[Comm] Security hole in X (KDE)

[Comm] Security hole in X (KDE)

[Vyatcheslav Perevalov]

1. Грузимся в runlevel 3
2. Логинимся как user1
3. startx
4. работаем в X, при необходимости отлучиться - блокируем экран
5. к машине подходит user2, видит что экран заблокирован
6. путём перебора Ctrl-Alt-[F1-F6] находит консоль, с которой запущены X
7. Ctrl-C
8. Вуаля. Делаем с данными user1 всё, что нам позволит наша совесть.

Просьба подтвердить или опровергнуть.
-- 
Всего хорошего
		/vip

Re: [Comm] Security hole in X (KDE)

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 348 bytes --]

Twas brillig at 14:27:17 09.03.2008 UTC+06 when Vyatcheslav Perevalov did gyre and gimble:

 VP> Просьба подтвердить или опровергнуть.

Опровергаю: это не security hole в X, это hole в голове user1.

ps: exec startx спасёт отца русской демократии.

-- 

[-- Attachment #2: Type: application/pgp-signature, Size: 188 bytes --]

Re: [Comm] Security hole in X (KDE)

[Eugene Ostapets]

09.03.08, Vyatcheslav Perevalov<vip0 seversk.ru> написал(а):
>  3. startx
Сам дурак.
3. startx &
4. logout
>
>  Просьба подтвердить или опровергнуть.

-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [Comm] Security hole in X (KDE)

[Хихин Руслан]

[-- Attachment #1: Type: text/plain, Size: 407 bytes --]

Здравствуйте Vyatcheslav Perevalov
  В сообщении от 9 марта 2008 Vyatcheslav Perevalov написал(a):
 > Просьба подтвердить или опровергнуть.

Это в любом xorg так, если не запрещено в xorg выполнение  ctrl+FN (и 
ctrl+backspace). 

-- 
  А ещё говорят так  (fortune):
 
PРH pbbyre - vg znxrf lbhe PРH pbby!  

________________________________________________________________________
С уважением Хихин Руслан

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Security hole in X (KDE)

[Vyatcheslav Perevalov]

В сообщении от 9 марта 2008 Хихин Руслан написал(a):
> Это в любом xorg так, если не запрещено в xorg выполнение  ctrl+FN (и
> ctrl+backspace).

Чем именно это запрещать?

-- 
Всего хорошего
		/vip

Re: [Comm] Security hole in X (KDE)

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 338 bytes --]

Twas brillig at 15:01:12 09.03.2008 UTC+06 when Vyatcheslav Perevalov did gyre and gimble:

 VP> Чем именно это запрещать?

В man xorg.conf рассказано. Но это костыль - всегда найдётся ещё
пара-тройка способов переключиться на vt.

-- 

[-- Attachment #2: Type: application/pgp-signature, Size: 188 bytes --]

Re: [Comm] Security hole in X (KDE)

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 771 bytes --]

* Vyatcheslav Perevalov <vip0@> [080309 11:37]:
> 1. Грузимся в runlevel 3
А можно загрузиться в runlevel 5.

> 2. Логинимся как user1
> 3. startx
> 4. работаем в X, при необходимости отлучиться - блокируем экран
"путём перебора Ctrl-Alt-[F1-F6]" находим свободную консоль,
логинимся и делаем vlock -a.

> 5. к машине подходит user2, видит что экран заблокирован
> 6. путём перебора Ctrl-Alt-[F1-F6] находит консоль, с которой запущены X
Это отключаемо.  А ещё он может C-A-BS нажать.

> 7. Ctrl-C
> 8. Вуаля. Делаем с данными user1 всё, что нам позволит наша совесть.

> Просьба подтвердить или опровергнуть.
Ну а вы чего хотели?  Все гуёвые скринлокеры блокируют только
$DISPLAY, виртуальные консоли это не их проблема.

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Security hole in X (KDE)

[Хихин Руслан]

[-- Attachment #1: Type: text/plain, Size: 1560 bytes --]

Здравствуйте Mikhail Gusarov
  В сообщении от 9 марта 2008 Mikhail Gusarov написал(a):
 > В man xorg.conf рассказано. 
SERVERFLAGS SECTION
.......
 Option "DontVTSwitch"  "boolean"
    This disallows the use of the  Ctrl+Alt+Fn  sequence  (where  Fn
    refers  to one of the numbered function keys).  That sequence is
    normally used to switch to another "virtual terminal" on operat-
    ing  systems  that  have  this  feature.   When  this  option is
    enabled, that key sequence has no special meaning and is  passed
    to clients.  Default: off.
 Option "DontZap"  "boolean"
    This disallows the use of the Ctrl+Alt+Backspace sequence.  That
    sequence is normally used to terminate the  Xorg  server.   When
    this option is enabled, that key sequence has no special meaning
    and is passed to clients.  Default: off.
..........
 Option "VTSysReq"  "boolean"
   enables the SYSV-style VT switch sequence for  non-SYSV  systems
   which support VT switching.  This sequence is Alt-SysRq followed
   by a function key (Fn).  This prevents the Xorg server  trapping
   the  keys  used  for the default VT switch sequence, which means
   that clients can access them.  Default: off.


 > Но это костыль - всегда найдётся ещё 
 > пара-тройка способов переключиться на vt.
Не то, что-бы не верю, но не знаю не одного. :)

-- 
  А ещё говорят так  (fortune):
 
- Что делает системный администратор, проснувшись с похмелья? - 
Тестирует память...  

________________________________________________________________________
С уважением Хихин Руслан

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Security hole in X (KDE)

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 453 bytes --]

Twas brillig at 14:06:19 09.03.2008 UTC+03 when Хихин Руслан did gyre and gimble:

 >> Но это костыль - всегда найдётся ещё пара-тройка способов
 >> переключиться на vt.
 ХР> Не то, что-бы не верю, но не знаю не одного. :)

Скажем так - я бы не полагался на отсутствие таких способо ;)

-- 

[-- Attachment #2: Type: application/pgp-signature, Size: 188 bytes --]

Re: [Comm] Security hole in X (KDE)

[Алексей Синицын]

09.03.08, Mikhail Gusarov<dottedmag@dottedmag.net> написал(а):
> Twas brillig at 14:06:19 09.03.2008 UTC+03 when Хихин Руслан did gyre and gimble:
>
>
>   >> Но это костыль - всегда найдётся ещё пара-тройка способов
>   >> переключиться на vt.
>
>  ХР> Не то, что-бы не верю, но не знаю не одного. :)
>
>  Скажем так - я бы не полагался на отсутствие таких способо ;)
>
>

 Ну и вызывать, при таких проблемах: startx;exit .

 Для надежности, на startx прописать алиас.

Re: [Comm] Security hole in X (KDE)

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 289 bytes --]

Twas brillig at 22:48:49 09.03.2008 UTC+03 when Алексей Синицын did gyre and gimble:

 АС>  Ну и вызывать, при таких проблемах: startx;exit .

При таких проблемах лучше использовать xdm/wdm/kdm/gdm.

-- 

[-- Attachment #2: Type: application/pgp-signature, Size: 188 bytes --]

Re: [Comm] Security hole in X (KDE)

[Алексей Синицын]

2008/3/9, Mikhail Gusarov <dottedmag@dottedmag.net>:
> Twas brillig at 22:48:49 09.03.2008 UTC+03 when Алексей Синицын did gyre and gimble:
>
>   АС>  Ну и вызывать, при таких проблемах: startx;exit .
>
>  При таких проблемах лучше использовать xdm/wdm/kdm/gdm.
>

 В исходной постановке задачи фигурировал runlevel 3.  Может быть это
зачем-то так надо человеку.

Re: [Comm] Security hole in X (KDE)

[Michael Shigorin]

On Sun, Mar 09, 2008 at 11:00:44PM +0300, Алексей Синицын wrote:
> >   АС>  Ну и вызывать, при таких проблемах: startx;exit .
> >  При таких проблемах лучше использовать xdm/wdm/kdm/gdm.
> В исходной постановке задачи фигурировал runlevel 3.
> Может быть это зачем-то так надо человеку.

Это неверная постановка задачи; общеизвестно, что при
необходимости уменьшить вероятность подобных неприятностей
_показано_ использование display manager.

Хотя и в runlevel 3 его можно запускать, конечно. :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Security hole in X (KDE)

[Andrei Lomov]

Vyatcheslav Perevalov wrote:

> В сообщении от 9 марта 2008 Хихин Руслан написал(a):
>> Это в любом xorg так, если не запрещено в xorg выполнение  ctrl+FN (и
>> ctrl+backspace).
> 
> Чем именно это запрещать?
> 

Используйте 
$ vlock -a 
в консоли

-- 
Всего доброго,
А.Л.

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/9 Vyatcheslav Perevalov <vip0@seversk.ru>:
> 1. Грузимся в runlevel 3
>  2. Логинимся как user1
>  3. startx
>  4. работаем в X, при необходимости отлучиться - блокируем экран
>  5. к машине подходит user2, видит что экран заблокирован
>  6. путём перебора Ctrl-Alt-[F1-F6] находит консоль, с которой запущены X
>  7. Ctrl-C
>  8. Вуаля. Делаем с данными user1 всё, что нам позволит наша совесть.
>
>  Просьба подтвердить или опровергнуть.

Так и есть.

2008/3/10 Andrei Lomov <lomov@math.nsc.ru>:
> Vyatcheslav Perevalov wrote:
>
>  > В сообщении от 9 марта 2008 Хихин Руслан написал(a):
>  >> Это в любом xorg так, если не запрещено в xorg выполнение  ctrl+FN (и
>  >> ctrl+backspace).
>  >
>  > Чем именно это запрещать?
>  >
>
>  Используйте
>  $ vlock -a
>  в консоли

Простите, в какой консоли?

Вот Konsole: $ vlock -a
This tty (pts/1) is not a virtual console.
The entire console display cannot be locked.

Так как оставить машину спокойно работать? Тоже гружусь в init 3.

Re: [Comm] Security hole in X (KDE)

[Хихин Руслан]

[-- Attachment #1: Type: text/plain, Size: 365 bytes --]

Здравствуйте ALT Linux User
  В сообщении от 10 марта 2008 ALT Linux User написал(a):
 > Так как оставить машину спокойно работать? Тоже гружусь в init 3

Прописать ключи в xorg

-- 
  А ещё говорят так  (fortune):
 
Death is Nature's way of recycling human beings. 
________________________________________________________________________
С уважением Хихин Руслан

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/10 Хихин Руслан <hihin@rambler.ru>:
> Здравствуйте ALT Linux User
>  В сообщении от 10 марта 2008 ALT Linux User написал(a):
>  > Так как оставить машину спокойно работать? Тоже гружусь в init 3
>
> Прописать ключи в xorg

Как-то не хочется запрещать открытие новых консолей...

А нельзя как-то сделать по-человечески, что бы всё же, если уж сессия
блокирована, то сначала спрашивать пароль, а уж потом разрешать всякие
сочетания клавиш?

Re: [Comm] Security hole in X (KDE)

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 418 bytes --]

Twas brillig at 13:54:02 10.03.2008 UTC+03 when ALT Linux User did gyre and gimble:

 ALU> А нельзя как-то сделать по-человечески, что бы всё же, если уж сессия
 ALU> блокирована, то сначала спрашивать пароль, а уж потом разрешать всякие
 ALU> сочетания клавиш?

vim source.c

-- 

[-- Attachment #2: Type: application/pgp-signature, Size: 188 bytes --]

Re: [Comm] Security hole in X (KDE)

[Michael Shigorin]

On Mon, Mar 10, 2008 at 01:54:02PM +0300, ALT Linux User wrote:
> А нельзя как-то сделать по-человечески, что бы всё же, если уж
> сессия блокирована, то сначала спрашивать пароль, а уж потом
> разрешать всякие сочетания клавиш?

Не уверен, что X-сервер "в курсе", что сессия блокирована.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Security hole in X (KDE)

[Андрей Черепанов]

9 марта 2008 Vyatcheslav Perevalov написал:
> 1. Грузимся в runlevel 3
> 2. Логинимся как user1
> 3. startx
> 4. работаем в X, при необходимости отлучиться - блокируем экран
> 5. к машине подходит user2, видит что экран заблокирован
> 6. путём перебора Ctrl-Alt-[F1-F6] находит консоль, с которой запущены X
> 7. Ctrl-C
> 8. Вуаля. Делаем с данными user1 всё, что нам позволит наша совесть.
>
> Просьба подтвердить или опровергнуть.
Подтверждаю то, что сам пользователь нашёл приключений на свою голову и не 
использовал dm, как рекомендуют специалисты по безопасности.


-- 
Андрей Черепанов
ALT Linux
cas@altlinux.ru

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/11 Андрей Черепанов <cas@altlinux.ru>:
> 9 марта 2008 Vyatcheslav Perevalov написал:
> > 1. Грузимся в runlevel 3
> > 2. Логинимся как user1
> > 3. startx
> > 4. работаем в X, при необходимости отлучиться - блокируем экран
> > 5. к машине подходит user2, видит что экран заблокирован
> > 6. путём перебора Ctrl-Alt-[F1-F6] находит консоль, с которой запущены X
> > 7. Ctrl-C
> > 8. Вуаля. Делаем с данными user1 всё, что нам позволит наша совесть.
> >
> > Просьба подтвердить или опровергнуть.
> Подтверждаю то, что сам пользователь нашёл приключений на свою голову и не
> использовал dm, как рекомендуют специалисты по безопасности.

IMHO это весьма спорный момент.
Во-первых, не надо требовать многого от пользователя - пользователь
этого, как известно, не любит.
Во-вторых, "рекомендации" по безопасности, если таковые нужны,
работают лучше, если уже "встроены" в систему, а не витают в воздухе в
виде неких "правил". Кстати, есть где-то эти рекомендации не грузится
в текстовую консоль в процессе установки ALD4? Понеже, анчекнул боксик
"грузиться в графический режим" и всё, безопасность и секъюрность
испарились?

IMHO довольно удобно НЕ грузиться в графический режим сразу. По многим
причинам. У меня дуалбут с оффтопиком и бывает несколько раз в день
приходится "скакать" туда-сюда. Чем меньше занимает загрузка - тем
душе приятнее, поскольку посмотреть-переписать пару файлов можно и в
консоли. Плюс, смотреть обновления - можно и в консоли. Плюс,
восстанавливать систему, настраивать систему, можно и в консоли. А
поскольку падает оно с завидной регулярностью - консоль частый гость
на наших голубых экранах.

Так что, с моей скромной точки зрения обыкновенного пользователя с
ограниченными знаниями и не очень прямыми руками, такая политика
взаимодействия икс-сервера и кедэе кажется простой дырой в
безопасности.

Re: [Comm] Security hole in X (KDE)

[Vyatcheslav Perevalov]

В сообщении от 11 марта 2008 ALT Linux User написал(a):
> > Подтверждаю то, что сам пользователь нашёл приключений на свою голову и
> > не использовал dm, как рекомендуют специалисты по безопасности.
>
> IMHO это весьма спорный момент.
> Во-первых, не надо требовать многого от пользователя - пользователь
> этого, как известно, не любит.

 ............................................................

>
> Так что, с моей скромной точки зрения обыкновенного пользователя с
> ограниченными знаниями и не очень прямыми руками, такая политика
> взаимодействия икс-сервера и кедэе кажется простой дырой в
> безопасности.

Слава Богу, хоть кто-то меня поддержал... а то сразу "Сам дурак", и т. д.

