там всегда могут быть данные сформированные таким образом, чтобы превратить себя в исполняемый процесс в результате ошибок в ПО роутера. Хотя наверно правильно сказать что: ПО роутера ,в результате наличия ошибок, превращает входящие данные(специальным образом сформированные пакеты)  в испоняемый код с root правами (хотя не всегда наверно нужен и root доступ, вполне достаточно и доступа к сетевым интерфейсам).
В общем любой роутер это всегда необновленный вовремя linux, выставленный голой попой в интернет.
Как не странно даже если его прошивка обновлена до последней версии, он всегда более уязвим, чем компьютер с debian на котором установлены последние обновления.

Ответить | Правка | Наверх | Cообщить модератору

20. "Детский вопрос по обновлениям" +/–

Сообщение от Шилов (?), 25-Окт-19, 02:35

> Ну так ПЗУ же readOnly, а не ОЗУ.
Об ОЗУ и речи не было, она шла о флеш-памяти, "запертой" специальной перемычкой, которая в этом случае ведет себя как настоящее ПЗУ.
Такая раньше часто встречалась на материнках компьютеров для защиты BIOS, но потом ее, как и все полезное, перестали ставить.
Ну или речь о ПЗУ.
А в целом вы меня, пожалуй, убедили в том, что Linux благодаря свои частым обновлениям должен быть менее уязвимым, чем роутер, о котором производители обычно быстро забывают.
Вот если бы еще эти обновления делались корректно, а не не через пень-колоду под пьяную руку или обкуренный моск...

Ответить | Правка | Наверх | Cообщить модератору

21. "Детский вопрос по обновлениям" +/–

Сообщение от Шилов (?), 25-Окт-19, 18:21

Спасибо за познавательную лекцию! :)

Ответить | Правка | Наверх | Cообщить модератору

22. "Детский вопрос по обновлениям" +/–

Сообщение от Аноним (22), 26-Окт-19, 18:51

>NAT
>защита
это так не работает, если у вас есть любые сервисы доступные извне (те же торренты), вам стоит ожидать, что их взломают и вероятность этого события намного выше со старыми версиями. сопутствующие необновлённые части системы будут использованы с теми же целями захвата контроля.
>роутер
взломают первым вообще не напрягаясь, а дальше заразят всё до чего доберутся.
>отвалится
дистропроблемы
>косяки
дистропроблемы
>защищен роутером
нет и ещё раз нет
>браузеры и некоторые веб
любые дыры в любом софте и библиотеках будут использованы

Ответить | Правка | Наверх | Cообщить модератору

23. "Детский вопрос по обновлениям" +/–

Сообщение от Шилов (?), 29-Окт-19, 20:15

Застращали вы меня взломом роутера :)
Отсюда возникала некая идея - использовать некий маячок, индикатор, и возможно, уже есть такой готовый?
Начну издалека. Когда  роутеров "в коробке" еще не было, только самодельные на "старом компе", приходилось выходить в Инете без защиты, напрямую, тогда был еще ADSL.
Пользовался тогда Мандривой 2008, и в ней запомнилась такая классная фича:
- если кто-то извне пытался проникнуть в комп, в трее сразу всплывало предупреждающее окошко с указанием IP хакера и портов, которые он подбирает.
К сожалению, в новых версиях эту фичу убрали, а в других дистрах вообще такой не видел.
Может, есть такая же отдельная утилита?
Она бы мгновенно предупредила, если роутер взломали, или на каком-то компе в локалке завелся троянчик.

Да, конечно,попытки взлома можно посмотреть в логах, но это происходит не в риалтайме - месяц назад тихо взломали, а сегодня только обнаружил.
Нужна мгновенная реакция.

Ответить | Правка | Наверх | Cообщить модератору

24. "Детский вопрос по обновлениям" +/–

Сообщение от Licha Morada (ok), 29-Окт-19, 22:58

> Застращали вы меня взломом роутера :)
> Отсюда возникала некая идея - использовать некий маячок, индикатор, и возможно, уже
> есть такой готовый?
Обычно такая задача решается мониторингом. Маячок появляется на экране (дашборде) у операторов NOC, и/или высылается кому надо в форме алерта.
> Пользовался тогда Мандривой 2008, и в ней запомнилась такая классная фича:
> - если кто-то извне пытался проникнуть в комп, в трее сразу всплывало
> предупреждающее окошко с указанием IP хакера и портов, которые он подбирает.
Звучит симпатитчно, но не практично. Ну, показали нам значёк, что теперь, всё бросать и бежать переписывать IP и порты в правила файерволла?
> Да, конечно,попытки взлома можно посмотреть в логах, но это происходит не в
> риалтайме - месяц назад тихо взломали, а сегодня только обнаружил.
> Нужна мгновенная реакция.
Наилучшее приближение к мнгновенной реакции будет у автоматизированной системы. В которой, в общем случае, необходимо описать критериии "на что реагировать" и конкретно "как реагировать".
И, да, держать эту автоматизированную систему на поддержке, что не халявно.
Если отмасштабировать решение "вниз", то я бы рекомендовал настроить на роутере какой-нибудь механизм типа fail2ban, чтоб он заносил брутфорсеров в чёрный список сам, после малого количества попыток. И чем-нибудь следить, чтобы не заблокировать кого-то нужного по ошибке. Например, у меня UptimeRobot периодически выбивается из ожидаемого паттерна и ловит бан.
Кроме того, можно слать логи по syslog на что-нибудь помощнее на обработку, если обнаружили что-то нехорошее, то генерировать алерт администратору. Когда тот придёт/проснётся, посмотрит сразу в нужное место. Для масштаба home-office должно быть уже приемлемо.

