Список следящего ПО (безопасная установка Debian)

Давайте соберём список проприетарных и открытых программ, которые без ведома пользователя по умолчанию отправляют статистику и подобные вещи? Если эта функция в программе не отключается, то можно выделять заголовок страницы с программой жирным.

Ещё можно читать соглашения конфиденциальности и брать только интересные части, отсеивая всё лишнее, упоминая о продаже пользовательской информации.

Прим. модер.: поскольку тема ожидаемо превратилась в местный филиал ЛОР, то следящие программы в следящих ОС можно обсудить где-то отдельно. В разделе оффтопик, например ;)

На страницу: 1, 2, 3, 4, 5, ... , 18, 19, 20, 21, 22 След.

Комментарии

—	*Гость* (09/02/2015 05:21) <#>

> Нашёл грязный хак, который исправляет проблему, но только per session. Теперь абсолютно ко всем ~./xsession придётся плюсовать что-то такое

После очередной перезагрузки ОС проблема самопофиксилась, так что более никаких хаки ненужны. Что это было — так и не понял. До этого никакие рестарты иксов не помогали. Вообще, странно, когда для чего-то в системе (помимо смены ядра) нужна именно перезагрузка.

> Когда будет свой сайт, нищеброд

Ты не понял, анон. Это, в т.ч., и мой сайт. Не будь таким толстым.

—	*Гость* (10/02/2015 03:14) <#>

> допишите nomodeset к концу строки

Не помогает.
Во время загрузки как и прежде предупреждение, что нет драйверов для Radeon, с предложением установить проприетарные.
Загрузка окна ввода пользователь/пароль. После ввода продолжительное подвисание.
Затем сообщение что прозошла ошибка. Решил сбросить его Alt+F4. Появляется рабочий стол (!).
Но недолго радовался. Идет подтормаживание системы и через минут 5 на любом окне происходит зависание.

Если бы возможно было при загрузке выбирать драйвер адптера, то можно установить проприетарный с amd.com.
А так не вариант (.

Причем вот еще что интересно, вспоминаеться что 7.0.0 запускался нормально, но с понятно плохим разрешением. И все работало. Впервые столкнулся с этой проблемой в версии 7.0.4.

—	*Гость* (08/03/2015 16:02) <#>

Впродолжение тем про xscreensaver [1], [2] и локинг:

> Кардинальное решение — всегда использовать для рута иксы, а там можно надеяться на таймаут хранителя экрана типа xscreensaver'а, но запускать от рута иксы и xscreensaver не есть хорошо.

Наверно, запускать всё только в иксах — наименьшее зло, особенно с учётом включенного и тормозного framebuffer'а, который непонятно, как отключить, чтобы вместе с ним не легла поддержка иксов в графическом режиме и всё остальное, что на ладан дышит.

Другой вопрос — как сделать одновременное блокирование на все экранах из-под любого юзера, если sudo недоверяем. В голову приходит только костыль а-ля «IPC своими руками»: при запуске иксов запускаем автоматически скрипт, который время от времени будет проверять наличие каких-то файлов в /tmp. Как только файл появляется, юзер блокирует экран и удаляет его. Но если юзеров несколько, а права на блокировку нужно дать всем, всё это может несколько конфликтовать... Есть более простое решение? Даже требовать возможность блокировать все дисплеи только из тех иксов, где залогинен рут, априори неочеивидно, заработает ли это...

—	*Гость* (08/03/2015 16:17) <#>

Вроде бы есть такие локеры, которые блокируют переключение на другие дисплеи или в консоль. С их помощью можно получить нечто похожее на «блокирование всего», но вот насколько этому можно серьёзно доверять — вопрос тонкий...

—	*Гость* (08/03/2015 16:20) <#>

> Даже требовать возможность блокировать все дисплеи только из тех иксов, где залогинен рут, априори неочеивидно, заработает ли это...