-- 
Всего хорошего
		/vip

Re: [Comm] Security hole in X (KDE)

[Ilis]

11.03.08, ALT Linux User<altlinux.mailbox@gmail.com> написал(а):
>
> Так что, с моей скромной точки зрения обыкновенного пользователя с
> ограниченными знаниями и не очень прямыми руками, такая политика
> взаимодействия икс-сервера и кедэе кажется простой дырой в
> безопасности.

Т.е. если при запуске иксов не блокируется текстовая консоль, то это дыра?
А где дыра, если user1 открыл вторую консоль, залогинился там, и,
например, заблокировал её и ушёл? Первая тоже должна автоматически
блокироваться?

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/11 Ilis <ilis.krou@gmail.com>:
> 11.03.08, ALT Linux User<altlinux.mailbox@gmail.com> написал(а):
> >
> > Так что, с моей скромной точки зрения обыкновенного пользователя с
> > ограниченными знаниями и не очень прямыми руками, такая политика
> > взаимодействия икс-сервера и кедэе кажется простой дырой в
> > безопасности.
>
> Т.е. если при запуске иксов не блокируется текстовая консоль, то это дыра?
> А где дыра, если user1 открыл вторую консоль, залогинился там, и,
> например, заблокировал её и ушёл? Первая тоже должна автоматически
> блокироваться?

IMHO это предмет для размышлений тех, кто отвечает за архитектуру
приложений/системы. Возможно, это должно настраиваться в GUI. Некое
нечто со вкладкой "безопасность". "Блокировать все сессии данного
пользователя при включении им кнопки "блокировка сессии"?" (извините,
не знаю как это называется в русской версии).

В любом случае, если я открыл сессию, её видно по $ w - я хотел бы,
что бы она блокировалась, пусть одна, если я явным образом сообщаю
приложению такую команду, пусть и через GUI. Механизм такой блокировки
безусловно обсуждаем, но не на уровне пользователя. Пользователь может
помочь с казуальным Quality Assurance, но никак ни с проектированием
внутренних зависимостей компонентов системы.

Re: [Comm] Security hole in X (KDE)

[Eugene Ostapets]

11.03.08, ALT Linux User<altlinux.mailbox gmail.com> написал(а):
> IMHO это предмет для размышлений тех, кто отвечает за архитектуру
>  приложений/системы. Возможно, это должно настраиваться в GUI. Некое
>  нечто со вкладкой "безопасность". "Блокировать все сессии данного
>  пользователя при включении им кнопки "блокировка сессии"?" (извините,
>  не знаю как это называется в русской версии).
Пользователю - runlevel 5 с xdm/gdm/kdm, если он считает себя крутым -
пусть думает головой!
Все необходимое для организации безопасного рабочего места в системе
есть, но только в KDE/Gnome/XFCE есть настройка из коробки "заботиться
о безопасности для новичков и включать блокировку сеанса по
таймауту"...

-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [Comm] Security hole in X (KDE)

[Denis Medvedev]

А бывает ли "текстовый" скринсейвер? 
Это бы решило вопрос.

-----Original Message-----
From: Ilis <ilis.krou@gmail.com>
To: "ALT Linux Community general discussions" <community@lists.altlinux.org>
Date: Tue, 11 Mar 2008 19:09:07 +0500
Subject: Re: [Comm] Security hole in X (KDE)

> 11.03.08, ALT Linux User<altlinux.mailbox@gmail.com> написал(а):
> >
> > Так что, с моей скромной точки зрения обыкновенного пользователя с
> > ограниченными знаниями и не очень прямыми руками, такая политика
> > взаимодействия икс-сервера и кедэе кажется простой дырой в
> > безопасности.
> 
> Т.е. если при запуске иксов не блокируется текстовая консоль, то это дыра?
> А где дыра, если user1 открыл вторую консоль, залогинился там, и,
> например, заблокировал её и ушёл? Первая тоже должна автоматически
> блокироваться?
> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/11 Eugene Ostapets <eostapets@gmail.com>:
> 11.03.08, ALT Linux User<altlinux.mailbox gmail.com> написал(а):
> > IMHO это предмет для размышлений тех, кто отвечает за архитектуру
> >  приложений/системы. Возможно, это должно настраиваться в GUI. Некое
> >  нечто со вкладкой "безопасность". "Блокировать все сессии данного
> >  пользователя при включении им кнопки "блокировка сессии"?" (извините,
> >  не знаю как это называется в русской версии).
> Пользователю - runlevel 5 с xdm/gdm/kdm, если он считает себя крутым -
> пусть думает головой!

Поскольку снятие галки "Загружаться в графическом режиме" - штатная
возможность инсталлятора системы, IMHO было бы здорово как-то
предупредить пользователя, что снимая галку он становится крут,
переходит в другую категорию. Возможно, даже будет вынужден думать
головой.

Скажите, пожалуйста, а возможно ли использование консольного
скринсейвера/локера в KDE? Может быть, если запустить xscreensaver, он
будет блокировать и KDE'ешную сессию?

Re: [Comm] Security hole in X (KDE)

[Алексей Синицын]

11.03.08, ALT Linux User<altlinux.mailbox@gmail.com> написал(а):
> 2008/3/11 Eugene Ostapets <eostapets@gmail.com>:
>
> > 11.03.08, ALT Linux User<altlinux.mailbox gmail.com> написал(а):
>  > > IMHO это предмет для размышлений тех, кто отвечает за архитектуру
>  > >  приложений/системы. Возможно, это должно настраиваться в GUI. Некое
>  > >  нечто со вкладкой "безопасность". "Блокировать все сессии данного
>  > >  пользователя при включении им кнопки "блокировка сессии"?" (извините,
>  > >  не знаю как это называется в русской версии).
>  > Пользователю - runlevel 5 с xdm/gdm/kdm, если он считает себя крутым -
>  > пусть думает головой!
>
>
> Поскольку снятие галки "Загружаться в графическом режиме" - штатная
>  возможность инсталлятора системы, IMHO было бы здорово как-то
>  предупредить пользователя, что снимая галку он становится крут,
>  переходит в другую категорию. Возможно, даже будет вынужден думать
>  головой.
>
>  Скажите, пожалуйста, а возможно ли использование консольного
>  скринсейвера/локера в KDE? Может быть, если запустить xscreensaver, он
>  будет блокировать и KDE'ешную сессию?
>


21:54 al@wind ~ $ apt-cache search lock|grep cons
consolelocker - Daemon for lock console terminal and virtual consoles.
tinycdb - A package for maintenance of constant databases
vim-console - A terminal-based, full-featured version of the VIM editor
vlock - A program which locks one or more virtual consoles
xtdesktop-plugins - Small utility for creating desktop icons
21:55 al@wind ~ $

С одной стороны действительно, Xdm для данной задачи, но с другой
стороны, так-же действительно, если есть возможность устанавливать 3
runlevel то нужно наверно и это предупреждение (omg, это сколько
предупрежденией нужно "внимание, нажмая эту пипку Вы будете вынуждены
блокировать компьютер самостоятельно, блаблабла"). Может просто
спрятать третий runlevel подальше?

Re: [Comm] Security hole in X (KDE)

[Алексей Синицын]

11.03.08, Алексей Синицын<asinitsinster@gmail.com> написал(а):

>  С одной стороны действительно, Xdm для данной задачи, но с другой
>  стороны, так-же действительно, если есть возможность устанавливать 3
>  runlevel то нужно наверно и это предупреждение (omg, это сколько
>  предупрежденией нужно "внимание, нажмая эту пипку Вы будете вынуждены
>  блокировать компьютер самостоятельно, блаблабла"). Может просто
>  спрятать третий runlevel подальше?
>

Кстати задумался.

Какая такая причина может потребовать третий ранлевел и стартикс?

Если нужны иксы, то почему не dm? Если иксы тяжелы то достаточно много
есть консольного ПО.

Мое мнение - понты.

Re: [Comm] Security hole in X (KDE) -- not

[Michael Shigorin]

On Tue, Mar 11, 2008 at 04:41:56PM +0300, ALT Linux User wrote:
> > Подтверждаю то, что сам пользователь нашёл приключений на
> > свою голову и не использовал dm, как рекомендуют специалисты
> > по безопасности.
> IMHO это весьма спорный момент.

Нет.  Это весьма широко известный и не раз перетёртый в сети 
момент.  Неохота тратить время только для поиска иллюстраций,
но их есть, в т.ч. по-русски.

> Во-первых, не надо требовать многого от пользователя -
> пользователь этого, как известно, не любит.

Если не надо, то что он забыл в консоли?

> Во-вторых, "рекомендации" по безопасности, если таковые нужны,
> работают лучше, если уже "встроены" в систему, а не витают в
> воздухе в виде неких "правил".

Они и встроены: по умолчанию запускается dm.

> Кстати, есть где-то эти рекомендации не грузится в текстовую
> консоль в процессе установки ALD4? Понеже, анчекнул боксик
> "грузиться в графический режим" и всё, безопасность и
> секъюрность испарились?

Нет, просто подразумевается, что человек, который ходит в
консоль, будет в большей мере готов сам отвечать за свои
действия.

> IMHO довольно удобно НЕ грузиться в графический режим сразу.

Удобство и безопасность обычно на противоположных концах качели.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Security hole in X (KDE)

[Michael Shigorin]

On Tue, Mar 11, 2008 at 06:53:03PM +0300, ALT Linux User wrote:
> > Пользователю - runlevel 5 с xdm/gdm/kdm, если он считает себя
> > крутым - пусть думает головой!
> Поскольку снятие галки "Загружаться в графическом режиме" -
> штатная возможность инсталлятора системы, IMHO было бы здорово
> как-то предупредить пользователя, что снимая галку он
> становится крут, переходит в другую категорию. Возможно, даже
> будет вынужден думать головой.

Резонно; не хотите оформить FR на alterator-x11? (Cc: pls)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[Comm] console locker

[Michael Shigorin]

On Tue, Mar 11, 2008 at 05:35:53PM +0300, Denis Medvedev wrote:
> А бывает ли "текстовый" скринсейвер? 

Бывает, но разыскивался, наверное, vlock -a

> Это бы решило вопрос.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Security hole in X (KDE)

[Алексей Синицын]

11.03.08, Алексей Синицын<asinitsinster@gmail.com> написал(а):
> 11.03.08, Алексей Синицын<asinitsinster@gmail.com> написал(а):
>
>
>  >  С одной стороны действительно, Xdm для данной задачи, но с другой
>  >  стороны, так-же действительно, если есть возможность устанавливать 3
>  >  runlevel то нужно наверно и это предупреждение (omg, это сколько
>  >  предупрежденией нужно "внимание, нажмая эту пипку Вы будете вынуждены
>  >  блокировать компьютер самостоятельно, блаблабла"). Может просто
>  >  спрятать третий runlevel подальше?
>  >
>
>
> Кстати задумался.
>
>  Какая такая причина может потребовать третий ранлевел и стартикс?
>
>  Если нужны иксы, то почему не dm? Если иксы тяжелы то достаточно много
>  есть консольного ПО.
>
>  Мое мнение - понты.
>

Впрочем, одну причину придумать удалось. Не запускать dm с правами
рута, но сразу от пользователя. Хотя насколько это может вообще быть
актуально...

Re: [Comm] Security hole in X (KDE)

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 582 bytes --]

Twas brillig at 22:39:57 11.03.2008 UTC+03 when Алексей Синицын did gyre and gimble:

 АС> Впрочем, одну причину придумать удалось. Не запускать dm с правами
 АС> рута, но сразу от пользователя.

dm от пользователя запускать столь же малополезно, как и программу login :)

А иксы и так с правами рута работают, им иначе (пока что) до железа не добраться.

-- 

[-- Attachment #2: Type: application/pgp-signature, Size: 188 bytes --]

Re: [Comm] Security hole in X (KDE)

[Алексей Синицын]

11.03.08, Mikhail Gusarov<dottedmag@dottedmag.net> написал(а):
> Twas brillig at 22:39:57 11.03.2008 UTC+03 when Алексей Синицын did gyre and gimble:
>
>   АС> Впрочем, одну причину придумать удалось. Не запускать dm с правами
>   АС> рута, но сразу от пользователя.
>
>  dm от пользователя запускать столь же малополезно, как и программу login :)
>
>  А иксы и так с правами рута работают, им иначе (пока что) до железа не добраться.
>
>

 В общем - резюме: Сделать баальшую красивую красную вывеску с
надписями "делайте это только в том случае если точно понимаете что
это такое, уверены в том, что делаете и сами будете отвечать за
последствия" и вставить перед всеми малопонятными пипками.

 Хотя такое еще больше внимания привлечет.

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/11 Michael Shigorin <mike@osdn.org.ua>:
> On Tue, Mar 11, 2008 at 06:53:03PM +0300, ALT Linux User wrote:
> > > Пользователю - runlevel 5 с xdm/gdm/kdm, если он считает себя
> > > крутым - пусть думает головой!
> > Поскольку снятие галки "Загружаться в графическом режиме" -
> > штатная возможность инсталлятора системы, IMHO было бы здорово
> > как-то предупредить пользователя, что снимая галку он
> > становится крут, переходит в другую категорию. Возможно, даже
> > будет вынужден думать головой.
>
> Резонно; не хотите оформить FR на alterator-x11? (Cc: pls)

Извините, не знаю, как это сделать... Заходил на bugzilla
(неправильно?), но никаких полей ввода для feature request там не
заметил, может быть невнимательно смотрел?

Re: [Comm] Security hole in X (KDE)

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 530 bytes --]

On Tue, Mar 11, 2008 at 11:31:28PM +0300, ALT Linux User wrote:
> Извините, не знаю, как это сделать... Заходил на bugzilla
> (неправильно?), но никаких полей ввода для feature request там не
> заметил, может быть невнимательно смотрел?
severity=enhancement

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

<wart_alt> У нас rpm до сих пор с beecrypt 2.2 собирается.
<thresh> О, wart_alt уже говорит "у нас" :D
<wart_alt> thresh: Ну что ж делать-то.
<raorn> thresh: просто wart сказал бы "у вас"

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Security hole in X (KDE)

[Michael Shigorin]

On Tue, Mar 11, 2008 at 11:31:28PM +0300, ALT Linux User wrote:
> > > > Пользователю - runlevel 5 с xdm/gdm/kdm, если он считает себя
> > > > крутым - пусть думает головой!
> > > Поскольку снятие галки "Загружаться в графическом режиме" -
> > > штатная возможность инсталлятора системы, IMHO было бы здорово
> > > как-то предупредить пользователя, что снимая галку он
> > > становится крут, переходит в другую категорию. Возможно, даже
> > > будет вынужден думать головой.
> > Резонно; не хотите оформить FR на alterator-x11? (Cc: pls)
> Извините, не знаю, как это сделать... Заходил на bugzilla
> (неправильно?), но никаких полей ввода для feature request там
> не заметил, может быть невнимательно смотрел?

Severity: enhancement (на всякий напоминаю, хотя сейчас наконец
поставили ссылку с http://bugzilla.altlinux.org/ -- mini-HOWTO
здесь: http://www.freesource.info/wiki/BugzillaMiniHowto)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/11 Michael Shigorin <mike@osdn.org.ua>:
> On Tue, Mar 11, 2008 at 11:31:28PM +0300, ALT Linux User wrote:
> > > > > Пользователю - runlevel 5 с xdm/gdm/kdm, если он считает себя
> > > > > крутым - пусть думает головой!
> > > > Поскольку снятие галки "Загружаться в графическом режиме" -
> > > > штатная возможность инсталлятора системы, IMHO было бы здорово
> > > > как-то предупредить пользователя, что снимая галку он
> > > > становится крут, переходит в другую категорию. Возможно, даже
> > > > будет вынужден думать головой.
> > > Резонно; не хотите оформить FR на alterator-x11? (Cc: pls)
> > Извините, не знаю, как это сделать... Заходил на bugzilla
> > (неправильно?), но никаких полей ввода для feature request там
> > не заметил, может быть невнимательно смотрел?
>
> Severity: enhancement (на всякий напоминаю, хотя сейчас наконец
> поставили ссылку с http://bugzilla.altlinux.org/ -- mini-HOWTO
> здесь: http://www.freesource.info/wiki/BugzillaMiniHowto)

Да, спасибо Andrey Rahmatullin - уже разобрался. # 14865.

