Comments 266
Юзер, который начнет заниматься такой самодеятельностью, в нормальной фирме получит по шапке. Быстро.
Ну или есть, но какие-то сказочные раздолбаи.
На windows запретили запускать программы — а при этом загрузиться с флешки, установить linux, и в нем работать, почему-то можно. Ну вот тупо, во всех местах где я вообще наблюдал контроль за установкой периферии в машину — везде нельзя было вот так примитивно загрузиться. А если так все же сделаешь — то рано или поздно (скорее — рано) будет как минимум выговор. Если не увольнение — за нарушение требований безопасности.
P.S. У нас кстати можно линукс на рабочую машину. Насколько я помню, выглядит это просто — пишешь заявление, и получаешь машину с готовым образом. И если в нем будет можно что-то такое, чего нельзя в Win 7 — то можно сильно не радоваться, потому что это временное явление.
Целью использования linux не было обойти ограничения(ведь их можно все равно и на винде обойти), а сделать свою работу более продуктивной и эти моменты описаны в виде плюсов. Жаль что это не было понятно из текста.
А, во-вторых, использование linux не является чем-то запрещенным. У нас часть сотрудников, которые занимаются администрированием линукс-серверов на нем работают сразу
Ввели — но обойти можно, и за это ничего не будет? Это странно. Обычно софтовые ограничения вводятся службой безопасности, чтобы скажем вирусы не таскали — и за обход таких ограничений именно что дают по шапке. Быстро и больно.
>А, во-вторых, использование linux не является чем-то запрещенным.
А кто говорит, что запрещенным? У меня в проекте софт на Hadoop, в наличии несколько кластеров для разработки, тестирования и эксплуатации. Это не просто линукс, это много линукса. Все машинки кластера естественно под RHEL. Это совершенно не означает, что я, как прикладной программист, имею там хоть какие-то права. Обычный юзер, которому ничего нельзя. Переставить линукс на кластере — это отдельная группа админов линукса.
На рабочем месте Win 7, и попросить туда линукс я могу запросто — но рута у меня не будет все равно, так же как и в Win нет админских прав с некоторых пор.
А права на серверах рулятся отдельно. И там конечно никакого рута у меня нет.
Да зачем мне переустанавливать систему на серверах, если есть специально занимающиеся этим люди?
А по существу — я работаю под обычным пользователем на пк, у которого прав суперпользователя тоже нет.
Они у нас есть. Но решают именно задачи связанные с виндоус администрированием.
Они должны бы решать любые задачи, связанные с администрированием. В поставили линукс — у них компьютер пропал из домена. Расследовать и надавать по шапке виноватым.
сделать свою работу более продуктивной
Это тоже задача админов — делать работу юзеров более продуктивной.
А, во-вторых, использование linux не является чем-то запрещенным
Речь не про запрет линуксов, речь про запрет самодеятельности.
В праивльной конторе пишется служебка «в связи с тем-то прошу поставить мне то-то». Хоть макось, хоть линукс, хоть черта лысого.
А вот эти вот «мне запретили запускать левый софт и я решил поставить линукс» — подобного быть не должно.
Винда — ты не адимн, у тебя стоит толстый антивирус, и по любому чиху — бежишь на поклон к админам.
Linux — ты настраиваешь и обслуживаешь сам, но коллеги/админы могут помочь советом. И да — антивирус не нужен.
Причем эта политика вполне согласуется с мировыми стандартами в области зашиты финансовых данных (PCI DSS).
Ни о каком доступе к фин. данным с рабочего места разработчика речи быть не может.
Но даже компы разработчиков софта для работы с финансами или даже просто закрытыми данными ПОПАДАЮТ под требования стандартов безопасности.
Если можно взломать комп разработчика (а работа под админом на винде в разы увеличивает такой риск), то это либо облегчит, либо просто позволит организовать атаку на обслуживаемую разработчиком систему.
Мне не надо напоминать что информационные систем сейчас уже даже через аквариум взламывают…
И информационная безопасность вообще не занимается количественной балансировкой рисков (к вопросу о “разах”), она устраняет угрозы.
Любая не имеющая сертификата безопасности ОС дырява по факту, админ там у неё или не админ. А случаи сертификации общесистемного программного обеспечения, включающего средства разработки, являются редчайшей казуистикой.
Короче говоря, если в вашей модели безопасности программист является угрозой, от которой админ защищает компьютер политиками, то эту мысль надо додумывать до конца, а не останавливаться на полпути.
каждая версия программного обеспечения, работающего с конфиденциальной информацией, должна проходить аудит безопасности перед внедрением в эксплуатацию. И в этом плане несущественно, взломали комп разработчика злые хакеры, или же он сам оказался злоумышленником.
Во-во, пытались у нас как-то раз такую тему аудитору загрузить при прохождении PCI DSS…
… не прокатило.
Предлагаю рассмотреть ситуацию когда прикрытие собственной точки не самоцель, и когда неважно утечка через купленную ос с сертификатом или левый калькулятор воткнутый в сеть (не важно до уровня — наказание будет одинаковым).
А так, сертификация и аудит иногда превращаются в банальное перекладывание и размазывание ответственности.
Винда — ты не адимн, у тебя стоит толстый антивирус, и по любому чиху — бежишь на поклон к админам.
Linux — ты настраиваешь и обслуживаешь сам, но коллеги/админы могут помочь советом. И да — антивирус не нужен.
Не знаю, как насчет согласования с мировыми стандартами в области защиты финансовых данных, но политика «администратор делегирует пользователям администрирование их компьютеров» ни с какими стандартами в области защиты чего угодно не согласуется, независимо от ОС. То, что человек в состоянии установить и настроить себе Linux, никоим образом не означает, что он там будет соблюдать информационную гигиену, и не запустит какую-то дрянь через sudo, и будет патчи безопасности своевременно накатывать. Поэтому фигня всё это с точки зрения безопасности. Просто админам лень админить ваши линуксы, ну или они банально не умеют это делать.
У нас просто PCI DSS. И вот эта тема «в Linux ты можешь стать рутом, а на венде ты никто + антивирус» она оттуда.
У нас просто PCI DSS. И вот эта тема «в Linux ты можешь стать рутом, а на венде ты никто + антивирус» она оттуда.
