О tools, хороших и разных

f_evgeny · Post by **f_evgeny** » 25 Jun 2004 20:26

cityzen wrote:
f_evgeny wrote:
cityzen wrote:
f_evgeny wrote:
cityzen wrote:--pid-owner processid
Matches if the packet was created by a process with the given process id.

В чем причина веселья?

А что есть возможность назначать постоянные pid прилижениям?

Не уверен, но можно их читать.

Т.е. чтобы, скажем, запретить выход MПлееру в Интернет я должен сначала его запустить, посмотреть его pid и затем сконфигурить ipcahins. Фича вроде есть, но практически бесполезная. Зато, я уверен, можно написать перловый скрипт, который будет делать это автоматом. Unix way at its best

Да тут перл не нужен, достаточно обертки на шелле, которая или будет запускать прогу смотреть PID, и вставлять правила, или как вариант запускаться, смотреть свой PID, вставлять правила, а затем запуткать вместо себя (с тем же пидом) прогу.
И почему фича бесполезная? Нормальная вполне себе фича.

cityzen · Post by **cityzen** » 25 Jun 2004 20:38

Вот именно. Фича есть, но без рубанка и молотка никуда.

Drusha · Post by **Drusha** » 25 Jun 2004 20:39

f_evgeny wrote:Да тут перл не нужен, достаточно обертки на шелле, которая или будет запускать прогу смотреть PID, и вставлять правила, или как вариант запускаться, смотреть свой PID, вставлять правила, а затем запуткать вместо себя (с тем же пидом) прогу.

И вот так всегда с сисадминами - пришпандорить скрипт, а что работать неудобно - пофиг, они совет дали. В виндах-то (которые конечно "маздай форева") все как-то дружелюбнее.
Чего для линуха нормальный KDE не сделать - ведь не первая версия, не первый год. Тогда-бы се свалили с виндов. Такое ощущение, что делали специльно криво, что-бы MS конкуренции небыло в desktop-секторе.

f_evgeny · Post by **f_evgeny** » 25 Jun 2004 20:49

geek7 wrote:Надеюсь перед исполнением высшей меры мне позволят обжаловать приговор
Вы бы дя начала господам присяжным заседателям перечислили велосипеды авторство которых мне приписываете.
Я всю жизнь думал что уж какой программистской добродетелью я не обижен так это ленью
Так рискну повторить вопрос для тех кто в юниксе:
чем знание X-ов мне может помочь?

Ну, хотя бы то, что X-ы - графическая система полностью реализованная через сеть и как это сделано.

f_evgeny · Post by **f_evgeny** » 25 Jun 2004 20:53

Drusha wrote:И вот так всегда с сисадминами - пришпандорить скрипт, а что работать неудобно - пофиг, они совет дали. В виндах-то (которые конечно "маздай форева") все как-то дружелюбнее.
Чего для линуха нормальный KDE не сделать - ведь не первая версия, не первый год. Тогда-бы се свалили с виндов. Такое ощущение, что делали специльно криво, что-бы MS конкуренции небыло в desktop-секторе.

Это почему неудобно? Ну, Вы блин даете! (С) обертка будет с тем же именем, что Ваша прога, так что все будет нормально. Хорошо было бы, если бы в Виндах все программы читали настройки еще и из переменных окружения, можно бы тоже было бы делать обертки.

cityzen · Post by **cityzen** » 25 Jun 2004 21:10

f_evgeny wrote:Это почему неудобно? Ну, Вы блин даете! (С) обертка будет с тем же именем, что Ваша прога, так что все будет нормально.

И с той же иконкой на десктопе? Или опять "привыкли руки к топорам"?

f_evgeny · Post by **f_evgeny** » 25 Jun 2004 21:23

cityzen wrote:
f_evgeny wrote:Это почему неудобно? Ну, Вы блин даете! (С) обертка будет с тем же именем, что Ваша прога, так что все будет нормально.

И с той же иконкой на десктопе? Или опять "привыкли руки к топорам"?

У меня - да. Зависит от путей, как впрочем и в Виндовс.
И, кстати, у меня иконки только для очень часто запускаемых программ, все остальное значительно удобнее запускать из командной строки.