Ответить | Правка | Наверх | Cообщить модератору

25. "Детский вопрос по обновлениям" +/–

Сообщение от Шилов (?), 09-Ноя-19, 02:17

Licha Morada:
Обдумал ваши предложения.
Да, они хороши для какой-нибудь корпоративной сети компании, которая может многое себе позволить из оборудования и софта.
У меня же ситуация намного проще: Роутер --> Компьютер --> Юзер
и бороться с попытками и вторжениями таким корпоративным подходом все равно что как из пушки по воробьям.
Попробую вариант попроще: установлю ESET.
В версии для Windows в нем есть встроенный диалоговый файрвол, который фиксирует в REAL-TIME как внешние попытки вторжения, так и внутренние попытки вырваться наружу.
Не знаю пока лишь, реализован ли такой файрвол в их Linux-версии.

Ответить | Правка | Наверх | Cообщить модератору

26. "Детский вопрос по обновлениям" +/–

Сообщение от Licha Morada (ok), 09-Ноя-19, 03:15

> Попробую вариант попроще: установлю ESET.
> В версии для Windows в нем есть встроенный диалоговый файрвол, который фиксирует
> в REAL-TIME как внешние попытки вторжения, так и внутренние попытки вырваться
> наружу.
> Не знаю пока лишь, реализован ли такой файрвол в их Linux-версии.
Дело хозяйское.
Я бы ещё порекомендовал поискать по словам "linux personal firewall". Там должно быть достаточно разнообразно, от конфигурялок iptables для мышевозов, до виндовсоподобных всплывающих окон, которые ловят за руку софт, лезующий за апдейтами в обход системного менеджера пакетов.

Ответить | Правка | Наверх | Cообщить модератору

27. "Детский вопрос по обновлениям" +/–

Сообщение от Шилов (?), 09-Ноя-19, 06:08

> Я бы ещё порекомендовал поискать по словам "linux personal firewall". Там должно
> быть достаточно разнообразно, от конфигурялок iptables для мышевозов, до виндовсоподобных
> всплывающих окон, которые ловят за руку софт, лезующий за апдейтами в
> обход системного менеджера пакетов.
Да, спасибо, именно всплывающие в риалтайме окна как раз мне и нужны, как (повторюсь) в Mandriva 2008, или в ESET.
Однако вряд ли их найду на английском, и так уже несколько лет потихоньку почитываю обзоры на русском, но они туда, похоже, не попадают.
Видимо, никому не нужны, всех устраивают обычные логи или лог-серверы, а жаль :(

Ответить | Правка | Наверх | Cообщить модератору

30. "Детский вопрос по обновлениям" +/–

Сообщение от Шилов (?), 19-Апр-20, 13:35

Ну вот, блин, и дообновлялся :(
Сначала, после какого-то обновления, перестал распознаваться как диск планшет.
Затем, после очередного обновления, старый смартфон. Затем еще один смартфон, довольно новый.
Вот нафига такие "обновления"??
А вчера вокнул в USB свой старый добрый WiFi-свисток TP-WN722, который раньше прекрасно работал и показывал в трее список доступных сетей.
Но сейчас, не знаю после какого очередного обновления до Debian 9.12 - фигушки!
Ни сетей не показывает, ни фига, только по lsusb распознается как
Bus 003 Device 003: ID 0cf3:9271 Qualcomm Atheros Communications AR9271 802.11n
но по iwconfig ничего не находит.
Ну и что теперь делать после таких "чудо-обновлений"?...