Не оттуда. Уж поверьте :) В требованиях PCI DSS вообще нет ничего ни про винду, ни про линукс. Но есть общие требования по организации доступа к данным кардхолдеров, по логированию такого доступа, по идентификации пользователей, обязательные к исполнению на любых ОС. Так что это просто выдумка ваших админов, или кто там придумал подобную политику.
Все кто имеет доступ к продакшен системе (админы и девопсы) — там уже все досупы только по токену. Но офис (разработка, саппорт и коммерция) — полюбому попадают под рекомендации аудитора. Так вот речь моя — именно про разработчиков.
Еще раз — кроме общих слов стандарта есть аудит и его требований в сто раз больше.
И аудитор сказал: «Ок, пусть пользователи Linux имеют админские права»? Нет, в этом слабо верится. Куда больше верится в самый очевидный вариант: что разработка у вас целиком отделена от продакшеновых баз данных (это хорошо и правильно), вы с «живой» информацией о кардхолдерах не работаете (это тоже хорошо и правильно), и под аудит PCI DSS ваше подразделение просто не попадает (и никаких конкретных требований, кроме «отлично, у вас всё ок, решайте сами» они вам и не выставляли).
Все немножко сложнее и запутаннее.
В системе нет такого места где можно было бы получить полные данные банковской карты. Требования сейчас таковы, что только отдельные компоненты системы в отдельные (короткие) промежутки времени могут хранить полные данные о банковской карте и только в оперативной памяти: ни в логи, ни куда либо еще, эти данные полностью не пишутся. А в базе тот же PAN — хранится в зашифрованном виде (хотя и доступны 6 первых и 4 последних цифры).
Да, собственно никаких данных о кардхолдерах и нет — есть отдельные поля — (условно) PAN/EXP/CARDHOLDER/CVC/TRACK..., и по всем ним разные требования на работу с ними. Кроме того есть еще очень много другой информации которая не должна покидать пределы компании.
К части этих данных имеют доступ и разработчики и служба поддержки.
Так что аудитору не так что бы совсем нет дела до компов «за периметром». У нас просто этих периметров — не один. И крайний периметр (который так или иначе попадает под сертификацию) — это двери офиса.
Вполне допускаю что у нас с вами разные представления о этой сертификации именно из за разных уровней, да и требования по стандарту накручивают из года в год. Так что важно и по какой период времени вы говорите.
Уточните какой конкретно уровень сертификации по PCI DSS проходила ваша контора? И в каком году?
Я же написал, что я работал в процессинговом центре. По-моему, это как раз ответ на первый ваш вопрос — естественно, Level1, какие ещё могут быть варианты? Что касается года, то последний аудит со мной в составе команды был в 2010-м году. Но насколько я понимаю, с тех пор послаблений не было, и аудиторы не стали разрешать пользователям подразделений, работающих с БПК, устанавливать ОС и администрировать свои компьютеры, верно?
Просто с 2010 уже очень много все поменялось.
Конкретно у нас все политики безопасности для всех компов в офисе и удаленщиков — это предмет контроля со стороны аудитора. И именно в этих политиках есть та разница между виндой и Linux про которую я говорю. И эти политики каждый год только «усугубляются». Но по отношению к Linux там мало что изменилось в последние годы.
Pan это номер карты?
Тогда терзают смутные сомнения по поводу требований, хотя наверное зависит от того для кого из участников.
Требования к персональным компам согласованы с аудитором PCI DSS для машин отдела разработки и коммерческого, для админов и девопсов: требования строже, но и им не запрещают рутом становится на персональных компах, если там Linux (они то много куда рутом ходят, но на прод системы — только через криптотокен).
Значит у вас очень круто, но я просто замечу, номер карты, по сути не является секретной информацией, вот в комплекте с другими параметрами уже да…
(А когда-то РЖД при возврате билетов требовало карту чтобы сделать скан-копию лицевой стороны ;) лично проходил, это в районе 2008-го ).
PAN — Personal Account Number — в просторечии — номер карты. В открытом виде он в системе нигде, никому не доступен. Существует только очень сложный протокол (с привлечением минимум 2-х человек), по которому номер карты может быть восстановлен и выдан по запросу МВД (в рамках расследования).
Можно подумать, админ вашего процессинга не в состоянии выдернуть ключи шифрования PAN из системы, будь у него такое желание (ну и квалификация) :) И то, если он у вас там действительно шифруется, т.к. PCI DSS требует, чтобы его нельзя было открыто посмотреть целиком, но при этом допускает разные варианты его защиты, и шифрование лишь один из них.
Сбербанк вон тоже аудит PCI DSS успешно прошёл.
Говорю же — так все организовано (регламентами) что нужно двум сговорится чтобы получить карточные данные. Но если они в компанию еще одного не возьмут, то они оставят очень очевидные следы в системах аудита.
Так что со следами и для МВД — двое, что бы без следов — трое.
И не надо нашу контору с банком сравнивать — у нас в работе карточные данные это «побочный продукт жизнедеятельности» (они мимо проходят), а не продукт, который мы продаем.
Говорю же — так все организовано (регламентами) что нужно двум сговорится чтобы получить карточные данные.
Я внимательно прочел ваше сообщение. Но то, что у вас там организовано регламентами и системами доступа, это всё совершенно не означает отсутствия технической возможности администратору системы вытащить ключи, залезть напрямую в таблицу базы данных в обход системы, выбрать данные и декриптовать их. И никакой аудит не поможет, потому что
а) администратор СУБД всегда есть.
б) возможность получить доступ к данным на уровне ниже, чем работает система аудита, у него всегда есть.
А у админа который может на криптосервер залезть нет доступа к серверам баз данных.
Говорю же — минимум два человека должны сговорится. Но вы конечно мне не верите и я все вру.
Но вы конечно мне не верите и я все вру.
Я не говорю, что вы всё врете. Я допускаю, что вы просто слишком верите тому, что вам рассказывают :)
В любой системе, которая как-либо работает с криптографией, есть место, где данные расшифровываются и зашифровываются. Пусть это даже не на уровне СУБД, а на уровне middleware, но так или иначе, там где-то в одном и том же модуле происходит и запрос к БД, и запрос к криптопровайдеру, и на выходе будут чистые данные. И у этого сервера есть человек, который имеет на нём достаточно прав, чтобы и в памяти поковыряться, и дампы снять и т.д.
А хотя да — я просто не знаю ничего и всем на слово верю — вы же лучше знаете как устроена система у нас в компании, тут и спорить не о чем.