Однако, не покидает ощущение, что я всё-таки что-то не так делаю...

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/11 Алексей Синицын <asinitsinster@gmail.com>:
> 11.03.08, Алексей Синицын<asinitsinster@gmail.com> написал(а):

> Кстати задумался.
>
> Какая такая причина может потребовать третий ранлевел и стартикс?
>
> Если нужны иксы, то почему не dm? Если иксы тяжелы то достаточно много
> есть консольного ПО.
>
> Мое мнение - понты.

Мнение интересное.

Особенно в свете того, что упавшая система поправляется консолью.
Система настраивается успешнее всего - из консоли.

Пример? - Для того что бы поднять звук на ноутбуке Toshiba L40-139,
мне пришлось менять строчку в конфиге альсы и перезапускаться.
Наверное минимум раз 10. Зачем мне для этого грузить икс?

Далее. Вот упал видеодрайвер (intel integrated). И опять я в консоли.
И так далее, и так далее...

Вот я и решил: а зачем мне сразу грузиться в иксы? Надо сначала
настроить систему. Жаль, что процесс затянулся...

Уверен, что 90% того, что я делал - имело быстрые обходные правильные
пути. Но я их не знал. А поскольку не был предупреждён о снижении
безопасности, - действовал как умел на своём, пусть и скромном, уровне
понимания функционирования системы.

Re: [Comm] Security hole in X (KDE)

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 1287 bytes --]

Twas brillig at 00:19:42 12.03.2008 UTC+03 when ALT Linux User did gyre and gimble:

 ALU> Особенно в свете того, что упавшая система поправляется консолью.

Дада. В этом месте очень важна секурити startix/kscreensaver

 ALU> Система настраивается успешнее всего - из консоли.

Из консоли настраивается xorg.conf (если не настроился инсталлятором)
или /etc/net (если не настроился инсталлятором), больше ни для чего она
не нужна.

 ALU> Пример? - Для того что бы поднять звук на ноутбуке Toshiba
 ALU> L40-139, мне пришлось менять строчку в конфиге альсы и
 ALU> перезапускаться.

Зачем перезагружаться? rmmod отменили?

 ALU> Далее. Вот упал видеодрайвер (intel integrated). И опять я в консоли.
 ALU> И так далее, и так далее...

Дада. В этом месте, опять, же, очень важна секурити startx/kscreensaver.

-- 

[-- Attachment #2: Type: application/pgp-signature, Size: 188 bytes --]

[Comm] [JT] Re: Security hole in X (KDE)

[Alexei V. Mezin]

ALT Linux User пишет:

> Система настраивается успешнее всего - из консоли.

Оригинальное мнение :)

Особенно удобно из консоли ходить в инет за инструкциями по настройке, а 
уж как удобно из links в одной консоли копипастить текст в конфиг, 
открытый в другой консоли...

Re: [Comm] Security hole in X (KDE) -- not

[ALT Linux User]

2008/3/11 Michael Shigorin <mike@osdn.org.ua>:
> On Tue, Mar 11, 2008 at 04:41:56PM +0300, ALT Linux User wrote:
> > > Подтверждаю то, что сам пользователь нашёл приключений на
> > > свою голову и не использовал dm, как рекомендуют специалисты
> > > по безопасности.
> > IMHO это весьма спорный момент.
>
> Нет.  Это весьма широко известный и не раз перетёртый в сети
> момент.  Неохота тратить время только для поиска иллюстраций,
> но их есть, в т.ч. по-русски.

А разве от того, что момент уже обсуждался, он перестаёт быть спорным?

> > Во-первых, не надо требовать многого от пользователя -
> > пользователь этого, как известно, не любит.
>
> Если не надо, то что он забыл в консоли?

Связь ускользнула...

В целом, всегда думал, что пользователь сначала делает что хочет, а
после предупреждения - что положено. Чем стройнее построение системы -
тем менее заметен этот драматический процесс очерчивания
действительности для самого пользователя.

> > Во-вторых, "рекомендации" по безопасности, если таковые нужны,
> > работают лучше, если уже "встроены" в систему, а не витают в
> > воздухе в виде неких "правил".
>
> Они и встроены: по умолчанию запускается dm.

Зачем тогда предусмотрено отключение этого в течении установки
системы? Следуя проводимой здесь логике, если пользователь способен
работать в консоли, значит может позаботиться о собственной
секьюрности сам. Но тогда, такой пользователь и сам способен выставить
init 3 в inittab?

Re: [Comm] Security hole in X (KDE)

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 442 bytes --]

* Алексей Синицын <asinitsinster@> [080311 23:10]:
>  В общем - резюме: Сделать баальшую красивую красную вывеску с
> надписями "делайте это только в том случае если точно понимаете что
> это такое, уверены в том, что делаете и сами будете отвечать за
> последствия" и вставить перед всеми малопонятными пипками.
Именно.  Первым делом такое предупреждение нужно в загрузчике при
выборе пункта "Установка".

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/12 Mikhail Gusarov <dottedmag@dottedmag.net>:
> Twas brillig at 00:19:42 12.03.2008 UTC+03 when ALT Linux User did gyre and gimble:
>
>  ALU> Особенно в свете того, что упавшая система поправляется консолью.
>
> Дада. В этом месте очень важна секурити startix/kscreensaver

Понял. Оказывается, если машина работала, потом упала, то на время
исправления неполадок действует "водяное перимирие" и никто не
покушается на безопасность. Маугли пьёт вместе с Каа. Старым, мудрым
Каа. И ещё бандерлоги.

>  ALU> Система настраивается успешнее всего - из консоли.
>
> Из консоли настраивается xorg.conf (если не настроился инсталлятором)
> или /etc/net (если не настроился инсталлятором), больше ни для чего она
> не нужна.

Даже если так.
Знаете, у некоторых пользователей на настройку каждого паззла уходят недели.

>  ALU> Пример? - Для того что бы поднять звук на ноутбуке Toshiba
>  ALU> L40-139, мне пришлось менять строчку в конфиге альсы и
>  ALU> перезапускаться.
>
> Зачем перезагружаться? rmmod отменили?

В рассылке, к сожалению, ссылки на эту rmmod мне не попадались.

>  ALU> Далее. Вот упал видеодрайвер (intel integrated). И опять я в консоли.
>  ALU> И так далее, и так далее...
>
> Дада. В этом месте, опять, же, очень важна секурити startx/kscreensaver.

Не будем терять время, пожалуйста, огласите сразу весь список, когда
не важна секъюрность.

Re: [Comm] Security hole in X (KDE)

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 221 bytes --]

* ALT Linux User <altlinux.mailbox@> [080312 01:14]:
> Не будем терять время, пожалуйста, огласите сразу весь список, когда
> не важна секъюрность.
Когда пользователь - клинический идиот.

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/12 Alexey I. Froloff <raorn@altlinux.ru>:
> * ALT Linux User <altlinux.mailbox@> [080312 01:14]:
> > Не будем терять время, пожалуйста, огласите сразу весь список, когда
> > не важна секъюрность.
> Когда пользователь - клинический идиот.

Теплее.
А когда пользователь подпадает под определение "клинический идиот"?

Так глядишь понемногу и распутаем этот узелок под названием "политика
секъюрности". Вместе.

Re: [Comm] Security hole in X (KDE)

[Denis G. Samsonenko]

День добрый!

12.03.08, ALT Linux User написал:
>  >  ALU> Пример? - Для того что бы поднять звук на ноутбуке Toshiba
>  >  ALU> L40-139, мне пришлось менять строчку в конфиге альсы и
>  >  ALU> перезапускаться.
>  >
>  > Зачем перезагружаться? rmmod отменили?
>
> В рассылке, к сожалению, ссылки на эту rmmod мне не попадались.

Про modprobe и rmmod можно прочитать в любой книжке по линуксу, где
описывается, как настраивается и работает оборудование. Драйвер
аудиокарты -- это модуль ядра. Для загрузки и выгрузки модулей ядра
используются modprobe и rmmod.

-- 
Всего доброго,

Денис.

Re: [Comm] [JT] Re: Security hole in X (KDE)

[Алексей Шенцев]

В сообщении от Wednesday 12 March 2008 00:38:25 Alexei V. Mezin написал(а):
> ALT Linux User пишет:
> > Система настраивается успешнее всего - из консоли.
> Оригинальное мнение :)
Но имеет право на существование ... :)

> Особенно удобно из консоли ходить в инет за инструкциями по настройке, а
> уж как удобно из links в одной консоли копипастить текст в конфиг,
> открытый в другой консоли...
Проходил я такое -  ни чего сложного в этом нет. Не привычно с первого 
взгляда, но не более ... :)
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845

Re: [Comm] Security hole in X (KDE)

[Michael A. Kangin]

On 11 марта 2008 "ALT Linux User" <altlinux.mailbox@gmail.com> wrote:

> IMHO довольно удобно НЕ грузиться в графический режим сразу. По многим
> причинам. У меня дуалбут с оффтопиком и бывает несколько раз в день
> приходится "скакать" туда-сюда. Чем меньше занимает загрузка - тем
> душе приятнее, поскольку посмотреть-переписать пару файлов можно и в
> консоли. Плюс, смотреть обновления - можно и в консоли. Плюс,
> восстанавливать систему, настраивать систему, можно и в консоли. А
> поскольку падает оно с завидной регулярностью - консоль частый гость
> на наших голубых экранах.

Ну так какие проблемы. И пишите из консоли вместо startx - service dm start

-- 
wbr, Michael A. Kangin
OIOS, RSMU

Re: [Comm] Security hole in X (KDE)

[Ilis]

12.03.08, Michael A. Kangin<mak@rsmu.ru> написал(а):
> On 11 марта 2008 "ALT Linux User" <altlinux.mailbox@gmail.com> wrote:
>
>
> Ну так какие проблемы. И пишите из консоли вместо startx - service dm start
>

Это не избавит от открытой консоли...

Можно что-то типа:
$ startx & ; vlock

--
Кругликов Илья

Re: [Comm] [JT] Re: Security hole in X (KDE)

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 557 bytes --]

On Wed, Mar 12, 2008 at 12:38:25AM +0300, Alexei V. Mezin wrote:
> Особенно удобно из консоли ходить в инет за инструкциями по настройке,
Не вижу проблемы. elinks табы умеет даже.

> а уж как удобно из links в одной консоли копипастить текст в конфиг,
> открытый в другой консоли...
Ничуть не сложнее, чем из FF в иксах в kwrite/vim/whatever в иксах же.
Той же мышкой.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

 * gvy перевешивает #3654 на Pilot, приговаривая "кто к нам с багой
   придет, на того и повесим!" :) 

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] exec startx

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 204 bytes --]

On Sun, Mar 09, 2008 at 02:27:17PM +0600, Vyatcheslav Perevalov wrote:
> 1. Грузимся в runlevel 3
> 2. Логинимся как user1
> 3. startx

Забудьте про startx, пишите всегда
exec startx


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Security hole in X (KDE)

[Алексей Синицын]

12.03.08, ALT Linux User<altlinux.mailbox@gmail.com> написал(а):
> 2008/3/11 Алексей Синицын <asinitsinster@gmail.com>:
>
> > 11.03.08, Алексей Синицын<asinitsinster@gmail.com> написал(а):
>
>
> > Кстати задумался.
>  >
>  > Какая такая причина может потребовать третий ранлевел и стартикс?
>  >
>  > Если нужны иксы, то почему не dm? Если иксы тяжелы то достаточно много
>  > есть консольного ПО.
>  >
>  > Мое мнение - понты.
>
>
> Мнение интересное.
>

 Наверно я действительно несколько резко. Но попробую объяснить.

>  Особенно в свете того, что упавшая система поправляется консолью.
>  Система настраивается успешнее всего - из консоли.
>

 Ну наверно все-же не совсем так. Хотя и "сила юникс в командной
строке", но удобства графической системы еще никто не отменял.

>  Пример? - Для того что бы поднять звук на ноутбуке Toshiba L40-139,
>  мне пришлось менять строчку в конфиге альсы и перезапускаться.
>  Наверное минимум раз 10. Зачем мне для этого грузить икс?
>
>  Далее. Вот упал видеодрайвер (intel integrated). И опять я в консоли.
>  И так далее, и так далее...
>

 Здесь может быть даже вопрос уже переходит от темы блокирования
системы от нежелателльного доступа к теме необходимости работы всего
железа "искаропки". Хотя последнее - это конечно в полной мере пока
утопия, но вообще все не так плохо выглядит и может быть со временем
все меньше телодвижений понадобится для включения звука.

>  Вот я и решил: а зачем мне сразу грузиться в иксы? Надо сначала
>  настроить систему. Жаль, что процесс затянулся...
>
>  Уверен, что 90% того, что я делал - имело быстрые обходные правильные
>  пути. Но я их не знал. А поскольку не был предупреждён о снижении
>  безопасности, - действовал как умел на своём, пусть и скромном, уровне
>  понимания функционирования системы.
>

 Мы часто не задумываемся об очевидных вещах.

 Дело в том, что блокирование системы в графическом режиме и
блокирование системы где открыто несколько (!) виртуальных консолей -
это две достаточно разные вещи.

 И различие в первую очередь в том, что графическая система - это
всего одна консоль, и блокирование ее - блокирует все сразу. Тогда как
авторизовавшись несколько раз на нескольких виртуальных консолях для
блокировании системы необходимо заблокировать их все. А, кстати,
разблокировать их надо каждую в отдельности или однократным набором
пароля? А если я работаю во второй консоли, то первая должна
заблокироваться пока на ней не было действий? Последий каверзный
вопрос, кстати, так-же не имеет смысла при использовании графической
системы.

 Другими словами, если мы поднимаем вопрос предотвращения
несанкционированного доступа к системе где пользователи работают без
графической системы, то этот вопрос нужно рассматривать совершенно
отдельно, не оглядываясь на скринсейверы, хотя если какой-то механизм
будет найден (возможно какой-то системный демон следящий за событиями
на устройствах ввода), то интерграция со скринсейверами понадобится
так-же.

 И еще раз о происхождении вопроса. Хорошо, можно настраивать систему.
Но при первом возможном случае уместно и целесообразно использовать
dm, а если kde долго грузится, то скажем какой нибудь twm или fluxbox.
Если-же вопрос стоит так: "хочу стартовать систему без исков, но потом
эти иксы запускать", то такой вопрос уже вызывает встречный вопрос: "а
зачем", другими словами "а есть-ли смысл тратить на это время и
силы?".

 И еще одно уточнение. А если я использую консоль (и иногда запускаю
иксы), то блокирую-ли я все эти консоли (я-же не могу иметь дело всего
с одним терминалом) оставляя машину? И если я задумался о блокировании
всего множества брошенных терминалов, то очень быстро я прийду к
вопросу о блокировании и терминала под исками и решение startx;exit
будет лежать на поверхности, но если и не будет то тема будет
называться не "секурити холе", а "посоветуйте".

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/12 Алексей Синицын <asinitsinster@gmail.com>:
> 12.03.08, ALT Linux User<altlinux.mailbox@gmail.com> написал(а):
> >  Особенно в свете того, что упавшая система поправляется консолью.
> >  Система настраивается успешнее всего - из консоли.
> >
>
>  Ну наверно все-же не совсем так. Хотя и "сила юникс в командной
> строке", но удобства графической системы еще никто не отменял.

