Вводные
3 февраля в CNews появилась статья о начале внедрения в российские школы новый OC «М ОС», собранной на базе ОС «Альт» (Linux).
Разработчиком ОС выступает Департамент информационных технологий города Москвы, занимающийся развитием электронных сервисов и IT-систем в столице. Над созданием «М ОС» трудились 25 программистов, разработка дистрибутива заняла 6 месяцев. В дистрибутив «М ОС» включены браузеры Chromium и Mozilla Firefox, почтовые клиенты Mozilla Thunderbird и Evolution, офисные пакеты «Р7-Офис» и LibreOffice, а также инструменты для создания скриншотов, записи видео с экрана и работы с файлами. Среди преимуществ системы указаны: простой и понятный интерфейс, стабильная и надежная работа, а также высокий уровень кибербезопасности. На «М ОС» предустановлены российский пакет офисных программ
Отмечу заявление о высоком уровне кибербезопасности, хотя другие высказывания тоже будут рассмотрены. Инструментом для тестирования этого тезиса будет выступать Kali linux, с которым многие знакомы. (вместо kali может выступать любая другая система и ее инструментарий здесь не используется)
Kali – дистрибутив предназначенный для цифровой криминалистики и тестирования систем безопасности. Можно установить как live usb (запуск с флешки), так и десктопную версию. Прекрасно подходит для данного теста.
P.S. картинок не будет, потому что это выжимка из дел давно минувших дней и никаких скринов не сохранилось с того времени.
Тестирование
Теперь можно перейти к самому тестированию, после установления вводных.
Оказывается, безопасность хромает сразу после установки. Путем нехитрого брутфорса, паролем оказалась комбинация 012345678 (согласно инструкции, пароль устанавливает сис админ)
Дальше используем kali(или любой другую систему). Запускаемся с флешки (случай, если БИОС без пароля) и из-под неё добавляем нового пользователя с правами root. Все, запускаем мос и радуемся, теперь можно делать всякие непотребства: удалить black list, для пользования интернетом без ограничений, удалить следящий софт, пока никто не догадался.
ВЫ ЗАМЕЧАТЕЛЬНЫ
Защита
Самое очевидно, поставить пароль на биос, тогда его не получится обойти. В теории может помочь это сайт
Есть еще один путь – шифрование, но есть много нюансов, с которыми придется считаться
Полное шифрование данных. Опять же пароль где-то надо хранить. Чтобы не хранить ключ в открытом виде, его можно шифровать либо в TPM (Trusted Platform Module), либо на криптографическом токене или смарт-карте, поддерживающей алгоритм RSA 2048. Нужен модуль tmp для реализации, но их ввоз должен проходить через фсб и платы должны его поддерживать. TPM — микросхема, предназначенная для реализации основных функций, связанных с обеспечением безопасности, главным образом с использованием ключей шифрования.
Допустим, каким-то магическом способом мы храним ключ на машине и его нельзя взломать. Тогда системе при каждом запуске придется все расшифровывать и это займет время, из-за слабого железа используемого в пк, что тоже будет мешать учебную процессу.
Вывод, шифрование слишком муторный процесс. Но есть кардинальный выход из данной ситуации, просто отключить usb порты, точнее впаять мышь/клавиатуру напрямую в плату. Тогда никакого kali запустить не получится. Или же на аппаратном уровне детектить любое внешнее подключение, разработка такого будет стоить дорого, да и нужно ли вообще.
Windows
А теперь рассмотрим взлом windows. Из-под кали прекрасно можно получить админа, если биос не запаролен. В противном случае, помогут только инженерный пароль или очистка cmos памяти, нужно батарейку на 24 часа вынуть. Отсюда вывод, что виндовс так же уязвим. И если браться за создание защищенной системы, то это разработка с нуля и нужно ли оно вообще.
Другие недостатки moc
С защитой они не справились, тогда рассмотрим другие заявления.
«Простой и понятный интерфейс» - в принципе, с системой приятно работать, если привыкнуть. Прям неудобности не почувствовал, так что это они выполнили.
«стабильная и надежная работа» - линукс, как линукс ничего такого.
Но это на первый взгляд. Например, "T-Flex" (программа для обучения 3d моделирования и проектирования, используется в некоторых школах) на линуксе не поддерживается.
Я пытался оптимизировать ее под моську, но не получилось (может я плохо разобрался). Заработала она только из-под виртуальной машины на windows. И прошел год, а программа так и не заводится на ней.
Отмечу неудобность и костыльность libre и p7 офиса по сравнению с office (неудобность для ЕГЭ по информатике. В заданиях с электронной таблицей, где используется ВПР, в пустые клеточки приходилось записывать 0)
Вывод
Плюсы – ДИТ Москвы получил опыт\кадры в развитие отечественной ос.
Минусы – все остальное, система не отвечает тем заявлениям, с которыми ее преподносят.
И тогда вопросы зачем? Никакой безопасности нет, удобства тоже, некоторых школьных программ нет.