А хотя да — я просто не знаю ничего и всем на слово верю — вы же лучше знаете как устроена система у нас в компании,
Я не знаю лучше вас, как устроена система у вас в компании. Я знаю только, что скорее всего, она устроена точно так же, как и все аналогичные системы, с которыми я сталкивался и у себя, и у партнеров, и у клиентов процессинга. Потому что везде принципы похожие. А ещё, нигде в этих системах нет специалистов, которые подробно знают и требования аудиторов по всем направлениям, и детали технической реализации соответствия этим требованиям. Все специалисты, извините за каламбур, специализированы. Админы домена знают свою систему безопасности и её регламенты, админы баз данных свою, разработчики свою, картёжники свою и т.д. Поэтому оснований считать, что вы знаете всё, о чем говорите, нет никаких. Максимум — то, что вам рассказывали безопасники на брифинге о том, как проходить этот аудит.
нигде в этих системах нет специалистов, которые подробно знают и требования аудиторов по всем направлениям, и детали технической реализации соответствия этим требованиям.
Ну если их негде нет (знающих все), то и вы тогда всего знать не можете, не так ли?
Поэтому оснований считать, что вы знаете всё, о чем говорите, нет никаких.
Ну если их негде нет (знающих все), то и вы тогда всего знать не можете, не так ли?
А я разве где-то говорил, что всё знаю? Я знаю лишь о существовании конкретных уязвимых мест там, где непосредственно имел отношение к разработке. Поэтому меня и удивляет ваша безапелляционность, что, дескать, у вас там всё защищено, доступ только с участием двух людей с разными правами… У нас у всех пользователи систем точно так же в этом были уверены. Но то ведь пользователи, а не администраторы, и не разработчики.
А я разве где-то говорил, что всё знаю? Я знаю...
Ну вы же все время знаете, что я ничего не знаю и знаете, что вы знаете даже то, чего я не знаю. Плюс вы знаете за всех, что они все — точно не все знают, но вы то знаете то, что они не знают. Так что, выходит, что вы знаете, что знаете больше всех, пусть даже знаете, что не все знаете. Ну хотите так знать — знайте. Я не знаю и знать не хочу зачем вам нужно такое знание.
Да, при этом рабочее место было single point of everything dangerous, но серверная была за стеной.
Осталось понять что ЦБ имел ввиду в фразе (по памяти, не точно но смысл пытался сохранить) "на арм сотрудника имеющего доступ к финансовым данным не должно быть установлено средств разработки". Ни безопасность(позиция запретить всё по дефолту), ни юристы (позиция — неоднозначно) ни регулятор (позиция что-то вроде — вы там сами разберитесь, но если что всех покараем) толком объяснить не могут.
При этом Excel+макросы и скрипты по хорошему = средство разработки, простой notepad под вин. да тоже легко с учётом установленных по умолчанию библиотек :), а если это всё выключить то на пару лет можно закрывать...
Это вы поторопились, вот скажите vba это средство разработки или нет? Проблема в том что приняв одно положение и не дав определений (и списков и механизма тестирования для попадания в категории) один регулятор поставил всех перед выбором, вторым вариантом которого является прекращение деятельности (в моменте)
Если у вас деятельность прекращается от невозможности применять эксель к защищаемым законом данным, то это ваши проблемы.
Проблема в том что блокнот тоже опасная штука и любой hex редактор, а по вашему варианту выходит что jdk не является средством разработки, т.к. вы запускаете только JVM которую запускать разрешено а она уже исполняет скрипты, аналогично с Python и pero и bash (если вам про win не нравится) это всё может быть использовано как средство разработки чтобы слить инфу через видеопоток/звук).
JVM является частью JDK и по факту редко проходит сертификацию.
Вопрос не в том, можно ли слить инфу через видеопоток/звук, это обеспечивается правами доступа к инфе. Вопрос в средстве, позволяющем обойти механизм контроля прав доступа. Python и bash исследованы достаточно, чтобы удостовериться, что они не содержат люков сквозь механизм контроля доступа. Хотя сами по себе могут быть дырявы.
Я что-то не понял, как Python/bash защищает от желающего слить оператора, работающего с фин данными…
Про JVM, вы удивитесь но из многого софта (вплоть до утилиты для подписи по смарткарте) её можно запустить, уж извините но в детстве я как-то с машкодами возился, в общем моё ИМХО со многих позиций с доступом защищает не работа службы инф. безопасности а законопослушность и разумность сотрудников (а также отсутствие приложения к ним паяльников с третьей стороны).
в общем моё ИМХО со многих позиций с доступом защищает не работа службы инф. безопасности а законопослушность и разумность сотрудников (а также отсутствие приложения к ним паяльников с третьей стороны).
Это вообще-то общеизвестный и неоспоримый факт. Самое слабое звено в любом защитном периметре — человек.
Не уверен что в pci dss было бы допустимым настраивать машину таким образом что например если не зашифровать home директорию то все ключи можно скопировать загрузившись с флэшки например с правами sudo. Или как там кажется требуется периодическая смена пароля но вы ее отключите. Или самое классное установить в конце концов temviewer и получить доступ к защищенному устройству к которому доступ через вохр с автоматами с любого девайса
Причем эта политика вполне согласуется с мировыми стандартами в области зашиты финансовых данных (PCI DSS).
Приведите ссылку на конкретный п. или не упоминайте всуе. Отсутствие единого контроля за окружением — это никакого PCI DSS либо просто ваше рабочее место НЕ входит в защищаемый контур.
Я против (точнее — не понимаю) самодеятельность, когда юзер может сам поставить другую ОС и ему за это ничего не будет.
Если у меня юзер поставит сам себе линукс, то этот линукс будет снесен нафиг как только замечу. Что бы там юзер не говорил про то, что ему так удобнее. Если удобнее — пиши служебку, аргументируй, почему сегодня неудобно. Либо решим проблемы, либо сами поставим линукс, если только под ним работать можете.
Сам работал довольно часто в банках, как программист, и считаю разумным сценарий, когда можно работать (DEV) на своем ноуте, но доступ к реальны данным (STAGE, PROD) возможен, только через выделенные каналы. Естественно, с протоколированием и четким набором действий. Плюс бумаги о материальной ответственности. Но там и зарплата другая. То есть, если ты просто программист, то данных ты не увидишь.