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Детский вопрос по обновлениям"	–1 +/–
Сообщение от universite (ok), 23-Окт-19, 20:25
> А вот на Десктопе, который стоит под надежной защитой роутера с NAT > с закрытыми входнымми портами - так ли уж важны эти обновления? NAT никоем образом не решает проблемы с безопасностью. Он только немного усложняет жизнь хулхакерам и вирусописателям.
Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Детский вопрос по обновлениям"	+1 +/–
	Сообщение от Pofigist (?), 25-Окт-19, 01:09
	> NAT никоем образом не решает проблемы с безопасностью. Он только немного усложняет > жизнь хулхакерам и вирусописателям. Cisco ASA смотрит на тебя с удивлением...
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Детский вопрос по обновлениям"	+/–
Сообщение от Licha Morada (?), 23-Окт-19, 23:29
> А вот на Десктопе, который стоит под надежной защитой роутера с NAT > с закрытыми входнымми портами - так ли уж важны эти обновления? Да, важны. Даже если вы закрылись от Интернета NATом... Допустим, закрылисть, хотя выше дело говорят, блокировка входящих подключений осуществляется файерволлом, а сам по себе NAT это ширма, не более. Они обычно вместе настраиваются, поэтому считается что раз NAT, значит файерволл, значит защита. А если кто, по недоразумению, средний пункт перепрыгнет, то подвергнет себя риску. Так вот, даже если, допустим, то останется по меньшей мере две модели угроз, обобщённо: 1. Сосед по локалке или по публичному вайфаю, нахватавшийся дряни, или возомнивший себя пентестером общественником. Или и то и другое. Его машина запросто может попытаться атаковать вашу. 2. Безобидная картинка, или ПДФка, или документ который вы скачали из Интернет или принесли на флешке, может сбить с толку программу, которой вы его открываете, и попытатсья сделать что-то интересное в userspace или эксплотировать локальную уязвимость. Никакой NAT, даже с файерволлом, вас не защитит если вы привели врага в дом за руку. Только запоры на комодах, холодильник антивандалной редакции и дворецкий с дробовиком. > Ведь все изначально нормально работает, но стоит несколько раз обновиться, как обязательно > во что-то вляпаешься. По моим наблюденям, это происходит тем чаще, чем экзотичнее (с точки зрения системы) запросы у пользователя. Мне помогает держаться ближе к дефолтам. Ну, или если железо глючное, но там с с системы спроса мало.
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Детский вопрос по обновлениям"	+/–
	Сообщение от Шилов (?), 24-Окт-19, 00:13
	Разумеется, что роутер с файрволом, NAT к нему добавил для пущей защиты. > ... Его машина запросто может попытаться атаковать вашу. Попытаться-то он может, только в этом и вопрос - как? Как, если он переберет сканером все 0...65535 и наткнется на глухую стену - ведь все входящие порты закрыты файрволом. > 2. Безобидная картинка, или ПДФка, или документ который вы скачали из Интернет или принесли на флешке,.... Этот способ угрозы понятен, но он опасен больше всего для Windows. Речь же идет о Linux - много ли для него существует подобных эксплоитов и т.п.? > По моим наблюденям, это происходит тем чаще, чем экзотичнее (с точки зрения системы) запросы у пользователя. Мне помогает держаться ближе к дефолтам. Никакой экзотики - я вообще все делаю по дефолту, ни шага влево, нишага вправо, и обновления тоже. Но вот только от криворуких разрабов это не спасает - чем дольше времени проходит, тем больше система нахватается их кривых обновлений, и тем больше начинает хромать система. Вот я призадумался - на кой фиг эти "обновления", если они одни косяки удаляют, а новые прибавляют?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Детский вопрос по обновлениям"	+/–
	Сообщение от Аноним (5), 24-Окт-19, 00:31
	>[оверквотинг удален] > Речь же идет о Linux - много ли для него существует подобных > эксплоитов и т.п.? >> По моим наблюденям, это происходит тем чаще, чем экзотичнее (с точки зрения системы) запросы у пользователя. Мне помогает держаться ближе к дефолтам. > Никакой экзотики - я вообще все делаю по дефолту, ни шага влево, > нишага вправо, и обновления тоже. > Но вот только от криворуких разрабов это не спасает - чем дольше > времени проходит, тем больше система нахватается их кривых обновлений, и тем > больше начинает хромать система. > Вот я призадумался - на кой фиг эти "обновления", если они одни > косяки удаляют, а новые прибавляют? Новые косяки никому не известны, а старые всем.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Детский вопрос по обновлениям"	+/–