Если под рутом выполнить

# DISPLAY=:0.0 xscreensaver-command -lock

или

# xscreensaver-command -lock -display :0.0

то это не заработает. Он считает, что доступа к иным иксам у него нет, и пишет, что не определён протокол.

—	*Гость* (15/03/2015 21:04) <#>

FAQ:

When I'm logged in as root, xscreensaver won't lock my screen!
When I'm logged in as root, xscreensaver won't launch at all!

Тоже интересно с точки зрения безопасности:

FAQ:

Programs sometimes pop up dialog boxes over the screen saver while my display is locked, and I wish they didn't.

Ещё интересней:

FAQ:

Shouldn't xscreensaver disable Ctrl-Alt-Backspace while the screen is locked?

Yes, it should. Unfortunately, that's not possible with current versions of XFree86 or XOrg. It's as if the developers of X11 and the Linux kernel want to make it as hard as possible for you to lock your screen.

Backdoor #1: Ctrl-Alt-Backspace.

Backdoor #2: Ctrl-Alt-F1, Ctrl-Alt-F2, etc.

Backdoor #3: Alt-SysRq-F.

Backdoor #4: Ctrl-Alt-KP_Multiply.

This keystroke kills any X11 app that holds a lock, so typing this will kill xscreensaver and unlock the screen. This "feature" showed up in the X server in 2008, and as of 2011, some vendors are shipping it turned on by default. How nice. You can disable it by turning off AllowClosedownGrabs in xorg.conf.

...

There's little that I can do to make the screen locker secure so long as the kernel and X11 developers are actively working against security. The strength of the lock on your front door doesn't matter much so long as someone else in the house insists on leaving a key under the welcome mat.

In an ideal world, there would be a single X11 request named something like XGrabMagicKeys() that would, analagously to XGrabKeyboard(), disable all of these magic keystrokes until the grab was released or the program exited. It should be an X11 call, not an ioctl(), and especially not a root-only ioctl(). Needless to say, no such interface exists.

Кстати, нигде в мануалах не нашёл полного описания resources для xscreensaver'а. Есть краткое объяснение по некоторым опциям в /etc/X11/app-defaults/XScreenSaver-nogl и всё. Опции друг друга перекрывают, странно друг с другом взаимодействуют, победить удаётся далеко не всегда. Например, переопределить xscreensaver*passwd.passwd.label так и не удалось. Если опции прописать в ~/.xscreensaver, то они вообще перестают им приниматься (писал, начиная и просто и со звёздочкой, ориентируясь на примеры типа этих). В лоб проверяешь по 10 раз одно и то же, протираешь хрустальные шары, воешь на Луну, а всё бесполезно. В документации написано, что должно работать, а не работает. Если включить логи, пишет unknown option. Unknown option — она не просто unknown, она вкомпилена в бинарь, если проверить по ldd, но всё равно unknown...

Кстати, в xdm с исправлением приглашения тоже проблемы. В какой-то момент удалось поменять «Password: » на что-то иное, но комп завис. После перезагрузки как ни колдовал, не получилось, не принимает опцию и всё. Уже не говорю про всякие мелкие неприятности, типа «/etc/init.d/xdm restart не перезапускает иксы: один-два сервера остаются неубитыми, их приходится убивать вручную, а потом делать /etc/init.d/xdm start; с одними-двумя X-серверами работает нормально, с большим числом лезут такие проблемы; видимо, дело в поддержке видеокарты».

> Другой вопрос — как сделать одновременное блокирование на все экранах из-под любого юзера, если sudo недоверяем.

Если не хочется открывать дырки с su, можно завести отдельного юзера с иксами и из-под него получить рута по SSH. Заодно решится вопрос запуска xscreensaver'а, он теперь не от рута будет. Не очень, наверно, хорошо, но можно из-под этого же юзера так же по SSH (или непосредственно) контролировать tor-arm.