И грузчики. Притащили себе комп, в свободное время интернетятся. Доступа в основную сеть у них нет, конечно. Но посчитаны.
Вообще, у нас правила не самые строгие, разрешено все, что не запрещено. Но надо согласовывать, хотя бы устно для начала. Если криминала нет («поставьте мне автокад, вот дистрибутив, вот кряк»), то бумажно оформить проблем обычно нет, даже поможем подобрать формулировки.
А по теме, в волне импортозамещения, скоро все мы там будем.
Если вам для работы надо запускать питон, гит, ссш, прочее «программирование» и при этом вам не дают права администратора, то вам не надо ставить Линукс. Вам надо оттуда БЕЖАТЬ, срочно!
Если вам для работы надо запускать питон, гит, ссш, прочее «программирование»и при этом вам не дают права администратора, то вам не надо ставить Линукс. Вам надо оттуда БЕЖАТЬ, срочно!то почему вы до сих пор не перешли на Linux?
Fixed.
А если серьезно — то сейчас вы мало на какой работе сможете официально получить админа на винде если там соблюдаются современные стандарты в области безопасности.
А вот на Linux иметь sudo — те же стандарты не запрещают.
Как говорится — «почувствуйте разницу»…
Даж не знаю, работаю в огромной компании, админ есть. Правда локальный и некоторые настройки типа обновлений винды заблокированы доменными политиками и их поменять нельзя. Но в целом проблем с нехваткой прав нету. Разве что шифрование диска и антивирус немножко раздражают потому что они медленные, но хоть понятно зачем нужны. А не давать программистам админа это почти как пчёлы против мёда — есть куча задач которые без супер прав не делаются. Сниффер например без админа не запустить, IIS не понастраивать и прочее.
Если вам для работы надо запускать питон, гит, ссш, прочее «программирование» и при этом вам не дают права администратора, то вам не надо ставить Линукс.
вам просто надо, чтобы их установили на Win админы. Причем в этом нет никаких сложностей.
Хотя возможно в этом опять виноват антивирус.
Судя по описанию, уходить — не "за чем", а от кого. Разрешение sudo и такие запреты на Windows говорят о чём? У меня теория одна: где-то сидит профнепригодный безопасник, админы на местах слепо следуют указу, а те, кто понимает этот театр абсурда, придерживаются принципа "ты начальник — я дурак". Не и зачем там работать? Есть какие-то незаменимые плюшки? Зарплата х1,5 от рынка?
Плюс неудобно же, начальство борется с сотрудниками, а те — с политикой начальства.
Речь о том, что если на компе стоит винда — то адмна не дают, а если Linux — то на нем есть возможность стать рутом.
Ни про какие взломы речи не идет.
Речь идет о политике настройки рабочих мест сотрудников, которую в рамках аудита проверяет и согласовывает аудитор по PCI DSS.
Речь о том, что если на компе стоит винда — то адмна не дают, а если Linux — то на нем есть возможность стать рутом
А как это согласовывается с PCI DSS, с любыми правилами безопасности, наконец, банально со здравым смыслом? Ну правда же, не надо наговаривать на аудитора, я в жизни не поверю, что ваш аудитор настолько неквалифицированный. Вы же, надеюсь, сами осознаёте, что разрешения пользователя в системе должны соответствовать его полномочиям, а не разновидности его операционки? Это — политика безопасности. А то, что вы озвучили, это просто странная блажь админа, на которую почему-то все закрывают глаза, и ваши Security officers, и аудиторы.
Представим ситуацию, есть большая компания, есть контур с неочень ценными данными и когда-то для некоторых отделов были согласованы исключения по некоторому набору параметров, возможно разумных. :)
В принципе ведь существуют люди с большим доступом икоторым доверяют, почему некоторая компания не может допустить такого же отношения к некоторым сотрудникам, причём нам же неизвестно, может админы и просигналили руководителю, а он дал добро под свою ответственность.
Может я чего-то не понял, но пуркуа было не поднять vnc-сервер на 3389-м порту?
xrdp же всё-равно работает через
А так и волки сыты, и овцы целы, и пастуху вечная память.
Но Remmina как клиент удаленного доступа для rdp больше нравится(хотя в ней и vnc плагин тоже есть). Суть xrdp в моем случае — легкое подключение и с виндоус-машин без установки дополнительных программ.
Но чем хорош ssh — имея только его прокинуть можно что угодно.
Можно настроить sslh и повесить ssh, openvpn, https на один порт (443).
Если нужно зайти на вебморду роутера или допустим на вебморду Syncthing одного из домашних компов, то я через ssh покидываю нужные порты и открываю на работе. Ну а если там что-то жене или ребенку подкрутить надо — то обычно мне простого ssh на их компы хватает.
2. remmina — это просто «агрегатор» клиентов. Берете простой vnc-viewer (любой) — и вперед.
3. аналогично на Windows.
Шутить изволите? В протоколе vnc шифрование трафика отсутствует в принципе. Позтому за пределы локалки его без обёртки выпускать нельзя ни при каком раскладе.
Ок, если хотите академически:
— протокол VNC не поддерживает шифрования. Это не его работа.
— шифрование поддерживает реализация оного. И если RealVNC-клиент на Вашем любимом макбуке договорится о протоколе шифрования с TigerVNC-сервером на Вашей же любимой рабочей машине — то будет Вам шифрование.
Если же нет — пускаете VNC поверх (или внутри) ssh — и вперед.
Так лучше?
Просто дольше писать.
Программист без админских прав на локальной машине — это бред.
А для чего программисту админские права на локальной машине? Что он может с ними сделать что без них невозможно?
А в практическом плане, может потребоваться, например, менять конфигурацию операционной системы и версии общесистемных библиотек для проверки работы программы в разных условиях. Устанавливать дополнительные утилиты. Отключать антивирус для проверки его конфликта с кодом. Да мало ли что.
Например, студия для отладки под iis требует админские права. Хотя, конечно, тс в линухе та ещё корова.
Вы затронули очень болезненную тему. Я бы разделил ее на несколько частей.
