https://www.opennet.me/openforum/vsluhforumID3/107141.html После двух лет разработки доступен (https://subgraph.com/sgos/download/index.en.html) первый альфа-выпуск проект Subgraph OS (https://subgraph.com/sgos/index.en.html), в рамках которого развивается платформа, обеспечивающая запуск десктоп-приложений в отдельных изолированных контейнерах. Система изначально нацелена на предоставление максимальной безопасности и стойкости к атакам, для чего кроме контейнеров применяются наработки проекта Grsecurity/PaX и жесткая верификация устанавливаемых компонентов. Взаимодействие с внешним миром осуществляется только через сеть Tor. Для загрузки доступен iso-образ (https://subgraph.com/sgos/download/index.en.html) размером 1.5 Гб. <br><br><br><br>При этом разработчики не считают, что ценой высокой безопасность должны быть ограничения и неудобства в работе, и пытаются предоставить максимально простое и удобное для конечных пользователей решение. В качестве базового графического окружения предлагается GNOME 3. В качестве почтового клиента предлагается Subgraph Mail (https://subgraph https://www.opennet.me/openforum/vsluhforumID3/107141.html#53 Thu, 17 Mar 2016 07:25:08 GMT Жду новый торЪ, сказали же скоро будет со хорошо стоячим крипто и хитронодами)))<br> https://www.opennet.me/openforum/vsluhforumID3/107141.html#52 Mon, 14 Mar 2016 20:02:22 GMT Ну вот! Кто как не pussy.exe'шник поможе барту-вендузоеду?!<br> https://www.opennet.me/openforum/vsluhforumID3/107141.html#51 Mon, 14 Mar 2016 20:00:56 GMT &gt; И selinux я курил (видос с stopdisablingselinux.com + несколько мануалов), но добиться <br>&gt; от него блокировки доступа конкретного приложения в Интернет мне так и <br>&gt; не удалось.<br><br>Ведузятник должен страдать.<br> https://www.opennet.me/openforum/vsluhforumID3/107141.html#50 Mon, 14 Mar 2016 20:00:12 GMT &gt; Вы не поверите: apparmor я изучил, сделал профиль для конкретного бинарника (проприетарная <br>&gt; гуёвина) и разрешил её всё кроме доступа в сеть. И таки <br>&gt; она вообще перестала запускаться.<br><br>Ведузоед должен страдать.<br> https://www.opennet.me/openforum/vsluhforumID3/107141.html#48 Mon, 14 Mar 2016 12:04:01 GMT &gt; А смысл? Можно лучше сделать. Берешь firejail и нарезаешь на контейнеры. Хоть <br>&gt; каждой программе по своему IP и Tor, не говоря уж о <br>&gt; правилах файрвола.<br>&gt; Хинт: а в дефолтной ОС может даже сетевх интерфейсов не быть, если <br>&gt; вы их все в контейнер перекинете.<br><br>systemd-nspawn? ;)<br><br>А как вы об'едините картинку от разных контайнеров на общем десктопе?<br> https://www.opennet.me/openforum/vsluhforumID3/107141.html#47 Mon, 14 Mar 2016 10:24:37 GMT На Винде сиди, там есть начиная с Висты брандмауэр в режиме повышенной безопасности, который может все исходящие соединения зарубить, а потом разрежи только те программы, которым нужен по твоему мнению доступ в сеть. <br>А есть ещё AppLock, которым можно запретить запускать все приложения-экзешники, кроме разрешённых. Если эти обе эти две вещи настроить, то можно антивирусы отключить и жить спокойно, пока жёсткий диск не откажет :)<br> https://www.opennet.me/openforum/vsluhforumID3/107141.html#46 Mon, 14 Mar 2016 08:04:04 GMT Firewalld умеет.<br> https://www.opennet.me/openforum/vsluhforumID3/107141.html#44 Mon, 14 Mar 2016 04:38:58 GMT &gt; лучше selinux, ибо apparmor &#8212; непонятная херня, да впринципе, и голый иптаблес <br>&gt; могёт <br><br>И selinux я курил (видос с stopdisablingselinux.com + несколько мануалов), но добиться от него блокировки доступа конкретного приложения в Интернет мне так и не удалось.<br><br>Голый иптаблес давно уже не могёт. Мог, кажется, в ядре 2.4.<br> https://www.opennet.me/openforum/vsluhforumID3/107141.html#43 Mon, 14 Mar 2016 04:35:44 GMT Вы не поверите: apparmor я изучил, сделал профиль для конкретного бинарника (проприетарная гуёвина) и разрешил её всё кроме доступа в сеть. И таки она вообще перестала запускаться. Как ни крутил, в терминале ругается на переменную $DISPLAY, кажется. Если просто вырубить сеть физически - работает норм, под виндой она же если заблокировать фаерволом (коих там, благо, множество - в этом огромный плюс винды) тоже прекрасно пашет.<br>