* [devel] zed is alive, baby, for now @ 2025-06-20 12:31 Sergey Bolshakov 2025-06-20 13:51 ` Sergey 2025-06-20 14:15 ` Anton Farygin 0 siblings, 2 replies; 44+ messages in thread From: Sergey Bolshakov @ 2025-06-20 12:31 UTC (permalink / raw) To: devel Привет. В процессе обсуждения тут: https://bugzilla.altlinux.org/54860 я, к своему удивлению, не обнаружил policy, регламентирующего обращение с пакетами, возможности которых в значительной степени зависят от сторонних компонент, скачиваемых, с участием пользователя или без, откуда-то извне. Мы правда не имеем на этот счёт никакого записанного буквами мнения ? -- ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-20 12:31 [devel] zed is alive, baby, for now Sergey Bolshakov @ 2025-06-20 13:51 ` Sergey 2025-06-20 15:51 ` Alexandr Shashkin 2025-06-23 9:26 ` Andrey Savchenko 2025-06-20 14:15 ` Anton Farygin 1 sibling, 2 replies; 44+ messages in thread From: Sergey @ 2025-06-20 13:51 UTC (permalink / raw) To: ALT Linux Team development discussions В письме от пятница, 20 июня 2025 г. 15:31 пользователь Sergey Bolshakov написал: [...] > https://bugzilla.altlinux.org/54860 [...] > не обнаружил policy, регламентирующего обращение > с пакетами, возможности которых в значительной степени зависят от сторонних > компонент, скачиваемых, с участием пользователя или без, откуда-то извне. Да, тут клондайк, похоже. winehelper, epm play, portproton, winetricks, waydroid и т.д. [...] -- Regards, Sergey ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-20 13:51 ` Sergey @ 2025-06-20 15:51 ` Alexandr Shashkin 2025-06-20 16:56 ` Andrey Limachko 2025-06-23 9:26 ` Andrey Savchenko 1 sibling, 1 reply; 44+ messages in thread From: Alexandr Shashkin @ 2025-06-20 15:51 UTC (permalink / raw) To: devel [-- Attachment #1.1.1: Type: text/plain, Size: 748 bytes --] Еще один прекрасный пример - это hplip, который загружает проприетарный плагин для себя. On 20/06/2025 16:51, Sergey wrote: >> не обнаружил policy, регламентирующего обращение >> с пакетами, возможности которых в значительной степени зависят от сторонних >> компонент, скачиваемых, с участием пользователя или без, откуда-то извне. > Да, тут клондайк, похоже. > winehelper, epm play, portproton, winetricks, waydroid и т.д. -- Best regards, Alexandr Shashkin Alt Linux Team [-- Attachment #1.1.2: OpenPGP public key --] [-- Type: application/pgp-keys, Size: 5487 bytes --] [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 833 bytes --] ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-20 15:51 ` Alexandr Shashkin @ 2025-06-20 16:56 ` Andrey Limachko 2025-06-20 17:04 ` Semen Fomchenkov ` (5 more replies) 0 siblings, 6 replies; 44+ messages in thread From: Andrey Limachko @ 2025-06-20 16:56 UTC (permalink / raw) To: ALT Linux Team development discussions Не понимаю, что такого в том, что приложение загружает бинарники из сети? Так много кто делает, тут уже упомянули об этом. Использование docker'а, к примеру, под эти цели и заточено. Другое дело, если приложение делает это самостоятельно, без запроса или, на худой конец, предупреждения. Тут я полностью согласен - такое поведение не допустимо. На самом деле, стоит подумать не только о загрузке бинарников, но и о любом обращении в сеть в целом. Обращение в сеть должно быть осознанным для пользователя. К примеру, виджет погоды Gnome ни кого ни о чём не спрашивает. 20 июн. 2025 г. 19:51:42 Alexandr Shashkin <dutyrok@altlinux.org>: > Еще один прекрасный пример - это hplip, который загружает проприетарный плагин для себя. > > On 20/06/2025 16:51, Sergey wrote: >>> не обнаружил policy, регламентирующего обращение >>> с пакетами, возможности которых в значительной степени зависят от сторонних >>> компонент, скачиваемых, с участием пользователя или без, откуда-то извне. >> Да, тут клондайк, похоже. >> winehelper, epm play, portproton, winetricks, waydroid и т.д. > > -- > Best regards, > Alexandr Shashkin > Alt Linux Team > _______________________________________________ > Devel mailing list > Devel@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/devel -- Andrey Limachko (liannnix) Telegram: @liannnix Mobile: +7 937 240-47-35 ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-20 16:56 ` Andrey Limachko @ 2025-06-20 17:04 ` Semen Fomchenkov 2025-06-20 17:47 ` Denis Medvedev 2025-06-20 20:18 ` [devel] zed is alive, baby, for now Alexandr Shashkin ` (4 subsequent siblings) 5 siblings, 1 reply; 44+ messages in thread From: Semen Fomchenkov @ 2025-06-20 17:04 UTC (permalink / raw) To: devel 20.06.2025 19:56, Andrey Limachko пишет: > Обращение в сеть должно быть осознанным для пользователя. К примеру, виджет > погоды Gnome ни кого ни о чём не спрашивает. О каком виджете погоды GNOME вы говорите? То что в центре уведомлений, использует приложение погоды GNOME, то что можно добавить расширением тоже использует погоду GNOME. Да и странно бы было получать погоду не из интернета, так что ограничения любой работы с сетью выглядит достаточно странно, если это нужно пользователю, то пусть настраивает firewall. > > 20 июн. 2025 г. 19:51:42 Alexandr Shashkin <dutyrok@altlinux.org>: >> Еще один прекрасный пример - это hplip, который загружает проприетарный плагин для себя. >> >> On 20/06/2025 16:51, Sergey wrote: >>>> не обнаружил policy, регламентирующего обращение >>>> с пакетами, возможности которых в значительной степени зависят от сторонних >>>> компонент, скачиваемых, с участием пользователя или без, откуда-то извне. >>> Да, тут клондайк, похоже. >>> winehelper, epm play, portproton, winetricks, waydroid и т.д. >> -- >> Best regards, >> Alexandr Shashkin >> Alt Linux Team >> _______________________________________________ >> Devel mailing list >> Devel@lists.altlinux.org >> https://lists.altlinux.org/mailman/listinfo/devel -- best regards, Semen Fomchenkov <armatik@altlinux.org> ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-20 17:04 ` Semen Fomchenkov @ 2025-06-20 17:47 ` Denis Medvedev 2025-06-20 20:35 ` Semen Fomchenkov ` (3 more replies) 0 siblings, 4 replies; 44+ messages in thread From: Denis Medvedev @ 2025-06-20 17:47 UTC (permalink / raw) To: Semen Fomchenkov; +Cc: ALT Linux Team development discussions On Fri, 20 Jun 2025 20:04:09 +0300 Semen Fomchenkov <armatik@altlinux.org> wrote: > > 20.06.2025 19:56, Andrey Limachko пишет: > > Обращение в сеть должно быть осознанным для пользователя. К > > примеру, виджет погоды Gnome ни кого ни о чём не спрашивает. > О каком виджете погоды GNOME вы говорите? То что в центре > уведомлений, использует приложение погоды GNOME, то что можно > добавить расширением тоже использует погоду GNOME. Да и странно бы > было получать погоду не из интернета, так что ограничения любой > работы с сетью выглядит достаточно странно, если это нужно > пользователю, то пусть настраивает firewall. оно ставится по умолчанию, что не дает человеку принять решение, надо ему или не надо такое поведение. Лучше бы ставился файрвол с возможностью добавлять исключения по попыткам приложений лезть в интернет. Тогда увидев, что приложение "погода" полезло в интернет, можно было бы разрешить ему это или снести это приложение или протоколировать его трафик, или запретить ему выход в сеть. > > > > 20 июн. 2025 г. 19:51:42 Alexandr Shashkin <dutyrok@altlinux.org>: > >> Еще один прекрасный пример - это hplip, который загружает > >> проприетарный плагин для себя. > >> > >> On 20/06/2025 16:51, Sergey wrote: > >>>> не обнаружил policy, регламентирующего обращение > >>>> с пакетами, возможности которых в значительной степени зависят > >>>> от сторонних компонент, скачиваемых, с участием пользователя или > >>>> без, откуда-то извне. > >>> Да, тут клондайк, похоже. > >>> winehelper, epm play, portproton, winetricks, waydroid и т.