	Сообщение от Шилов (?), 24-Окт-19, 18:47
	> Новые косяки никому не известны, а старые всем. Как же неизвестны, если они лежат на поверхности и видны невооруженным глазом? Когда только поставил вышедший финальный Debian 9.0, в нем всё работало как часы. Прошло всего два года с небольшим, и после этих "чудо-обновлений" имею: - отвалилось автомонтирование всех моих смарфонов, телефонов, планшетов, вместо которого выскакивает совершенно невообразимая ошибка; - при попытке открыть по правому клику картинку в mtPaint выскакивает чрезвычайно информативная ошибка - "Невозможно открыть файл" - при попытке открыть по правому клику в Avidemux MOV или MP4 файлы возникает ощибка - "file:///home/user/............._2019-10-19_0001.MOV" does not exist" - в трее пропал буфер Cliplt - в трее перестал работать погодный индикатор и т.д. и т.п. Это только навскидку, на что теперь натыкаюсь каждый день, на самом деле накопившихся "неустанным трудом" разрабов косяков намного больше. То, что они якобы улучшают, я в упор не вижу, зато прекрасно вижу, что они гробят. Ну и на кой хрен имне такие "обновления" ??
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Детский вопрос по обновлениям"	+/–
	Сообщение от Аноним (28), 04-Дек-19, 13:47
	Предполагаю, что эти косяки возникли не из-за обновлений, а из-за ошибок в настройках программ. Попробуйте с новым пользовательским профилем: если проблемы уйдут, то обновления не виноваты.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Детский вопрос по обновлениям"	+/–
	Сообщение от Anonim (??), 04-Дек-19, 18:51
	> Предполагаю, что эти косяки возникли не из-за обновлений, а из-за ошибок в > настройках программ. Попробуйте с новым пользовательским профилем: если проблемы уйдут, > то обновления не виноваты. Как раз не так: свежий финальный дистр работает нормально, а в обновленном сразу вылязят те же косяки. Более того - они "благополучно" переползли в новую мажорную версию - Debian-10. Вот что с такими криворукими надо делать??
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Детский вопрос по обновлениям"	+/–
	Сообщение от Licha Morada (?), 24-Окт-19, 01:34
	>> ... Его машина запросто может попытаться атаковать вашу. > Попытаться-то он может, только в этом и вопрос - как? > Как, если он переберет сканером все 0...65535 и наткнется на глухую стену > - ведь все входящие порты закрыты файрволом. Это хорошая мера, но эту модель угроз она закрывает не полностью. Например: Удалённо эксплуатируемая уязвимость в Linux-драйвере для чипов Realtek (https://www.opennet.me/opennews/art.shtml?num=51700). Апдейт ядра спасёт владельцев rtlwifi. >> 2. Безобидная картинка, или ПДФка, или документ который вы скачали из Интернет или принесли на флешке,.... > Этот способ угрозы понятен, но он опасен больше всего для Windows. > Речь же идет о Linux - много ли для него существует подобных > эксплоитов и т.п.? Я предположу, что Windows стрёмнее в этом плане. Но не надо полагать что Linux абсолютно защищён. Например: Уязвимость в медиапроигрывателе VLC (https://www.opennet.me/opennews/art.shtml?num=51161). Апдейт пакетов спасёт пользователей VLC 3.0.7.1. >> По моим наблюденям, это происходит тем чаще, чем экзотичнее (с точки зрения системы) запросы у пользователя. Мне помогает держаться ближе к дефолтам. > Но вот только от криворуких разрабов это не спасает - чем дольше > времени проходит, тем больше система нахватается их кривых обновлений, и тем > больше начинает хромать система. > Вот я призадумался - на кой фиг эти "обновления", если они одни > косяки удаляют, а новые прибавляют? Действительно, модель "все козлы" позволяет предсказывать события в нашем несовершенном мире точнее чем хотелось бы. К сожалению, планировать что-то конструктивное по ней очень трудно. Случаи бывают очень разные, общего ответа на вопрос "обновлять или нет" я дать не возьмусь. Но для этого конкретного примера, соображения которые я привёл существенны. IMHO.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору

4. "Детский вопрос по обновлениям"	+/–
Сообщение от Аноним (5), 24-Окт-19, 00:31
>[оверквотинг удален] > а на старый им уже наплевать. > Вот я и подумал - а нужно ли вообще обновлять десктоп, который > защищен роутером, если начальная финальная версия дистра своей работой меня вполне > устраивает, а эти "обновления с косяками" мне совершенно до лампочки? > Да, браузеры и некоторые веб-зависимые приложения обновлять таки придется, но вот саму > систему, ядра, systemd, и т.д., и т.п. - так ли уж > обязательно ее обновлять? > Ведь все изначально нормально работает, но стоит несколько раз обновиться, как обязательно > во что-то вляпаешься. > Причем навсегда :( На локалхосте за натом риск еще выше за счет возможности эксплуатации изнутри (из браузера, из офисного пакета, из pdf-просмотровщика, и так далее).
Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Детский вопрос по обновлениям"	+/–
Сообщение от cool29 (?), 24-Окт-19, 16:09
>[оверквотинг удален] > а на старый им уже наплевать. > Вот я и подумал - а нужно ли вообще обновлять десктоп, который > защищен роутером, если начальная финальная версия дистра своей работой меня вполне > устраивает, а эти "обновления с косяками" мне совершенно до лампочки? > Да, браузеры и некоторые веб-зависимые приложения обновлять таки придется, но вот саму > систему, ядра, systemd, и т.д., и т.п. - так ли уж > обязательно ее обновлять? > Ведь все изначально нормально работает, но стоит несколько раз обновиться, как обязательно > во что-то вляпаешься. > Причем навсегда :( По моим наблюдениям обновляться лучше чем чаще тем лучше. Запускаю такую вот строку на ubuntu 18/04 два раза в день: sudo apt update && sudo apt full-upgrade && sudo apt autoremove -y за 1.5 года систему переставлял 5 раз. Да linux тоже умирает, причем неожиданно. Один раз у меня такое было. Да косяки бывают при обновлениях. (Наверно кроме debian stable). поэтому я делаю резервное копирование файлов, два-три раза в день на отдельный съемный диск. И все серьезные проблемы решаю переустановкой (у меня это занимает минут 40). Т.е. я к тому что не важно что вы делаете на своем компьютере. Важно то что он может умереть в любой момент (я имею в виду программную среду) и важно лишь время которое вы затратите на восстановление.
Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Детский вопрос по обновлениям"	+/–
	Сообщение от Шилов (?), 24-Окт-19, 18:50
	Хм, отвечал Анониму, и мое сообщение ушло наверх и вряд ли кому видно, поэтому вынужден повторить его: Как же неизвестны, если они лежат на поверхности и видны невооруженным глазом? Когда только поставил вышедший финальный Debian 9.0, в нем всё работало как часы. Прошло всего два года с небольшим, и после этих "чудо-обновлений" имею: - отвалилось автомонтирование всех моих смарфонов, телефонов, планшетов, вместо которого выскакивает совершенно невообразимая ошибка; - при попытке открыть по правому клику картинку в mtPaint выскакивает чрезвычайно информативная ошибка - "Невозможно открыть файл" - при попытке открыть по правому клику в Avidemux MOV или MP4 файлы возникает ощибка - "file:///home/user/............._2019-10-19_0001.MOV" does not exist" - в трее пропал буфер Cliplt - в трее перестал работать погодный индикатор и т.д. и т.п. Это только навскидку, на что теперь натыкаюсь каждый день, на самом деле накопившихся "неустанным трудом" разрабов косяков намного больше, некогда вести учет. То, что они якобы улучшают, я в упор не вижу, зато прекрасно вижу, что они гробят. Ну и на кой хрен мне нужны такие "обновления" ??
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Детский вопрос по обновлениям"	+/–
	Сообщение от cool29 (?), 24-Окт-19, 21:32
	>[оверквотинг удален] > файлы возникает ощибка - "file:///home/user/............._2019-10-19_0001.MOV" does > not exist" > - в трее пропал буфер Cliplt > - в трее перестал работать погодный индикатор > и т.д. и т.п. > Это только навскидку, на что теперь натыкаюсь каждый день, на самом деле > накопившихся "неустанным трудом" разрабов косяков намного больше, некогда вести учет. > То, что они якобы улучшают, я в упор не вижу, зато прекрасно > вижу, что они гробят. > Ну и на кой хрен мне нужны такие "обновления" ?? Гм.., ну тогда хотя бы браузеры обновляйте их можно через snap ставить. Snap можно и в debian поставить. А так если вы ничего ценного на компе не храните (ну там логины от клиент-банков, ксерокопии паспортов и т.д.) то я думаю ничего страшного не случиться. Тут ведь проблема в том что вас ломанет автобот и сопрет че-нибудь ценное. А у вас все как работало так и работать будет. Просто скажем доступ к файлам компа будет не только у Вас но и у половины интернета. И таки да. Не забываем что если вы пользуетесь linux то вероятность взлома со стороны ботов, у вас гораздо выше чем на windows, так как в сущности ваш комп ничем ни отличаеться от милионов серверов (!!!) в интернете, которые автоботы пытаються взломать в авторежиме. Поэтому linux желательно обновлять, в отличие от windows. И кстати никакой nat вас не защитит, так как скорее всего ваш роутер уже давным давно взломан (вы же вероятно заняты чем-то важным и соответственно прошивку роутера вам обновлять некогда). А файрволл на вашем локалхост, соответственно не активирован (а зачем если вы за натом). В общем я не удивлюсь, если ваши персональные данные(включая фото) уже давным давно используются для развода извращенцев на бабки на сайтах гей-знакомств