Речь, в моём случае, не идёт об удобстве. Речь идёт о единственно
возможном средстве. Ноутбук Toshiba L40-139: настройка wifi была
возможна только из консоли.
Более того, даже находясь в иксах, я всё равно КАЖДЫЙ божий раз, что
бы поднять сеть отдаю команды:

# modprobe ndiswrapper
# iwconfig ESSID и так далее
# dhcpcd -G и так далее

Далее, неоднократно, при апдейте системы (настроенной на стабильный
бранч) падал интеловский видеодрайвер. Как настроить его без консоли?

Ну и остальное... Зачем мне сразу грузиться в иксы, если система
постоянно требует к себе отладочного внимания. Как начинающий
пользователь, трачу довольно много времени на эти телодвижения.
Самостоятельно пришёл к выводу о пользе загрузки в иксы произвольно,
то есть - по мере необходимости.


>  Здесь может быть даже вопрос уже переходит от темы блокирования
> системы от нежелателльного доступа к теме необходимости работы всего
> железа "искаропки". Хотя последнее - это конечно в полной мере пока
> утопия,

Утопия? Фантастика? Вымысел? ... и где это я успел к этому привыкнуть
на том же ноутбуке...

>  Мы часто не задумываемся об очевидных вещах.
>
>  Дело в том, что блокирование системы в графическом режиме и
> блокирование системы где открыто несколько (!) виртуальных консолей -
> это две достаточно разные вещи.

Это только лишь одна точка зрения. Вот другая: с такой точки зрения
пользователя ГУЯ, даже системные действия - не более чем кликанье на
соответствующие кнопки. Чуть глубже лежит понимание, что подавляющее
большинство "мест для кликанья" - всего лишь навсего фронт-энды к
соответствующим консольным утилитам, командам.

Отсюда резонный вопрос: почему в одном случае эти фронтенды выполняют
требуемые от них системные действия, а в других нет?

Именно поэтому, моё IMHO: DE KDE содержит ошибку работы с
пользователем, не позволяя ему блокировать сессию с помощью ГУЯ.
Дальнейшее расширение этого действия: блокировать ли все сессии,
открытые данным пользователем или только текущую - это скорее вопрос
настройки того механизма, который отсутствует. KDE не осуществляет
требуемого от него системного действия - блокировка сессии
пользователя имярек.

>  И различие в первую очередь в том, что графическая система - это
> всего одна консоль, и блокирование ее - блокирует все сразу. Тогда как
> авторизовавшись несколько раз на нескольких виртуальных консолях для
> блокировании системы необходимо заблокировать их все. А, кстати,
> разблокировать их надо каждую в отдельности или однократным набором
> пароля? А если я работаю во второй консоли, то первая должна
> заблокироваться пока на ней не было действий? Последий каверзный
> вопрос, кстати, так-же не имеет смысла при использовании графической
> системы.

И эти все "каверзные вопросы" - лишь аспекты настройки механизма,
которого почему-то нет. Ну, или пока про который не рассказали.

>  И еще одно уточнение. А если я использую консоль (и иногда запускаю
> иксы), то блокирую-ли я все эти консоли (я-же не могу иметь дело всего
> с одним терминалом) оставляя машину? И если я задумался о блокировании
> всего множества брошенных терминалов, то очень быстро я прийду к
> вопросу о блокировании и терминала под исками и решение startx;exit
> будет лежать на поверхности, но если и не будет то тема будет
> называться не "секурити холе", а "посоветуйте".

Но это: $ startx;exit - никакое не решение, поскольку возможность
завершить сессию KDE остаётся. Чего не должно быть никоим образом, ибо
речь идёт о несанкционированном действии.
Довольно странно, насколько трудно донести простую мысль: сначала
спросить пароль, потом разрешать действия.

Советы, тем не менее, всегда приветствуются.

Re: [Comm] Security hole in X (KDE)

[Alexei V. Mezin]

ALT Linux User пишет:

> Речь, в моём случае, не идёт об удобстве. Речь идёт о единственно
> возможном средстве. Ноутбук Toshiba L40-139: настройка wifi была
> возможна только из консоли.
Вот с этого места поподробнее! Загрузка графической среды ПРИНЦИПИАЛЬНО 
убивала возможность отконфигурировать безпроводной интерфейс?


> Более того, даже находясь в иксах, я всё равно КАЖДЫЙ божий раз, что
> бы поднять сеть отдаю команды:
> 
> # modprobe ndiswrapper
> # iwconfig ESSID и так далее
> # dhcpcd -G и так далее
> 
etcnet позволяет все это настроить так, чтоб оно работало
1. само
2. при старте системы
3. в крайнем случае после ручного ifup

Может пора освоить штатные способы настройки системы и прекратить 
заниматься ерундой?


> Далее, неоднократно, при апдейте системы (настроенной на стабильный
> бранч) падал интеловский видеодрайвер. Как настроить его без консоли?

Бага висит? И часто ли обновляется бранч, чтоб с него _каждый_ день 
апдейтиться?


> 
> Ну и остальное... Зачем мне сразу грузиться в иксы, если система
> постоянно требует к себе отладочного внимания. 
У меня, например, Сизиф (который нестабильный более, чем бранч) и 
система не требует какого-то отдельного повышенного внимания даже после 
апдейтов. Что я делаю не так?


> Как начинающий
> пользователь, 
Являетесь ССЗБ. И сами ищете себе на ровном месте выдуманные проблемы.

> Именно поэтому, моё IMHO: DE KDE содержит ошибку работы с
> пользователем, не позволяя ему блокировать сессию с помощью ГУЯ.

Почему бы тогда не блокировать ВСЕ вторые и далее сессии Иксов при 
блокировке первой? А то вдруг юзер забудет, что у него еще две сессии 
открыто? Почему бы не блокировать ВСЕ консоли, а то залогинится на три, 
а отлогинится только на одной.

А то давайте пофантазируем:
вот залогинился юзер на первую консоль, а потом на вторую. И запустил во 
второй ДОСбокс (или досему), а потом взял да и забыл про эту консоль 
(или, чего доброго, подумал, что там ДОС и ничего ему не угроожает). А 
потом будем рассуждать, что ДОСбокс содержит в себе фатальную ошибку 
безопасности, потому что позволяет забыть про себя в консоли, и не 
блокирует ее? Туда же запишем и ssh! А вдруг там ssh-Сессия на другой 
хост, и ее тоже забыли? Почему не заблокировано автоматом?!! Кстати, mc 
тоже попадает под раздачу! Тоже должен блокировать консоль! Мало ли 
чего, кругом враги!

Так что давайте просто не будем увлекаться и искать проблемы там, где их 
нет. Есть рекомендованные способы работы в системе. Есть "оригинальные" 
(чтоб не писать "извращенные"). Для оригинальных есть _отдельные_ 
решения, которые тут озвучили. Кто хочет работать своим способом, его 
право. Но всем остальным это не надо.

Re: [Comm] exec startx

[ALT Linux User]

2008/3/12 Dmitry V. Levin <ldv@altlinux.org>:
> On Sun, Mar 09, 2008 at 02:27:17PM +0600, Vyatcheslav Perevalov wrote:
> > 1. Грузимся в runlevel 3
> > 2. Логинимся как user1
> > 3. startx
>
> Забудьте про startx, пишите всегда
> exec startx

Спасибо за совет.
Однако, проблема решена лишь частично, поскольку полной блокировки
доступа к сессии не происходит. Например, её всё так же можно
завершить по Ctrl+Alt+Backspace.

Нет ли какого-нибудь решения для этого?

Не хотелось бы запрещать "волшебные" сочетания клавиш для KDE. Много
времени уходит на наладку системы и часто бывает полезно переключится
на F12. Или запустить несколько DM, что бы посмотреть, как выглядят
шрифты.

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/12 Alexei V. Mezin <alexei-mezin@rambler.ru>:
> ALT Linux User пишет:
>
> > Речь, в моём случае, не идёт об удобстве. Речь идёт о единственно
> > возможном средстве. Ноутбук Toshiba L40-139: настройка wifi была
> > возможна только из консоли.
> Вот с этого места поподробнее! Загрузка графической среды ПРИНЦИПИАЛЬНО
> убивала возможность отконфигурировать безпроводной интерфейс?

Мне кажется, Вы немного невнимательно прочитали то, что было до этого:

> 12.03.08, ALT Linux User<altlinux.mailbox@gmail.com> написал(а):

> >  Особенно в свете того, что упавшая система поправляется консолью.
> >  Система настраивается успешнее всего - из консоли.
> >
2008/3/12 Алексей Синицын <asinitsinster@gmail.com>:
>  Ну наверно все-же не совсем так. Хотя и "сила юникс в командной
> строке", но удобства графической системы еще никто не отменял.

В данном отрывке речь просто идёт о том, что WiFi на данной модели
ноутбука со своим уровнем знаний, я смог настроить только в консоли.

Впрочем, я нигде не претендовал на то, что все мои действия являются
абсолютно правильными. Но, однако, оставляю за собой право действовать
так, как считаю нужным. Даже если кому-то такой способ действия не
кажется оптимальным.

> > Более того, даже находясь в иксах, я всё равно КАЖДЫЙ божий раз, что
> > бы поднять сеть отдаю команды:
> >
> > # modprobe ndiswrapper
> > # iwconfig ESSID и так далее
> > # dhcpcd -G и так далее
> >
> etcnet позволяет все это настроить так, чтоб оно работало
> 1. само
> 2. при старте системы
> 3. в крайнем случае после ручного ifup

А где можно об этом почитать применительно к ALT Linux 4 PD? На момент
задавания мной таких вопросов в рассылке (по настройке WiFi) мне никто
таких советов не дал.

> Может пора освоить штатные способы настройки системы и прекратить
> заниматься ерундой?

С большим удовольствием.

> > Далее, неоднократно, при апдейте системы (настроенной на стабильный
> > бранч) падал интеловский видеодрайвер. Как настроить его без консоли?
>
> Бага висит? И часто ли обновляется бранч, чтоб с него _каждый_ день
> апдейтиться?

Не апдейтюсь каждый день.
В рассылке много материалов о падениях и на интел, и на ати. Имею и
то, и другое в своём распоряжении.

> У меня, например, Сизиф (который нестабильный более, чем бранч) и
> система не требует какого-то отдельного повышенного внимания даже после
> апдейтов. Что я делаю не так?
>
>
> > Как начинающий
> > пользователь,
> Являетесь ССЗБ. И сами ищете себе на ровном месте выдуманные проблемы.

Апдейт из заявленного стабильным Branch 4 является поиском проблемы на
ровном месте?

> > Именно поэтому, моё IMHO: DE KDE содержит ошибку работы с
> > пользователем, не позволяя ему блокировать сессию с помощью ГУЯ.
>
> Почему бы тогда не блокировать ВСЕ вторые и далее сессии Иксов при
> блокировке первой? А то вдруг юзер забудет, что у него еще две сессии
> открыто? Почему бы не блокировать ВСЕ консоли, а то залогинится на три,
> а отлогинится только на одной.

Возвращаемся к механизму настройки несуществующего (необъявленного)
механизма в KDE, позволяющему пользователю блокировать свою сессию.
То, что Вы поминаете - это воображаемый чекбокс: "блокировать все
открытые сессиии пользователя имярек?".

> Так что давайте просто не будем увлекаться и искать проблемы там, где их
> нет. Есть рекомендованные способы работы в системе. Есть "оригинальные"
> (чтоб не писать "извращенные").

Как нет проблемы?
Пользователь работает в KDE. Заблокировал сессию, отшёл. Пришёл некто,
нажал Ctrl+Alt+Backspace и ушёл. Вернувшийся пользователь находит на
месте оставленной сессии предложение вновь залогиниться.

Это называется "нет проблемы"?

Re: [Comm] exec startx

[Andrew Borodin]

On Wed, Mar 12, 2008 at 04:51:44PM +0300, ALT Linux User wrote:
> > Забудьте про startx, пишите всегда
> > exec startx

> Спасибо за совет.
> Однако, проблема решена лишь частично, поскольку полной блокировки
> доступа к сессии не происходит. Например, её всё так же можно
> завершить по Ctrl+Alt+Backspace.

> Нет ли какого-нибудь решения для этого?

Уже упоминалось в этом треде.

DontZap в xorg.conf.

This  disallows  the use of the Ctrl+Alt+Backspace sequence.
That sequence is normally used to terminate the Xorg server.
When this option is enabled, that key sequence  has no special
meaning and is passed to clients.  Default: off.

-- 

С уважением,
А. Бородин.

Re: [Comm] exec startx

[ALT Linux User]

2008/3/12 Andrew Borodin <borodin@zarya-k.ru>:
> On Wed, Mar 12, 2008 at 04:51:44PM +0300, ALT Linux User wrote:
> > > Забудьте про startx, пишите всегда
> > > exec startx
>
> > Спасибо за совет.
> > Однако, проблема решена лишь частично, поскольку полной блокировки
> > доступа к сессии не происходит. Например, её всё так же можно
> > завершить по Ctrl+Alt+Backspace.
>
> > Нет ли какого-нибудь решения для этого?
>
> Уже упоминалось в этом треде.
>
> DontZap в xorg.conf.
>
> This  disallows  the use of the Ctrl+Alt+Backspace sequence.
> That sequence is normally used to terminate the Xorg server.
> When this option is enabled, that key sequence  has no special
> meaning and is passed to clients.  Default: off.

Подскажите, пожалуйста, а в каком месте xorg.conf и как это нужно вставить?

Re: [Comm] exec startx

[ua2fgb]

ALT Linux User пишет:
> 2008/3/12 Andrew Borodin <borodin@zarya-k.ru>:
>   
>> On Wed, Mar 12, 2008 at 04:51:44PM +0300, ALT Linux User wrote:
>>     
>>>> Забудьте про startx, пишите всегда
>>>> exec startx
>>>>         
>>> Спасибо за совет.
>>> Однако, проблема решена лишь частично, поскольку полной блокировки
>>> доступа к сессии не происходит. Например, её всё так же можно
>>> завершить по Ctrl+Alt+Backspace.
>>>       
>>> Нет ли какого-нибудь решения для этого?
>>>       
>> Уже упоминалось в этом треде.
>>
>> DontZap в xorg.conf.
>>
>> This  disallows  the use of the Ctrl+Alt+Backspace sequence.
>> That sequence is normally used to terminate the Xorg server.
>> When this option is enabled, that key sequence  has no special
>> meaning and is passed to clients.  Default: off.
>>     
>
> Подскажите, пожалуйста, а в каком месте xorg.conf и как это нужно вставить?
>
>   
Ответ содержится в мане на xorg.conf

Re: [Comm] Security hole in X (KDE)

[Алексей Синицын]

12.03.08, ALT Linux User<altlinux.mailbox@gmail.com> написал(а):

> Как нет проблемы?
>  Пользователь работает в KDE. Заблокировал сессию, отшёл. Пришёл некто,
>  нажал Ctrl+Alt+Backspace и ушёл. Вернувшийся пользователь находит на
>  месте оставленной сессии предложение вновь залогиниться.
>
>  Это называется "нет проблемы"?
>

 Строго говоря да. Прохожий мог нажать ресет (независимо от ОС),
загрузиться с CD, скопировать данные (так-же, или больше того на лоре
недавно была ссылка про то как можно подключиться по usb или firewire
к залоченной win и спокойно получить управление). Утащить ноут не смог
потому-что мы его пристегнули цепочкой.