д. > >> -- > >> Best regards, > >> Alexandr Shashkin > >> Alt Linux Team > >> _______________________________________________ > >> Devel mailing list > >> Devel@lists.altlinux.org > >> https://lists.altlinux.org/mailman/listinfo/devel > -- ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-20 17:47 ` Denis Medvedev @ 2025-06-20 20:35 ` Semen Fomchenkov 2025-06-24 4:38 ` Alexey V. Vissarionov ` (2 subsequent siblings) 3 siblings, 0 replies; 44+ messages in thread From: Semen Fomchenkov @ 2025-06-20 20:35 UTC (permalink / raw) To: Denis Medvedev; +Cc: ALT Linux Team development discussions 20.06.2025 20:47, Denis Medvedev пишет: > On Fri, 20 Jun 2025 20:04:09 +0300 > Semen Fomchenkov <armatik@altlinux.org> wrote: > >> 20.06.2025 19:56, Andrey Limachko пишет: >>> Обращение в сеть должно быть осознанным для пользователя. К >>> примеру, виджет погоды Gnome ни кого ни о чём не спрашивает. >> О каком виджете погоды GNOME вы говорите? То что в центре >> уведомлений, использует приложение погоды GNOME, то что можно >> добавить расширением тоже использует погоду GNOME. Да и странно бы >> было получать погоду не из интернета, так что ограничения любой >> работы с сетью выглядит достаточно странно, если это нужно >> пользователю, то пусть настраивает firewall. > оно ставится по умолчанию, что не дает человеку принять решение, надо > ему или не надо такое поведение. > Лучше бы ставился файрвол с возможностью добавлять исключения по > попыткам приложений лезть в интернет. Тогда увидев, что приложение > "погода" полезло в интернет, можно было бы > разрешить ему это > или снести это приложение > или протоколировать его трафик, > или запретить ему выход в сеть. Вряд ли это подходит под системы обычных пользователей, которые пользуются ей имея определённый лимит дозволенного риска для безопасности взамен на удобном (не реагировать на каждый чих когда приложение выходит в сеть). Но это вполне может быть отличной фичей, создание полу автоматизированного контроля за процессами выходящими в сеть, с возможностью однократного разрешения (в рамках жизни процесса), разрешения на постоянный срок или ограничения доступа, но самое главное, что бы это было реализовано в дружелюбном формате, например как сейчас есть ограничение доступа к камере в GNOME. Хотя такое уже может есть, но я не слышал. Главное, что, опционально и не по дефолту (если мы говорим про системы для обычных пользователей). >>> 20 июн. 2025 г. 19:51:42 Alexandr Shashkin <dutyrok@altlinux.org>: >>>> Еще один прекрасный пример - это hplip, который загружает >>>> проприетарный плагин для себя. >>>> >>>> On 20/06/2025 16:51, Sergey wrote: >>>>>> не обнаружил policy, регламентирующего обращение >>>>>> с пакетами, возможности которых в значительной степени зависят >>>>>> от сторонних компонент, скачиваемых, с участием пользователя или >>>>>> без, откуда-то извне. >>>>> Да, тут клондайк, похоже. >>>>> winehelper, epm play, portproton, winetricks, waydroid и т.д. >>>> -- >>>> Best regards, >>>> Alexandr Shashkin >>>> Alt Linux Team >>>> _______________________________________________ >>>> Devel mailing list >>>> Devel@lists.altlinux.org >>>> https://lists.altlinux.org/mailman/listinfo/devel > > -- best regards, Semen Fomchenkov <armatik@altlinux.org> ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-20 17:47 ` Denis Medvedev 2025-06-20 20:35 ` Semen Fomchenkov @ 2025-06-24 4:38 ` Alexey V. Vissarionov 2025-06-24 11:58 ` Sergey Afonin 2025-06-30 18:16 ` [devel] firewall для приложений (was: zed is alive, baby, for now) Arseny Maslennikov 3 siblings, 0 replies; 44+ messages in thread From: Alexey V. Vissarionov @ 2025-06-24 4:38 UTC (permalink / raw) To: ALT Linux Team development discussions Good ${greeting_time}! On 2025-06-20 20:47:44 +0300, Denis Medvedev wrote: >> ограничения любой работы с сетью выглядит достаточно странно, >> если это нужно пользователю, то пусть настраивает firewall. [занудным аудиторским голосом] Пакетный фильтр не является средством обеспечения безопасности. Total incompliance. > Лучше бы ставился файрвол с возможностью добавлять исключения > по попыткам приложений лезть в интернет. Тогда увидев, что > приложение "погода" полезло в интернет, можно было бы разрешить > ему это или снести это приложение или протоколировать его трафик, > или запретить ему выход в сеть. Ээээ... а что мешает? В ядре все необходимое есть, а в ведроиде описанный функционал чуть ли не из коробки реализован. Я даже любимый вопрос "нахрена?" задавать не буду. -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-20 17:47 ` Denis Medvedev 2025-06-20 20:35 ` Semen Fomchenkov 2025-06-24 4:38 ` Alexey V. Vissarionov @ 2025-06-24 11:58 ` Sergey Afonin 2025-06-24 12:25 ` Paul Wolneykien 2025-06-24 13:42 ` Alexey V. Vissarionov 2025-06-30 18:16 ` [devel] firewall для приложений (was: zed is alive, baby, for now) Arseny Maslennikov 3 siblings, 2 replies; 44+ messages in thread From: Sergey Afonin @ 2025-06-24 11:58 UTC (permalink / raw) To: ALT Linux Team development discussions On Friday 20 June 2025, Denis Medvedev wrote: > Лучше бы ставился файрвол с возможностью добавлять исключения по > попыткам приложений лезть в интернет. Тогда увидев, что приложение > "погода" полезло в интернет В Linux же всегда было нельзя по приложениям. Или что-то изменилось? По UID можно, но это каждое приложение под своим UID надо тогда запускать. -- С уважением, Сергей Афонин. ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-24 11:58 ` Sergey Afonin @ 2025-06-24 12:25 ` Paul Wolneykien 2025-06-24 13:42 ` Alexey V. Vissarionov 1 sibling, 0 replies; 44+ messages in thread From: Paul Wolneykien @ 2025-06-24 12:25 UTC (permalink / raw) To: devel В Tue, 24 Jun 2025 15:58:31 +0400 Sergey Afonin <asy@altlinux.org> пишет: > On Friday 20 June 2025, Denis Medvedev wrote: > > > Лучше бы ставился файрвол с возможностью добавлять исключения по > > попыткам приложений лезть в интернет. Тогда увидев, что приложение > > "погода" полезло в интернет > > В Linux же всегда было нельзя по приложениям. Или что-то изменилось? > По UID можно, но это каждое приложение под своим UID надо тогда > запускать. Фильтрация пакетов это несколько из другой области, это не совсем запрещение. Между тем capabilities и namespaces, кажется, специально были придуманы для того, чтобы ограничивать доступ --- в том числе и к сети: [root@host-15 ~]# curl https://altlinux.org/ <html> <head><title>301 Moved Permanently</title></head> <body> <center><h1>301 Moved Permanently</h1></center> <hr><center>nginx</center> </body> </html> [root@host-15 ~]# unshare -n curl https://altlinux.org/ curl: (6) Could not resolve host: altlinux.org ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-24 11:58 ` Sergey Afonin 2025-06-24 12:25 ` Paul Wolneykien @ 2025-06-24 13:42 ` Alexey V. Vissarionov 1 sibling, 0 replies; 44+ messages in thread From: Alexey V. Vissarionov @ 2025-06-24 13:42 UTC (permalink / raw) To: ALT Linux Team development discussions Good ${greeting_time}! On 2025-06-24 15:58:31 +0400, Sergey Afonin wrote: >> Лучше бы ставился файрвол с возможностью добавлять исключения >> по попыткам приложений лезть в интернет. Тогда увидев, что >> приложение "погода" полезло в интернет > В Linux же всегда было нельзя по приложениям. Или что-то > изменилось? По UID можно, но это каждое приложение под своим > UID надо тогда запускать. Ну да, в ведроиде так и сделано. В принципе, можно и бинарникам разрешения давать, но это открывает такой простор для злоупотреблений, что лучше не надо. -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net ^ permalink raw reply [flat|nested] 44+ messages in thread