Конечно вне зависимости от операционной системы в идеальном Энтерпрайза не должно быть возможности переустанавливать систему, получать админские права, устанавливать "нужный" софт который не всегда является безопасным и лицензионным. Но суровая реальность такова что админы Энтерпрайзов равно как и разработчики ит отделов это такая себе своеобразная среда в которой любят поговорить о том что уйди они на галеры или свали за бугор имели бы зарплаты в тысячу раз выше и все остальные им сильно обязаны за то что они с нами. Как результат какие-то дикие ограничения. Например у меня где я работал не было времени на соцсети. И я бы даже если попросили в них не зашёл бы. Но поскольку на каждом сайте есть ссылки на соцсети то работа в интернете была примерно такая. Сначала две минуты ожидаешь что по таймауту не загрузились библиотеки от ВК до этого момента страница заблокирована. После этого наконец контент отображается. Но по всему экрану всплывают фреймы где со ссылкой на какое то распоряжение сообщается что я якобы пытаюсь войти в соцсети и мой запрос блокирован. Но и по софту. Конечно весь софт который нужен должен быть установлен в идеале и разработан или куплен. Но в нашем Энтерпрайзе это не так. Опять же сошедшие с небес местные ит службы не вникнув в суть нужных задач что-то быстро стандартной палитрой пятых дельфей набрасывают и уходят ворча что где-нибудь за бугром за такую работу предприятия заплатило бы миллионы.
Но тут есть и обратная сторона. Это собственно типичные клиенты Энтерпрайз систем. Это секретари руководителей, бухгалтеры, экономические службы. Которые в силу правового нигилизма подсели на пиратский винддвский софт. И не смотря на то что на линухе есть бесплатная альтернатива до поры до времени пока вирус шифр овальшик не удалил все данные требуют себе Майкрософт офис.
… при условии, что пользователь был создан с правами администратора и включен в группу sudo. Ничем особенно не отличается от аналогичной ситуации в Windows.
Вопрос не в доступах, а в политике безопасности.
Просто сейчас существует уже дефакто общепринятый стандарт безопасности: пользоватею корпоративного компа прав админа в винде давать нельзя.
Но в Linux дать право на sudo — можно (по тем же стандартам).
Может быть я не понял о чем речь но как раз pci dss это один pdf файл.
Важно что начиная с Level 2 — там уже нужно проходить ежегодный аудит и всякие сканирования и т.п…
А если есть то команда под sudo = команда выполненная рутом, ну если надо можно sudo -s или sudo -i и ты рут пока не выпонил exit.
Для многих вещей, в том числе и для администрирования отдельных продуктов вполне хватает.
И вы, конечно же, можете сослаться на соответствующий параграф в одной из книг «Rainbow Series»?
Или например недавно в sudo нашли уязвимость.
Которую тут же впрочем быстро заплатали. Никто от ошибок не застрахован 100%.
Ну и в целом, качество очевидно не напрямую зависит от числа найденных багов — а скорее от того, как оперативно и аккуратно их исправляют. И от того, насколько пользователю удобно с этим работать — т.е. можно ли, грубо говоря, легко найти, какие проблемы были найдены в моей конкретно версии, выбрать и установить конкретные патчи для себя.
И да, это не про Win 10, на мой взгляд (
Ещё с 2000 начиная винда уже сама по себе не захламлялась и вполне была пригодна для работы годами, тем более — на ограниченном круге программ.
Молчу уж про сервера, где нога юзеров напрямую не ступала.
Вирусов и кривые обновления рассматривать не будем, везде бывает. Хотя в винде почаще, не спорю.
А ориджин то еще глюкало. У себя стараюсь не запускать и игры там не покупать по мере возможности.
А так у меня есть знакомый линуксоид, у которого тоже винда разваливается в руках. Правда удаленно ему как-то редко получается помочь, а на «принеси — гляну», говорит, что лучше новый комп купит.
Потому что, в целом, любая ос на исправном железе стабильна. У меня был виснущий на ровном месте линукс — там в ссд дело оказалось, после замены пока не висло.
Винда, впрочем, на том же ссд нормально себя ведет. Но она на ночь выключается.
Так то, я уверен, можно обосновать необходимость наличия прав локального администратора (dual boot, виртуальной машины с полностью подконтрольной ОС), и они появятся.
Но можно потратить некоторое время и забороть систему ;)
Жесть, на винде закрыли USB, поставил Linux и без проблем прокинул иксы домой.
Прямо цирк какой-то в плане безопасности.
Флешкой грузиться и пароль виндовый менять — это, вообще, за гранью добра и зла.
Откуда у вас с такой паранойей доступ к биосу и прочему?
Операционная система — это инструмент, и инструменты по функционалу отличаются, поэтому то, что удобно в Linux, может оказаться плохо в Windows, и наоборот.
Касательно GIT — да, консольный GIT в Windows — это боль. Однако, при использовании IDE и нативных удобных GIT-клиентов под Windows (типа Sublime Merge) необходимость в использовании консольного гита отсутствует практически полностью. Даже в Linux я бы предпочёл графический клиент — он единомоментно показывает гораздо больше полезной информации и в более наглядном виде.
Удалённый доступ. В случае Windows основной инструмент, через который можно сделать что угодно — это RDP. В случае Linux — SSH. А вот пытаться делать наоборот не стоит. С удалёнными рабочими столами в Linux очень и очень плохо из-за архитектурных особенностей графической подсистемы. VNC — крайне медленная и неэффективная штука по сранению с RDP, а проброс иксов через SSH — извращенство ещё то.
Собственно, эффективный удалённый доступ с передачей рабочего стола — одна из основных причин, почему разработку я веду под Windows, а не Linux. Мне важна не командная строка, а графические средства разработки (IDE). Конечно, можно обойтись vim, но что-то не хочется.
Native SSH и native shell — тут, понятное дело, альтернатив нет. Если у вас имеется постоянная необходимость в использовании cygwin, mingw, то вы ошиблись в выборе операционной системы как инструмента.
. С удалёнными рабочими столами в Linux очень и очень плохо из-за
Да ещё лучше чем в Ворде. Устанавливаете teamviewer и с любого девайса шпилите
Попробовал teamviewer на убунте. Действительно, скорость выше всяких похвал, правда, пока проверил только в локальной сети.
Из минусов: высокая нагрузка на клиента (1 ядро было полностью загружено) + отсутствие возможности виртуализации рабочего стола как в RDP.
Последнее мне особенно критично. Мне нужно, чтобы разрешение удалённого стола и DPI scaling подстраивались под характеристики клиента, ибо просматривать удалённый 4K экран с масштабированием 150% с ноутбука 1366х768 — это боль.
