?

Log in

No account? Create an account

Consumer grade vs Industrial - Ваши рубидии уже у кобальта во ртути

Oct. 1st, 2018

05:52 pm - Consumer grade vs Industrial

Previous Entry Share Next Entry

Пару лет назад в компании, где я работаю, решили устроить борьбу за компьютерную безопасность и установили на рабочие лаптопы строгую систему, которая мало того, что не позволяет ходить на NSFW сайты и прочие рассадники плача и скрежета зубовного во всём мире согласно списку, поддерживаемому какой-то частной лавочкой, так еще и не пускает ни на файлохранилища, ни на почтовые сайты.

Когда я в своё время спросил, или они хотят, чтобы я брал в отпуск рабочий лаптоп, дабы изредка помогать сослуживцам добрым словом и виртуальным пистолетом, пока я оттягиваюсь в местах, от кубикла отдалённых, или где мне удобно отвечать на свою личную почту на GMail с нормальной клавиатуры, мне было официально заявлено, что разрешается запускать на лаптопе любые системы, загружаемые с внешних устройств. Внутренний диск при этом, понятное дело, оказывается недоступен, т.к. зашифрован, ну и пёс с ним.

Долгое время у меня руки не доходили сделать себе такую загружаемую систему, потому что все мои разъезды с этим новым лаптопом были от силы неделю длиной; но вот я, наконец, сподобился, раз еду почти на две недели.

Ну что, "bootable ubuntu usb". Получаем инструкцию, как сделать USB-драйв, с которого можно загрузиться и поставить убунту куда-нибудь еще, или просто поиграться с системой без сохранения состояния. Это хорошо, только этого мало. Тогда "persistent ubuntu usb", "portable ubuntu usb install", и пр.

Разверзлись жуткие бездны (в частности, обнаружился ютубовский ролик с подробным объяснением процесса, записанный ребенком непонятного однозначного, чуть ли не дошкольного, возраста)! Оказывается, непосредственно на флеш-драйв система не ставится, и чтобы сделать себе флешку с убунтой, имея под рукой только машину с виндой, нужно сначала поставить систему на обычный диск, потом скопировать полученную файловую систему на флешку, потом вернуть диск в исходное состояние, вручную исправляя загрузочные таблицы. В гробу я такой хоккей видал.

Аналогичный процесс с CentOS выглядит так: пишем дистрибутивный .iso на флешку; грузимся с нее, воткнув в компьютер еще одну флешку; указываем в качестве места установки пустую флешку (при этом система успокаивающе сообщает, что ни одно устройство, не помеченное галочкой, затронуто не будет); ожидаем некоторое время; готово.

При загрузке CentOS предлагает на выбор или стартовать линукс, или продолжить загрузку с встроенного диска, но тут возникает забавность: диск запаролен битлокером, а пароль зашифрован хэшем от конфигурации системы. При воткнутой загружаемой флешке хэш не сходится, и система предлагает пойти на компанейский сайт с другого компьютера или телефона для получения recovery key. Поэтому приходится флешку втыкать-вытыкать при каждой перезагрузке из одной системы в другую. При современных размерах (low profile) это может быть чревато. :)

Вопрос аудитории на засыпку: стоит ли отключить линуксу swap, чтобы он не износил флешку за несколько дней, или ничего?

This entry was originally posted at https://spamsink.dreamwidth.org/1098875.html. Please comment there using OpenID.

Comments:

[User Picture]
From:morfizm
Date:October 2nd, 2018 01:24 am (UTC)
(Link)
Предлагаю спросить, разрешен ли terminal session на домашнюю машину, и если да, то дело шляпе. Если принципиального запрета на приложение нет, но, скажем, закрыт нужный порт - его же можно поменять. Динамических DNS сервисов завались. Port forwarding на современных wifi router'ах настраивается.
(Reply) (Thread)
[User Picture]
From:spamsink
Date:October 2nd, 2018 03:02 am (UTC)
(Link)
Простой SSH не работает, поэтому обходом защиты от греха подальше я заморачиваться не стал.
(Reply) (Parent) (Thread) (Expand)
[User Picture]
From:morfizm
Date:October 2nd, 2018 01:25 am (UTC)
(Link)
Причём не обязательно домашнюю машину крутить. Можно стартовать on-demand EC2 instance в AWS ;)
(Reply) (Thread)
[User Picture]
From:fatoff
Date:October 2nd, 2018 03:03 am (UTC)
(Link)
У меня как-то большая часть тех проблем с быстрым заражением установкой Линукса после знакомства с Unebootin прекратились.
А хоть и ISO... чуть ли не любые в наличии просто находся. Ну зачем с Windows много мороки?