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Детский вопрос по обновлениям"	+/–
	Сообщение от Шилов (?), 24-Окт-19, 21:44
	Ну, вы тут явно сгустили краски :) И оставьте, пожалуйста, в покое этот несчастный NAT, я его так, к слову упомянул, и теперь жалею. Есть файрвол! Как на Дебе, так и на роутре - неужто мало? > Поэтому linux желательно обновлять, в отличие от windows. Вы тут ничего не перепутали, не? Linux надо чаще обновлять, чем Windows?? Это явно что-то новенькое! :) Как и сомнительное. > И таки да. Не забываем что если вы пользуетесь linux то вероятность взлома со стороны ботов, у вас гораздо выше чем на windows, так как в сущности ваш комп ничем ни отличаеться от милионов серверов (!!!) в интернете Опять непонятное и загадочное... Мой комп радикально отличается от "милионов серверов (!!!) в интернете" тем, что он сидит за роутером со своим файрволом. А сервера в интернете увы, такого счастия лишены ;(
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Детский вопрос по обновлениям"	+/–
	Сообщение от cool29 (?), 24-Окт-19, 22:36
	>[оверквотинг удален] > И оставьте, пожалуйста, в покое этот несчастный NAT, я его так, > к слову упомянул, и теперь жалею. > Есть файрвол! Как на Дебе, так и на роутре - неужто мало? >> Поэтому linux желательно обновлять, в отличие от windows. > Вы тут ничего не перепутали, не? Linux надо чаще обновлять, чем Windows?? > Это явно что-то новенькое! :) Как и сомнительное. >> И таки да. Не забываем что если вы пользуетесь linux то вероятность взлома со стороны ботов, у вас гораздо выше чем на windows, так как в сущности ваш комп ничем ни отличаеться от милионов серверов (!!!) в интернете > Опять непонятное и загадочное... Мой комп радикально отличается от "милионов серверов (!!!) > в интернете" тем, что он сидит за роутером со своим файрволом. > А сервера в интернете увы, такого счастия лишены ;( Ну так вы же его не обновляете :) Я про файрволл на дебе. А прошивку на роутере давно обновляли? А вы можете гарантировать, что ваш роутер уже не взломан?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Детский вопрос по обновлениям"	+/–
	Сообщение от cool29 (?), 24-Окт-19, 22:38
	>[оверквотинг удален] >> Вы тут ничего не перепутали, не? Linux надо чаще обновлять, чем Windows?? >> Это явно что-то новенькое! :) Как и сомнительное. >>> И таки да. Не забываем что если вы пользуетесь linux то вероятность взлома со стороны ботов, у вас гораздо выше чем на windows, так как в сущности ваш комп ничем ни отличаеться от милионов серверов (!!!) в интернете >> Опять непонятное и загадочное... Мой комп радикально отличается от "милионов серверов (!!!) >> в интернете" тем, что он сидит за роутером со своим файрволом. >> А сервера в интернете увы, такого счастия лишены ;( > Ну так вы же его не обновляете :) > Я про файрволл на дебе. > А прошивку на роутере давно обновляли? > А вы можете гарантировать, что ваш роутер уже не взломан? И да сервер понятие растяжимое. Ваш роутер это и есть сервер который видно из интернета.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Детский вопрос по обновлениям"	+/–
	Сообщение от Шилов (?), 24-Окт-19, 23:15
	> Ну так вы же его не обновляете :) > Я про файрволл на дебе. А чего его обновлять? (с) Его есть надо! :) (из анекдота). > А прошивку на роутере давно обновляли? > А вы можете гарантировать, что ваш роутер уже не взломан? Разумеется, обновляю, и гарантирую, т.е. рассчитываю именно на то, что роутер не взломан, иначе нет смысла говорить о необходимости (или наоборот) обновлений. > И да сервер понятие растяжимое. Ваш роутер это и есть сервер который > видно из интернета. Фирмам, которые производят роутеры, элементарно сделать его невзламываемым - для этого достаточно было поставить перемычку - "Прошивка/Работа в режиме ReadOnly", но им лень. Ладно, это уже несколько другая тема, а я веду к тому, что 1-й бастион защиты, т.е. роутер, будем считать невзламыевым. Иными словами, "Жена Цезаря вне подозрений" ;)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Детский вопрос по обновлениям"	+/–
	Сообщение от cool29 (?), 24-Окт-19, 23:49