TeamViewer умеет подстраивать рабочий стол под разрешение клиента, во всяком случае в Windows.
RDP тоже умеет. Зачем мне какой-то левый софт, когда есть готовый функционал из коробки?
Он не умеет подключаться снаружи внутрь сети за NAT и HTTP Proxy, через который даже VPN не пробросить.
Если я не прав, и вы знаете такой способ — научите, буду только благодарен. Без шуток.
Так то я сам админ, но только внутри. А Шлюз у нас на отделе Защиты. И они занют, что мне на случай форсмажора нужен доступ внутрь, но у них тупо квалификации нет это настроить. Пытались и тупо не смогли, да. Да вот, такие порядки у нас в бюджетных учреждениях… А дать порулить мне на 5 минут, чтобы все сделать, не имеют права!
И да, не надо сразу про "бегите оттуда". Некуда бежать в облцентре на 300тыс жителей.
Тогда заводите внешний VPS, поднимаете на нём VPN и настраиваете постоянное подключение со стороны рабочего компьютера. Нужно получить доступ к рабочей сети? Подключаетесь с любого компа к тому же VPN и имеете доступ какой хотите. Можно обойтись и без VPS, если поднять VPN-сервер на домашнем компе, просто надёжность будет ниже.
Рабочий компьютер, который торчит какими-то сервисами наружу — не очень безопасный вариант. Единственное разумное решение проблемы — это VPN.
У нас прокси — сквид 2й версии. У меня через него не работают VPN, ума не приложу, как быть.
А многие ли варианты пробовали?
- OpenVPN через 443 порт TCP.
- SoftEther VPN.
- Кустарные разработки типа таких:
https://github.com/unbit/vpn-ws
Да ещё лучше чем в Ворде. Устанавливаете teamviewer и с любого девайса шпилите
Да Teamviewer как раз не замена RDP. Его «заточенность» кроется в его названии, чтобы подключиться в сессию к другому пользователю, и помочь ему что-то сделать. А для удалённой работы он неэффективен. Сессию новую не создает, виртуальный десктоп с нужными параметрами не создаёт, да и денег стоит.
Не говоря уже о том, что тимвьювер — это облачный сервис. Весь обмен идет через их центральный сервер (ну, может и не весь, но точно — значительная часть). Факторы риска ИБ...
Я как раз против использования teamviewer и не использую его вообще и даже не знаю как это делать. Мне вполне достаточно командной строки а давать доступ к своим устройствам мне как то не хочется. Я даже Телегой не пользуюсь т.к. ее нарочитая защищенность вкупе с обязательной регистрацией по номеру телефона как-то меня смущает.
Параноя? У меня брат такой же в некоторых местах.
https://habr.com/ru/company/itsumma/news/t/472348/
Не у меня одного, Бро
В чем разница того, что вы его не вызываете сами из консоли? Только в том что его вызывает другая программа?
А по поводу cygwin\mingw — я не выбирал какую ось мне не комп ставить. Так как ставят всем только windows при выдаче пк.
Любой виндоус ide с поддержкой гита все равно вызывать будет бинарный git.exe
Мне казалось, что Visual Studio использует собственную GIT реализацию для ряда функций. Видимо, ошибался.
В чем разница того, что вы его не вызываете сами из консоли? Только в том что его вызывает другая программа?
Разница в накладных расходах на вызов процесса.
А как часто они обновляют эту реализацию при выходе новых версий гита с новыми плюшками?
Ну а про накладные расходы на запуск процесса все понятно и так, но все равно спасибо что уточнили.
Любой виндоус ide с поддержкой гита все равно вызывать будет бинарный git.exe
Конечно, нет. Никто не запрещает использовать/написать библиотеку по работе с файлами Git'а.
Конечно, нет.
И какая IDE не использует git.exe ?
Никто не запрещает использовать/написать библиотеку по работе с файлами Git'а.
И некотороые даже пишут, но в IDE используют git.exe
Вам веткой ниже уже сказали — Eclipse.
"В чем разница того, что вы его не вызываете сами из консоли?"
Дык в том и разница, что не нужно из IDE переключаться в консоль и обратно. Лишнее действие.
Если бы я занимался разработкой для с++ или дотнета и была куплена студия, тогда бы это имело смысл. А так, только теоретические рассуждения получаются
Если вы при разработке под что угодно пользуетесь IDE, и эта IDE умеет в VCS — странно не пользоваться встроенным в IDE интерфейсом. Разве что он совсем убогий ;)
Консоль в Windows (кмк) то ещё убожество, без крайней необходимости не вижу смысла в нее переключаться.
Ага, ага. Eclipse, например ;)
Они работают прекрасно как на Windows так и на Linux. Почему мне надо комплексовать от того что они в cygwin-e? А если мне надо постоянно пользоваться Visual Studio и Cygwin-ом, то на какую ОС мне переходить тогда?
Возможны проблемы с совместимостью и накладными расходами.
А что касается Linux: можно подумать о Rider, CLion, VS Code.
Возможны проблемы с совместимостью и накладными расходами.
Это какие?
Ну если по существу, то я не видел проблем ни с совместимостью, ни с (якобы) накладными расходами в случае использования cygwin-а.
Не могу сказать, что я прям суперактивный пользователь, но консольные приложения работают превосходно.
Касательно GIT — да, консольный GIT в Windows — это боль.
И что не так с консольным клиентом git в Windows? Там же msys в котором тот же самы bash и всё остальное.
Касательно GIT — да, консольный GIT в Windows — это боль
Я думаю не только у меня возник этот вопрос: в чём-же заключается боль?
Всю жизнь работал с гитом в консоли и именно в Windows.
Хотелось бы уточнить, что я упустил
Под виндой разрабатывать вообще лол. Чего только стоит несовместимость систем прав файлов. Или, да, очень важная вещь — регистр файлов. Винда в регистр умеет чисто номинально, что иногда при работе с гитом выливается в забавные или не очень глюки.
Если же речь про разработку под виндой для винды. Ну, ок. Можно жить.
Под виндой разрабатывать вообще лол
Поясните. Я это успешно делаю уже 15 лет. Пишу на Windows, деплою на Linux. Может, всё дело в плохом танцоре?
Винда в регистр умеет чисто номинально
Ничего подобного. Регистр винда не меняет.
Правильно ли я интерпретирую Ваш посыл, что никто и никогда не столкнется с проблема регистрозависимости имен файлов и каталогов при работе с произвольными гит репозиториями?
