[РЕШЕНО] Китайский Мини ПК Не Отключается после завершение работы...

[Skull]

И опять я про своих тараканов.  Куда тему создать в голове полный бардак.

первое - про форум я уже говорил.
второе - незащищенное соединение при скачке дистров, тож говорил.
теперь третье - почему у вас закрыт телеграм https://t.me/alt_linux канал? вы там извиняюсь с друг-другом голыми женами обмениваетесь?

Нет, канал совершенно открыт.

[altuser55]

Нет, канал совершенно открыт.

вот открытый канал https://t.me/overlamer1 - нажмите Preview channel
может я в телеги не шарю, но открытые каналы именно так выглядят

[Skull]

Нет, канал совершенно открыт.

вот открытый канал https://t.me/overlamer1 - нажмите Preview channel
может я в телеги не шарю, но открытые каналы именно так выглядят

alt_linux — публичная группа, в не канал, если Вы об этом. Прошу прощения, если ранее сказал не точно.
 

[gosts 87]

Я как-то оставлял комментарий по поводу всяких "шифрований" и "защищённых" соединений. Сомневаюсь, что https более безопасно, чем http...

если вы не можете  настроиться чтоб он был защищенным не значит все такие. вы правда что-ли прикомандированы тут во все горло орать "что это все плохо и не  защищает".

Я обычный пользователь компьютера. Никто меня никуда не прикомандировывал, но я с некоторых пор критически смотрю на всё, что связано с компьютерной техникой и Интернетом. Не стоит забывать для кого изначально прообраз "Интернета" - "ApraNet" был создан.

[Koi]

непробиваемым он был в начале нулевых, а сейчас skull плюет бекппартировать новый esr и я хотел предложить две настройки которые бы не отпугивали  пользователей. тем более они уже как два года добавлены в fedora и debian

Непробиваемых нет, это фантастика.
Что за настройки? Вдруг и мне надо.
Разобрал 81 пакет у федоры ни в спец, ни в патчах ничего интересного не обнаружил. 
В патчах они в основном лечат свои же болячки сборки, остальное у нас перенесено.

Настройки: firefox-redhat-default-prefs.js

Спойлер

pref("app.update.auto",                     false);
pref("app.update.enabled",                  false);
pref("app.update.autoInstallEnabled",       false);
pref("general.smoothScroll",                true);
pref("intl.locale.matchOS",                 true);
pref("intl.locale.requested",               "");
pref("toolkit.storage.synchronous",         0);
pref("toolkit.networkmanager.disable",      false);
pref("offline.autoDetect",                  true);
pref("browser.backspace_action",            2);
pref("browser.display.use_system_colors",   true);
pref("browser.download.folderList",         1);
pref("browser.link.open_external",          3);
pref("browser.shell.checkDefaultBrowser",   false);
pref("network.manage-offline-status",       true);
pref("extensions.shownSelectionUI",         true);
pref("ui.SpellCheckerUnderlineStyle",       1);
pref("startup.homepage_override_url",       "");
pref("browser.startup.homepage",            "data:text/plain,browser.startup.homepage=https://start.fedoraproject.org/");
pref("browser.newtabpage.pinned",           '[{"url":"https://start.fedoraproject.org/","title":"Fedora Project - Start Page"}]');
pref("geo.wifi.uri", "https://location.services.mozilla.com/v1/geolocate?key=%MOZILLA_API_KEY%");
pref("media.gmp-gmpopenh264.provider.enabled",false);
pref("media.gmp-gmpopenh264.autoupdate",false);
pref("media.gmp-gmpopenh264.enabled",false);
pref("media.gmp.decoder.enabled", true);
pref("plugins.notifyMissingFlash", false);
/* See https://bugzilla.redhat.com/show_bug.cgi?id=1226489 */
pref("browser.display.use_system_colors", false);
pref("layers.use-image-offscreen-surfaces", false);
/* Allow sending credetials to all https:// sites */
pref("network.negotiate-auth.trusted-uris", "https://");
pref("spellchecker.dictionary_path","/usr/share/myspell");
/* Disable DoH by default */
pref("network.trr.mode",                    5);
/* Enable per-user policy dir, see mozbz#1583466 */
pref("browser.policies.perUserDir",         true);
pref("browser.gnome-search-provider.enabled",true);

Это федоровские
У нас более обширны и трекеры сразу выключены.