* [devel] firewall для приложений (was: zed is alive, baby, for now) 2025-06-20 17:47 ` Denis Medvedev ` (2 preceding siblings ...) 2025-06-24 11:58 ` Sergey Afonin @ 2025-06-30 18:16 ` Arseny Maslennikov 2025-06-30 18:19 ` Arseny Maslennikov 3 siblings, 1 reply; 44+ messages in thread From: Arseny Maslennikov @ 2025-06-30 18:16 UTC (permalink / raw) To: ALT Linux Team development discussions; +Cc: Semen Fomchenkov [-- Attachment #1: Type: text/plain, Size: 2091 bytes --] On Fri, Jun 20, 2025 at 08:47:44PM +0300, Denis Medvedev wrote: > On Fri, 20 Jun 2025 20:04:09 +0300 > Semen Fomchenkov <armatik@altlinux.org> wrote: > > > > > 20.06.2025 19:56, Andrey Limachko пишет: > > > Обращение в сеть должно быть осознанным для пользователя. К > > > примеру, виджет погоды Gnome ни кого ни о чём не спрашивает. > > О каком виджете погоды GNOME вы говорите? То что в центре > > уведомлений, использует приложение погоды GNOME, то что можно > > добавить расширением тоже использует погоду GNOME. Да и странно бы > > было получать погоду не из интернета, так что ограничения любой > > работы с сетью выглядит достаточно странно, если это нужно > > пользователю, то пусть настраивает firewall. > оно ставится по умолчанию, что не дает человеку принять решение, надо > ему или не надо такое поведение. > Лучше бы ставился файрвол с возможностью добавлять исключения по > попыткам приложений лезть в интернет. Тогда увидев, что приложение > "погода" полезло в интернет, можно было бы > разрешить ему это > или снести это приложение > или протоколировать его трафик, > или запретить ему выход в сеть. nftables позволяет вешать правила на трафик, причастный сокету, который был открыт в сигруппе X или от UID Y. (Второе добавили в ядро для нужд Android.) [-- Attachment #2: signature.asc --] [-- Type: application/pgp-signature, Size: 833 bytes --] ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] firewall для приложений (was: zed is alive, baby, for now) 2025-06-30 18:16 ` [devel] firewall для приложений (was: zed is alive, baby, for now) Arseny Maslennikov @ 2025-06-30 18:19 ` Arseny Maslennikov 2025-07-01 6:25 ` [devel] firewall для приложений Anton Farygin 0 siblings, 1 reply; 44+ messages in thread From: Arseny Maslennikov @ 2025-06-30 18:19 UTC (permalink / raw) To: ALT Linux Team development discussions; +Cc: Semen Fomchenkov [-- Attachment #1: Type: text/plain, Size: 3156 bytes --] On Mon, Jun 30, 2025 at 09:16:00PM +0300, Arseny Maslennikov wrote: > On Fri, Jun 20, 2025 at 08:47:44PM +0300, Denis Medvedev wrote: > > On Fri, 20 Jun 2025 20:04:09 +0300 > > Semen Fomchenkov <armatik@altlinux.org> wrote: > > > > > > > > 20.06.2025 19:56, Andrey Limachko пишет: > > > > Обращение в сеть должно быть осознанным для пользователя. К > > > > примеру, виджет погоды Gnome ни кого ни о чём не спрашивает. > > > О каком виджете погоды GNOME вы говорите? То что в центре > > > уведомлений, использует приложение погоды GNOME, то что можно > > > добавить расширением тоже использует погоду GNOME. Да и странно бы > > > было получать погоду не из интернета, так что ограничения любой > > > работы с сетью выглядит достаточно странно, если это нужно > > > пользователю, то пусть настраивает firewall. > > оно ставится по умолчанию, что не дает человеку принять решение, надо > > ему или не надо такое поведение. > > Лучше бы ставился файрвол с возможностью добавлять исключения по > > попыткам приложений лезть в интернет. Тогда увидев, что приложение > > "погода" полезло в интернет, можно было бы > > разрешить ему это > > или снести это приложение > > или протоколировать его трафик, > > или запретить ему выход в сеть. > > nftables позволяет вешать правила на трафик, причастный сокету, который > был открыт в сигруппе X или от UID Y. (Второе добавили в ядро для нужд > Android.) https://systemd.io/DESKTOP_ENVIRONMENTS/ Здесь приводят пример, как DE (её компонент, порождающий процессы) могла бы, запуская приложение, помещать его в индивидуальную сигруппу (и сокеты, открытые его процессами, попали бы под нужные правила). Правда, если (когда?) популярные DE начнут так делать, то это ослабит надёжность: повисли по какой-нибудь причине `systemd --user` или `dbus-daemon`, и каюк; хомячок даже 'System Monitor' не запустит, чтобы что-нибудь прибить, только перелогин + grace-период 30 секунд ему помогут. Но это уже совсем другая история... [-- Attachment #2: signature.asc --] [-- Type: application/pgp-signature, Size: 833 bytes --] ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] firewall для приложений 2025-06-30 18:19 ` Arseny Maslennikov @ 2025-07-01 6:25 ` Anton Farygin 2025-07-01 12:22 ` Arseny Maslennikov 0 siblings, 1 reply; 44+ messages in thread From: Anton Farygin @ 2025-07-01 6:25 UTC (permalink / raw) To: devel On 6/30/25 21:19, Arseny Maslennikov wrote: > On Mon, Jun 30, 2025 at 09:16:00PM +0300, Arseny Maslennikov wrote: >> On Fri, Jun 20, 2025 at 08:47:44PM +0300, Denis Medvedev wrote: >>> On Fri, 20 Jun 2025 20:04:09 +0300 >>> Semen Fomchenkov <armatik@altlinux.org> wrote: >>> >>>> 20.06.2025 19:56, Andrey Limachko пишет: >>>>> Обращение в сеть должно быть осознанным для пользователя. К >>>>> примеру, виджет погоды Gnome ни кого ни о чём не спрашивает. >>>> О каком виджете погоды GNOME вы говорите? То что в центре >>>> уведомлений, использует приложение погоды GNOME, то что можно >>>> добавить расширением тоже использует погоду GNOME. Да и странно бы >>>> было получать погоду не из интернета, так что ограничения любой >>>> работы с сетью выглядит достаточно странно, если это нужно >>>> пользователю, то пусть настраивает firewall. >>> оно ставится по умолчанию, что не дает человеку принять решение, надо >>> ему или не надо такое поведение. >>> Лучше бы ставился файрвол с возможностью добавлять исключения по >>> попыткам приложений лезть в интернет. Тогда увидев, что приложение >>> "погода" полезло в интернет, можно было бы >>> разрешить ему это >>> или снести это приложение >>> или протоколировать его трафик, >>> или запретить ему выход в сеть. >> nftables позволяет вешать правила на трафик, причастный сокету, который >> был открыт в сигруппе X или от UID Y. (Второе добавили в ядро для нужд >> Android.) > https://systemd.io/DESKTOP_ENVIRONMENTS/ > Здесь приводят пример, как DE (её компонент, порождающий процессы) могла > бы, запуская приложение, помещать его в индивидуальную сигруппу (и > сокеты, открытые его процессами, попали бы под нужные правила). > > Правда, если (когда?) популярные DE начнут так делать, то это ослабит > надёжность: повисли по какой-нибудь причине `systemd --user` или > `dbus-daemon`, и каюк; хомячок даже 'System Monitor' не запустит, чтобы > что-нибудь прибить, только перелогин + grace-период 30 секунд ему помогут. > Но это уже совсем другая история... Всё уже давно придумали CGroup /: -.slice ├─user.slice │ └─user-1000.slice │ ├─user@1000.service… │ │ ├─session.slice │ │ │ ├─xdg-permission-store.service │ │ │ │ └─2366 /usr/libexec/xdg-permission-store │ │ │ ├─xdg-document-portal.service │ │ │ │ ├─2371 /usr/libexec/xdg-document-portal │ │ │ │ └─2377 fusermount3 -o rw,nosuid,nodev,fsname=portal,auto_unmount,subtype=portal -- /run/user/1000/doc │ │ │ ├─xdg-desktop-portal.service │ │ │ │ └─2358 /usr/libexec/xdg-desktop-portal │ │ │ ├─plasma-ksmserver.service │ │ │ │ └─2455 /usr/bin/ksmserver │ │ │ ├─pipewire-pulse.service │ │ │ │ └─2490 /usr/bin/pipewire-pulse │ │ │ ├─plasma-kwin_wayland.service │ │ │ │ ├─2342 /usr/bin/kwin_wayland_wrapper --xwayland │ │ │ │ ├─2349 /usr/bin/kwin_wayland --wayland-fd 7 --socket wayland-0 --xwayland-fd 8 --xwayland-fd 9 --xwayland-display :0 --xwayland-xauthority /run/user/1000/xauth_xaUBcW --xwayland │ │ │ │ └─2408 /usr/bin/Xwayland :0 -auth /run/user/1000/xauth_xaUBcW -listenfd 8 -listenfd 9 -displayfd 73 -wm 75 -rootless │ │ │ ├─wireplumber.service │ │ │ │ └─2272 /usr/bin/wireplumber │ │ │ ├─plasma-kded6.service │ │ │ │ ├─2457 /usr/bin/kded6 │ │ │ │ └─2572 /usr/bin/xsettingsd │ │ │ ├─plasma-xdg-desktop-portal-kde.service │ │ │ │ └─2543 /usr/libexec/xdg-desktop-portal-kde │ │ │ ├─plasma-plasmashell.service │ │ │ │ ├─87934 /usr/bin/plasmashell --no-respawn │ │ │ │ └─394806 /usr/libexec/kf6/kioworker /usr/lib64/qt6/plugins/kf6/kio/kio_http.so https local:/run/user/1000/plasmashellPfCEup.625.kioworker.socket │ │ │ ├─at-spi-dbus-bus.service │ │ │ │ ├─2429 /usr/libexec/at-spi-bus-launcher │ │ │ │ ├─2440 /bin/dbus-daemon --config-file=/usr/share/defaults/at-spi2/accessibility.conf --nofork --print-address 13 --address=unix:path=/run/user/1000/at-spi/bus_0 │ │ │ │ └─2446 /usr/libexec/at-spi2-registryd --use-gnome-session │ │ │ ├─pipewire.service │ │ │ │ └─2270 /usr/bin/pipewire │ │ │ └─dbus.service │ │ │ ├─2267 /usr/bin/dbus-daemon --session --address=systemd: --nofork --nopidfile --systemd-activation --syslog-only │ │ │ ├─2888 /home/rider/bin/Telegram/Telegram │ │ │ ├─23228 /usr/bin/kwalletd6 │ │ │ └─64350 /usr/libexec/kf6/kiod6 │ │ ├─background.slice │ │ │ ├─plasma-kactivitymanagerd.service │ │ │ │ └─2537 /usr/libexec/kactivitymanagerd │ │ │ ├─plasma-polkit-agent.service │ │ │ │ └─2541 /usr/libexec/polkit-kde-authentication-agent-1 │ │ │ ├─plasma-xembedsniproxy.service │ │ │ │ └─2544 /usr/bin/xembedsniproxy │ │ │ ├─plasma-gmenudbusmenuproxy.service │ │ │ │ └─2539 /usr/bin/gmenudbusmenuproxy │ │ │ ├─plasma-krunner.service │ │ │ │ └─2826 /usr/bin/krunner --daemon │ │ │ ├─plasma-kaccess.service │ │ │ │ └─2540 /usr/bin/kaccess │ │ │ ├─plasma-powerdevil.service │ │ │ │ └─2542 /usr/libexec/org_kde_powerdevil │ │ │ └─plasma-dolphin.service │ │ │ └─336455 /usr/bin/dolphin --daemon │ │ ├─app.slice │ │ │ ├─app-org.kde.kdeconnect.daemon@autostart.service │ │ │ │ └─2709 /usr/bin/kdeconnectd │ │ │ ├─app-org.kde.konsole@3e2ef813ac804ecc8d7f98e45191805c.service │ │ │ │ └─420644 /bin/bash │ │ │ ├─app-org.kde.konsole@88c07ed7567b4a4ab0eca99c93bac3e0.service │ │ │ │ ├─411760 /bin/bash │ │ │ │ ├─411765 sudo su - │ │ │ │ ├─411767 sudo su - │ │ │ │ ├─411768 su - │ │ │ │ └─411772 -bash │ │ │ ├─app-solaar@autostart.service │ │ │ │ └─2713 /usr/bin/python3 /bin/solaar --window=hide │ │ │ ├─app-org.kde.konsole-411744.scope │ │ │ │ └─411744 /usr/bin/konsole │ │ │ ├─app-org.kde.konsole@0153feb8a1724ddca97bad81ce183d8c.service ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] firewall для приложений 2025-07-01 6:25 ` [devel] firewall для приложений Anton Farygin @ 2025-07-01 12:22 ` Arseny Maslennikov 0 siblings, 0 replies; 44+ messages in thread From: Arseny Maslennikov @ 2025-07-01 12:22 UTC (permalink / raw) To: ALT Linux Team development discussions [-- Attachment #1: Type: text/plain, Size: 3204 bytes --] On Tue, Jul 01, 2025 at 09:25:59AM +0300, Anton Farygin wrote: > On 6/30/25 21:19, Arseny Maslennikov wrote: > > On Mon, Jun 30, 2025 at 09:16:00PM +0300, Arseny Maslennikov wrote: > > > On Fri, Jun 20, 2025 at 08:47:44PM +0300, Denis Medvedev wrote: > > > > On Fri, 20 Jun 2025 20:04:09 +0300 > > > > Semen Fomchenkov <armatik@altlinux.org> wrote: > > > > > > > > попыткам приложений лезть в интернет. Тогда увидев, что приложение > > > > "погода" полезло в интернет, можно было бы > > > > разрешить ему это > > > > или снести это приложение > > > > или протоколировать его трафик, > > > > или запретить ему выход в сеть. > > > nftables позволяет вешать правила на трафик, причастный сокету, который > > > был открыт в сигруппе X или от UID Y. (Второе добавили в ядро для нужд > > > Android.) > > https://systemd.io/DESKTOP_ENVIRONMENTS/ > > Здесь приводят пример, как DE (её компонент, порождающий процессы) могла > > бы, запуская приложение, помещать его в индивидуальную сигруппу (и > > сокеты, открытые его процессами, попали бы под нужные правила). > > > > Правда, если (когда?) популярные DE начнут так делать, то это ослабит > > надёжность: повисли по какой-нибудь причине `systemd --user` или > > `dbus-daemon`, и каюк; хомячок даже 'System Monitor' не запустит, чтобы > > что-нибудь прибить, только перелогин + grace-период 30 секунд ему помогут. > > Но это уже совсем другая история... > CGroup /: > > -.slice > ├─user.slice > │ └─user-1000.slice > <...> > │ │ ├─app.slice > │ │ │ ├─app-org.kde.kdeconnect.daemon@autostart.service > │ │ │ │ └─2709 /usr/bin/kdeconnectd > │ │ │ ├─app-org.kde.konsole@3e2ef813ac804ecc8d7f98e45191805c.service > │ │ │ │ └─420644 /bin/bash > │ │ │ ├─app-org.kde.konsole@88c07ed7567b4a4ab0eca99c93bac3e0.service > │ │ │ │ ├─411760 /bin/bash > │ │ │ │ ├─411765 sudo su - > │ │ │ │ ├─411767 sudo su - > │ │ │ │ ├─411768 su - > │ │ │ │ └─411772 -bash > │ │ │ ├─app-solaar@autostart.service > │ │ │ │ └─2713 /usr/bin/python3 /bin/solaar --window=hide > │ │ │ ├─app-org.kde.konsole-411744.scope > │ │ │ │ └─411744 /usr/bin/konsole > │ │ │ ├─app-org.kde.konsole@0153feb8a1724ddca97bad81ce183d8c.service То есть, плазма _уже сегодня_ это реализовала! Отстал я от жизни. :) [-- Attachment #2: signature.asc --] [-- Type: application/pgp-signature, Size: 833 bytes --] ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-20 16:56 ` Andrey Limachko 2025-06-20 17:04 ` Semen Fomchenkov @ 2025-06-20 20:18 ` Alexandr Shashkin 2025-06-21 13:14 ` Sergey ` (3 subsequent siblings) 5 siblings, 0 replies; 44+ messages in thread From: Alexandr Shashkin @ 2025-06-20 20:18 UTC (permalink / raw) To: devel Вполне согласен с этой логикой. Тот же codium позволяет загружать дополнения из магазина из окна самой IDE. И он не один такой. 20.06.2025 19:56, Andrey Limachko пишет: > Не понимаю, что такого в том, что приложение загружает бинарники из сети? Так > много кто делает, тут уже упомянули об этом. Использование docker'а, к примеру, > под эти цели и заточено. > > Другое дело, если приложение делает это самостоятельно, без запроса или, на > худой конец, предупреждения. Тут я полностью согласен - такое поведение не > допустимо. -- Best regards, Alexandr Shashkin Alt Linux Team ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-20 16:56 ` Andrey Limachko 2025-06-20 17:04 ` Semen Fomchenkov 2025-06-20 20:18 ` [devel] zed is alive, baby, for now Alexandr Shashkin @ 2025-06-21 13:14 ` Sergey 2025-06-23 10:54 ` Ilya Sorochan ` (2 subsequent siblings) 5 siblings, 0 replies; 44+ messages in thread From: Sergey @ 2025-06-21 13:14 UTC (permalink / raw) To: ALT Linux Team development discussions В письме от пятница, 20 июня 2025 г. 19:56 пользователь Andrey Limachko написал: [...] > На самом деле, стоит подумать не только о загрузке бинарников, но и о любом > обращении в сеть в целом. Это в лучшем случае оффтопик. [...] -- Regards, Sergey ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-20 16:56 ` Andrey Limachko ` (2 preceding siblings ...) 