	> Фирмам, которые производят роутеры, элементарно сделать его невзламываемым - для этого > достаточно было поставить перемычку - "Прошивка/Работа в режиме ReadOnly", но им > лень. Хто сказал что это поможет? Ну не сможет он сохранить взломанную конигурацию. Ну так роутеры месяцами работают без перезагрузки. > Ладно, это уже несколько другая тема, а я веду к тому, что > 1-й бастион защиты, т.е. роутер, будем считать невзламываемым. > Иными словами, "Жена Цезаря вне подозрений" ;) Уля-ля. Ни разу не видел женщину, которая не изменяла) Потому и не женюсь) Вот как раз потому, что вы считаете свой роутер невзламываемым, он в первую очередь должен быть под подозрением. Это же в сути обычный комп, просто с маленькой памятью и слабым процессором. А теперь смотрите: на роутер прошивки выходят раз в несколько месяцев, причем на старые модели обычно забивают. т.е. если у вас в ядре на роутере уязвимость, закроют ее скорее всего через несколько месяцев. На Debian и Ubuntu уязвимости закрывают обычно в течении суток. Ну так вот если ваш роутер подвержен не закрытой уязвимости, он взламываеться за несколько минут. И зависит это лишь от того обратит ли бот внимание на внешний ip вашего роутера или нет. Т.е. достаточно лишь одной дырки. После того как бот взломает роутер и установит на него свою копию, все члены внутренней сети будут взломаны в течении нескольких минут, если конечно на них не установлены последние обновления безопастности. Запомните никакие настройки фаервола не спасут вас от ситуации когда в силу ошибок в ядре или драйвере, любой пакет попавший на ваш сетевой интерфейс превращаеться в исполняемый код с root правами. Только обновления безопастности закрывающую данную ошибку.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Детский вопрос по обновлениям"	+/–
	Сообщение от Шилов (?), 25-Окт-19, 00:40
	> Хто сказал что это поможет? Ну не сможет он сохранить взломанную конигурацию. В смысле? Я имел в виду, что чистую прошивку записать во флеш-память и запереть ее с упомянутой перемычкой, или вообще записать его в тупое ПЗУ - ну и как его взломать? > Уля-ля. Ни разу не видел женщину, которая не изменяла) Потому и не женюсь) Шекспира как-то спросили: - Какие женщины меньше изменяют - брюнетки или блондинки? Он ответил: - Седые! Так что у вас есть еще шанс! :))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Детский вопрос по обновлениям"	+/–
	Сообщение от cool29 (?), 25-Окт-19, 01:25
	>> Хто сказал что это поможет? Ну не сможет он сохранить взломанную конигурацию. > В смысле? Я имел в виду, что чистую прошивку записать во > флеш-память и запереть ее с упомянутой перемычкой, или вообще записать его > в тупое ПЗУ - ну и как его взломать? Ну так ПЗУ же readOnly, а не ОЗУ. Любой пакет попадает сначала на внешний интерфейс, затем копируется в буфер, который обычно находится в ОЗУ, далее этот буфер анализируется ПО роутера и затем пакеты либо отбрасываеться, либо передаеться получателю путем их копирования на другой интерфейс. Проблема в том что при уязвимостях, специальным образом сформированная группа пакетов может непредусмотренным образом перенестись из собственно буфера в область памяти какого либо процесса (иногда даже ядра) и выполнить свое тело в качестве исполняемого кода с root правами, что позволит создать новый процесс который займеться скачкой дополнительного кода с удаленного сервера и собственно его запуска. Невозможность же записи данного кода в ПЗУ, не означает невозможности его исполнения в текущем сеансе работы устройства. Если же вы подразумеваете ОЗУ readOnly, ну я не слышал про такое. Какая та часть все равно должна быть доступна для записи,а значит там всегда могут быть данные сформированные таким образом, чтобы превратить себя в исполняемый процесс в результате ошибок в ПО роутера. Хотя наверно правильно сказать что: ПО роутера ,в результате наличия ошибок, превращает входящие данные(специальным образом сформированные пакеты) в испоняемый код с root правами (хотя не всегда наверно нужен и root доступ, вполне достаточно и доступа к сетевым интерфейсам). В общем любой роутер это всегда необновленный вовремя linux, выставленный голой попой в интернет. Как не странно даже если его прошивка обновлена до последней версии, он всегда более уязвим, чем компьютер с debian на котором установлены последние обновления.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Детский вопрос по обновлениям"	+/–
	Сообщение от Шилов (?), 25-Окт-19, 02:35
	> Ну так ПЗУ же readOnly, а не ОЗУ. Об ОЗУ и речи не было, она шла о флеш-памяти, "запертой" специальной перемычкой, которая в этом случае ведет себя как настоящее ПЗУ. Такая раньше часто встречалась на материнках компьютеров для защиты BIOS, но потом ее, как и все полезное, перестали ставить. Ну или речь о ПЗУ. А в целом вы меня, пожалуй, убедили в том, что Linux благодаря свои частым обновлениям должен быть менее уязвимым, чем роутер, о котором производители обычно быстро забывают. Вот если бы еще эти обновления делались корректно, а не не через пень-колоду под пьяную руку или обкуренный моск...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Детский вопрос по обновлениям"	+/–
	Сообщение от Шилов (?), 25-Окт-19, 18:21
	Спасибо за познавательную лекцию! :)
	Ответить \| Правка \| Наверх \| Cообщить модератору

