From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-3.4 required=5.0 tests=BAYES_00,DKIM_SIGNED, DKIM_VALID,DKIM_VALID_AU,RP_MATCHES_RCVD autolearn=ham autolearn_force=no version=3.4.1 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=basealt.ru; s=dkim; t=1751351159; h=from:from:reply-to:subject:subject:date:date:message-id:message-id: to:to:cc:mime-version:mime-version:content-type:content-type: content-transfer-encoding:content-transfer-encoding: in-reply-to:in-reply-to:references:references; bh=QE4yl5vf1FgKsMiLm2BOeOdLNjNKT2qRQhTM1AEzots=; b=HiZCxUPyaVwBjRQvcEz3BWceg9n6r6SAtDeG/M4WRYKIAHdP+Ec9x7heH8ujlG8bigVyIG hED3ddrL6oweH4JnpYLE5RIb6wi/wcS8vh2BhMrOzoier3c5NhouR00srAbN7fdLURivMa i/kY34XluXDm+UaY3gUCe3By80Lmg1tk4BsbhXYQGrDCvu6ixOQu8mlJ3XoAthTf9e2pr/ kaPZFXRDxK8U7Jr4HktAR4lDRPCb4AN/z3GCar/c4+W7juIFFjhFxBJTnpv8yjZghk6LeE KQbfuNlYxSeTfWsF+xauxcrsV/rpJohZZ24DyUYydlXJ1OHkGAnfI15zYfjPAQ== Message-ID: <1d4b9f1a-3e89-4e35-87e6-36beae99cf82@basealt.ru> Date: Tue, 1 Jul 2025 09:25:59 +0300 MIME-Version: 1.0 User-Agent: Mozilla Thunderbird To: devel@lists.altlinux.org References: <6823795.DvuYhMxLoT@ztation.smnr> <875f6d0f-6212-46f4-90e7-1b8947c0fe80@altlinux.org> <82b455b59a265c91b39d216c53b52fea3932f4c5.camel@altlinux.org> <1dfd2fa2-a858-45b8-87d2-9e848012bff4@altlinux.org> <20250620204744.681933c8@google-analytics.com> Content-Language: ru From: Anton Farygin Organization: BaseALT In-Reply-To: Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [devel] =?utf-8?b?ZmlyZXdhbGwg0LTQu9GPINC/0YDQuNC70L7QttC10L0=?= =?utf-8?b?0LjQuQ==?= X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 01 Jul 2025 06:26:03 -0000 Archived-At: List-Archive: List-Post: On 6/30/25 21:19, Arseny Maslennikov wrote: > On Mon, Jun 30, 2025 at 09:16:00PM +0300, Arseny Maslennikov wrote: >> On Fri, Jun 20, 2025 at 08:47:44PM +0300, Denis Medvedev wrote: >>> On Fri, 20 Jun 2025 20:04:09 +0300 >>> Semen Fomchenkov wrote: >>> >>>> 20.06.2025 19:56, Andrey Limachko пишет: >>>>> Обращение в сеть должно быть осознанным для пользователя. К >>>>> примеру, виджет погоды Gnome ни кого ни о чём не спрашивает. >>>> О каком виджете погоды GNOME вы говорите? То что в центре >>>> уведомлений, использует приложение погоды GNOME, то что можно >>>> добавить расширением тоже использует погоду GNOME. Да и странно бы >>>> было получать погоду не из интернета, так что ограничения любой >>>> работы с сетью выглядит достаточно странно, если это нужно >>>> пользователю, то пусть настраивает firewall. >>> оно ставится по умолчанию, что не дает человеку принять решение, надо >>> ему или не надо такое поведение. >>> Лучше бы ставился файрвол с возможностью добавлять исключения по >>> попыткам приложений лезть в интернет. Тогда увидев, что приложение >>> "погода" полезло в интернет, можно было бы >>> разрешить ему это >>> или снести это приложение >>> или протоколировать его трафик, >>> или запретить ему выход в сеть. >> nftables позволяет вешать правила на трафик, причастный сокету, который >> был открыт в сигруппе X или от UID Y. (Второе добавили в ядро для нужд >> Android.) > https://systemd.io/DESKTOP_ENVIRONMENTS/ > Здесь приводят пример, как DE (её компонент, порождающий процессы) могла > бы, запуская приложение, помещать его в индивидуальную сигруппу (и > сокеты, открытые его процессами, попали бы под нужные правила). > > Правда, если (когда?) популярные DE начнут так делать, то это ослабит > надёжность: повисли по какой-нибудь причине `systemd --user` или > `dbus-daemon`, и каюк; хомячок даже 'System Monitor' не запустит, чтобы > что-нибудь прибить, только перелогин + grace-период 30 секунд ему помогут. > Но