A. Fig Lee · Post by **A. Fig Lee** » 26 Jun 2004 00:35

не, ну кашу сварить конечно можно..
Через
$netstat -nra
или
$sockstat
посмотрели пид процесса который владеет конкретным портом, из пида узнали имя, файрвол когда работает, знает сокет, соответственно все данные есть.
Но опять же - смысл?
Во первых, на УНИХе или обычно компайлим из сусрсов, или даунлодим байнари - как правило есть мд5. Соответственно, за программу отвечают.
Ну не верим мы им, ладно, сам такой.
Запустил программу, потом нетстат или соцкстат, увидел куда он полез. Убил программу все понял, больше незапускаю. Если он кудато лезет, и я уже ему не доверяю, не буду я запускать даже под файрволлом.

A. Fig Lee · Post by **A. Fig Lee** » 26 Jun 2004 00:41

cityzen wrote:
f_evgeny wrote:
cityzen wrote:--pid-owner processid
Matches if the packet was created by a process with the given process id.

В чем причина веселья?

А что есть возможность назначать постоянные pid прилижениям?

sid можно использовать и пользоватся оболочкой или запускать из под другого узера - много возможностей для пытливого ума. :umnik1:

Strannik223 · Post by **Strannik223** » 26 Jun 2004 03:07

Да смысл то какой. Уж если вы трояна у себя запустили то как минимум наивно его с помошью firewall ловить. Он вашу инфу соберет и от вашего имени используя outlook отправит куда надо. И на что вы фильтр настраивать будете на outlook?
Для справки, в FreeBSD есть подсистима jail которая позволяет запустить процесс обрубив ему то что не надо: доступ к директориям, сети, итд. Вот это и есть unix way. А fancy firewall со свистками и мигалками пусть радуют тех кто не понимает в security но смело бросается рассуждать что у винды firewall круче.

SlavickP · Post by **SlavickP** » 26 Jun 2004 09:34

Strannik223 wrote:Для справки, в FreeBSD есть подсистима jail которая позволяет запустить процесс обрубив ему то что не надо: доступ к директориям, сети, итд. Вот это и есть unix way.

Подсистема, говорите? Интересно. Я вот по простоте душевной запускаю Internet Explorer с правами учётной записи, не имеющей никаких прав в системе (работаю администратором) - но это, конечно, не unix way, потому что без подсистемы. Но фича, судя по вашему описанию, очень полезная. Дайте, пожалуйста, ссылку на документ, который позволяетв FreeBSD создать jail процессу, чтобы он имел возможность доступа к единственному IP-адресу, порт 443.

A. Fig Lee · Post by **A. Fig Lee** » 26 Jun 2004 12:20

SlavickP wrote: Я вот по простоте душевной запускаю Internet Explorer с правами учётной записи, не имеющей никаких прав в системе (работаю администратором)

Ето че было?

SlavickP · Post by **SlavickP** » 26 Jun 2004 12:41

A. Fig Lee wrote:Ето че было?

Учётная запись = account. Надеюсь, теперь понятно.

Про подсистему поделиться информацией сможете? Это ж FreeBSD, ваша епархия, судя по аватаре.

A. Fig Lee · Post by **A. Fig Lee** » 26 Jun 2004 13:24

SlavickP wrote:
A. Fig Lee wrote:Ето че было?

Учётная запись = account. Надеюсь, теперь понятно.

Про подсистему поделиться информацией сможете? Это ж FreeBSD, ваша епархия, судя по аватаре.

Aaaaaa... account..

http://www.freebsd.org/doc/en_US.ISO885 ... hroot.html

Никогда им правdа не пользовался.
Все сендбоксами больше.

SlavickP · Post by **SlavickP** » 26 Jun 2004 13:46

A. Fig Lee wrote:http://www.freebsd.org/doc/en_US.ISO8859-1/books/developers-handbook/secure-chroot.html

С этим хорошо по Линуксу знаком. Заинтересовала упомянутая Strannik223'ом возможность подсистемы jail обрубать доступ к сети (оригинальная лексика сохранена) в FreeBSD. Похоже, снова некомпетентность и профанация?