Допустим, что государству нельзя использовать не отечественный софт в школах. Тогда на рынке уже есть Астра линукс, с которыми можно было подписать контракт и использовать в школах. Основных минусов не убрало бы, но позволило сэкономить силы на разработке.
По словам источника на рынке российских операционных систем, «М ОС» сырой продукт, уступающий Alt или Astra Linux. А по мнению Алексея Смирнова оценивать качество «М ОС» «бессмысленно, поскольку бессмысленно делать еще один дистрибутив Linux». «Надо брать имеющийся отечественный и договариваться о приобретении на него лицензий, — подчеркнул он. — Если какого-то функционала не хватает и заказчик в состоянии сформулировать, чего именно нет, разработчик всегда будет такие пожелания учитывать».
«Со стороны кажется, что сборка дистрибутива — дело простое и не требующее высокой квалификации, и постоянно находится много желающих собрать "свой" дистрибутив, не обладая для этого ни инфраструктурой разработки, ни кадрами, обычно такая разработка сводится к перелицовке чужих дистрибутивов, — пояснил Смирнов. — К сожалению, ДИТ Москвы оказался в числе таких "разработчиков"».
То есть отсюда один вывод, M OC нужны была только для распила бюджета получения нового опыта. Думаю поэтому, ее внедрение затронуло только некоторые школы Москвы и дальнейшего развитие не получило.
Комментарии (65)
mnnoee
14.09.2023 18:30Допустим у нас система на UEFI. Ставим пароль(даже самая китайская не позволяет выбрать другое меню загрузки), а само ядро делаем pe приложением для загрузчика. Profit.
Agw29 Автор
14.09.2023 18:30-3так BIOS\UEFI хранятся на мат плате и если вытащить cmos, то все сброситься и работаем по старой схеме. Но если моделировать такой способ взлома, будет странно, что школьник пришел с отверткой на урок и что-то делает с системником. Думаю, что пароля достаточно и это точно защитит от горячих голов, только не все сис админы хотят этим заниматься
mnnoee
14.09.2023 18:30Почти во всех мат платах с uefi, система будет грузится, если хоть что-то обнаружит по пути /EFI/boot/*.efi , или если pe приложение имеет название вида bootx64.efi (зависит от архитектуры). У меня например так грузится система с харда минуя сам grub. Так что, если и строить безопасность то с загрузкой напрямую, что не так сложно, как показывает практика.
istadem2077
14.09.2023 18:30Не во всех случаях верно. У меня Dell Latitude E5440 сколько CMOS не сбрасывай, пароль не будет снесен. Он хранится в EEPROM. Так конечно есть "мастер" пароль который для моделей разный, но применимый. Тем не менее.
apppostol
14.09.2023 18:30Уже сто лет современные материнские платы таким образом не сбрасывают пароль. Хоть сколько ты держи ее без батарейки. Не актуальный способ.
anishchenko
14.09.2023 18:30-29Братан, хорош, давай, давай, вперёд! Контент в кайф, можно ещё? Вообще красавчик! Можно вот этого вот почаще?
Daddy_Cool
14.09.2023 18:30+6Я так понимаю, вы изобразили радостную реакцию на статью школьников-кулхацкеров из школ где эту "М ОС" постаили, но забыли поставить тег /i или /s.
MountainGoat
14.09.2023 18:30+3Нет, это настоящий "школьник-кулхацкер из школ где эту "М ОС" постаили " отметку отрабатывает: аккаунт был создан для этого комментария.
Daddy_Cool
14.09.2023 18:30+1Охо-хо! Не посмотрел на дату создания эккаунта. Ну... знать зацепила статья-то! Не смог, человек, сдержать эмоции, даже зарегился!
(На самом деле странно, конечно - вроде тема не политическая, помимо эмоций коммент ничего не несет).P.S. Оказывается это мемичная фраза.
Nurked
14.09.2023 18:30+3Кстати, не поверите, это скорее всего не было создано автором статьи. Судя по всему вы статьи не пишите, поэтому вы не увидите этого феномена. Но если ты написал статью, то тебе на Хабре выдают модераторские приблуды. Когда твою статью комментируют подозрительные личности или тролли, то комментарии могут выйти на премодерацию. Вам, как автору статьи надо будет одобрять комменты.
Если этого не сделать, коммент будет одобрен или отклонён модераторами Хабра.
Ну так вот, каждый писатель знает, что Хабру частенько атакуют какие-то фермы ботов, которые спамят такими комментариями. Их просто отклоняют. Но так как для @Agw29 это - первая статья, то скорее всего он принял эту ботоферму за чистую монету, и одобрил каммент.
Хотя, комментарий от@Men-fish чуто пониже уже точно выглядит плохо. Скорее всего @Agw29 за него надают по куполу.
garwall
14.09.2023 18:30+26Причем здесь тяжелая артиллерия? Любой иной дистрибутив линукс даст возможность сделать chroot или протсто творить, что хочется. То же самое к виндоус системе даст любая загрузка с подобного лайва.