—	*Гость* (19/03/2015 02:59) <#>

Посвящается ressa'е и unknown'у

Скриптомесево №2

> Другой вопрос — как сделать одновременное блокирование на все экранах из-под любого юзера, если sudo недоверяем. В голову приходит только костыль а-ля «IPC своими руками»: при запуске иксов запускаем автоматически скрипт, который время от времени будет проверять наличие каких-то файлов в /tmp.

> Кто-нибудь знает, как отучить xscreensaver принимать пароли в кириллической раскладке

> Как тут сделать, чтобы после разлочки ещё выполнялись дополнительные команды? Если только запускать скрипт, который будет постоянно гонять по кругу проверку диагностики и выцеплять время, когда экран только что разлочился (не знаю, возможно ли такое), в этот момент выполняя возврат раскладки.

> Немного полезных советов параноикам на случай, когда /tmp смонтировано в память (три команды, которые делают всё хорошо)

Итак, решение (почти) всех проблем в одном флаконе:

Автофикс раскладки.
Поддержка блокировки всех X-дисплеев из-под любого из них.
Per user $TMP: пусть все временные файлы конкретного юзера хранятся в /tmp/$USER вместо /tmp, чтобы не давать посторонним юзерам на этой же машине видеть их список.

В `$HOME` каждого юзера (иксов) создаём файлы:

$HOME/bin/lock.sh:

#!/bin/sh
 
LOCK_DIR=/tmp/.lock_dir
LOCK_FILE=$LOCK_DIR/lock_file
 
if ! [ -d $LOCK_DIR ] ; then
    mkdir $LOCK_DIR
    chmod go+rwx $LOCK_DIR
fi
 
while true ; do
    if [ -f $LOCK_FILE ] ; then
        xscreensaver-command -lock
        # Wait while other X servers will catch the signal too:
        sleep 5
        rm $LOCK_FILE
    fi
    sleep 1
done

$HOME/bin/xkbd.sh:

#!/bin/sh
 
process(){
    while read line; do 
        case "$line" in
            UNBLANK*)
                setxkbmap -layout us,ru
            ;;
            LOCK*)
                setxkbmap -layout us
            ;;
        esac
    done
}
 
# Ждём, пока запустится сам xscreensaver следующей 
# команадой в ~/.xsession (exec xscreensaver):
sleep 1.5
/usr/bin/xscreensaver-command -watch | process

$HOME/bin/mktmp.sh:

#!/bin/sh
 
USERTMPDIR=/tmp/$USER
 
FLAG=false
if ! [ -d $USERTMPDIR ] ; then
    mkdir -p $USERTMPDIR
    chmod go-rwx $USERTMPDIR
    FLAG=true
elif [ -O $USERTMPDIR ] ; then
    FLAG=true
fi
 
if $FLAG ; then
    TMPDIR=$USERTMPDIR
    TMP=$TMPDIR
    TEMP=$TMPDIR
    export TMPDIR TMP TEMP
fi

Редактируем файлы (под каждым юзером, работающим с иксами):

~/.xsession:

. $HOME/bin/mktmp.sh
sh -c "setxkbmap -layout 'us,ru(winkeys)' -option 'grp:caps_toggle,grp_led:scroll'"
xrdb $HOME/.Xresources
xset b off
YOUR_WIDOW_MAKER &
$HOME/bin/lock.sh &
$HOME/bin/xkbd.sh &
exec xscreensaver

В оконном менеджере YOUR_WIDOW_MAKER хоткей локальной блокировки (только текущих иксов) вешаем на команду xscreensaver-command -lock, а хоткей глобальной блокировки — на команду touch /tmp/.lock_dir/lock_file.