2025-06-21 13:14 ` Sergey @ 2025-06-23 10:54 ` Ilya Sorochan 2025-06-23 10:55 ` Anton Farygin 2025-06-24 4:32 ` Alexey V. Vissarionov 5 siblings, 0 replies; 44+ messages in thread From: Ilya Sorochan @ 2025-06-23 10:54 UTC (permalink / raw) To: ALT Linux Team development discussions On Fri Jun 20, 2025 at 7:56 PM MSK, Andrey Limachko wrote: > Другое дело, если приложение делает это самостоятельно, без запроса или, на > худой конец, предупреждения. Тут я полностью согласен - такое поведение не > допустимо. > > На самом деле, стоит подумать не только о загрузке бинарников, но и о любом > обращении в сеть в целом. Кстати, бинари в zed могут быть притащены и расширениями, но для этого нужно найти это расширение и нажать кнопочку "install". Если не нравится данный момент, то можно посодействовать апстриму в имплементации "Ability to disallow network requests from plugins": https://github.com/zed-industries/zed/issues/12354 -- Ilya Sorochan ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-20 16:56 ` Andrey Limachko ` (3 preceding siblings ...) 2025-06-23 10:54 ` Ilya Sorochan @ 2025-06-23 10:55 ` Anton Farygin 2025-06-23 11:09 ` Sergey V Turchin 2025-06-24 4:32 ` Alexey V. Vissarionov 5 siblings, 1 reply; 44+ messages in thread From: Anton Farygin @ 2025-06-23 10:55 UTC (permalink / raw) To: devel On 6/20/25 19:56, Andrey Limachko wrote: > На самом деле, стоит подумать не только о загрузке бинарников, но и о любом > обращении в сеть в целом. > > Обращение в сеть должно быть осознанным для пользователя. К примеру, виджет > погоды Gnome ни кого ни о чём не спрашивает. Так мы докатимся до того, что и самбу выкинем. наверное прежде чем что-то предлагать надо хорошенько подумать о последствиях. ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-23 10:55 ` Anton Farygin @ 2025-06-23 11:09 ` Sergey V Turchin 0 siblings, 0 replies; 44+ messages in thread From: Sergey V Turchin @ 2025-06-23 11:09 UTC (permalink / raw) To: ALT Linux Team development discussions On Monday, 23 June 2025 13:55:58 MSK Anton Farygin wrote: > On 6/20/25 19:56, Andrey Limachko wrote: > > На самом деле, стоит подумать не только о загрузке бинарников, но и о > > любом > > обращении в сеть в целом. > > > > Обращение в сеть должно быть осознанным для пользователя. К примеру, > > виджет > > погоды Gnome ни кого ни о чём не спрашивает. > > Так мы докатимся до того, что и самбу выкинем. наверное прежде чем > что-то предлагать надо хорошенько подумать о последствиях. Поэтому я считаю это оффтопиком. По крайней мере, в этом обсуждении, т.к. и без этого хватает приколов. -- Regards, Sergey. ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-20 16:56 ` Andrey Limachko ` (4 preceding siblings ...) 2025-06-23 10:55 ` Anton Farygin @ 2025-06-24 4:32 ` Alexey V. Vissarionov 5 siblings, 0 replies; 44+ messages in thread From: Alexey V. Vissarionov @ 2025-06-24 4:32 UTC (permalink / raw) To: ALT Linux Team development discussions Good ${greeting_time}! On 2025-06-20 20:56:16 +0400, Andrey Limachko wrote: > Не понимаю, что такого в том, что приложение загружает > бинарники из сети? Из какой сети? Как осуществляется контроль целостности? Везде ли он реализован? Что с воспроизводимостью сборки? > Так много кто делает, тут уже упомянули об этом. Если кто-то творит какую-то дурь - обязательно нужно творить такую же дурь? А зачем? > Использование docker'а, к примеру, под эти цели и заточено. Использование дыркера заточено на тиражирование помоек. > На самом деле, стоит подумать не только о загрузке бинарников, > но и о любом обращении в сеть в целом. Здесь все предельно просто: из сборочной среды доступа в сеть быть не должно. Никакого, нигде и никогда. То, что тот же хешер умеет unshare() без CLONE_NEWNET - это функция отладочной среды (в качестве которой его тоже можно использовать). > Обращение в сеть должно быть осознанным для пользователя. Для пользователя - возможно. В простейшем случае - на уровне "тут интернет, тут могут и по-всякому". Для сборочной среды - исключено полностью. Все необходимое попадает в сборочную среду либо в комплекте исходиников, либо по списку сборочных зависимостей. > К примеру, виджет погоды Gnome ни кого ни о чём не спрашивает. Остается надеяться, что его запросы наружу если не анонимизированы, то как минимум неуникальны. Впрочем, это уже забота мейнтейнера. > 20 июн. 2025г. 19:51:42 Alexandr Shashkin <dutyrok@altlinux.org>: - Потому что люди читают сверху вниз. - Почему нельзя писать ответ перед цитатой? -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-20 13:51 ` Sergey 2025-06-20 15:51 ` Alexandr Shashkin @ 2025-06-23 9:26 ` Andrey Savchenko 2025-06-23 10:48 ` Anton Farygin ` (2 more replies) 1 sibling, 3 replies; 44+ messages in thread From: Andrey Savchenko @ 2025-06-23 9:26 UTC (permalink / raw) To: ALT Linux Team development discussions [-- Attachment #1: Type: text/plain, Size: 1277 bytes --] On Fri, 20 Jun 2025 16:51:32 +0300 Sergey wrote: > В письме от пятница, 20 июня 2025 г. 15:31 пользователь Sergey Bolshakov > написал: > > [...] > > https://bugzilla.altlinux.org/54860 > > [...] > > не обнаружил policy, регламентирующего обращение > > с пакетами, возможности которых в значительной степени зависят от сторонних > > компонент, скачиваемых, с участием пользователя или без, откуда-то извне. > Да, тут клондайк, похоже. > winehelper, epm play, portproton, winetricks, waydroid и т.д. Waydroid хотя бы явно предлагает выбор под скачивание. Wine* — тоже. Про epm не могу сказать, т.к. не пользуюсь. А вот Яндекс Браузер втихаря и без контроля со стороны пользователя докачивает бинарные компоненты. Хотелось бы поднять вопрос удаления такого пакета из репозитория. Best regards, Andrew Savchenko [-- Attachment #2: Type: application/pgp-signature, Size: 833 bytes --] ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-23 9:26 ` Andrey Savchenko @ 2025-06-23 10:48 ` Anton Farygin 2025-06-23 10:50 ` Sergey V Turchin 2025-06-23 11:09 ` Anton Farygin 2 siblings, 0 replies; 44+ messages in thread From: Anton Farygin @ 2025-06-23 10:48 UTC (permalink / raw) To: devel On 6/23/25 12:26, Andrey Savchenko wrote: > А вот Яндекс Браузер втихаря и без контроля со стороны пользователя > докачивает бинарные компоненты. Хотелось бы поднять вопрос удаления > такого пакета из репозитория. firefox делает тоже самое, кстати. И chromium. Поэтому нет, я против. ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-23 9:26 ` Andrey Savchenko 2025-06-23 10:48 ` Anton Farygin @ 2025-06-23 10:50 ` Sergey V Turchin 2025-06-23 11:09 ` Anton Farygin 2 siblings, 0 replies; 44+ messages in thread From: Sergey V Turchin @ 2025-06-23 10:50 UTC (permalink / raw) To: ALT Linux Team development discussions On Monday, 23 June 2025 12:26:54 MSK Andrey Savchenko wrote: [...] > А вот Яндекс Браузер втихаря и без контроля со стороны пользователя > докачивает бинарные компоненты. А какие? Интересно, т.к. не знал. Firefox тоже. Потом управлять можно, но сперва скачает. [...] -- Regards, Sergey. ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-23 9:26 ` Andrey Savchenko 2025-06-23 10:48 ` Anton Farygin 2025-06-23 10:50 ` Sergey V Turchin @ 2025-06-23 11:09 ` Anton Farygin 2025-06-23 12:03 ` Andrey Savchenko 2 siblings, 1 reply; 44+ messages in thread From: Anton Farygin @ 2025-06-23 11:09 UTC (permalink / raw) To: devel On 6/23/25 12:26, Andrey Savchenko wrote: > Waydroid хотя бы явно предлагает выбор под скачивание. Wine* — тоже. https://bugzilla.altlinux.org/54594 ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-23 11:09 ` Anton Farygin @ 2025-06-23 12:03 ` Andrey Savchenko 2025-06-23 12:19 ` Anton Farygin 2025-06-23 14:10 ` Sergey V Turchin 0 siblings, 2 replies; 44+ messages in thread From: Andrey Savchenko @ 2025-06-23 12:03 UTC (permalink / raw) To: ALT Linux Team development discussions [-- Attachment #1: Type: text/plain, Size: 545 bytes --] On Mon, 23 Jun 2025 14:09:00 +0300 Anton Farygin wrote: > On 6/23/25 12:26, Andrey Savchenko wrote: > > Waydroid хотя бы явно предлагает выбор под скачивание. Wine* — тоже. > > https://bugzilla.altlinux.org/54594 Это неприятный баг, но он не связан с фоновым скачиванием недоверенного кода без согласия и ведома пользователя. Не уходите от темы. Best regards, Andrew Savchenko [-- Attachment #2: Type: application/pgp-signature, Size: 833 bytes --] ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-23 12:03 ` Andrey Savchenko @ 2025-06-23 12:19 ` Anton Farygin 2025-06-23 14:10 ` Sergey V Turchin 1 sibling, 0 replies; 44+ messages in thread From: Anton Farygin @ 2025-06-23 12:19 UTC (permalink / raw) To: devel On 6/23/25 15:03, Andrey Savchenko wrote: > On Mon, 23 Jun 2025 14:09:00 +0300 Anton Farygin wrote: >> On 6/23/25 12:26, Andrey Savchenko wrote: >>> Waydroid хотя бы явно предлагает выбор под скачивание. Wine* — тоже. >> https://bugzilla.altlinux.org/54594 > Это неприятный баг, но он не связан с фоновым скачиванием > недоверенного кода без согласия и ведома пользователя. Не уходите > от темы. Почему же ? Непосредственно связано. Не пытайтесь убедить меня в том, что в waydroid всё хорошо. ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-23 12:03 ` Andrey Savchenko 2025-06-23 12:19 ` Anton Farygin @ 2025-06-23 14:10 ` Sergey V Turchin 1 sibling, 0 replies; 44+ messages in thread From: Sergey V Turchin @ 2025-06-23 14:10 UTC (permalink / raw) To: ALT Linux Team development discussions On Monday, 23 June 2025 15:03:19 MSK Andrey Savchenko wrote: [...] > Это неприятный баг, но он не связан с фоновым скачиванием > недоверенного кода без согласия и ведома пользователя. Тут добровольное принуждение к согласию на скачивание недоверенного кода, т.к. без этого он неработоспособен полностью. По хорошему надо свою сборку делать. -- Regards, Sergey. ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-20 12:31 [devel] zed is alive, baby, for now Sergey Bolshakov 2025-06-20 13:51 ` Sergey @ 2025-06-20 14:15 ` Anton Farygin 2025-06-20 15:27 ` Sergey Bolshakov 1 sibling, 1 reply; 44+ messages in thread From: Anton Farygin @ 2025-06-20 14:15 UTC (permalink / raw) To: devel On 6/20/25 15:31, Sergey Bolshakov wrote: > Привет. > В процессе обсуждения тут: > https://bugzilla.altlinux.org/54860 > я, к своему удивлению, не обнаружил policy, регламентирующего обращение > с пакетами, возможности которых в значительной степени зависят от сторонних > компонент, скачиваемых, с участием пользователя или без, откуда-то извне. > Мы правда не имеем на этот счёт никакого записанного буквами мнения ? > А что бы ты записал в такое полиси ? ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-20 14:15 ` Anton Farygin @ 2025-06-20 15:27 ` Sergey Bolshakov 2025-06-23 10:51 ` Anton Farygin 0 siblings, 1 reply; 44+ messages in thread From: Sergey Bolshakov @ 2025-06-20 15:27 UTC (permalink / raw) To: devel >>>>> "Anton" == Anton Farygin <rider-SLA8ab5CrdUvJsYlp49lxw@public.gmane.org> writes: > On 6/20/25 15:31, Sergey Bolshakov wrote: >> Привет. >> В процессе обсуждения тут: >> https://bugzilla.altlinux.org/54860 >> я, к своему удивлению, не обнаружил policy, регламентирующего обращение >> с пакетами, возможности которых в значительной степени зависят от сторонних >> компонент, скачиваемых, с участием пользователя или без, откуда-то извне. >> Мы правда не имеем на этот счёт никакого записанного буквами мнения ? >> > А что бы ты записал в такое полиси ? Прежде всего, я неприятно удивлён самой необходимости формализовать до состояния policy, казалось бы, общепринятых подписчиками devel@ идей. Время летит. Что-то вроде черновика я предложить не готов, поскольку, похоже, пришлось бы начинать с (до)определения понятия 'пакет'. Но у меня есть хитрый план: предложить сопровождающим таких пакетов сформулировать (добровольно!) ограничения, которые им покажутся уместными и посильными (пока их не запретили скопом, хаха). Как сопровождающий одного из таких пакетов (kodi), начну: (*торонняя компонента* TBD) Допускается такое использование *сторонней компоненты* пакета, что: проиходит по инициативе пользователя, явно и обратимо. Это minimum minimorum, невыполнение которого квалифицируется как critical bug с известными последствиями (какими ? тут, похоже, тоже пробел). -- ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-20 15:27 ` Sergey Bolshakov @ 2025-06-23 10:51 ` Anton Farygin 2025-06-23 12:22 ` Sergey Bolshakov 0 siblings, 1 reply; 44+ messages in thread From: Anton Farygin @ 2025-06-23 10:51 UTC (permalink / raw) To: devel On 6/20/25 18:27, Sergey Bolshakov wrote: > Это minimum minimorum, невыполнение которого квалифицируется > как critical bug с известными последствиями (какими ? тут, > похоже, тоже пробел). firefox молча и без предупреждений качает libgmpopenh264.so и так уже очень давно. ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-23 10:51 ` Anton Farygin @ 2025-06-23 12:22 ` Sergey Bolshakov 2025-06-23 12:25 ` Anton Farygin 0 siblings, 1 reply; 44+ messages in thread From: Sergey Bolshakov @ 2025-06-23 12:22 UTC (permalink / raw) To: devel >>>>> "Anton" == Anton Farygin <rider-SLA8ab5CrdUvJsYlp49lxw@public.gmane.org> writes: > On 6/20/25 18:27, Sergey Bolshakov wrote: >> Это minimum minimorum, невыполнение которого квалифицируется >> как critical bug с известными последствиями (какими ? тут, >> похоже, тоже пробел). > firefox молча и без предупреждений качает libgmpopenh264.so > и так уже очень давно. Да, как и давно известно, что можно/нужно предпринять, чтобы такого с ним не происходило. По формальным признакам такое поведение -- это security treat, "дыра в безопасности", которому в нашей BugSeverityPolicy соответствует высший уровень blocker. Повторю, согласно нашей же policy, я мог бы повесить на zed, который формально ничем не отличим от ботнета, blocker и добиваться его удаления. Именно поэтому я ещё раз призываю сопровождающих таких пакетов не дожидаться такого исхода, а включиться в обсуждение. -- ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-23 12:22 ` Sergey Bolshakov @ 2025-06-23 12:25 ` Anton Farygin 2025-06-23 12:34 ` Anton Midyukov 2025-06-23 12:35 ` Sergey Bolshakov 0 siblings, 2 replies; 44+ messages in thread From: Anton Farygin @ 2025-06-23 12:25 UTC (permalink / raw) To: devel On 6/23/25 15:22, Sergey Bolshakov wrote: > Именно поэтому я ещё раз призываю сопровождающих таких > пакетов не дожидаться такого исхода, а включиться > в обсуждение. Вообще в целом пока непонятно какую цель ты пытаешься достичь ? Думаю что правильнее было бы пометить каким-то образом такие приложения как "небезопасные", выявлять их установку в системе и выводить предупреждение пользователю что безопасность системы нарушена. Тот же waydroid, конечно, говорит что качает, но точно не проверяет что запускается. Таких приложений будет много. ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-23 12:25 ` Anton Farygin @ 2025-06-23 12:34 ` Anton Midyukov 2025-06-23 12:46 ` Denis Medvedev 2025-06-23 14:45 ` Anton Farygin 2025-06-23 12:35 ` Sergey Bolshakov 1 sibling, 2 replies; 44+ messages in thread From: Anton Midyukov @ 2025-06-23 12:34 UTC (permalink / raw) To: devel 23.06.2025 15:25, Anton Farygin пишет: > On 6/23/25 15:22, Sergey Bolshakov wrote: >> Именно поэтому я ещё раз призываю сопровождающих таких >> пакетов не дожидаться такого исхода, а включиться >> в обсуждение. > > Вообще в целом пока непонятно какую цель ты пытаешься достичь ? > > Думаю что правильнее было бы пометить каким-то образом такие приложения как "небезопасные", выявлять их установку в системе и выводить предупреждение пользователю что безопасность системы нарушена. Этим можно добиться лишь раздражения от пользователя. > > > Тот же waydroid, конечно, говорит что качает, но точно не проверяет что запускается. Какие-то контейнеры проверяют, что в них запускается? Или виртуальные машины проверяют? -- best regards, Anton Midyukov <antohami@altlinux.org> ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-23 12:34 ` Anton Midyukov @ 2025-06-23 12:46 ` Denis Medvedev 2025-06-23 14:45 ` Anton Farygin 1 sibling, 0 replies; 44+ messages in thread From: Denis Medvedev @ 2025-06-23 12:46 UTC (permalink / raw) To: Anton Midyukov; +Cc: ALT Linux Team development discussions On Mon, 23 Jun 2025 15:34:29 +0300 Anton Midyukov <antohami@altlinux.org> wrote: > 23.06.2025 15:25, Anton Farygin пишет: > > On 6/23/25 15:22, Sergey Bolshakov wrote: > >> Именно поэтому я ещё раз призываю сопровождающих таких > >> пакетов не дожидаться такого исхода, а включиться > >> в обсуждение. > > > > Вообще в целом пока непонятно какую цель ты пытаешься достичь ? > > > > Думаю что правильнее было бы пометить каким-то образом такие > > приложения как "небезопасные", выявлять их установку в системе и > > выводить предупреждение пользователю что безопасность системы > > нарушена. > > Этим можно добиться лишь раздражения от пользователя. Это вполне оправданное раздражение. Лучше о таком знать. Хотя конечно, ignorance is bliss... > > > > > > > Тот же waydroid, конечно, говорит что качает, но точно не проверяет > > что запускается. > > Какие-то контейнеры проверяют, что в них запускается? > Или виртуальные машины проверяют? > Да. Могут проверять. И достаточно легко ограничить или контролировать доступ к интернету для виртуалок или контейнеров, в отличие от приложений внутри просто ОС. -- ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-23 12:34 ` Anton Midyukov 2025-06-23 12:46 ` Denis Medvedev @ 2025-06-23 14:45 ` Anton Farygin 1 sibling, 0 replies; 44+ messages in thread From: Anton Farygin @ 2025-06-23 14:45 UTC (permalink / raw) To: devel On 6/23/25 15:34, Anton Midyukov wrote: >> Тот же waydroid, конечно, говорит что качает, но точно не проверяет что запускается. > Какие-то контейнеры проверяют, что в них запускается? > Или виртуальные машины проверяют? да, есть механизмы проверки содержимого контейнеров. Но а так-то flatpack ничем особенным не отличается от zed или waydroid или firefox. Каждый из низ по разному и с разными уведомлениями (которые естественно все игнорируют) качают и запускают исполняемый код из сети. Если хочется обеспечить запуск только того, что было собрано в репозитории - то путь должен быть каким-то другим. ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-23 12:25 ` Anton Farygin 2025-06-23 12:34 ` Anton Midyukov @ 2025-06-23 12:35 ` Sergey Bolshakov 2025-06-23 14:43 ` Anton Farygin 2025-06-24 14:33 ` Anton Farygin 1 sibling, 2 replies; 44+ messages in thread From: Sergey Bolshakov @ 2025-06-23 12:35 UTC (permalink / raw) To: devel >>>>> "Anton" == Anton Farygin <rider-SLA8ab5CrdUvJsYlp49lxw@public.gmane.org> writes: > On 6/23/25 15:22, Sergey Bolshakov wrote: >> Именно поэтому я ещё раз призываю сопровождающих таких >> пакетов не дожидаться такого исхода, а включиться >> в обсуждение. > Вообще в целом пока непонятно какую цель ты пытаешься достичь ? Оценка сопровождающими таких пакетов возможности соответствовать предложенному policy -- возможно ли вообще, намерены ли приложить к этому усилия. > Думаю что правильнее было бы пометить каким-то образом такие приложения как > "небезопасные", выявлять их установку в системе и выводить предупреждение > пользователю что безопасность системы нарушена. А после удаления таких пакетов -- 'безопасность восстановлена' ? Гименопластика, IT edition. > Тот же waydroid, конечно, говорит что качает, но точно не проверяет что > запускается. > Таких приложений будет много. > _______________________________________________ > Devel mailing list > Devel@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/devel ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-23 12:35 ` Sergey Bolshakov @ 2025-06-23 14:43 ` Anton Farygin 2025-06-24 14:33 ` Anton Farygin 1 sibling, 0 replies; 44+ messages in thread From: Anton Farygin @ 2025-06-23 14:43 UTC (permalink / raw) To: devel On 6/23/25 15:35, Sergey Bolshakov wrote: > А после удаления таких пакетов -- 'безопасность восстановлена' ? > Гименопластика, IT edition. После удаления таких пакетов безопасность восстановить уже невозможно ;) ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-23 12:35 ` Sergey Bolshakov 2025-06-23 14:43 ` Anton Farygin @ 2025-06-24 14:33 ` Anton Farygin 2025-06-24 14:59 ` Sergey Bolshakov 2025-06-25 4:56 ` Alexey V. Vissarionov 1 sibling, 2 replies; 44+ messages in thread From: Anton Farygin @ 2025-06-24 14:33 UTC (permalink / raw) To: devel On 6/23/25 15:35, Sergey Bolshakov wrote: > Оценка сопровождающими таких пакетов возможности соответствовать > предложенному policy -- возможно ли вообще, намерены ли приложить > к этому усилия. я сопровождаю пакет opam, который качает с интернета исходники, собирает их определённым образом и добавляет результаты сборки в PATH пользователя. Это то, или не то, чего будет касаться это полиси ? ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-24 14:33 ` Anton Farygin @ 2025-06-24 14:59 ` Sergey Bolshakov 2025-06-25 12:23 ` Anton Farygin 2025-06-25 4:56 ` Alexey V. Vissarionov 1 sibling, 1 reply; 44+ messages in thread From: Sergey Bolshakov @ 2025-06-24 14:59 UTC (permalink / raw) To: devel >>>>> "Anton" == Anton Farygin <rider-SLA8ab5CrdUvJsYlp49lxw@public.gmane.org> writes: > On 6/23/25 15:35, Sergey Bolshakov wrote: >> Оценка сопровождающими таких пакетов возможности соответствовать >> предложенному policy -- возможно ли вообще, намерены ли приложить >> к этому усилия. > я сопровождаю пакет opam, который качает с интернета исходники, собирает их > определённым образом и добавляет результаты сборки в PATH пользователя. > Это то, или не то, чего будет касаться это полиси ? Нет, поскольку он не включает *в себя* сторонних коппонент; всё, что он делает, полностью описано в его же исходниках. (это моё предположение, я не знаком с этим пакетом). Что именно означает 'включает в себя', нуждается в уточнении, но примерно понятно: плагин.so, плагин.{py,lua,rb,wtf} на интерпретируемом языке без сэндбоксинга, наконец, просто исполняемый с каким-л. IPC с основным процессом -- что там ещё бывает ? -- ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-24 14:59 ` Sergey Bolshakov @ 2025-06-25 12:23 ` Anton Farygin 0 siblings, 0 replies; 44+ messages in thread From: Anton Farygin @ 2025-06-25 12:23 UTC (permalink / raw) To: devel On 6/24/25 17:59, Sergey Bolshakov wrote: > Нет, поскольку он не включает*в себя* сторонних коппонент; > всё, что он делает, полностью описано в его же исходниках. > (это моё предположение, я не знаком с этим пакетом). > > Что именно означает 'включает в себя', нуждается в уточнении, > но примерно понятно: плагин.so, плагин.