Здравствуйте! Есть вопросы по ПК: 1.1. Безопасно ли запускать программы, которым

я не доверяю, в виртуальной машине под KVM+qemu? (x86_64)
1.2. То же самое при использовании qemu+TCG без KVM. (x86_64)
1.3. То же самое при использовании VirtualBox с аппаратной виртуализацией. (x86_64)
1.4. То же самое при использовании VirtualBox 6.0.24 с программной эмуляцией x86 (в смысле x32)
1.5. Безопасно ли открывать общие папки (виртуальной машине) через 9p? А через virtfs? А через функцию общих папок от VirtualBox?
1.6. Предположим, что есть пользователь со слабым паролем. Как защитить его от программ, исполняющихся от имён других пользователей (наличие злоумышленника, имеющего физический доступ к этому ПК, не предполагается)? (в /etc/pam.d/su написать "auth required pam_wheel.so"? А что ещё надо сделать? Есть мнение, что программа "pkexec" тоже разрешает получать какие-то права по паролю). Думаю, слабый пароль можно долго программно пытаться подобрать. И если пароль удалось узнать подбором, но не удалось получить доступ, то это тоже успех золоумышленников, от которого хотелось бы уберечься.
 
2.1. Можно ли через Javascript получить какой-то вирус при посещении недоверенного сайта через Firefox? А при использовании другого браузера?
2.2. Верно ли, что если в FireFox на странице about:config установить javascript.enabled=false, то javascript полностью блокируется (который раньше мог "загружаться в соответствии с тем, что указано на посещаемой странице")
2.3. Верно ли, что дополнения к FireFox исполняются в Firefox как Javascript-код (в смысле там и есть JS-код и нет других исполняемых вещей)? Верно ли, недоверенные дополнения к Firefox не смогут сделать больше, чем говорится при их установке?

3.1. Можно ли где-то купить USB-флэшку, у которой можно включать и выключать режим "Только чтение"? А есть ли вариант, в котором изменение настроек флэшки защищено паролем или ещё как-то? (Защищено от ПК, в который флэшка эта вставляется, и защищено от тех, кто имеет физический доступ к флэшке (в случае наличия такого доступа))
3.2. Где можно найти хорошее руководство по созданию установочных (и одновременно живых (livecd)) образов Linux, "настроенных под себя" с возможностью влиять на список пакетов, "установленных в livecd" и на настройки загружаемой живой системы (livecd)? Я ориентируюсь на Debian, но и другую информацию тоже хотелось бы найти
3.3. Существуют ли сейчас системы на архитекруте Risc-V, которые подойдут обычному пользователю для офисной работы? И где можно что-то изучаить по этой теме? Покупать ПК на Risc-V я прямо сейчас не хочу (есть риск, что я не смогу на нём работать или не смогу установить Linux или что-то ещё)

4.1. Как гарантированно вычистить все следы (доп. данные (кажется, бывают вещи, которые называются exiv или exif (и, может быть, что-то ещё бывает))) из фото? Перевести в PPM (portable pixmap) и открыть этот PPM? А если так же с PNG (есть опасения, что GIMP может не предупредив, что-то сохранить; в то же время, согласно тому, что я читал про PPM, с PPM так сделать нельзя (или я неправильно понял))?
4.2. Аналогично про видеофайлы. И чем их можно редактировать?

1. Безопасность виртуальных машин 1.1. Да, безопасно запускать программы, которым вы не доверяете, в виртуальной машине под KVM+qemu (x86_64), при условии, что: * Виртуальная машина правильно настроена и изолирована от хост-системы. * Гостевая операционная система в виртуальной машине обновлена и имеет установлены все необходимые патчи безопасности. 1.2. Да, то же самое относится и к использованию qemu+TCG без KVM (x86_64). 1.3. Да, то же самое относится и к использованию VirtualBox с аппаратной виртуализацией (x86_64). 1.4. Нет, не безопасно запускать программы, которым вы не доверяете, в VirtualBox 6.0.24 с программной эмуляцией x86 (в смысле x32). Это связано с тем, что программная эмуляция менее безопасна, чем аппаратная виртуализация. 1.5. Нет, не безопасно открывать общие папки через 9p или virtfs. Эти протоколы не обеспечивают достаточной изоляции между хост-системой и гостевой системой. Да, безопасно использовать функцию общих папок VirtualBox. Она более безопасна, чем 9p и virtfs. 1.6. Вот как защитить пользователя со слабым паролем от программ, исполняющихся от имен других пользователей: * Добавьте пользователя в группу wheel. Это позволит ему выполнять команды с повышенными привилегиями без необходимости вводить пароль. * Установите pam_cracklib и настройте его для проверки сложности паролей. Это поможет предотвратить подбор паролей методом перебора. * Используйте fail2ban для блокировки IP-адресов, которые пытаются подобрать пароль. 2. Безопасность браузеров 2.1. Да, вы можете получить вирус через JavaScript при посещении недоверенного сайта через любой браузер. Вот почему важно использовать надежный браузер и поддерживать его в актуальном состоянии. 2.2. Да, установка javascript.enabled=false в about:config полностью блокирует JavaScript в Firefox. 2.3. Да, дополнения к Firefox исполняются как JavaScript-код. Они не могут сделать ничего больше, чем заявлено при их установке, если только в них нет уязвимостей. 3. USB-флэшки 3.1. Да, вы можете купить USB-флэшку, у которой можно включать и выключать режим "Только чтение". Ищите флэшки с физическим переключателем защиты от записи. Нет, я не знаю ни об одном варианте, в котором изменение настроек флэшки защищено паролем или еще как-то. 3.2. Вот некоторые руководства по созданию установочных образов Linux, настроенных под себя: * [Создание собственного дистрибутива Debian](https://wiki.debian.org/CustomDebianDistributions) * [Создание настроенного ISO-образа Ubuntu с помощью Cubic](https://cubic.openstack.org/) 3.3. Да, существуют системы на архитектуре RISC-V, которые подойдут обычному пользователю для офисной работы. Одним из примеров является [SiFive HiFive Unleashed](https://www.crowdsupply.com/products/sifive/hifive-unleashed). Вы можете изучить больше о RISC-V и системах на его основе на следующих ресурсах: * [RISC-V International](https://riscv.org/) * [RISC-V Foundation](https://riscv-foundation.org/) 4. Удаление метаданных из файлов 4.1. Вы можете удалить метаданные из фотографий, используя следующие инструменты: * ExifTool (https://exiftool.org/) * Jpegoptim (https://github.com/tjko/jpegoptim) 4.2. Вы можете удалить метаданные из видеофайлов, используя следующие инструменты: * FFmpeg (https://ffmpeg.org/) * MP4Box (https://gpac.wp.imt.fr/mp4box/)

п1 - нет п2 - да п3 - можно но придётся поискать

Можно ли как-то проверить эту информацию?

1. Паранойя 1.1 Купите таблетки от паранойи

купить пк, там и проверять