Редактируем ~/.zshrc, чтобы в его начале было

. ~/bin/mktmp.sh

а также добавляем (место неважно) строки

export LESSHISTFILE=$TMP/.lesshist.$USER
HISTFILE=$TMP/.zhistory.$USER

Редактируем ~/.vimrc, добавляя туда строку

set viminfo+=n$TMP/.viminfo.$USER

(Опционально) Убираем всю ненужную информацию из окна приглашения xscreensaver'а, добавляя в ~/.Xresources:

xscreensaver.cycle:                 0
xscreensaver.lock:                  True
xscreensaver.lockTimeout:           0
xscreensaver.pointerPollTime:       1
xscreensaver.splash:                False
xscreensaver.splashDuration:        0
xscreensaver.overlayTextBackground: #ffffff
xscreensaver.fade:                  True
xscreensaver.fadeSeconds:           0
xscreensaver.timeout:               20
xscreensaver.timestamp:             False
xscreensaver*dateFormat:            
xscreensaver*Dialog.headingFont:            YOUR_FONT
xscreensaver*Dialog.bodyFont:               YOUR_FONT
xscreensaver*Dialog.labelFont:              YOUR_FONT
xscreensaver*Dialog.buttonFont:             YOUR_FONT
xscreensaver*Dialog.dateFont:               YOUR_FONT
xscreensaver*passwd.passwdFont:             YOUR_FONT
xscreensaver*passwd.body.label:             
xscreensaver*passwd.user.label:             
xscreensaver*passwd.uname:                  False
xscreensaver*newLoginCommand:               cat > /dev/null
xscreensaver*passwd.heading.label:          
xscreensaver*passwd.login.label:            
xscreensaver*passwd.passwd.label:           test
xscreensaver*passwd.asterisks:              False
xscreensaver*Dialog.foreground:             #010101
xscreensaver*Dialog.background:             #000000
xscreensaver*Dialog.Button.foreground:      #000000
xscreensaver*Dialog.Button.background:      #000000
xscreensaver*Dialog.Button.pointBackground: #000000
xscreensaver*Dialog.Button.clickBackground: #000000
xscreensaver*Dialog.text.foreground:        YOUR_COLOR
xscreensaver*Dialog.text.background:        #000000
xscreensaver*passwd.thermometer.foreground: #000000
xscreensaver*passwd.thermometer.background: #000000
xscreensaver*Dialog.topShadowColor:         #000000
xscreensaver*Dialog.bottomShadowColor:      #000000
xscreensaver*Dialog.logo.width:             200
xscreensaver*Dialog.logo.height:            300
xscreensaver*Dialog.internalBorderWidth:    0
xscreensaver*Dialog.borderWidth:            0
xscreensaver*Dialog.shadowThickness:        0
xscreensaver*programs: \
    feh -F /path/to/file/wallpaper.jpg \n

(Опционально) С xdm'ов тоже зачищаем всю ненужную информацию:

xlogin*greeting:
xlogin*passwdPrompt:
xlogin*namePrompt:
xlogin*promptColor: black
xlogin*fail:
 
#ifdef COLOR
xlogin*geometry: WIDTHxHEIGHT+0+0
xlogin*borderWidth: 0
xlogin*frameWidth: 0
xlogin*innerFramesWidth: 0
xlogin*shdColor: black
xlogin*hiColor: black
xlogin*background: black
xlogin*greetColor: YOUR_COLOR
xlogin*failColor: YOUR_COLOR
*Foreground: YOUR_COLOR
*Background: black
#else
...
#endif

Как это работает

Переопределение /tmp:

При старте из ~/.xsession выполняется скрипт mktmp.sh, который проверяет наличие ранее созданной директории /tmp/$USER и её принадлежность юзеру. Если её нет, директория создаётся, переменные среды экспортируются. Потом эти же переменные для гарантии экспортируются ещё и в конфиге шелла. Уязвимость: посторонний юзер может создать в /tmp директорию с чужим $USER, тогда файлы туда поидее писаться будут не должны, но это может привести к глюкам [можно пофиксить, выбирая рандомное имя для директории (кстати, man mktemp), но тогда в конфиге шелла придётся дополнительно выяснять, есть ли ранее созданная директория, и кому она принадлежит, чтобы в случае уже имеющейся не создавать новую].