Edited at 2018-10-02 03:03 am (UTC)
(Reply) (Thread)
[User Picture]
From:spamsink
Date:October 2nd, 2018 03:04 am (UTC)
(Link)
Ничего не понял.
(Reply) (Parent) (Thread) (Expand)
[User Picture]
From:dvv
Date:October 2nd, 2018 03:10 am (UTC)
(Link)
Отвечая на вопрос вопросом: что ты такое в ЦентОСе собираешься делать, и сколько в лаптопце памяти, что тебе там своп нужен?!

Что Убунту на стик не поставить — хмммм… Посмотрю на днях.
(Reply) (Thread)
[User Picture]
From:spamsink
Date:October 2nd, 2018 03:31 am (UTC)
(Link)
В центосе я собираюсь невозбранно пользоваться интернетом, включая gmail. В лаптопце 16 гиг; надеюсь, своп активно использоваться не будет.
(Reply) (Parent) (Thread) (Expand)
[User Picture]
From:ny_quant
Date:October 2nd, 2018 03:18 am (UTC)
(Link)

Плохо себе представляю во имя каких великих целей я бы пошел на такую мороку.

(Reply) (Thread)
[User Picture]
From:spamsink
Date:October 2nd, 2018 03:33 am (UTC)
(Link)
На какую именно? Иметь возможность пользоваться казенным компьютером как персональным - цель хоть и не великая, но довольно большая, так что попасть в неё несложно.
(Reply) (Parent) (Thread) (Expand)
[User Picture]
From:move2winnipeg
Date:October 2nd, 2018 03:36 am (UTC)
(Link)
Я делаю так - качаю Unebootin и исо образ дистрибутива, в четыре клика запускаю процесс, ..., ПРОФИТ!
Я для этой цели использую паппи Линукс, очень маленький, но всё основное есть, и он сделан специально, чтобы работать с флешки, то есть, сохраняет изменения при перезагрузке, установленные программы и тд.
(Reply) (Thread)
[User Picture]
From:spamsink
Date:October 2nd, 2018 03:41 am (UTC)
(Link)
Спасибо, конечно, но если уже есть образ диска, сделанный специально, чтобы работать с флешки, то я как бы умею пользоваться в юниксе командой dd. Меня интересовало, как поставить на флешку нормальную систему.
(Reply) (Parent) (Thread) (Expand)
[User Picture]
From:morfizm
Date:October 2nd, 2018 03:57 am (UTC)
(Link)
Ещё вопрос: а можно ли поджать системную партицию, а на свободном месте сделать другую (уже без битлокера или какое там у тебя шифрование), и dual boot в неё?
(Reply) (Thread)
[User Picture]
From:spamsink
Date:October 2nd, 2018 05:36 am (UTC)
(Link)
Какая модальность "можно" имеется в виду?

I'm not sure I can, and without administrator rights, I surely may not.
(Reply) (Parent) (Thread) (Expand)
[User Picture]
From:morfizm
Date:October 2nd, 2018 03:59 am (UTC)
(Link)
Дополнение к предыдущей идее: во многих лаптопах можно вставить вторым хардом M.2-хард. На него можно было бы проинсталлировать другую OS, и в BIOS-е менять, с чего загружаешься.
(Reply) (Thread)
[User Picture]
From:ilya_dogolazky
Date:October 2nd, 2018 04:01 am (UTC)
(Link)
Есть дистрибутивы ж специально заточеные для "запускаться с флешки", например «кнопикс» (который содержит в этой флешке сущечтвенный кусок дебиана).. Там наверное увы без бездн и детсадовцев в видеороликах
(Reply) (Thread)
[User Picture]
From:spamsink
Date:October 2nd, 2018 05:38 am (UTC)
(Link)
Кноппикс еще жив? Я его помню с тех времен, когда он на один CD помещался. Действительно, бренд уважаемый, надо попробовать.
Мне вон, еще паппи линукс предлагают.
(Reply) (Parent) (Thread)
From:green18281828
Date:October 2nd, 2018 06:57 am (UTC)
(Link)
Вместо флешки стоит рассмотреть что-то типа Samsung portable ssd.

А, выше уже предложили аналогичное. Может быть samsung немного и больше (форм-фактор 1.8").

Edited at 2018-10-02 07:00 am (UTC)
(Reply) (Thread)
[User Picture]
From:ak_47
Date:October 2nd, 2018 07:15 am (UTC)
(Link)
Может я что-то не так понял, но почему нельзя запустить VM на машине, а уже из неё ходить на любые сайты?
Или ваш корпоративный софт такой умный что залазит в бегущую VM и всё там проверяет?
(Reply) (Thread)
From:jahr2
Date:October 2nd, 2018 09:52 am (UTC)
(Link)
Я как-то участвовал в написании такой системы корпбезопасности, как раз занимался там слежением за установленными на машине vmware и virtualbox, чтоб через них ничего не утекло.)
(Reply) (Parent) (Thread) (Expand)