А выглядит именно так.
Повторюсь — я именно поэтому и вставил ремарку, что если ВСЯ работа производится пол виндой (1) или есть четкий регламент именования файлов (2), то проблем можно избежать
И утверждать что это прям боль это, мягко говоря, преувеличение.
А выстрелить себе в ногу можно всегда. Можно например, добавить в название файлов символ разрыва, смешанные арабские и китайские символы, наименовать файл именем в миллион символов… Вариантов тут множество. Разработчики они такие… изобретательные…
Например, нюансы с правилами именования файлов. Регистронезависимость Windows может привести к неприятным эффектам (один раз с таким сталкивался). Также не очень удобно настраивать SSH (нужно больше телодвижений).
ssh в Windows настраивается точно также как и в Linux (если речь идёт про клиента).
"А можно просто сильно не извращаться."
Вот 2 примера не очень сильных извращений.
Был случай, когда под Linux закомитили 2 файла: config.h и Config.h. Под Windows было плохо ;) Кто мог подумать, что так нельзя?
Кириллица в именах файлов под Windows и Linux выглядит по разному (в mercurial, возможно, git в этом отношении лучше).
Когда у всех членов команды одна ОС, таких глупых косяков на ровном месте возникать не должно.
Был случай, когда под Linux закомитили 2 файла: config.h и Config.h. Под Windows было плохо ;) Кто мог подумать, что так нельзя?На самом деле можно
Кириллица в именах файлов под Windows и Linux выглядит по разному (в mercurial, возможно, git в этом отношении лучше).Mercurial-то тут не при чём, проблема в кодировке консоли Windows. В Linux, до того как KOI-8 закопали и везде на юникод перешли, тоже веселья хватало.
В Linux, до того как KOI-8 закопали и везде на юникод перешли, тоже веселья хватало.
В Linux вообще не используется кодировка для имён файлов. Имя файла — просто набор байт, с некоторыми ограничениями.
Mercurial-то тут не при чём, проблема в кодировке консоли Windows
Возможно, но на тот момент решения найти не удалось. Но скорее всего это проблема именно с кодированием имен файлов внутри mercurial. Кодировка descriptions не портилась.
У архивов zip, кстати, наблюдается что-то подобное.
Даже в Linux я бы предпочёл графический клиент — он единомоментно показывает гораздо больше полезной информации и в более наглядном виде.
У меня мечта идиота — всех загнать в веб-интерфейс с редактором. Примерно как есть у гитлаба. И так уже большинство (ну, ок — часть) сред разработки — по сути веб-браузер с локально открытой страницей. А если нет необходимости запускать свой продукт у себя на машине, то тем более — какая ценность в локальной разработке ?
С удалёнными рабочими столами в Linux очень и очень плохо из-за архитектурных особенностей графической подсистемы.попробуйте Nomachine (https://www.nomachine.com) он вещь более чем вменяема для удаленного доступа. Во многом, даже удобнее RDP.
А что не так с sysinternals? Там и сейчас все можно скачать, и тот же пак, просто теперь это микрософт.
что делает возможность удаленного входа без отключения уже существующих на пк локальных сеансов
Интересная штука. Обычно ведь если на сервере разворачивают «Службу удаленных рабочих столов», то необходимости (а часто и возможности) заходить на него локально нет?
Лично мне кажется, что общение через мессенджеры гораздо продуктивнее и полезнее. Любые проблемы решаются крайне быстро.
Важные вещи отправляются или дублируются почтой. Чтобы они потом были в архиве и т.п.
А в мессенджере переписку трехлетней давности хрен найдешь.
Полностью согласен, что любая проблема через мессенджер решается быстрее.
Но тут есть нюанс. Первый — любой мессенджер это постоянное переключения контекста. Как следствие — падение производительности. В него будут писать и по существующим реальным проблемам и по ситуациям, которые требуют простого изучения документации (начиная от внутренней KB компании, кончая SO). Поэтому правильно — иметь два средства связи. Формальный и неформальный. И переводить заявки из одного в другой только по реальной необходимости.
Второе. Политика ИБ и вообще стабильность работы сторонних сервисов. Я реально ржу, когда околокритичные процессы компании переводят в Телеграмму, который вообще никакой ответственности не несет. Потом попадаем под ковровые блокировки РКН и страдают как внешние, так и внутренние клменты. Не говоря уже о том, что мы доверяем наши данные цепочке не доверенных серверов.
Третья история — это договоренности. В той же почте их очень удобно фиксировать, т.к. архив никуда не денется. А в любом чатике — через полгода уже нереально найти, что было оговорено и что нужно было делать. Не говоря уже о том, что история может попросту быть недоступной (пр. — бесплатный слак) или удалена (намеренно или нет).
Респект за прохождение этого квеста до конца! Сам был в схожих условиях, но полностью отказаться от винды не смог. Пробовал exquilla плагин, словил странных ошибок, пробовал пробить imap для exchange, админы наотрез отказались, календарь, доменные контакты даже не стал уже смотреть. Снёс с винды всё, что имело замену на линуксе, уменьшил раздел, dd-хнул на внешний винт, поставил на ноут kubuntu и запускал винду в VirtualBox, благо железо позволяло.
К сожалению, офисная работа на линуксе выглядит чуть более, чем уныло. Вариант? Катнуться на мак. Для разраба — плюс, что получаешь нативную unix-среду со всем стандартным инструментарием. А еще есть MS Office, Outlook и пр. плюшки.
Как будто разраб (если это не простой кодер, а, скажем, тимлид) не нуждается в офисном пакете для написания стандартов, регламентов, документации, или хотя бы ознакомления с документами, принятыми в компании, ну, и оутлук — лучшее, что есть сейчас для почты. Можно, конечно, пользоваться Owa, но это такое себе.
Даже пакетных менеджеров нет, а
brew вполне нормально работает.
Это всё отлично делается в маркдауне (или латехе, если вы модный дейта сайентист, и вам формулки нужны) и хранится в гите рядом с разрабатываемыми системами.
И, да, и нет. Вы обычно приходите в уже устоявшийся энтерпрайз со своими тараканами и порядками. Но можете объяснить "как нужно делать". Попробовать
Это от того чувака, который не смог бинарное дерево на собеседовании развернуть? :)
LOL
Добавил вопрос «а в чём вы делаете и храните вашу документацию, если она есть» в список вопросов компании на интервью, спасибо.