 При физическом доступе к машине вопросы безопасности опять-же меняются.

Re: [Comm] Security hole in X (KDE) -- not

[Michael Shigorin]

On Wed, Mar 12, 2008 at 12:40:40AM +0300, ALT Linux User wrote:
> > > > Подтверждаю то, что сам пользователь нашёл приключений на
> > > > свою голову и не использовал dm, как рекомендуют
> > > > специалисты по безопасности.
> > > IMHO это весьма спорный момент.
> > Нет.  Это весьма широко известный и не раз перетёртый в сети
> > момент.  Неохота тратить время только для поиска иллюстраций,
> > но их есть, в т.ч. по-русски.
> А разве от того, что момент уже обсуждался, он перестаёт быть
> спорным?

После ознакомления с предыдущими обсуждениями желание спорить
может отпасть по причине принятия аргументов.

> > > Во-первых, не надо требовать многого от пользователя -
> > > пользователь этого, как известно, не любит.
> > Если не надо, то что он забыл в консоли?
> Связь ускользнула...

Пользователи, от которых "не надо требовать многого", в консоли
не водятся (эмпирически).

> В целом, всегда думал, что пользователь сначала делает что
> хочет, а после предупреждения - что положено. Чем стройнее
> построение системы - тем менее заметен этот драматический
> процесс очерчивания действительности для самого пользователя.

Не, я ж потому и предложил повесить FR, что в предупреждении
резон вижу.

> > > Во-вторых, "рекомендации" по безопасности, если таковые
> > > нужны, работают лучше, если уже "встроены" в систему, а не
> > > витают в воздухе в виде неких "правил".
> > Они и встроены: по умолчанию запускается dm.
> Зачем тогда предусмотрено отключение этого в течении установки
> системы?

Потому что это всё-таки линукс, а не винда или макось? :)

> Следуя проводимой здесь логике, если пользователь способен
> работать в консоли, значит может позаботиться о собственной
> секьюрности сам. Но тогда, такой пользователь и сам способен
> выставить init 3 в inittab?

Да.  Возможно, когда у нас опять появится expert mode -- 
эта галочка спрячется туда.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/12 Алексей Синицын <asinitsinster@gmail.com>:
> 12.03.08, ALT Linux User<altlinux.mailbox@gmail.com> написал(а):
>
> > Как нет проблемы?
> >  Пользователь работает в KDE. Заблокировал сессию, отшёл. Пришёл некто,
> >  нажал Ctrl+Alt+Backspace и ушёл. Вернувшийся пользователь находит на
> >  месте оставленной сессии предложение вновь залогиниться.
> >
> >  Это называется "нет проблемы"?
> >
>
>  Строго говоря да.

Если говорить строго, то как раз это - проблема. Осуществление
каких-либо действий без авторизации - проблема.

> Прохожий мог нажать ресет (независимо от ОС),
> загрузиться с CD, скопировать данные (так-же, или больше того на лоре
> недавно была ссылка про то как можно подключиться по usb или firewire
> к залоченной win и спокойно получить управление). Утащить ноут не смог
> потому-что мы его пристегнули цепочкой.

Что-то маловато фантазии... Ни тебе метеоритов, ни землятресений... Ну
хоть наводнение какое будет? Или там, Чубайс с кусачками?

>  При физическом доступе к машине вопросы безопасности опять-же меняются.

За очень редким исключением, практически каждый десктоп не находится в
эксклюзивном доступе. Так что, вопросы безопасности везде примерно
одинаковы. Один человек - один голос.

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/12 Алексей Синицын <asinitsinster@gmail.com>:
> (так-же, или больше того на лоре
> недавно была ссылка про то как можно подключиться по usb или firewire
> к залоченной win и спокойно получить управление).

А не сохранилось ли случайно ссылки на столь познавательный материал?

Re: [Comm] Security hole in X (KDE)

[Pavlov Konstantin]

[-- Attachment #1: Type: text/plain, Size: 543 bytes --]

On Wed, Mar 12, 2008 at 07:30:53PM +0300, ALT Linux User wrote:
> 2008/3/12 Алексей Синицын <asinitsinster@gmail.com>:
> > (так-же, или больше того на лоре
> > недавно была ссылка про то как можно подключиться по usb или firewire
> > к залоченной win и спокойно получить управление).
> 
> А не сохранилось ли случайно ссылки на столь познавательный материал?

http://tinyurl.com/yusgxc

-- 
Системный журнал предназначен не столько для людей, сколько для ПО,
специализирующегося на анализе системных журналов.
		-- ldv in devel@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Security hole in X (KDE)

[Алексей Синицын]

12.03.08, ALT Linux User<altlinux.mailbox@gmail.com> написал(а):


>  Ну и остальное... Зачем мне сразу грузиться в иксы, если система
>  постоянно требует к себе отладочного внимания. Как начинающий
>  пользователь, трачу довольно много времени на эти телодвижения.
>  Самостоятельно пришёл к выводу о пользе загрузки в иксы произвольно,
>  то есть - по мере необходимости.
>

 Про это я уже писал. Если я нахожу удобным использовать несколько
виртуальных консолей и забочусь о блокировании системы отходя от нее,
то мне должно быть очевидно что есть тема блокирования нескольких
открытых консолей вместе или по раздельности.

  Про то-же, что обыкновенному пользователю должно быть предоставлено
решение - то все мы здесь не совсем обыкновенные пользователи.
Обыкновенный сферический пользователь в вакууме не читает каких-то
дурацких рассылок. Он покупает комп с предустановленной системой и в
силу ее предустановленности она работает так что ему по крайней мере
не надо лазить под капот. Человек-же сознательно установивший себе
линукс уже сразу является (в какой-то степени) сам себе злобным
буратиной.

>  >  Здесь может быть даже вопрос уже переходит от темы блокирования
>  > системы от нежелателльного доступа к теме необходимости работы всего
>  > железа "искаропки". Хотя последнее - это конечно в полной мере пока
>  > утопия,
>
>
> Утопия? Фантастика? Вымысел? ... и где это я успел к этому привыкнуть
>  на том же ноутбуке...
>

  Это был ALT или какой нибудь другой дистрибутив?

> Это только лишь одна точка зрения. Вот другая: с такой точки зрения
>  пользователя ГУЯ, даже системные действия - не более чем кликанье на
>  соответствующие кнопки. Чуть глубже лежит понимание, что подавляющее
>  большинство "мест для кликанья" - всего лишь навсего фронт-энды к
>  соответствующим консольным утилитам, командам.
>
>  Отсюда резонный вопрос: почему в одном случае эти фронтенды выполняют
>  требуемые от них системные действия, а в других нет?
>

  А еще распространено такое понимание, что "компьютер" воспринимается
как нечто целое, как некоторая сущность, и к сожалению, в силу
сегодняшних возможностей информационных технологий, необходимо другое
представление. Что информационная система - это сумма модулей, часто
независимых друг от друга и нередко плохо связанных или не всегда
взаимодействующих.

>  Именно поэтому, моё IMHO: DE KDE содержит ошибку работы с
>  пользователем, не позволяя ему блокировать сессию с помощью ГУЯ.
>  Дальнейшее расширение этого действия: блокировать ли все сессии,
>  открытые данным пользователем или только текущую - это скорее вопрос
>  настройки того механизма, который отсутствует. KDE не осуществляет
>  требуемого от него системного действия - блокировка сессии
>  пользователя имярек.
>

  KDE предполагает что пользователь ничего не знает о консолях. А если
пользователь знает про консоли то это значит что он прошел KDE и у
него левелап.

  Это важно! Интерфейс KDE никак не пересекается с консолями. Например
будет порт KDE4 под windows, и там будут какие-то совершенно другие
проблемы. И данные вопросы совершенно никак не пересекаются с KDE.


>  >  И различие в первую очередь в том, что графическая система - это
>  > всего одна консоль, и блокирование ее - блокирует все сразу. Тогда как
>  > авторизовавшись несколько раз на нескольких виртуальных консолях для
>  > блокировании системы необходимо заблокировать их все. А, кстати,
>  > разблокировать их надо каждую в отдельности или однократным набором
>  > пароля? А если я работаю во второй консоли, то первая должна
>  > заблокироваться пока на ней не было действий? Последий каверзный
>  > вопрос, кстати, так-же не имеет смысла при использовании графической
>  > системы.
>
>
> И эти все "каверзные вопросы" - лишь аспекты настройки механизма,
>  которого почему-то нет. Ну, или пока про который не рассказали.
>

 Это к тому, что система - это сумма модулей. И нет чего-то целого,
что можно назвать "системой", которое несет за что-то ответственность.
Если здесь и сейчас решится что должно быть так - то возможно это
"так" когда-то реализуется. Если это вообще должно быть "так".


> Но это: $ startx;exit - никакое не решение, поскольку возможность
>  завершить сессию KDE остаётся. Чего не должно быть никоим образом, ибо
>  речь идёт о несанкционированном действии.
>  Довольно странно, насколько трудно донести простую мысль: сначала
>  спросить пароль, потом разрешать действия.
>

 Про это - предыдущее письмо.

Re: [Comm] Security hole in X (KDE) -- not

[ALT Linux User]

2008/3/12 Michael Shigorin <mike@osdn.org.ua>:

> После ознакомления с предыдущими обсуждениями желание спорить
> может отпасть по причине принятия аргументов.

Пока аргументы не очень убедительны.
Предлагаемые решения - IMHO костылики...
И имплиментация костыликов, в моём случае, немного затянулось.
Посоветовали почитать man xorg.conf
Просвещаюсь.

> Не, я ж потому и предложил повесить FR, что в предупреждении
> резон вижу.

Наверное, надо как-то не давать легко менять runlevel. Плюс, сразу в
xorg.conf прописать костылик запрещающий Ctrl+Alt+Backspace
Мне и в правду кажется, что возможность делать пусть абы какое
действие неавторизованно - как-то противоестественна для системы.

> Да.  Возможно, когда у нас опять появится expert mode --
> эта галочка спрячется туда.

Даже не знаю... Может, всё же, предпочесть скорость инсталляции её
гибкости? А expert mode... Может просто давать ставить систему совсем
без DM/DE? Подточенный Xorg пусть, наверное, уже будет, в вот ГУЙ
пусть можно будет ставить самому.

А вообще, такая нескромная мечта: yast в ALT. И текстовый, в том числе.

[Comm] configurability at different experience levels

[Michael Shigorin]

On Wed, Mar 12, 2008 at 07:49:06PM +0300, ALT Linux User wrote:
> > После ознакомления с предыдущими обсуждениями желание спорить
> > может отпасть по причине принятия аргументов.
> Пока аргументы не очень убедительны.

Я же предложил "ознакомиться с предыдущими обсуждениями". :)
Понимаю, что без уточнения это не совсем честно, но из смутных
наводок могу добавить group:fido7.ru.linux author:Artem Chuprina

> Предлагаемые решения - IMHO костылики...

Ну знаете, чтоб и овцы сыты, и волки целы...  Можно оторвать
возможность с корнем, но это будет не линукс.  Ну или не альт.

> Наверное, надо как-то не давать легко менять runlevel.

Про expert mode уже сказал.

> Плюс, сразу в xorg.conf прописать костылик запрещающий
> Ctrl+Alt+Backspace Мне и в правду кажется, что возможность
> делать пусть абы какое действие неавторизованно - как-то
> противоестественна для системы.

Это тоже можно оформить FR на alterator-x11 в Sisyphus
со ссылкой на "expert/advanced".

> > Да.  Возможно, когда у нас опять появится expert mode --
> > эта галочка спрячется туда.
> Даже не знаю... Может, всё же, предпочесть скорость инсталляции
> её гибкости? А expert mode... Может просто давать ставить
> систему совсем без DM/DE? Подточенный Xorg пусть, наверное, уже
> будет, в вот ГУЙ пусть можно будет ставить самому.

Сделайте. (; 

> А вообще, такая нескромная мечта: yast в ALT. И текстовый, в том числе.

Это не только пакет да модули к нему, но и инфраструктура...
никто не запрещает заняться таким портированием, но я лично
не вижу в нём (в отличие от текстового/cli настройщика) смысла.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Security hole in X (KDE)

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 355 bytes --]

On Wed, Mar 12, 2008 at 05:10:02PM +0300, ALT Linux User wrote:
> В данном отрывке речь просто идёт о том, что WiFi на данной модели
> ноутбука со своим уровнем знаний, я смог настроить только в консоли.
Что мешало использовать xterm?


-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

> ВА?
АПВС?
		-- gns in smoke-room@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Security hole in X (KDE)

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 795 bytes --]

On Wed, Mar 12, 2008 at 07:25:47PM +0300, ALT Linux User wrote:
> > Прохожий мог нажать ресет (независимо от ОС),
> > загрузиться с CD, скопировать данные (так-же, или больше того на лоре
> > недавно была ссылка про то как можно подключиться по usb или firewire
> > к залоченной win и спокойно получить управление). Утащить ноут не смог
> > потому-что мы его пристегнули цепочкой.
> Что-то маловато фантазии... Ни тебе метеоритов, ни землятресений... Ну
> хоть наводнение какое будет? Или там, Чубайс с кусачками?
Не передёргивайте. При физ. доступе безопасности в Unix вам никто не
обещал.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

> Однако редхат и мандрак собирает в своих пакетах la. А альт - нет.
Вы сейчас сказали неправду.
		-- ldv in devel@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/12 Алексей Синицын <asinitsinster@gmail.com>:
> Человек-же сознательно установивший себе
> линукс уже сразу является (в какой-то степени) сам себе злобным
> буратиной.

Ну не знаю... Как-то не чувствую себя буратином... Скорее - папой карлой.

> > Утопия? Фантастика? Вымысел? ... и где это я успел к этому привыкнуть
> >  на том же ноутбуке...
> >
>
>  Это был ALT или какой нибудь другой дистрибутив?

Это был банальный оффтопик.

>  А еще распространено такое понимание, что "компьютер" воспринимается
> как нечто целое, как некоторая сущность, и к сожалению, в силу
> сегодняшних возможностей информационных технологий, необходимо другое
> представление. Что информационная система - это сумма модулей, часто
> независимых друг от друга и нередко плохо связанных или не всегда
> взаимодействующих.

Речь идёт о плохой информационной системе?

>  KDE предполагает что пользователь ничего не знает о консолях. А если
> пользователь знает про консоли то это значит что он прошел KDE и у
> него левелап.

Причём тут знание консолей... Пользователь нажал пимпу lock session.
Вот и всё, после этого любое шевеление только после пароля. И это
единственно правильный подход IMHO.

>  Это к тому, что система - это сумма модулей. И нет чего-то целого,
> что можно назвать "системой", которое несет за что-то ответственность.

IMHO это в корне не так. Вернее, сама преамбула мне кажется
сомнительной. Всегда существует базовая система ввода/вывода.

2008/3/12 Andrey Rahmatullin <wrar@altlinux.ru>:
> On Wed, Mar 12, 2008 at 07:25:47PM +0300, ALT Linux User wrote:
> > > Прохожий мог нажать ресет (независимо от ОС),
> > > загрузиться с CD, скопировать данные (так-же, или больше того на лоре
> > > недавно была ссылка про то как можно подключиться по usb или firewire
> > > к залоченной win и спокойно получить управление). Утащить ноут не смог
> > > потому-что мы его пристегнули цепочкой.
> > Что-то маловато фантазии... Ни тебе метеоритов, ни землятресений... Ну
> > хоть наводнение какое будет? Или там, Чубайс с кусачками?
> Не передёргивайте. При физ. доступе безопасности в Unix вам никто не
> обещал.

Вообще-то, не передёргиваю. Софтверно предоставлена прямая возможность
нарушить безопасность работы формально заблокированного компьютера.