Блокировка всех дисплеев:

При старте иксов запускается демон lock.sh, который отслеживает появление файла /tmp/.lock_dir/lock_file, сигнализирующего о блокировке кем-то под другими иксами (посольку файлы в /tmp создаются со sticky-битом, в самом /tmp такой файл было бы не создать — посторонние не смогли бы его удалить никак, поэтому пришлось создавать промежуточную директорию .lock_dir). Если сигнал получен, демону xscreensaver передаётся команда на блокировку, а перед удалением файла-сигнала делается 5-секундный таймаут (этого должно хватить, чтобы демоны под остальными иксами успели узнать, что файл появился, и успели заблокировать свои иксы). Теоретически, если слишком часто и быстро блокировать и разблокировать разные иксы, могут быть глюки, но пока их замечено не было. Блокировка происходит практически мгновенно, а пока пароль наберёшь, 5 секунд уже проходит, так что файл успевает удалиться до разблокировки, даже если делать разблокировку сразу же после блокировки. Понятно, что злонамеренный юзер может блокировать экран дргих юзеров. Может быть, могут быть ещё какие-то шелл-специфические уязвимости (возможность у одного юзера принудить другого к выполнению каких-то команд со своими правами), но я их так сходу не вижу. Если что, «глобальная блокировка» абсолютно эквивалентна следующим действиям: вручную поочерёдно переключиться в каждые из иксов и локально выполнить xscreensaver-command -lock, никаких сайд-эффектов нет. Чтобы это давало ожидаемую безопасность, никто не должен быть залогинен в текстовых консолях (рута можно получать по SSH из-под специально выделенного пользователя, тоже логинящегося через иксы).

Пофикс раскладки:

С раскладкой всё аналогично: при старте иксов запускается демон xkbd.sh, который отслеживает состояние демона xscreensaver'а. Если зафиксировано блокирование экрана, раскладка меняется на английскую, если разблокирование — то делается возврат к русско-английской (переключатель раскладки уже задан в ~/.xsession, поэтому его менять не требуется). Демон xscreensaver'а генерирует строку об изменении состояния, только когда оно реально произошло, поэтому висящий в памяти в бесконечном цикле процесс ничего лишнего не ест и реагирует только тогда, когда надо.

XScreenSaver:

Конфигом xscreensaver'а убирается всё лишнее, остаётся только логотип и имя пользователя, при наборе пароль не отображается. Логотип прибит гвоздями к коду и так просто (без перекомпиляции xsreensaver'а) его, возможно, ни заменить, ни убрать (автор сильно возражает против таких действий, считая его своего эквивалентом упомиании авторства и лицении продукта). Многие поля глючат и не удаляются, это решается стандартным хаком: делаем чёрный фон и на нём чёрные буквы (xscreensaver'у это иногда не нравится и он начинает умничать и глючить как консоль, включая принудительную инверсию цветов, но это обходится хаком «выставим цвет шрифта почти чёрным: #000001»). В принципе, имя пользователя этими хаками тоже можно убрать (помня, на каком дисплее какой юзер залогинен, это не составляет большой проблемы, а по незначительному перемещению логотипа по экрану можно различать режим ввода пароля и режим его проверки). Все свистелки и рюшечки отключены, по умолчанию рисуется картинка (wallpaper) и всё (никаких анимаций). В идеале можно сделать так, что постороннему будет вообще непонятно, что происходит на экране, и работает ли компьютер вообще.

XDM:

С настройкой xdm всё сделано аналогично: есть возможность набрать имя пользователя и нажать Enter, ничего более на экране не пишется, даже слов login и password (как и в случае xscreensaver'а). В xdm достаточно легко сделать полностью чёрный экран без каких-либо опознавательных знаков. Правда, большого смысла это не имеет, если аналогичным образом не «пофиксить» приглашение в консоли. С учётом того, что цвет шрифтов в тип курсора по умолчанию (до логина пользователя) в консоли в Linux никак, похоже, штатно не меняется, проблема пофикса консоли нетривиальная.