{py,lua,rb,wtf} на интерпретируемом > языке без сэндбоксинга, наконец, просто исполняемый с каким-л. > IPC с основным процессом -- что там ещё бывает ? Ну тогда множество проектов это просто не затронет, т.к. они не включают в себя компоненты, а просто скачивают их для выполнения каких то функций. ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-24 14:33 ` Anton Farygin 2025-06-24 14:59 ` Sergey Bolshakov @ 2025-06-25 4:56 ` Alexey V. Vissarionov 2025-06-25 8:34 ` Sergey Bolshakov 2025-06-25 13:49 ` Ildar Mulyukov 1 sibling, 2 replies; 44+ messages in thread From: Alexey V. Vissarionov @ 2025-06-25 4:56 UTC (permalink / raw) To: ALT Linux Team development discussions Good ${greeting_time}! On 2025-06-24 17:33:22 +0300, Anton Farygin wrote: >> Оценка сопровождающими таких пакетов возможности соответствовать >> предложенному policy -- возможно ли вообще, намерены ли приложить >> к этому усилия. > я сопровождаю пакет opam, который качает с интернета исходники, > собирает их определённым образом и добавляет результаты сборки > в PATH пользователя. > Это то, или не то, чего будет касаться это полиси ? Вообще надо. Если не запретить полностью, то регламентировать. Вся подготовка (в том числе скачивание всех исходников) должна делаться мейнтейнером соответствующего пакета. А в процессе собственно сборки никаких обращений наружу быть не должно, ибо это нарушает воспроизводимость сборки. Второе, что нужно предусмотреть - разнообразные embedded $lang (где $lang обозначает любимый скриптовый язык автора бинарного софта, собранного в пакет). Здесь диапазон возможных подходов простирается от "скрипт - это такой конфиг" (а в императивной модели оно так и есть) до "W^X любой ценой" (после чего авторы регулярно чешут думатели в попытках заткнуть очередной способ объехать ограничения). Но тащить конфиги откуда-то снаружи (не из репы, да и в пакете %config(noreplace) никто не отменял) в [полу]автоматическом режиме - это уже за гранью технического обсуждения, а ближе к психиатрии. -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-25 4:56 ` Alexey V. Vissarionov @ 2025-06-25 8:34 ` Sergey Bolshakov 2025-06-25 13:49 ` Ildar Mulyukov 1 sibling, 0 replies; 44+ messages in thread From: Sergey Bolshakov @ 2025-06-25 8:34 UTC (permalink / raw) To: devel >>>>> "Alexey" == Alexey V Vissarionov <gremlin-u2l5PoMzF/Vg9hUCZPvPmw@public.gmane.org> writes: > Good ${greeting_time}! > On 2025-06-24 17:33:22 +0300, Anton Farygin wrote: >>> Оценка сопровождающими таких пакетов возможности соответствовать >>> предложенному policy -- возможно ли вообще, намерены ли приложить >>> к этому усилия. >> я сопровождаю пакет opam, который качает с интернета исходники, >> собирает их определённым образом и добавляет результаты сборки >> в PATH пользователя. >> Это то, или не то, чего будет касаться это полиси ? > Вообще надо. Если не запретить полностью, то регламентировать. > Вся подготовка (в том числе скачивание всех исходников) должна > делаться мейнтейнером соответствующего пакета. А в процессе > собственно сборки никаких обращений наружу быть не должно, ибо > это нарушает воспроизводимость сборки. > Второе, что нужно предусмотреть - разнообразные embedded $lang > (где $lang обозначает любимый скриптовый язык автора бинарного > софта, собранного в пакет). Здесь диапазон возможных подходов > простирается от "скрипт - это такой конфиг" (а в императивной > модели оно так и есть) до "W^X любой ценой" (после чего авторы > регулярно чешут думатели в попытках заткнуть очередной способ > объехать ограничения). Но тащить конфиги откуда-то снаружи (не > из репы, да и в пакете %config(noreplace) никто не отменял) в > [полу]автоматическом режиме - это уже за гранью технического > обсуждения, а ближе к психиатрии. Вы, похоже, собрались запретить аналог pip/uv -- я не разделяю такой подход. -- ^ permalink raw reply [flat|nested] 44+ messages in thread
* Re: [devel] zed is alive, baby, for now 2025-06-25 4:56 ` Alexey V. Vissarionov 2025-06-25 8:34 ` Sergey Bolshakov @ 2025-06-25 13:49 ` Ildar Mulyukov 1 sibling, 0 replies; 44+ messages in thread From: Ildar Mulyukov @ 2025-06-25 13:49 UTC (permalink / raw) To: ALT Linux Team development discussions Добрый вечер, > On 2025-06-24 17:33:22 +0300, Anton Farygin wrote: > > я сопровождаю пакет opam, который качает с интернета исходники, > > собирает их определённым образом и добавляет результаты сборки > > в PATH пользователя. > > Это то, или не то, чего будет касаться это полиси ? opam, pip, luarocks по своему предназначению для того, чтобы скачивать исходники и (с компиляцией или без) получить нужные модули в `$HOME/.local/`. С очевидными источниками, с очевидными рисками. Мне кажется, что обсуждение не об этом. On Wed, Jun 25, 2025 at 10:05 AM Alexey V. Vissarionov <gremlin@altlinux.org> wrote: > Вообще надо. Если не запретить полностью, то регламентировать. > > Вся подготовка (в том числе скачивание всех исходников) должна > делаться мейнтейнером соответствующего пакета. А в процессе > собственно сборки никаких обращений наружу быть не должно, ибо > это нарушает воспроизводимость сборки. opam не для сборки пакетов. А если для сборки, то без скачивания из сети. Опять-таки, обсуждение, кажется, не об этом. WBR -- Ildar Mulyukov, (ΙΧΘΥΣ) child of God email: ildar.mulyukov@gmail.com matrix: @ildar:matrix.org blog: http://johan-notes.blogspot.com/ ^ permalink raw reply [flat|nested] 44+ messages in thread
end of thread, other threads:[~2025-07-01 12:22 UTC | newest] Thread overview: 44+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2025-06-20 12:31 [devel] zed is alive, baby, for now Sergey Bolshakov 2025-06-20 13:51 ` Sergey 2025-06-20 15:51 ` Alexandr Shashkin 2025-06-20 16:56 ` Andrey Limachko 2025-06-20 17:04 ` Semen Fomchenkov 2025-06-20 17:47 ` Denis Medvedev 2025-06-20 20:35 ` Semen Fomchenkov 2025-06-24 4:38 ` Alexey V. Vissarionov 2025-06-24 11:58 ` Sergey Afonin 2025-06-24 12:25 ` Paul Wolneykien 2025-06-24 13:42 ` Alexey V. Vissarionov 2025-06-30 18:16 ` [devel] firewall для приложений (was: zed is alive, baby, for now) Arseny Maslennikov 2025-06-30 18:19 ` Arseny Maslennikov 2025-07-01 6:25 ` [devel] firewall для приложений Anton Farygin 2025-07-01 12:22 ` Arseny Maslennikov 2025-06-20 20:18 ` [devel] zed is alive, baby, for now Alexandr Shashkin 2025-06-21 13:14 ` Sergey 2025-06-23 10:54 ` Ilya Sorochan 2025-06-23 10:55 ` Anton Farygin 2025-06-23 11:09 ` Sergey V Turchin 2025-06-24 4:32 ` Alexey V. Vissarionov 2025-06-23 9:26 ` Andrey Savchenko 2025-06-23 10:48 ` Anton Farygin 2025-06-23 10:50 ` Sergey V Turchin 2025-06-23 11:09 ` Anton Farygin 2025-06-23 12:03 ` Andrey Savchenko 2025-06-23 12:19 ` Anton Farygin 2025-06-23 14:10 ` Sergey V Turchin 2025-06-20 14:15 ` Anton Farygin 2025-06-20 15:27 ` Sergey Bolshakov 2025-06-23 10:51 ` Anton Farygin 2025-06-23 12:22 ` Sergey Bolshakov 2025-06-23 12:25 ` Anton Farygin 2025-06-23 12:34 ` Anton Midyukov 2025-06-23 12:46 ` Denis Medvedev 2025-06-23 14:45 ` Anton Farygin 2025-06-23 12:35 ` Sergey Bolshakov 2025-06-23 14:43 ` Anton Farygin 2025-06-24 14:33 ` Anton Farygin 2025-06-24 14:59 ` Sergey Bolshakov 2025-06-25 12:23 ` Anton Farygin 2025-06-25 4:56 ` Alexey V. Vissarionov 2025-06-25 8:34 ` Sergey Bolshakov 2025-06-25 13:49 ` Ildar Mulyukov
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git