[Comm] [JT] Re: configurability at different experience levels

[Алексей Синицын]

12.03.08, Michael Shigorin<mike@osdn.org.ua> написал(а):

>  Ну знаете, чтоб и овцы сыты, и волки целы...  Можно оторвать
>  возможность с корнем, но это будет не линукс.  Ну или не альт.
>

  Соляра?

  Говорят там уж как стартовали иксы (или что там у нее есть), так уж
и никаких тебе Ctrl+Alt+... .

>  > Плюс, сразу в xorg.conf прописать костылик запрещающий
>  > Ctrl+Alt+Backspace Мне и в правду кажется, что возможность
>  > делать пусть абы какое действие неавторизованно - как-то
>  > противоестественна для системы.
>
>  Это тоже можно оформить FR на alterator-x11 в Sisyphus
>  со ссылкой на "expert/advanced".
>

  А вот как запустит какой нибудь сферический простой пользователь в
вакууме честно купленную win игру в честно купленной цедеге, и как
зависнет она у него и как не заработает у него волшебное сочетание
клавиш...

 Хотя по умолчанию может быть и имеет смысл включать (в смысле - выключать).

Re: [Comm] Security hole in X (KDE) -- not

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 400 bytes --]

Twas brillig at 19:49:06 12.03.2008 UTC+03 when ALT Linux User did gyre and gimble:

 ALU> А вообще, такая нескромная мечта: yast в ALT. И текстовый, в том числе.

Берёте и пишете текстовый UI для альтератора. В отличие от яста
последний хоть не гнилой изнутри.

-- 

[-- Attachment #2: Type: application/pgp-signature, Size: 188 bytes --]

Re: [Comm] Security hole in X (KDE)

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 506 bytes --]

On Wed, Mar 12, 2008 at 08:23:40PM +0300, ALT Linux User wrote:
> Вообще-то, не передёргиваю. Софтверно предоставлена прямая возможность
> нарушить безопасность работы формально заблокированного компьютера.
SysRq отрубить не забудьте.
А чем нажатие Reset или кнопки на пилоте отличается от нажатия C-A-BS?

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

Продвижение правильных патчей в upstream занимает у меня время,
сравнимое с их изготовлением. 
		-- ldv in sisyphus@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Security hole in X (KDE)

[Алексей Синицын]

12.03.08, ALT Linux User<altlinux.mailbox@gmail.com> написал(а):


>  >  А еще распространено такое понимание, что "компьютер" воспринимается
>  > как нечто целое, как некоторая сущность, и к сожалению, в силу
>  > сегодняшних возможностей информационных технологий, необходимо другое
>  > представление. Что информационная система - это сумма модулей, часто
>  > независимых друг от друга и нередко плохо связанных или не всегда
>  > взаимодействующих.
>
>
> Речь идёт о плохой информационной системе?
>

 Я мог-бы рассказать о своем представлении о хорошей информационной
системе, но боюсь это будет слишком долгое лирическое отступление и
возможно не все любят фантастику.

>
>  >  KDE предполагает что пользователь ничего не знает о консолях. А если
>  > пользователь знает про консоли то это значит что он прошел KDE и у
>  > него левелап.
>
>
> Причём тут знание консолей... Пользователь нажал пимпу lock session.
>  Вот и всё, после этого любое шевеление только после пароля. И это
>  единственно правильный подход IMHO.
>

 Здесь может быть по крайней мере две проблемы.

  Первая - это с чего началось данное обсуждение. Иксы запущены
командой startx. Прибив иксы мы получаем доступ к системе с правами
текущего пользователя. Это очевидно плохо.

  Вторая - это мы прибиваем иксы и этим устраиваем мелкую пакость;
то-же можно было сделать кнопкой ресет или (в отсутствии таковой на
ноуте) чеытрехсекундным удержанием питания.

  Второе можно рассматривать или не рассматривать - это вопрос вкуса,
вполне может быть что имеет смысл по умолчанию выключить сочетания
Ctrl Alt, но мне кажется что это сравнимо с ресетом и можно оставить
как есть.

 Первый-же случай - впрочем уже все разжевано...

> Вообще-то, не передёргиваю. Софтверно предоставлена прямая возможность
>  нарушить безопасность работы формально заблокированного компьютера.
>

  Здесь возможно длинное обсуждение с сравнением аппаратного
воздействия и волшебных сочетаний клавиш.

 Важно помнить лишь разницу между обрушиванием системы и получением
доступа к управлению.

Re: [Comm] Security hole in X (KDE) -- not

[Timur Batyrshin]

On Wed, 12 Mar 2008 19:49:06 +0300
ALT Linux User wrote:

> Наверное, надо как-то не давать легко менять runlevel. Плюс, сразу в
> xorg.conf прописать костылик запрещающий Ctrl+Alt+Backspace

Нет уж, нет уж. Для тех, кто в консоли не умеет работать толку от этого
мало, а для тех, кто умеет -- ты завариваешь крышку капота.

[Comm] [JT] обманутые ожидания

[Michael Shigorin]

On Wed, Mar 12, 2008 at 08:45:19PM +0300, Алексей Синицын wrote:
> > Речь идёт о плохой информационной системе?
> Я мог-бы рассказать о своем представлении о хорошей
> информационной системе, но боюсь это будет слишком долгое
> лирическое отступление и возможно не все любят фантастику.

http://freesource.info/wiki/TZ/ALtLinux/KakojjDolzhnaByt'Sistema?

> Здесь возможно длинное обсуждение с сравнением аппаратного
> воздействия и волшебных сочетаний клавиш.

И это ещё не упомянули возможность сделать startx'у Ctrl-z
с последующим bg, произведением желаемых действий, (вот зачистить
~/.bash_history эффективным тут не будет), clear; fg...

> Важно помнить лишь разницу между обрушиванием системы и
> получением доступа к управлению.

Угу.  Это DoS vs compromise.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Security hole in X (KDE)

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 468 bytes --]

* ALT Linux User <altlinux.mailbox@> [080312 20:29]:
> Причём тут знание консолей... Пользователь нажал пимпу lock session.
> Вот и всё, после этого любое шевеление только после пароля. И это
> единственно правильный подход IMHO.
[...]
> Вообще-то, не передёргиваю. Софтверно предоставлена прямая возможность
> нарушить безопасность работы формально заблокированного компьютера.
Не "компьютера", а "сессии".  Почувствуйте разницу.

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Security hole in X (KDE) -- not

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 411 bytes --]

* ALT Linux User <altlinux.mailbox@> [080312 19:58]:
> Наверное, надо как-то не давать легко менять runlevel. Плюс, сразу в
> xorg.conf прописать костылик запрещающий Ctrl+Alt+Backspace
А ещё приезжать с пассатижами и вырывать кнопку Reset.

> Мне и в правду кажется, что возможность делать пусть абы какое
> действие неавторизованно - как-то противоестественна для системы.

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] [JT] обманутые ожидания

[Алексей Синицын]

12.03.08, Michael Shigorin<mike@osdn.org.ua> написал(а):
> On Wed, Mar 12, 2008 at 08:45:19PM +0300, Алексей Синицын wrote:
>  > > Речь идёт о плохой информационной системе?
>  > Я мог-бы рассказать о своем представлении о хорошей
>  > информационной системе, но боюсь это будет слишком долгое
>  > лирическое отступление и возможно не все любят фантастику.
>
>  http://freesource.info/wiki/TZ/ALtLinux/KakojjDolzhnaByt'Sistema?
>

 Попробовать-то можно.. Да боюсь это будет так-же далеко от ALT как и
от linux :) Вот примерно что-то в таком духе:
http://a.sinitsin.googlepages.com/information , боюсь на практике
малоприменимо.

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

On 3/12/08, Andrey Rahmatullin <wrar@altlinux.ru> wrote:
> On Wed, Mar 12, 2008 at 08:23:40PM +0300, ALT Linux User wrote:
> > Вообще-то, не передёргиваю. Софтверно предоставлена прямая возможность
> > нарушить безопасность работы формально заблокированного компьютера.
> SysRq отрубить не забудьте.
> А чем нажатие Reset или кнопки на пилоте отличается от нажатия C-A-BS?

Тем, что команда ALT Linux не властна над ресет. Зато над собственной
системой...

On 3/12/08, Алексей Синицын <asinitsinster@gmail.com> wrote:
> >
> > > KDE предполагает что пользователь ничего не знает о консолях. А если
> > > пользователь знает про консоли то это значит что он прошел KDE и у
> > > него левелап.
> >
> >
> > Причём тут знание консолей... Пользователь нажал пимпу lock session.
> > Вот и всё, после этого любое шевеление только после пароля. И это
> > единственно правильный подход IMHO.
> >
>
> Здесь может быть по крайней мере две проблемы.
>
> Первая - это с чего началось данное обсуждение. Иксы запущены
> командой startx. Прибив иксы мы получаем доступ к системе с правами
> текущего пользователя. Это очевидно плохо.

Именно это и волнует.

> Вторая - это мы прибиваем иксы и этим устраиваем мелкую пакость;
> то-же можно было сделать кнопкой ресет или (в отсутствии таковой на
> ноуте) чеытрехсекундным удержанием питания.

Всё равно надо стараться минимизировать дыры безопасности хотя бы на
своём уровне.
Кнопки power оставим производителям корпусов.

> > Вообще-то, не передёргиваю. Софтверно предоставлена прямая возможность
> > нарушить безопасность работы формально заблокированного компьютера.
> >
>
> Здесь возможно длинное обсуждение с сравнением аппаратного
> воздействия и волшебных сочетаний клавиш.
>
> Важно помнить лишь разницу между обрушиванием системы и получением
> доступа к управлению.

Разница есть. Но тем не менее...

On 3/12/08, Alexey I. Froloff <raorn@altlinux.ru> wrote:
> * ALT Linux User <altlinux.mailbox@> [080312 20:29]:
> > Причём тут знание консолей... Пользователь нажал пимпу lock session.
> > Вот и всё, после этого любое шевеление только после пароля. И это
> > единственно правильный подход IMHO.
> [...]
> > Вообще-то, не передёргиваю. Софтверно предоставлена прямая возможность
> > нарушить безопасность работы формально заблокированного компьютера.
> Не "компьютера", а "сессии". Почувствуйте разницу.

На компьютере запущена МОЯ сессия. Сколько не чувствую - разницы не
ощущаю, поскольку во время моей сессии - компьютер мой на столько, на
сколько разрешено. Не меньше.

Re: [Comm] Security hole in X (KDE) -- not

[ALT Linux User]

On 3/12/08, Mikhail Gusarov <dottedmag@dottedmag.net> wrote:
> Twas brillig at 19:49:06 12.03.2008 UTC+03 when ALT Linux User did gyre and
> gimble:
>
> ALU> А вообще, такая нескромная мечта: yast в ALT. И текстовый, в том
> числе.
>
> Берёте и пишете текстовый UI для альтератора. В отличие от яста

Спасибо за доверие.
А что ещё я могу сделать для ООО "Альт Линукс"?

> последний хоть не гнилой изнутри.

Что гнилого в YaST?

On 3/12/08, Timur Batyrshin <batyrshin@ieml.ru> wrote:
> On Wed, 12 Mar 2008 19:49:06 +0300
> ALT Linux User wrote:
>
> > Наверное, надо как-то не давать легко менять runlevel. Плюс, сразу в
> > xorg.conf прописать костылик запрещающий Ctrl+Alt+Backspace
>
> Нет уж, нет уж. Для тех, кто в консоли не умеет работать толку от этого
> мало, а для тех, кто умеет -- ты завариваешь крышку капота.

Cкорее, это маленький гвоздик, костылик. Вытащить - легко.

On 3/12/08, Alexey I. Froloff <raorn@altlinux.ru> wrote:
> * ALT Linux User <altlinux.mailbox@> [080312 19:58]:
> > Наверное, надо как-то не давать легко менять runlevel. Плюс, сразу в
> > xorg.conf прописать костылик запрещающий Ctrl+Alt+Backspace
> А ещё приезжать с пассатижами и вырывать кнопку Reset.

Мы ещё не закончили с Вами об адекватном определении зависимости
идиотизма пользователя и отсутсвия секъюрности. А Вы уже предлагаете
очередную кардинальную услугу.

Нельзя ли немного замедлить генерацию идей, поскольку не все успевают
с их перевариванием?

Re: [Comm] Security hole in X (KDE)

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 401 bytes --]

On Wed, Mar 12, 2008 at 09:33:48PM +0300, ALT Linux User wrote:
> Тем, что команда ALT Linux не властна над ресет. Зато над собственной
> системой...
http://www.severeshock.com/images/windows_firewall.jpg

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

<thresh> О. Песня Enter Sandman. He-he-he. Интересно, есть ли Enter Hasher :)
<lioka> thresh: c фаршем на выходе ?

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Security hole in X (KDE) -- not

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 639 bytes --]

Twas brillig at 21:43:44 12.03.2008 UTC+03 when ALT Linux User did gyre and gimble:

 >> Берёте и пишете текстовый UI для альтератора. В отличие от яста
 ALU> Спасибо за доверие. А что ещё я могу сделать для ООО "Альт
 ALU> Линукс"?

При чём здесь ООО?

 >> последний хоть не гнилой изнутри.
 ALU> Что гнилого в YaST?

Внутренности. Но раз вы спрашиваете - не копались. А вы
покопайтесь-покопайтесь.

-- 

[-- Attachment #2: Type: application/pgp-signature, Size: 188 bytes --]

Re: [Comm] Security hole in X (KDE) -- not

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 453 bytes --]

* ALT Linux User <altlinux.mailbox@> [080312 21:50]:
> Мы ещё не закончили с Вами об адекватном определении зависимости
> идиотизма пользователя и отсутсвия секъюрности. А Вы уже предлагаете
> очередную кардинальную услугу.

> Нельзя ли немного замедлить генерацию идей, поскольку не все успевают
> с их перевариванием?
Скажите, а Вас инопланетяне никогда не похищали?  Или может Вам
такой сон когда-нибудь снился?

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Security hole in X (KDE) -- not

[ALT Linux User]

On 3/12/08, Mikhail Gusarov <dottedmag@dottedmag.net> wrote:
> Twas brillig at 21:43:44 12.03.2008 UTC+03 when ALT Linux User did gyre and
> gimble:
>
> >> Берёте и пишете текстовый UI для альтератора. В отличие от яста
> ALU> Спасибо за доверие. А что ещё я могу сделать для ООО "Альт
> ALU> Линукс"?
>
> При чём здесь ООО?

alterator - составная часть системы ALT Linux. Владелец ALT Linux -
ООО "Альт Линукс". Или я что-то неправильно понимаю?

> >> последний хоть не гнилой изнутри.
> ALU> Что гнилого в YaST?
>
> Внутренности. Но раз вы спрашиваете - не копались. А вы
> покопайтесь-покопайтесь.

:) Не имею такой возможности.

На уровне пользователя, YaST - IMHO отличная утилита.

Re: [Comm] Security hole in X (KDE) -- not

[ALT Linux User]

On 3/12/08, Alexey I. Froloff <raorn@altlinux.ru> wrote:
> * ALT Linux User <altlinux.mailbox@> [080312 21:50]:
> > Мы ещё не закончили с Вами об адекватном определении зависимости
> > идиотизма пользователя и отсутсвия секъюрности. А Вы уже предлагаете
> > очередную кардинальную услугу.
>
> > Нельзя ли немного замедлить генерацию идей, поскольку не все успевают
> > с их перевариванием?
> Скажите, а Вас инопланетяне никогда не похищали? Или может Вам
> такой сон когда-нибудь снился?
>
> --
> Regards,
> Sir Raorn.