Что не работает

После переопределения $TMP в стандартный /tmp перестают попадать: файлы истории шелла, less'а и vim'а, а также директория pulse-XXXXXX, создаваемая при проигрывании музыки (она создаётся, даже если сам pulseaudio не установлен — видимо, наличия библиотек уже достаточно). Однако, файлы /tmp/ssh-XXXXXX и /tmp/gpg-XXXXX продолжаются писаться на конвенциональные места, и простого решения этим проблемам не видно. В этих директориях находятся так назыаемые сокеты, путь к ним — переменная $SSH_AUTH_SOCK (а какая в случае gpg-agent'а — даже не понял). Опции изменения /tmp для ssh и gpg не нашёл. Что ещё интересно, директория /tmp/ssh-XXXXX создаётся автоматичеки при логине юзера, даже если у него нет никаких SSH-специфических настроек, т.е. проблема сидит где-то выше на системном уровне (/etc/ssh/ssh_config?). В общем, было бы хорошо, если б кто-то подсказал, можно ли решить проблему с запихиванием временных файлов SSH и GnuPG в кастомный $TMP.

P.S. Источники вдохновения: первый и второй.

—	*Гость* (19/03/2015 03:13) <#>

> вручную поочерёдно переключиться в каждые из иксов и локально выполнить xscreensaver-command -lock, никаких сайд-эффектов нет.

Поскольку команда неспецифична для методики, похожим образом можно пробрасывать и другую информацию в чужие иксы — к примеру, посылать туда нотификацию о получении новых сообщений в IM.

—	*Гость* (19/03/2015 06:53) <#>

> Редактируем файлы (под каждым юзером, работающим с иксами)

После убийства xscreensaver'а (и, следовательно, запущенных иксов) ранее запущенные демоны остаются (не убиваются), что плохо. Решается вешанием на хоткей выхода из иксов (разлогина) команды

sh -c 'pkill -9 -U $USER xkbd.sh; pkill -9 -U $USER lock.sh; pkill -2 xscreensaver'

> Поскольку команда неспецифична для методики, похожим образом можно пробрасывать и другую информацию в чужие иксы — к примеру, посылать туда нотификацию о получении новых сообщений в IM.

Типа такого (пофикс вышеприведённого файла lock.sh):

#!/bin/sh
 
LOCK_DIR=/tmp/.lock_dir
LOCK_FILE=$LOCK_DIR/lock_file
 
FONT="YOUR_FONT"
NOTIFY_FILE=$LOCK_DIR/notify
SIGNAL_FILE=$LOCK_DIR/signal
COMMAND_NOTIFY="osd_cat -l 70 -d 2 -c cyan -o 100 -i 80 -a -s 0 -f $FONT" 
COMMAND_SIGNAL="osd_cat -l 70 -d 2 -c green -o 100 -i 80 -a -s 0 -f $FONT" 
 
if ! [ -d $LOCK_DIR ] ; then
    mkdir $LOCK_DIR
    chmod go+rwx $LOCK_DIR
fi
 
while true ; do
    if [ -f $LOCK_FILE ] ; then
        xscreensaver-command -lock
        sleep 5
        rm $LOCK_FILE
    fi
    if [ -f $NOTIFY_FILE ] ; then
        echo "notification" | $COMMAND_NOTIFY &
    fi
    if [ -f $SIGNAL_FILE ] ; then
        echo "signal" | $COMMAND_SIGNAL &
    fi
    sleep .7
done

А скрипты под другим юзером (под другими иксами) создают файлы notify и signal при срабатывании каких-то событий. Это лишнее связывание юзеров, оно ведёт к утечке, но в каких-то случаях приемлемо ради удобства.