[Speccyfighter]

Хуже всего то, что какой-то функционал в системе, завязан на этом.

Нда...Дела...
А ведь именно безопасность когда-то была коньком Линукса...

Если вы используете системы на systemd, учтите:

1. Что этот рулез
https://bugzilla.altlinux.org/show_bug.cgi?id=37516#c1
заблокирует уязвимость (#37516), но сломает DE-независимую регулировку яркости на интел-графике как минимум. И ещё возможно что-то. (Xfce-зависимая останется в целости и работающей, ибо у неё совсем другой алгоритм)

2. Что делать с systemd-run (#35763), хрен его знает.

3. В этом комментарии
https://bugzilla.altlinux.org/show_bug.cgi?id=35763#c12
Валера Иноземцев неправ.
polkit считает его не root -ом, а админом, со всеми вытекающими (будьте предельно осторожны с этим):

Код: [Выделить]

# grep -v '^\/\|^$' /etc/polkit-1/rules.d/50-default.rules
polkit.addAdminRule(function(action, subject) {
    return ["unix-group:wheel"];
});


Код: [Выделить]

# groups user1 tester tester2
user1 : user1 wheel ...
tester : tester wheel audio
tester2 : tester2


Код: [Выделить]

$ su - tester2
Password:


Код: [Выделить]

$ whoami; pkexec /bin/bash
tester2
==== AUTHENTICATING FOR org.freedesktop.policykit.exec ====
Authentication is needed to run `/bin/bash' as the super user
Multiple identities can be used for authentication:
 1.  user1
 2.  tester
Choose identity to authenticate as (1-2): 2
Password:
...

И в системе с администратором и соадминистратором, это пахнет исключительно дерьмово. Особенно если аккаунт соадминистратора скомпроментирован.

4. Во всех альтовых системах на sysvinit, если sudo не настраивать через ALL=(ALL) ALL, то ни один метод получения окружения root, в альтовых системах на sysv работать не будет:

a) По причине отсутствия systemd.
b) По причине сломанной авторизации и значит не работающего по-умолчанию pkexec при выполнении команды от другого пользователя, с отказом на сбое аутентификации.
c) По причине ненастроенного по-умолчанию sudo (всё для всех wheel).

При соблюдении всех трёх правил, в альтовых системах на sysv (которые в xfce-sysv соблюдены по-умолчанию), одного или больше соадминистраторов, можно создавать смело. В доступе получения окружения root по своему паролю, в альтовых системах на sysv, им будет отказано.

5. В системах на systemd, я бы категорически не рекомендовал бы создавать соадминистратора или предоставлять аккаунт пользователя с UID=500 в общее пользование. Вне зависимости от того, насколько мотивация была бы весомой.

А теперь, как говорят фокусники, следите за руками:

Метод локальной атаки системы на systemd непривилегированным пользователем, если пароль одного из соадминистраторов (группа wheel) скомпроментирован

Если пароль соадминистратора в системе на systemd скомпроментирован, непривилегированный пользователь, получает полный контроль над системой, даже не используя аккаунт wheel-пользователя, используя личный пароль любого из wheel на выбор:

Код: [Выделить]

[root@localhost ~]# grep -v '^\/\|^$' /etc/polkit-1/rules.d/50-default.rules
polkit.addAdminRule(function(action, subject) {
    return ["unix-group:wheel"];
});


Код: [Выделить]

[root@localhost ~]# ls -l /proc/1/exe
lrwxrwxrwx 1 root root 0 окт 14  2020 /proc/1/exe -> /lib/systemd/systemd


Код: [Выделить]

[altlinux@localhost ~]$ groups altlinux test test2
altlinux : altlinux wheel uucp proc cdwriter audio radio users scanner xgrp netadmin fuse
test : test wheel
test2 : test2
[altlinux@localhost ~]$
[altlinux@localhost ~]$ su - test2
Password:
[test2@localhost ~]$
[test2@localhost ~]$ whoami; pkexec /bin/bash
test2
[root@localhost ~]# echo $USER $HOME $UID
root /root 0
[root@localhost ~]#