Нет, пока не похищали. Снов таких тоже, не припомню...

Впрочем, многого пока в моей жизни не происходило. Например, меня
никогда не принимали в Рыцари Британской Империи, Sir Raorn :)

Re: [Comm] Security hole in X (KDE) -- not

[Damir Shayhutdinov]

> alterator - составная часть системы ALT Linux. Владелец ALT Linux -
>  ООО "Альт Линукс". Или я что-то неправильно понимаю?

Конечно неправильно. Вы когда-нибудь про свободное ПО слышали?

Re: [Comm] Security hole in X (KDE)

[Хихин Руслан]

[-- Attachment #1: Type: text/plain, Size: 494 bytes --]

Здравствуйте ALT Linux User
  В сообщении от 12 марта 2008 ALT Linux User написал(a):
 > Прибив иксы мы получаем доступ к системе с правами
 > > текущего пользователя. Это очевидно плохо.
 > Именно это и волнует.
А если на какой-то консоле не закончен сеанс root ...то и убивать не 
надо.


-- 
  А ещё говорят так  (fortune):
 
I have the power to HALT PRODUCTION on all TEENAGE SEX COMEDIES!! 
________________________________________________________________________
С уважением Хихин Руслан

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Security hole in X (KDE)

[Алексей Синицын]

12.03.08, Хихин Руслан<hihin@rambler.ru> написал(а):
> Здравствуйте ALT Linux User
>   В сообщении от 12 марта 2008 ALT Linux User написал(a):
>
>  > Прибив иксы мы получаем доступ к системе с правами
>   > > текущего пользователя. Это очевидно плохо.
>   > Именно это и волнует.
>
> А если на какой-то консоле не закончен сеанс root ...то и убивать не
>  надо.
>
>

Ну это, кстати, теоретически решаемо. Демон слушающий устройства ввода
и блокирующий все открытые консоли как текстовые так и графические.
Вопрос необходимости.

Re: [Comm] Security hole in X (KDE) -- not

[ALT Linux User]

On 3/12/08, Damir Shayhutdinov <lost404@gmail.com> wrote:
> > alterator - составная часть системы ALT Linux. Владелец ALT Linux -
> > ООО "Альт Линукс". Или я что-то неправильно понимаю?
>
> Конечно неправильно. Вы когда-нибудь про свободное ПО слышали?

Да, слышал.

Немогли бы Вы немного развить свою мысль? Очень уж широкая гамма
получается, от free as in freedom до ПО, от которого все свободны.

Re: [Comm] Security hole in X (KDE) -- not

[Andrey Rahmatullin]

On Wed, Mar 12, 2008 at 11:01:58PM +0300, ALT Linux User wrote:
> Немогли бы Вы немного развить свою мысль? Очень уж широкая гамма
> получается, от free as in freedom до ПО, от которого все свободны.
Прекратите троллить.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

 * Pilot . o O (архивы рассылок тех времён были утеряны, поэтому о
   происходивших событиях историки судят по хроникам Raorn'а
   Летипосца...) 

[Comm] [2SR] Re: Security hole in X (KDE) -- not

[Michael Shigorin]

On Thu, Mar 13, 2008 at 01:06:52AM +0500, Andrey Rahmatullin wrote:
> > Немогли бы Вы немного развить свою мысль? Очень уж широкая гамма
> > получается, от free as in freedom до ПО, от которого все свободны.
> Прекратите троллить.

Андрюш, не раздражайся.

А теме действительно было место почти сразу в smoke-room@.
Куда и предлагаю переместиться при желании доразбираться,
кто о чём и что к чему.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Security hole in X (KDE)

[Andrei Lomov]

ALT Linux User wrote:

>> > Чем именно это запрещать?
>> >
>>
>> Используйте
>> $ vlock -a
>> в консоли
> 
> Простите, в какой консоли?

Ctrl-Alt-F1 ?

-- 
Всего доброго,
А.Л.

Re: [Comm] Security hole in X (KDE)

[Andriy Dobrovol`s`kii]

2008/3/11 Eugene Ostapets <eostapets@gmail.com>:
> 11.03.08, ALT Linux User<altlinux.mailbox gmail.com> написал(а):
>
> > IMHO это предмет для размышлений тех, кто отвечает за архитектуру
>  >  приложений/системы. Возможно, это должно настраиваться в GUI. Некое
>  >  нечто со вкладкой "безопасность". "Блокировать все сессии данного
>  >  пользователя при включении им кнопки "блокировка сессии"?" (извините,
>  >  не знаю как это называется в русской версии).
>  Пользователю - runlevel 5 с xdm/gdm/kdm, если он считает себя крутым -
>  пусть думает головой!
>  Все необходимое для организации безопасного рабочего места в системе
>  есть, но только в KDE/Gnome/XFCE есть настройка из коробки "заботиться
>  о безопасности для новичков и включать блокировку сеанса по
>  таймауту"...
>
Я вот во всем этом обсуждении одного не пойму. Чем спасет всё
предложенное от взлома машины при наличии _физического_ доступа к
консоли и наличия такого желания?
Если уж кто-то знает как найти исходную консоль и грохнуть запущенную
сессию, и его не заботит, что у другого при этом может накрыться
что-то очень важное... Как его остановит запущенный dm?
-- 
Regards,
Andrii Dobrovol`s`kyj

Re: [Comm] Security hole in X (KDE)

[Хихин Руслан]

[-- Attachment #1: Type: text/plain, Size: 672 bytes --]

Здравствуйте Andriy Dobrovol`s`kii
  В сообщении от 16 марта 2008 Andriy Dobrovol`s`kii написал(a):
 > Я вот во всем этом обсуждении одного не пойму. Чем спасет всё
 > предложенное от взлома машины при наличии _физического_ доступа к
 > консоли и наличия такого желания?
В таких случаях важно время взлома. 
По отдельности ничто не может спасти. Спасти может только система 
продуманных мер :)


-- 
  А ещё говорят так  (fortune):
 
The world is moving so fast these days that the man who says it can't be 
done is generally interrupted by someone doing it. -- E. Hubbard 
________________________________________________________________________
С уважением Хихин Руслан

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Security hole in X (KDE)

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 452 bytes --]

On Sun, Mar 16, 2008 at 02:45:18PM +0200, Andriy Dobrovol`s`kii wrote:
> Я вот во всем этом обсуждении одного не пойму. Чем спасет всё
> предложенное от взлома машины при наличии _физического_ доступа к
> консоли и наличия такого желания?
Ничего, и об этом было не раз написано.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

Необходимость backup даже не обсуждается в приличном обществе.
		-- mithraen in community@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Security hole in X (KDE)

[Andriy Dobrovol`s`kii]

2008/3/16 Andrey Rahmatullin <wrar@altlinux.ru>:
> On Sun, Mar 16, 2008 at 02:45:18PM +0200, Andriy Dobrovol`s`kii wrote:
>  > Я вот во всем этом обсуждении одного не пойму. Чем спасет всё
>  > предложенное от взлома машины при наличии _физического_ доступа к
>  > консоли и наличия такого желания?
>  Ничего, и об этом было не раз написано.
>
Вот. И поэтому нужно понимать, что лок иксов это не безопасность, а
средство обезопасить от случайного ввода символов текущую сессию.
А серьёзно говорить об использовании dm можно только когда он
предоставляет свой интерфейс на всех консолях а не на одной, ИМХО.
Насколько я помню, наш себя светит только на седьмой.
-- 
Regards,
Andrii Dobrovol`s`kyj

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/16 Andriy Dobrovol`s`kii <adobrovolskii@gmail.com>:
> 2008/3/16 Andrey Rahmatullin <wrar@altlinux.ru>:
> > On Sun, Mar 16, 2008 at 02:45:18PM +0200, Andriy Dobrovol`s`kii wrote:
> >  > Я вот во всем этом обсуждении одного не пойму. Чем спасет всё
> >  > предложенное от взлома машины при наличии _физического_ доступа к
> >  > консоли и наличия такого желания?
> >  Ничего, и об этом было не раз написано.
> >
> Вот. И поэтому нужно понимать, что лок иксов это не безопасность, а
> средство обезопасить от случайного ввода символов текущую сессию.

Вот именно.
Всё-таки, странно...
Ну что сложного? - сначала введите пароль, а уже потом - всё, что угодно.

Re: [Comm] Security hole in X (KDE)

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 823 bytes --]

On Sun, Mar 16, 2008 at 11:42:11PM +0300, ALT Linux User wrote:
> Вот именно.
> Всё-таки, странно...
> Ну что сложного? - сначала введите пароль, а уже потом - всё, что угодно.
Несложно - сделайте.
Начните с SysRq.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

<php-coder> vorphalack: что-то быстро очень мы на башоргу попали.. странно
<Lost_work> php-coder: враг не дремлет!
<dottedmag> сознавайтесь. кто из вас - DarkRider?
<vorphalack> dottedmag: даркридер он не местный, афаик
<vorphalack> dottedmag: мне кто-то говорил, что он с руснету
 * Lost_work .oO ( DarkRider - темный Антон Ф.)
<php-coder> DarkRider это темная сторона всем известного Rider'а, который, как
            стало известно по данным анонимоусов с ЛОРа уже давно вживет в
            Швеции :))) Вот как ;)

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/16 Andrey Rahmatullin <wrar@altlinux.ru>:
> Начните с SysRq.

Начните с понимания простого пользователя.

Re: [Comm] Security hole in X (KDE)

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 377 bytes --]

On Sun, Mar 16, 2008 at 11:56:40PM +0300, ALT Linux User wrote:
> > Начните с SysRq.
> Начните с понимания простого пользователя.
Что мешает простому пользователю нажать SysRq?

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

Обидно закачивать монстра в 100 Мбайт только из-за того,
что там исправлена ошибка в Summary :)
		-- lav in sisyphus@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/16 Andrey Rahmatullin <wrar@altlinux.ru>:
> On Sun, Mar 16, 2008 at 11:56:40PM +0300, ALT Linux User wrote:
> > > Начните с SysRq.
> > Начните с понимания простого пользователя.
> Что мешает простому пользователю нажать SysRq?

Ну... как известно, постой пользователь ходит вооружённый ломом,
страуструпом и таблицами брадиса (читай - всесилен).
Мне подсказать? В оффтопике можно прервать чужую сессию нажав SysRq?
По-прежнему, не равняетесь на индусов?

Re: [Comm] Security hole in X (KDE)

[Damir Shayhutdinov]

>
> > Начните с SysRq.
>
>  Начните с понимания простого пользователя.

Простой пользователь != простой тролль.

Re: [Comm] Security hole in X (KDE)

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 447 bytes --]

On Mon, Mar 17, 2008 at 12:03:53AM +0300, ALT Linux User wrote:
> Мне подсказать? В оффтопике можно прервать чужую сессию нажав SysRq?
Я ж сказал, займитесь, раз легко.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

Меня интересует -- что теперь курят в офисе, что удивляются
потом тому, что Bourne-Again shell script text executable (c) file
пытаются пробабилистически воспринимать как ELF?
		-- mike in devel@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/17 Damir Shayhutdinov <lost404@gmail.com>:
> >
> > > Начните с SysRq.
> >
> >  Начните с понимания простого пользователя.
>
> Простой пользователь != простой тролль.

Зря Вы бросаетесь словом "тролль". "Простой пользователь" - отнюдь не
тролль. Тролль чаще замаскированный недоброжелатель. Грамотный
недоброжелатель.

2008/3/17 Andrey Rahmatullin <wrar@altlinux.ru>:
> On Mon, Mar 17, 2008 at 12:03:53AM +0300, ALT Linux User wrote:
> > Мне подсказать? В оффтопике можно прервать чужую сессию нажав SysRq?
> Я ж сказал, займитесь, раз легко.

У меня достаточно других занятий.

Иногда, я позволяю себе расслабиться. Скажем, купить дистрибутив
десктопный, линуксовый, одна штука. Поставить, посмотреть самому, дабы
адекватно понимать рекомендации персонала.

В качестве особого благорасположения, могу написать свои собственные отзывы.

Или Вы хотите, что бы я сам написал операционную систему с нуля?

Re: [Comm] Security hole in X (KDE)

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 430 bytes --]

On Mon, Mar 17, 2008 at 12:19:54AM +0300, ALT Linux User wrote:
> У меня достаточно других занятий.
Вот и займитесь и прекратите расбрасываться словами в рассылке.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

<raorn> 21:56 <rphillips> I wonder if doom3 will have vim keybindings
<thresh> raorn: а ты видел системные требования этого doom3? ;]
<wRAR> thresh: у vim гораздо меньше. даже vim-gtk2

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Security hole in X (KDE)

[Хихин Руслан]

[-- Attachment #1: Type: text/plain, Size: 684 bytes --]

Здравствуйте ALT Linux User
  В сообщении от 17 марта 2008 ALT Linux User написал(a):
 > В качестве особого благорасположения, могу написать свои собственные
 > отзывы.
 >
 > Или Вы хотите, что бы я сам написал операционную систему с нуля?
Вам-же сказали - задачи защиты от пользователя, который имеет физиеский 
доступ к компьютеру нет. Это всё можно настроить, но за другие деньги.
Тут уже требуются не только софтовые средства, но и аппаратные средства.


-- 
  А ещё говорят так  (fortune):
 
- Что делает системный администратор, проснувшись с похмелья? ?- 
Тестирует память...  

________________________________________________________________________
С уважением Хихин Руслан

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/17 Andrey Rahmatullin <wrar@altlinux.ru>:
> On Mon, Mar 17, 2008 at 12:19:54AM +0300, ALT Linux User wrote:
> > У меня достаточно других занятий.
> Вот и займитесь и прекратите расбрасываться словами в рассылке.

Видимо, "разбрасываемые слова" ускользают от Вашего внимания.
Сосредоточтесь, сейчас скажу статус целиком:

Заниматься вашей операционной системой я могу только спорадически, на
уровне просмотра функциональности. Отзывы пишу по мере накопления
эмоций.
В случае особо редкой удачи, могу сочинить несложный текст и поместить
где-то, что защищено паролями, логической организацией вносимых данных
и авторизованными доступами и прочими в принципе преодолеваемыми
вещами в течении пары часов.

2008/3/17 Хихин Руслан <hihin@rambler.ru>:
> Здравствуйте ALT Linux User
>  В сообщении от 17 марта 2008 ALT Linux User написал(a):
>  > В качестве особого благорасположения, могу написать свои собственные
>  > отзывы.
>  >
>  > Или Вы хотите, что бы я сам написал операционную систему с нуля?
> Вам-же сказали - задачи защиты от пользователя, который имеет физиеский
> доступ к компьютеру нет. Это всё можно настроить, но за другие деньги.
> Тут уже требуются не только софтовые средства, но и аппаратные средства.

Да, конечно.

В качестве опыта - опять же предлагаю прервать с клавиатуры сессию оффтопика.

Re: [Comm] Security hole in X (KDE)

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 745 bytes --]

On Mon, Mar 17, 2008 at 12:41:16AM +0300, ALT Linux User wrote:
> Заниматься вашей операционной системой я могу только спорадически, на
> уровне просмотра функциональности. Отзывы пишу по мере накопления
> эмоций.
Написали? Успокойтесь. Прекратите возмущаться и требовать. Вам никто
ничего не должен.