Ещё один нюанс — какие глюки будет, если залогиниться в нескольких иксах под одним и тем же юзером. В принципе, должно работать, но при выходе из одних из иксов будут убиты и вторые, если выходить с помощью хоткеев.

—	SATtva (19/03/2015 07:39) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

> В оконном менеджере YOUR_WIDOW_MAKER хоткей локальной блокировки

Похоже на название какой-то хэви-митол-группы или огнестрела. :)

> В этих директориях находятся так назыаемые сокеты, путь к ним — переменная $SSH_AUTH_SOCK (а какая в случае gpg-agent'а — даже не понял).

man gpg-agent ⟶ --use-standard-socket. Задать произвольный путь нельзя, но вообще странно, что gpg-agent не берёт путь к временной директории из $TEMP. Он точно у Вас не запускается до переопределения переменной?

—	*Гость* (19/03/2015 08:09) <#>

> Похоже на название какой-то хэви-митол-группы или огнестрела. :)

Это так в определённых кругах прозвали WM, который был некогда популярен (window maker). Я в этом плане не блещу оригинальностью, у меня браузерный wm из той же серии, что у вас и unknown'а.

> man gpg-agent ⟶ --use-standard-socket

Во-первых, очень не хочется свои скрипты менять. После включения этой опции, я так понимаю, они не заработают правильно. Во-вторых, не хочется ничем лишним засорять $HOME (почти все связки и так были вынесены в нестандартные директории). В-третьих, непонятно, как включение этой опции скажется на безопасность. Наверно, не в лучшую сторону. Вы сами что по поводу этой опции думаете? Ну, и скрытие файлов в /tmp — это всё равно рюшечка, так или иначе, т.к. по-хорошему нужны виртуалки.

> вообще странно, что gpg-agent не берёт путь к временной директории из $TEMP. Он точно у Вас не запускается до переопределения переменной?

Проверка в лоб из консоли:

$ echo $TEMP
/tmp/USER
$ echo $TMP
/tmp/USER
$ gpg-agent
gpg-agent[XXXXX]: directory `/home/USER/.gnupg/private-keys-v1.d' created
gpg-agent: no gpg-agent running in this session
$ gpg-agent --daemon
GPG_AGENT_INFO=/tmp/gpg-XXXXXX/S.gpg-agent:XXXXX:X; export GPG_AGENT_INFO;

Новая директория после этого создаётся как /tmp/gpg-XXXXXX.

Агент (там, где он нужен) запускается вручную, причём тогда, когда уже всё, что можно, запущено, так что проблем с переменными быть не должно.

—	*Гость* (19/03/2015 08:12) <#>

> переменная $SSH_AUTH_SOCK

Где-то в гугле натыкался, что путь как-то связан с опциями (man ssh_config) ControlMaster, ControlPath и ControlPersist, но мне показалось, что через них /tmp всё равно не переопределить.

—	*Гость* (19/03/2015 08:28) <#>

> Похоже на название какой-то хэви-митол-группы или огнестрела. :)

Недавно открыл для себя несколько альбомов Lacrimosa'ы, и пока занимался делом, всё это время её слушал и проникался, так что что-то в этом определённо есть. :)

—	SATtva (19/03/2015 08:38) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

> В-третьих, непонятно, как включение этой опции скажется на безопасность. Наверно, не в лучшую сторону. Вы сами что по поводу этой опции думаете?

Сама по себе, это просто convenience-опция, один из возможных юз-кейсов приведён там же в мане. Просто в определённых случаях её в принципе не удастся использовать, например, если gpg-agent запускается от отдельного юзера.

—	*Гость* (19/03/2015 09:03) <#>

Я правильно понимаю, что при использовании этой опции никакие TMP для gpg-agent'а не будут нужны вообще, и файлов gpg-XXXXXX попросту не будет — вместо этого он будет создавать специальные файлы-сокеты в $HOME?