Да, хороший вопрос. Да.
aik Ну, ОО я не люблю тем, что зачастую он портит шрифты и форматирование. Маковский офис не безгрешен, но, повторюсь, в нем хотя бы есть "настоящий" Outlook. Которого на лин-платформе нет и вряд ли будет. Ну, и многие вещи тоже под Линь отсутствуют — Фотошопы, автокады и пр. — не знаю, что конкретно Вам может понадобиться. Я часто пользуюсь, к примеру, GIMP'ом и мне обычно его функционала хватает, но, к сожалению, это блеклая копия Фотошопа.
У меня стоит совершенно официальный фотошоп (из подписки с лайтрумом), но запускаю его очень редко, для моих нужд вполне хватает простенького бесплатного редактора — даже не помню, как зовут уже. Но запускается моментально, а все повседневные инструменты там имеются. Фотошоп же даже на двенадцатипоточном процессоре, 24 гигах памяти и ссд стартует заметное количество времени. Так что он только для таких же тяжелых случаев, когда большая панорама клеится или коллаж крупный из сотни слоёв.
Вариант? Катнуться на мак. Для разраба — плюс, что получаешь нативную unix-среду со всем стандартным инструментарием. А еще есть MS Office, Outlook и пр. плюшки.
Покупать мак за 100+ тысяч потому что на работе заставляют сидеть на винде это сильно. Такой вариант подходит только если компания сама предлагает рабочий комп на выбор.
Ну, а что поделать? Я бы себе купил. Коплю деньги ) Потому что действительно "игрушка" дорогая. Нужна мобильность (легкость + долгое время работы от АКБ). Нужна достаточная вычислительная мощность. вЕнду не переношу — хотя и долгое время плотно работал с WNT4/W2k/W2k3. Предлагайте варианты. Кстати, альтернативы в виде ультрабуков тоже зачастую ущербны.
И добавлю, что коллеги, которые на работе пользуются своими маками — вполне довольны жизнью.
Такой вариант подходит только если компания сама предлагает рабочий комп на выбор.
Это оптимально, если готовы купить на работе...
Для меня thinkpad'ы после 60/61 уже выглядели менее интересно. А уж после t410 вообще умерли для меня, как брендовая марка
Подтверждаю, что деллы latitude сейчас больше похожи на оригинальные thinkpad'ы, чем сами thinkpad'ы
Ну, а раз так, то никаких причин не рассматривать выбор в виде яблока нет
P.s. прошлый год работал на latitude 5580, а этот — на lenovo x1
Да чего за фанатичность. Вот пользователи энтерпрайз ноутов с вЕндой — точно так же вынуждены устанавливать виртуалки. Т.е. здесь недостатков у мака нет.
С другой стороны, что за специфичные вещи надо разрабатывать, чтобы был нужен "настоящий линукс"? Я уж не говорю о том, какой он — этот настоящий линукс? Арч? Или Убунту?
работа в гите под windows это боль
А можно это как-то детализировать? Насколько боль, почему? И разве не решается wsl?
WSL есть только в 10ке если мне память не изменяет. А пока её нет — приходится жить с чем есть. А вообще по идее да, должно решать.
А пока её нет — приходится жить с чем есть
Вообще странно, что у вас в компании до сих пор нет самой актуальной и активно поддерживаемой ОС, да.
Опыт интересный — да. Удачи.
Но у вас просто не такой-то уж и энтерпрайз. В Прям Энтерпрайзе Энтепрайзе
- определенный список разрешенного оборудования, который выдается пользователям. Корп. стандарт. Все дела. Ну, и поэтому зачастую разработчику дают обычную офисную машинку. А-ля 2 ядра 4 гига. Хочешь больше? Обоснуй.
- В особо запущенных случаях — пароль на БИОС и шифрование диска.
- А для доступа к корп ресурсам — зонд от ИБ. Либо в виде везде доменные пароли, либо установка официально разрешенных троянов (тот же CiscoAnyConnect клиент на 50% таковой).
либо установка официально разрешенных троянов (тот же CiscoAnyConnect клиент на 50% таковой).
Расскажете подробнее? А то на домашнем компе стоит для удаленного доступа в рабочую сеть, даже уже и не знаю — может снести стоит.
ну, как минимум, в официальном клиенте — Вы не можете отредактировать список route и dns, которые он Вам анонсит. Как следствие — Вы раскрываете ВЕСЬ свой трафик работодателю.
В линуксовом клиенте — это все можно поправить.
И это мы еще не касались всяких там Касперских И Стахановцев.
Я наоборот переехал с ubuntu на win10 + wsl2. Мне линукс на рабочем компе больше не нужен.
Все эти действия были нужны потому что при следующей перезагрузке пароль администратора накатывался обратно групповыми политиками из домена.
Достаточно выдернуть витуху при входе в доменную учетку и политики входа не сработают. (если пароль ими накатывается)
- Интернет. Весь трафик идет через ВКФ (великий корпоративный фаервол) который блочит все подключения приложений кроме хрома, скайпа и outlook (ни браузер сменить, ни почтовый клиент) и, просто так, запустившись с флехи или установив linux интернета не получишь. Благо все таки, чтобы разрабы и админы могли нормально работать есть прокси с win авторизацией.
Проблема частично была решена установкой cntlm и указанием локального прокси в браузере. Частично потому что даже с установленными переменными окружения не все ПО требующее инет умеет с прокси работать.
Со скайпом так вообще беда. Если в винде работает хорошо то в linux даже эхотест отваливается изза «плохого качества связи». Переменные окружения ему побоку, через proxychains skypeforlinux вообще не запускается, сообщения отправляютя секунд 30-40. - Excel. По работе приходится много иметь дело с ним, и при всем своем ни WPS ни Libre не поддерживают sql server как источник для сводной (да, бывает и такое нужно).
- Win-авторизация. Она везде. И хорошо, что некоторые софтины поддерживают Kerberos (dbeaver, например), но это скорее исключение, чем правило.
В принципе первая проблема решаема если сидеть с гостевого wifi и подключить VPN, но тогда я теряю доступ к smb-шарам с рабочими папками.
Была мысль перенаправить весь трафик в локальный проски с cntlm, но, видимо пока что моих знаний и всего лишь 2 дней гугления недостаточно.
Свистать всех на Linux, гром и молния