Но засечь его можно через журнал:

Код: [Выделить]

[root@localhost ~]# journalctl --system | grep test2 | grep 'bin/bash'
окт 14 16:47:05 localhost.localdomain useradd[1856]: new user: name=test2, UID=502, GID=502, home=/home/test2, shell=/bin/bash
окт 14 13:59:11 localhost.localdomain pkexec[3044]: test2: Executing command [USER=root] [TTY=/dev/pts/3] [CWD=/home/test2] [COMMAND=/bin/bash]
окт 14 14:21:38 localhost.localdomain polkitd[527]: Operator of unix-session:19 successfully authenticated as unix-user:test to gain ONE-SHOT authorization for action org.freedesktop.policykit.exec for unix-process:3758:219101 [/bin/bash] (owned by unix-user:test2)
окт 14 14:21:38 localhost.localdomain pkexec[3762]: test2: Executing command [USER=root] [TTY=/dev/pts/5] [CWD=/home/test2] [COMMAND=/bin/bash]

Это не пройдёт через tty:

Код: [Выделить]

[root@localhost ~]# head -n 18 pkexec-accross-tty6.txt
                                                                                                                                                                         
Hello friend, say `altlinux' to log in at tty6                                                                                                                           
localhost login: test2                                                                                                                                                   
Password:                                                                                                                                                                 
[test2@localhost ~]$ pkexec /bin/bash                                                                                                                                     
==== AUTHENTICATING FOR org.freedesktop.policykit.exec ====                                                                                                               
Authentication is needed to run `/bin/bash' as the super user                                                                                                             
Multiple identities can be used for authentication:                                                                                                                       
 1.  altlinux                                                                                                                                                             
 2.  test                                                                                                                                                                 
Choose identity to authenticate as (1-2): 2                                                                                                                               
Password:                                                                                                                                                                 
polkit-agent-helper-1: error response to PolicyKit daemon: GDBus.Error:org.freedesktop.PolicyKit1.Error.Failed: No session for cookie                                     
==== AUTHENTICATION FAILED ====                                                                                                                                           
Error executing command as another user: Not authorized                                                                                                                   
                                                                                                                                                                         
This incident has been reported.                                                                                                                                         
[test2@localhost ~]$                                                                                                                                                     

Если к тому времени он его не вычистит.
Отсюда ещё раз:

И в связи со всем этим, у меня к новым продвинутым Линукс-программистам, такой культурный и деликатный вопрос:
- Вы шо наделали придурки?!

Вот скажите мне для начала:
- Нахера вы непривилегированному пользователю, затеяли предлагать ввод паролей пользователей группы wheel?!


Это не работает в альтовых системах на sysvinit

[altuser55]

Что за настройки? Вдруг и мне надо.

вот добавят и не надо будет вам об этом думать

Разобрал 81 пакет у федоры ни в спец, ни в патчах ничего интересного не обнаружил.  :'-

это говно для испытуемых, никто это серьезно никогда не настраивает

[gosts 87]

Непробиваемых нет, это фантастика.

"Непробиваемой" Unix/Linux-систему можно назвать за жёсткое разграничение прав доступа и совершенно иную архитектуру, нежели, например - в "Windows", а не потому-что нет вирусов и других вредоносных программ.
В первую очередь это касается того, что только Суперпользователь может изменять что-либо в файловой системе. Надёжная Linux-система - та в которой перед установкой, обновлением, удалением пакетов ОБЯЗАТЕЛЕН ввод пароля Root. Это означает, что даже если в систему будет установлено, что-то вредящее системе, или разрушительное для неё - то это совершит сам Суперпользователь. Ну а, за тем, чтобы в репозиториях не появлялось никаких вредоносных пакетов следит сообщество Linux.