это уже совсем другая история... Всё уже давно придумали CGroup /: -.slice ├─user.slice │ └─user-1000.slice │   ├─user@1000.service… │   │ ├─session.slice │   │ │ ├─xdg-permission-store.service │   │ │ │ └─2366 /usr/libexec/xdg-permission-store │   │ │ ├─xdg-document-portal.service │   │ │ │ ├─2371 /usr/libexec/xdg-document-portal │   │ │ │ └─2377 fusermount3 -o rw,nosuid,nodev,fsname=portal,auto_unmount,subtype=portal -- /run/user/1000/doc │   │ │ ├─xdg-desktop-portal.service │   │ │ │ └─2358 /usr/libexec/xdg-desktop-portal │   │ │ ├─plasma-ksmserver.service │   │ │ │ └─2455 /usr/bin/ksmserver │   │ │ ├─pipewire-pulse.service │   │ │ │ └─2490 /usr/bin/pipewire-pulse │   │ │ ├─plasma-kwin_wayland.service │   │ │ │ ├─2342 /usr/bin/kwin_wayland_wrapper --xwayland │   │ │ │ ├─2349 /usr/bin/kwin_wayland --wayland-fd 7 --socket wayland-0 --xwayland-fd 8 --xwayland-fd 9 --xwayland-display :0 --xwayland-xauthority /run/user/1000/xauth_xaUBcW --xwayland │   │ │ │ └─2408 /usr/bin/Xwayland :0 -auth /run/user/1000/xauth_xaUBcW -listenfd 8 -listenfd 9 -displayfd 73 -wm 75 -rootless │   │ │ ├─wireplumber.service │   │ │ │ └─2272 /usr/bin/wireplumber │   │ │ ├─plasma-kded6.service │   │ │ │ ├─2457 /usr/bin/kded6 │   │ │ │ └─2572 /usr/bin/xsettingsd │   │ │ ├─plasma-xdg-desktop-portal-kde.service │   │ │ │ └─2543 /usr/libexec/xdg-desktop-portal-kde │   │ │ ├─plasma-plasmashell.service │   │ │ │ ├─87934 /usr/bin/plasmashell --no-respawn │   │ │ │ └─394806 /usr/libexec/kf6/kioworker /usr/lib64/qt6/plugins/kf6/kio/kio_http.so https  local:/run/user/1000/plasmashellPfCEup.625.kioworker.socket │   │ │ ├─at-spi-dbus-bus.service │   │ │ │ ├─2429 /usr/libexec/at-spi-bus-launcher │   │ │ │ ├─2440 /bin/dbus-daemon --config-file=/usr/share/defaults/at-spi2/accessibility.conf --nofork --print-address 13 --address=unix:path=/run/user/1000/at-spi/bus_0 │   │ │ │ └─2446 /usr/libexec/at-spi2-registryd --use-gnome-session │   │ │ ├─pipewire.service │   │ │ │ └─2270 /usr/bin/pipewire │   │ │ └─dbus.service │   │ │   ├─2267 /usr/bin/dbus-daemon --session --address=systemd: --nofork --nopidfile --systemd-activation --syslog-only │   │ │   ├─2888 /home/rider/bin/Telegram/Telegram │   │ │   ├─23228 /usr/bin/kwalletd6 │   │ │   └─64350 /usr/libexec/kf6/kiod6 │   │ ├─background.slice │   │ │ ├─plasma-kactivitymanagerd.service │   │ │ │ └─2537 /usr/libexec/kactivitymanagerd │   │ │ ├─plasma-polkit-agent.service │   │ │ │ └─2541 /usr/libexec/polkit-kde-authentication-agent-1 │   │ │ ├─plasma-xembedsniproxy.service │   │ │ │ └─2544 /usr/bin/xembedsniproxy │   │ │ ├─plasma-gmenudbusmenuproxy.service │   │ │ │ └─2539 /usr/bin/gmenudbusmenuproxy │   │ │ ├─plasma-krunner.service │   │ │ │ └─2826 /usr/bin/krunner --daemon │   │ │ ├─plasma-kaccess.service │   │ │ │ └─2540 /usr/bin/kaccess │   │ │ ├─plasma-powerdevil.service │   │ │ │ └─2542 /usr/libexec/org_kde_powerdevil │   │ │ └─plasma-dolphin.service │   │ │   └─336455 /usr/bin/dolphin --daemon │   │ ├─app.slice │   │ │ ├─app-org.kde.kdeconnect.daemon@autostart.service │   │ │ │ └─2709 /usr/bin/kdeconnectd │   │ │ ├─app-org.kde.konsole@3e2ef813ac804ecc8d7f98e45191805c.service │   │ │ │ └─420644 /bin/bash │   │ │ ├─app-org.kde.konsole@88c07ed7567b4a4ab0eca99c93bac3e0.service │   │ │ │ ├─411760 /bin/bash │   │ │ │ ├─411765 sudo su - │   │ │ │ ├─411767 sudo su - │   │ │ │ ├─411768 su - │   │ │ │ └─411772 -bash │   │ │ ├─app-solaar@autostart.service │   │ │ │ └─2713 /usr/bin/python3 /bin/solaar --window=hide │   │ │ ├─app-org.kde.konsole-411744.scope │   │ │ │ └─411744 /usr/bin/konsole │   │ │ ├─app-org.kde.konsole@0153feb8a1724ddca97bad81ce183d8c.service