22. "Детский вопрос по обновлениям"	+/–
Сообщение от Аноним (22), 26-Окт-19, 18:51
>NAT >защита это так не работает, если у вас есть любые сервисы доступные извне (те же торренты), вам стоит ожидать, что их взломают и вероятность этого события намного выше со старыми версиями. сопутствующие необновлённые части системы будут использованы с теми же целями захвата контроля. >роутер взломают первым вообще не напрягаясь, а дальше заразят всё до чего доберутся. >отвалится дистропроблемы >косяки дистропроблемы >защищен роутером нет и ещё раз нет >браузеры и некоторые веб любые дыры в любом софте и библиотеках будут использованы
Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Детский вопрос по обновлениям"	+/–
	Сообщение от Шилов (?), 29-Окт-19, 20:15
	Застращали вы меня взломом роутера :) Отсюда возникала некая идея - использовать некий маячок, индикатор, и возможно, уже есть такой готовый? Начну издалека. Когда роутеров "в коробке" еще не было, только самодельные на "старом компе", приходилось выходить в Инете без защиты, напрямую, тогда был еще ADSL. Пользовался тогда Мандривой 2008, и в ней запомнилась такая классная фича: - если кто-то извне пытался проникнуть в комп, в трее сразу всплывало предупреждающее окошко с указанием IP хакера и портов, которые он подбирает. К сожалению, в новых версиях эту фичу убрали, а в других дистрах вообще такой не видел. Может, есть такая же отдельная утилита? Она бы мгновенно предупредила, если роутер взломали, или на каком-то компе в локалке завелся троянчик. Да, конечно,попытки взлома можно посмотреть в логах, но это происходит не в риалтайме - месяц назад тихо взломали, а сегодня только обнаружил. Нужна мгновенная реакция.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Детский вопрос по обновлениям"	+/–
	Сообщение от Licha Morada (ok), 29-Окт-19, 22:58
	> Застращали вы меня взломом роутера :) > Отсюда возникала некая идея - использовать некий маячок, индикатор, и возможно, уже > есть такой готовый? Обычно такая задача решается мониторингом. Маячок появляется на экране (дашборде) у операторов NOC, и/или высылается кому надо в форме алерта. > Пользовался тогда Мандривой 2008, и в ней запомнилась такая классная фича: > - если кто-то извне пытался проникнуть в комп, в трее сразу всплывало > предупреждающее окошко с указанием IP хакера и портов, которые он подбирает. Звучит симпатитчно, но не практично. Ну, показали нам значёк, что теперь, всё бросать и бежать переписывать IP и порты в правила файерволла? > Да, конечно,попытки взлома можно посмотреть в логах, но это происходит не в > риалтайме - месяц назад тихо взломали, а сегодня только обнаружил. > Нужна мгновенная реакция. Наилучшее приближение к мнгновенной реакции будет у автоматизированной системы. В которой, в общем случае, необходимо описать критериии "на что реагировать" и конкретно "как реагировать". И, да, держать эту автоматизированную систему на поддержке, что не халявно. Если отмасштабировать решение "вниз", то я бы рекомендовал настроить на роутере какой-нибудь механизм типа fail2ban, чтоб он заносил брутфорсеров в чёрный список сам, после малого количества попыток. И чем-нибудь следить, чтобы не заблокировать кого-то нужного по ошибке. Например, у меня UptimeRobot периодически выбивается из ожидаемого паттерна и ловит бан. Кроме того, можно слать логи по syslog на что-нибудь помощнее на обработку, если обнаружили что-то нехорошее, то генерировать алерт администратору. Когда тот придёт/проснётся, посмотрит сразу в нужное место. Для масштаба home-office должно быть уже приемлемо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Детский вопрос по обновлениям"	+/–
	Сообщение от Шилов (?), 09-Ноя-19, 02:17
	Licha Morada: Обдумал ваши предложения. Да, они хороши для какой-нибудь корпоративной сети компании, которая может многое себе позволить из оборудования и софта. У меня же ситуация намного проще: Роутер --> Компьютер --> Юзер и бороться с попытками и вторжениями таким корпоративным подходом все равно что как из пушки по воробьям. Попробую вариант попроще: установлю ESET. В версии для Windows в нем есть встроенный диалоговый файрвол, который фиксирует в REAL-TIME как внешние попытки вторжения, так и внутренние попытки вырваться наружу. Не знаю пока лишь, реализован ли такой файрвол в их Linux-версии.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Детский вопрос по обновлениям"	+/–
	Сообщение от Licha Morada (ok), 09-Ноя-19, 03:15
	> Попробую вариант попроще: установлю ESET. > В версии для Windows в нем есть встроенный диалоговый файрвол, который фиксирует > в REAL-TIME как внешние попытки вторжения, так и внутренние попытки вырваться > наружу. > Не знаю пока лишь, реализован ли такой файрвол в их Linux-версии. Дело хозяйское. Я бы ещё порекомендовал поискать по словам "linux personal firewall". Там должно быть достаточно разнообразно, от конфигурялок iptables для мышевозов, до виндовсоподобных всплывающих окон, которые ловят за руку софт, лезующий за апдейтами в обход системного менеджера пакетов.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Детский вопрос по обновлениям"	+/–
	Сообщение от Шилов (?), 09-Ноя-19, 06:08
	> Я бы ещё порекомендовал поискать по словам "linux personal firewall". Там должно > быть достаточно разнообразно, от конфигурялок iptables для мышевозов, до виндовсоподобных > всплывающих окон, которые ловят за руку софт, лезующий за апдейтами в > обход системного менеджера пакетов. Да, спасибо, именно всплывающие в риалтайме окна как раз мне и нужны, как (повторюсь) в Mandriva 2008, или в ESET. Однако вряд ли их найду на английском, и так уже несколько лет потихоньку почитываю обзоры на русском, но они туда, похоже, не попадают. Видимо, никому не нужны, всех устраивают обычные логи или лог-серверы, а жаль :(
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Детский вопрос по обновлениям"	+/–
	Сообщение от Шилов (?), 19-Апр-20, 13:35
	Ну вот, блин, и дообновлялся :( Сначала, после какого-то обновления, перестал распознаваться как диск планшет. Затем, после очередного обновления, старый смартфон. Затем еще один смартфон, довольно новый. Вот нафига такие "обновления"?? А вчера вокнул в USB свой старый добрый WiFi-свисток TP-WN722, который раньше прекрасно работал и показывал в трее список доступных сетей. Но сейчас, не знаю после какого очередного обновления до Debian 9.12 - фигушки! Ни сетей не показывает, ни фига, только по lsusb распознается как Bus 003 Device 003: ID 0cf3:9271 Qualcomm Atheros Communications AR9271 802.11n но по iwconfig ничего не находит. Ну и что теперь делать после таких "чудо-обновлений"?...
	Ответить \| Правка \| Наверх \| Cообщить модератору