[Speccyfighter]

В багрепорт
Ошибка 37516 - Получение прав уровня root всеми wheel через pkexec
отправлены комментарии, как важная деталь:
https://bugzilla.altlinux.org/show_bug.cgi?id=37516#c3
https://bugzilla.altlinux.org/show_bug.cgi?id=37516#c4

[altuser55]

pkexec я вообще не знать что это. люди проверьте в ff smb:// по идее должен
поддерживаться через gvfs. у  меня нет возможности и что странно в debian пишут
что все работает

[Speccyfighter]

Непробиваемых нет, это фантастика.

"Непробиваемой" Unix/Linux-систему можно назвать за жёсткое разграничение прав доступа и совершенно иную архитектуру, нежели, например - в "Windows", а не потому-что нет вирусов и других вредоносных программ.
В первую очередь это касается того, что только Суперпользователь может изменять что-либо в файловой системе. Надёжная Linux-система - та в которой перед установкой, обновлением, удалением пакетов ОБЯЗАТЕЛЕН ввод пароля Root. Это означает, что даже если в систему будет установлено, что-то вредящее системе, или разрушительное для неё - то это совершит сам Суперпользователь. Ну а, за тем, чтобы в репозиториях не появлялось никаких вредоносных пакетов следит сообщество Linux.

- Все wheel с UID выше чем UID_MIN, это не root.
- У всех wheel которые желают получить окружение root, должен запрашиваться пароль только root.
- При попытке непривилегированного пользователя пройти аутентификацию для wheel, должен последовать отказ.

Это очевидно. Почему такое поведение классических Unix-like, неочевидно новым продвинутым Линукс-программистам?

[altuser55]

UID

uuid  раньше не было. а что в /tmp пихается, ну куда столько

[gosts 87]

Это очевидно. Почему такое поведение классических Unix-like, неочевидно новым продвинутым Линукс-программистам?

Думаю, что это веяние времени. Сейчас всё пытаются упростить. Даже Линукс...
Порой ставя под удар безопасность системы.
 

[Speccyfighter]

pkexec я вообще не знать что это.

Код: [Выделить]

$ man pkexec | sed -n '3,15p'
NAME
       pkexec - Execute a command as another user

SYNOPSIS
       pkexec [--version] [--disable-internal-agent] [--help]

       pkexec [--user username] PROGRAM [ARGUMENTS...]

DESCRIPTION
       pkexec allows an authorized user to execute PROGRAM as another user.
       If PROGRAM is not specified, the default shell will be run. If
       username is not specified, then the program will be executed as the
       administrative super user, root.


Код: [Выделить]

# grep -r policykit.exec /usr/share/polkit-1/actions/
/usr/share/polkit-1/actions/org.freedesktop.packagekit.policy:    <annotate key="org.freedesktop.policykit.exec.path">/usr/sbin/pk-device-rebind</annotate>
/usr/share/polkit-1/actions/org.freedesktop.policykit.policy:  <action id="org.freedesktop.policykit.exec">
/usr/share/polkit-1/actions/org.freedesktop.systemd1.policy:                <annotate key="org.freedesktop.policykit.exec.path">/lib/systemd/systemd-reply-password</annotate>
/usr/share/polkit-1/actions/org.gnome.gparted.policy:        <annotate key="org.freedesktop.policykit.exec.path">/usr/bin/gparted</annotate>
/usr/share/polkit-1/actions/org.gnome.gparted.policy:        <annotate key="org.freedesktop.policykit.exec.allow_gui">true</annotate>
/usr/share/polkit-1/actions/org.project.pkexec.run-qt5-fsarchiver.policy:    <annotate key="org.freedesktop.policykit.exec.path">/usr/sbin/qt5-fsarchiver</annotate>
/usr/share/polkit-1/actions/org.project.pkexec.run-qt5-fsarchiver.policy:    <annotate key="org.freedesktop.policykit.exec.allow_gui">true</annotate>
/usr/share/polkit-1/actions/org.x.xf86-video-intel.backlight-helper.policy:    <annotate key="org.freedesktop.policykit.exec.path">/usr/libexec/xf86-video-intel-backlight-helper</annotate>


[altuser55]

а было рассмотрение по выпиливанию чего нибудь из стартовых наборов уж больно они распухли