> В качестве опыта - опять же предлагаю прервать с клавиатуры сессию оффтопика.
Ставьте оффтопик. Утомили.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

[...] API UNIX слишком простое и мощное для современных недопрограммистов,
и требуется всё из себя абстрактное API, где будет функция типа open_rewrite
(которая будет писать во временный файл, а по close сделает rename).
		-- mithraen in sisyphus@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/17 Andrey Rahmatullin <wrar@altlinux.ru>:
> On Mon, Mar 17, 2008 at 12:41:16AM +0300, ALT Linux User wrote:
> > Заниматься вашей операционной системой я могу только спорадически, на
> > уровне просмотра функциональности. Отзывы пишу по мере накопления
> > эмоций.
> Написали? Успокойтесь. Прекратите возмущаться и требовать. Вам никто
> ничего не должен.

Странное отношение к доброжелательному, участливому пользователю
(читай: бесплатному бета-тестеру).

> > В качестве опыта - опять же предлагаю прервать с клавиатуры сессию оффтопика.
> Ставьте оффтопик. Утомили.

Вот-вот. Именно в этом и проблема. Так же легко сдались и остальные...
И теперь мы имеем засилие довольно посредственного програмного
продукта, более того - засилие идеологии продажи разрешения на знания.
Не пробовали, всё же, побороться за своё видение ПО?

Причём, самое удивительное, что те, кто МОГ бы сопротивляться,
срываются на тех, кто и понятия не имеет обо всём этом. Что Вы
боритесь со мной, с моими дилетантскими вопросами?, - боритесь с
несовершенством своего продукта, что б вопросов не было...

Re: [Comm] Security hole in X (KDE)

[Alexei V. Mezin]

ALT Linux User пишет:

>> Ставьте оффтопик. Утомили.
> 
> Вот-вот. Именно в этом и проблема. Так же легко сдались и остальные...

А попробуйте ка _корректно_ завершить подвисший сеанс в Виндовз? Чтоб 
сбросились дисковые буфера и отмонтирвались ФС. Получилось? Зато там нет 
нагрузки на клавишу SysRq.

Кто-то из "великих Гуру" на вопрос "почему в *nix нельзя восстановить 
стертый файл" ответил так (не дословно, но суть передам): "*nix не 
мешает глупым людям делать дурные вещи, потому что это может помешать 
умным делать полезные вещи".

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/17 Alexei V. Mezin <alexei_vm@ints.ru>:
> ALT Linux User пишет:
>
> >> Ставьте оффтопик. Утомили.
> >
> > Вот-вот. Именно в этом и проблема. Так же легко сдались и остальные...
>
> А попробуйте ка _корректно_ завершить подвисший сеанс в Виндовз? Чтоб
> сбросились дисковые буфера и отмонтирвались ФС. Получилось? Зато там нет
> нагрузки на клавишу SysRq.

Это совершенно не относится к сути вопроса о беззащитности дефолтного
сеанса в KDE.

> Кто-то из "великих Гуру" на вопрос "почему в *nix нельзя восстановить
> стертый файл" ответил так (не дословно, но суть передам): "*nix не
> мешает глупым людям делать дурные вещи, потому что это может помешать
> умным делать полезные вещи".

На что можно ответить: "Оффтопик мешает глупым людям делать глупые
вещи с системой, поскольку вынужден трепетно относиться к их
инвестициям в ПО."

Re: [Comm] Security hole in X (KDE)

[Alexei V. Mezin]

ALT Linux User пишет:

>> Кто-то из "великих Гуру" на вопрос "почему в *nix нельзя восстановить
>> стертый файл" ответил так (не дословно, но суть передам): "*nix не
>> мешает глупым людям делать дурные вещи, потому что это может помешать
>> умным делать полезные вещи".
> 
> На что можно ответить: "Оффтопик мешает глупым людям делать глупые
> вещи с системой, поскольку вынужден трепетно относиться к их
> инвестициям в ПО."

Ну вот вы и дали ответ: Виндовз заботится о глупых пользователях, а 
Линукс об умных. Исходя из этой идеологии, никаких проблем с 
"безопасностью КДЕ" нету. Система не мешает работать умным 
пользователям, а проблемы глупых решают более другие системы.

Re: [Comm] Security hole in X (KDE)

[Хихин Руслан]

[-- Attachment #1: Type: text/plain, Size: 1059 bytes --]

Здравствуйте ALT Linux User
  В сообщении от 17 марта 2008 ALT Linux User написал(a):
 > Странное отношение к доброжелательному, участливому пользователю
 > (читай: бесплатному бета-тестеру).
 Win я просто перегружу, загружусь с Live CD и выкачаю всё, что мне надо 
(опыт алминистрирования выливается в опыт хакания). ОС тут роли не 
играет - ценную инфу можно всегда скопировать с любой ОС, если нет 
аппаратных средств защиты. 
 Ложное чувство защищённости ещё хуже, чем понимание пользователем, что 
сосед может разлочить твой сеанс. Уж лучше пусть пользователь 
внимательней смотрит за своим компом, чем надеется, что залочив сеанс 
он в безопасности. Залочить сеанс не проблема (и тут уже прозвучал 
рецепт, но вы в пылу спора его похоже пропустили) - проблема в том, что 
он никак систему не защищает, особенно если пользователь сам не 
озадачен защитой мнформации.


-- 
  А ещё говорят так  (fortune):
 
Новый чудо-йогурт: теперь с кусочками мяса!!!  

________________________________________________________________________
С уважением Хихин Руслан

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/17 Alexei V. Mezin <alexei_vm@ints.ru>:
> ALT Linux User пишет:
>
> >> Кто-то из "великих Гуру" на вопрос "почему в *nix нельзя восстановить
> >> стертый файл" ответил так (не дословно, но суть передам): "*nix не
> >> мешает глупым людям делать дурные вещи, потому что это может помешать
> >> умным делать полезные вещи".
> >
> > На что можно ответить: "Оффтопик мешает глупым людям делать глупые
> > вещи с системой, поскольку вынужден трепетно относиться к их
> > инвестициям в ПО."
>
> Ну вот вы и дали ответ: Виндовз заботится о глупых пользователях, а
> Линукс об умных. Исходя из этой идеологии, никаких проблем с
> "безопасностью КДЕ" нету. Система не мешает работать умным
> пользователям, а проблемы глупых решают более другие системы.

Позволю себе уточнить - линукс пытается "оттянуть" пользователей на
себя. Надеятся на то, что пользователь резко поумнеет от того, что
работает с линукс, IMHO, несколько самонадеянно. Это процесс
протяжённый по времени.
Боюсь, линуксу придётся заботиться обо всём спектре пользователей, как
минимум на начальном этапе.

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/17 Хихин Руслан <hihin@rambler.ru>:
> Здравствуйте ALT Linux User
>  В сообщении от 17 марта 2008 ALT Linux User написал(a):
>  > Странное отношение к доброжелательному, участливому пользователю
>  > (читай: бесплатному бета-тестеру).
>  Win я просто перегружу, загружусь с Live CD и выкачаю всё, что мне надо
> (опыт алминистрирования выливается в опыт хакания). ОС тут роли не
> играет - ценную инфу можно всегда скопировать с любой ОС, если нет
> аппаратных средств защиты.

Не в теме, конечно, а как защищённые системой (шифрованные) данные
будете читать?

>  Ложное чувство защищённости ещё хуже, чем понимание пользователем, что
> сосед может разлочить твой сеанс.

Именно это и есть предмет обсуждения - для чего тогда кнопка "lock
session", если фактически этого не происходит?

> Уж лучше пусть пользователь
> внимательней смотрит за своим компом, чем надеется, что залочив сеанс
> он в безопасности. Залочить сеанс не проблема (и тут уже прозвучал
> рецепт, но вы в пылу спора его похоже пропустили)

IMHO все "рецепты" по безопасности должны быть под руками у
пользователя, наряду с объяснениями в случае смены им каких-либо
установок, влияющих на безопасность.

Re: [Comm] Security hole in X (KDE)

[Andriy Dobrovol`s`kii]

2008/3/17 ALT Linux User <altlinux.mailbox@gmail.com>:
> 2008/3/17 Хихин Руслан <hihin@rambler.ru>:
>
> > Здравствуйте ALT Linux User
>  >  В сообщении от 17 марта 2008 ALT Linux User написал(a):
>  >  > Странное отношение к доброжелательному, участливому пользователю
>  >  > (читай: бесплатному бета-тестеру).
>  >  Win я просто перегружу, загружусь с Live CD и выкачаю всё, что мне надо
>  > (опыт алминистрирования выливается в опыт хакания). ОС тут роли не
>  > играет - ценную инфу можно всегда скопировать с любой ОС, если нет
>  > аппаратных средств защиты.
>
>  Не в теме, конечно, а как защищённые системой (шифрованные) данные
>  будете читать?
>
Если пользователь и правда заботится о безопасности даных, Вы и
получив доступ к консоли пользователя не прочтете зашифрованные
данные. Понадобится ещё пароль доступа к ним.
>
>  >  Ложное чувство защищённости ещё хуже, чем понимание пользователем, что
>  > сосед может разлочить твой сеанс.
>
>  Именно это и есть предмет обсуждения - для чего тогда кнопка "lock
>  session", если фактически этого не происходит?
>
Именно для того, что на ней написано. Прислушайтесь к тому, что Вам
уже сказали. Икс-орг != система. Если есть необходимость не дать
обойти икслок сразу грузите систему в пятом уровне. Хотя это тоже не
панацея, но сброс иксов уже не даст доступа к системе под чужим
именем.
>
>  > Уж лучше пусть пользователь
>  > внимательней смотрит за своим компом, чем надеется, что залочив сеанс
>  > он в безопасности. Залочить сеанс не проблема (и тут уже прозвучал
>  > рецепт, но вы в пылу спора его похоже пропустили)
>
>  IMHO все "рецепты" по безопасности должны быть под руками у
>  пользователя, наряду с объяснениями в случае смены им каких-либо
>  установок, влияющих на безопасность.
>
Это конечно хорошо бы. Осталось кому-то это реализовать. :) Первым
шагом может стать четкая формулировка проблемы и предложение путей её
решения. Возьметесь? Для нас проблема неочевидна. Возможно, если Вы
без эмоций её сформулируете она обеспокоит и нас.
>
-- 
Regards,
Andrii Dobrovol`s`kyj

Re: [Comm] Security hole in X (KDE)

[Хихин Руслан]

[-- Attachment #1: Type: text/plain, Size: 988 bytes --]

Здравствуйте ALT Linux User
  В сообщении от 17 марта 2008 ALT Linux User написал(a):
 > IMHO все "рецепты" по безопасности должны быть под руками у
 > пользователя, наряду с объяснениями в случае смены им каких-либо
 > установок, влияющих на безопасность.
Мечтать не вредно :)
Только тогда зачем институты готовят специалистов по безопасности :)
Каждая система требует свой уровень безопасности. Достаточно удалённой	 
безопасности, а безопасность от соседа решается просто - выйди из 
сеанса и выключи комп :) ещё лучше - закрой на ключ и опечатай.
Блокирование сеанса - это от случайного любопытного взгляда и на большее 
не расчитано. Чуть сильнее - Ctrl+ALT+Fn и vlock. А от перезагрузки - 
защиты нигде нет. Как и от доступа к данным благодаря ей.

-- 
  А ещё говорят так  (fortune):
 
Mary Tyler Moore's SEVENTH HUSBAND is wearing my DACRON TANK TOP in a 
cheap hotel in HONOLULU! 
________________________________________________________________________
С уважением Хихин Руслан

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Comm] Security hole in X (KDE)

[ALT Linux User]

2008/3/17 Andriy Dobrovol`s`kii <adobrovolskii@gmail.com>:
> 2008/3/17 ALT Linux User <altlinux.mailbox@gmail.com>:
> >  IMHO все "рецепты" по безопасности должны быть под руками у
> >  пользователя, наряду с объяснениями в случае смены им каких-либо
> >  установок, влияющих на безопасность.
> >
> Это конечно хорошо бы. Осталось кому-то это реализовать. :) Первым
> шагом может стать четкая формулировка проблемы и предложение путей её
> решения.

Мне кажется целесообразным полностью блокировать сессию пользователя,
который нажал кнопку lock session. Блокировать до состояния
однозначного приоритета ввода пароля и его идентификации перед всеми
остальными клавиатурными сочетаниями.

Объяснения из разряда "пришёл плохишъ и уронил сервер на пол" мне не
кажутся убедительными в данном случае.

2008/3/17 Хихин Руслан <hihin@rambler.ru>:
> Здравствуйте ALT Linux User
>  В сообщении от 17 марта 2008 ALT Linux User написал(a):
>  > IMHO все "рецепты" по безопасности должны быть под руками у
>  > пользователя, наряду с объяснениями в случае смены им каких-либо
>  > установок, влияющих на безопасность.
> Мечтать не вредно :)
> Только тогда зачем институты готовят специалистов по безопасности :)
> Каждая система требует свой уровень безопасности. Достаточно удалённой
> безопасности, а безопасность от соседа решается просто - выйди из
> сеанса и выключи комп :) ещё лучше - закрой на ключ и опечатай.

Мечта есть объективная реальность данная нам в оффтопике :)

Всё же, мне кажется, надо, по возможности, снизить риски везде, где
только возможно.

Re: [Comm] Security hole in X (KDE)

[Sergey Balbeko]

+1
в соседнем треде про засыпание на диск-косвенно высказался и по теме
этого флейма.

17.03.08, ALT Linux User<altlinux.mailbox@gmail.com> написал(а):
> 2008/3/17 Andriy Dobrovol`s`kii <adobrovolskii@gmail.com>:
> > 2008/3/17 ALT Linux User <altlinux.mailbox@gmail.com>:
> > >  IMHO все "рецепты" по безопасности должны быть под руками у
> > >  пользователя, наряду с объяснениями в случае смены им каких-либо
> > >  установок, влияющих на безопасность.
> > >
> > Это конечно хорошо бы. Осталось кому-то это реализовать. :) Первым
> > шагом может стать четкая формулировка проблемы и предложение путей её
> > решения.
>
> Мне кажется целесообразным полностью блокировать сессию пользователя,
> который нажал кнопку lock session. Блокировать до состояния
> однозначного приоритета ввода пароля и его идентификации перед всеми
> остальными клавиатурными сочетаниями.
>
> Объяснения из разряда "пришёл плохишъ и уронил сервер на пол" мне не
> кажутся убедительными в данном случае.
>
> 2008/3/17 Хихин Руслан <hihin@rambler.ru>:
> > Здравствуйте ALT Linux User
> >  В сообщении от 17 марта 2008 ALT Linux User написал(a):
> >  > IMHO все "рецепты" по безопасности должны быть под руками у
> >  > пользователя, наряду с объяснениями в случае смены им каких-либо
> >  > установок, влияющих на безопасность.
> > Мечтать не вредно :)
> > Только тогда зачем институты готовят специалистов по безопасности :)
> > Каждая система требует свой уровень безопасности. Достаточно удалённой
> > безопасности, а безопасность от соседа решается просто - выйди из
> > сеанса и выключи комп :) ещё лучше - закрой на ключ и опечатай.
>
> Мечта есть объективная реальность данная нам в оффтопике :)
>
> Всё же, мне кажется, надо, по возможности, снизить риски везде, где
> только возможно.
> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community


-- 
----
GLHF
WBR, Sergey Balbeko <balbeko@altlinux.org>.
----
ICQ == "244-711"
JID == "m0s.bizzy@gmail.com"

[Comm] Administrativia

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 365 bytes --]

On Sun, Mar 16, 2008 at 11:56:40PM +0300, ALT Linux User wrote:

Я не знаю, куда смотрят модераторы, поэтому позволил себе вмешаться.
Просьба не разводить flame в списке рассылки.

2mike: загляни на
https://lists.altlinux.org/mailman/admin/community/privacy/spam
недельки через две и удали оттуда устаревшие к тому времени
(надеюсь) правила.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]