Это уже неактуально черт знает сколько времени
В общем, тут не видно каких-то специфических линукс-проблем. А скорее проблемы с организацией физического доступа к компьютерам. - к этому чувствителен любой компьютер без шифрования, вне зависимости от ОС
Agw29 Автор
14.09.2023 18:30-2виноват, действительно починили. Здесь я рассматривал только безопасность m oc, без рассмотрения специфичных линукс проблема. "тяжелая артиллерия" используется только для красоты
Mimik_fc7
14.09.2023 18:30+15Это просто мамкин хакер, прям взломал. А.. звучит! Статья уровня детский сад.
Agw29 Автор
14.09.2023 18:30-1Так опыта ещё мало и в кибербезе, и в умение написание статей. А что можно именно не так?
aGGre55or
14.09.2023 18:30+7Например, "Отмечу неудобность и костыльность libre и p7 офиса по сравнению с office". Просто, если Вы что-то утверждаете в статье, то либо аргументируйте, либо давайте ссылку на стороннюю авторитетную аргументацию. Или пишите "по моему скромному мнению". А то, по моему скромному мнению (основанному, правда, на внедрениях и интеграции в финансовых компаниях и ведомствах) LO полностью заменяет MSO. Неудобно получается: мнение vs мнения.
Какое отношение T-Flex имеет к утверждению "M OC бесполезна", мне тоже неясно. Как и зачем были все эти брутфорсы и сбросы паролей. Как это доказывает "бесполезность" и к чему вообще было сделано? Покажете этот T-Flex в каком-нибудь ФГОС? Процесс обучения информатике в ГБОУ основывается на методических рекомендациях МинОбра. Терпеть не могу Альт, но если они прочитают Вашу статью - они просто выпадут в осадок. В чём претензия к ним? В том, что можно Linux порутать?)))
Ну и по кибербезу, фраза "только для
распилабюджета "зачем была написана? Есть факты? Намёк? Аргументации опять не видно. Либо пишите уже: имярек пилят бюджет и аргументируйте и все с интересом прочтут, либо не надо так.
diakin
14.09.2023 18:30LO полностью заменяет MSO
Однако не обеспечивает совместимости по документам. Другими словами вордовский файл может некорректно отображаться в LO.
borovinskiy
14.09.2023 18:30+4У Libre родной формат есть и он честно предупреждает, что возможны несовместимости при сохранении в неродном формате. Точно как и у MS Office могут быть несовместимости с odt и т.д.
Для людей, использующих Office просто для составления простых текстовых файлов особых проблем быть не должно. Проблемы могут быть в сложных случаях, но это выходит за рамки школьной программы. Да и вообще сейчас MS Office в России не продается, так что с docx пора прощаться, хоть MS Office действительно хороший продукт.
Armitage1986
14.09.2023 18:30+3Справедливости ради, проблемы некорректной поддержки офисных пакетов, как правило, возникают не во время составления своих документов, а тогда, когда требуется прочитать/отредактировать чужой, с сохранением исходного форматирования.
konst90
14.09.2023 18:30в сложных случаях, но это выходит за рамки школьной программы
Школьная программа - это как минимум формулы. Самые простые способы добавить их в документ - это либо Equation, либо MathType, либо встроенный редактор Офиса. Насколько корректно Libre отобразит формулы, созданные этими способами?
temaps
14.09.2023 18:30+2Отобразит, но форматирование потеряет. Однако, мы как раз сейчас работаем над тем, чтобы и форматирование не терял. Это завязано на некоторые тэги стиля текста. Например, сейчас в первом приближении, мы в либре реализовали тэг tint
borovinskiy
14.09.2023 18:30В школах очень простые вещи проходят: абзацы, отступы, размер шрифта, межстрочный интервал и т.д.
Формулы в текстовом процессоре там не учат писать. Да и много ли впихнешь в 1-2 урока, отведенных на изучение?
TimberWolfGBL
14.09.2023 18:30+1Вордовский файл, чудесным образом, может некорректно отображаться и в самом ворде. На днях, буквально, с таким столкнулся. Включаешь отображение скрытых символов - верстка съезжает. А в ЛО, кстати - не съезжает, в том же файле.
Dolios
14.09.2023 18:30А бензин не совместим с дизелем и что?
diakin
14.09.2023 18:30А то, что когда у вас есть только солярка, а двигатель бензиновый, то вы никуда не поедете.
Dolios
14.09.2023 18:30Но у вас есть и солярка и бензин, поэтому вы вольны выбирать любую машину. То же самое с офисными пакетами.
Большинство людей просто привыкли в ворованному офису от майкрософта и вполне себе безболезненно с него перейдут на альтернативы. Особенно школьники, у которых такая привычка даже не сформирована еще.
ftc
14.09.2023 18:30А то, по моему скромному мнению (основанному, правда, на внедрениях и интеграции в финансовых компаниях и ведомствах) LO полностью заменяет MSO.
А как боролись с тем, что LO начинает безумно тупить при попытке поработать со сколько-нибудь приличного размера таблицами? Ну там строк на 1000-2000, не слишком много.
Я сколько раз ни пробовал - GUI превращается в сплошной лагодром и работать невозможно становится.
Неужели починили уже?temaps
14.09.2023 18:30Зависит от версии. С каждой новой версией либра лучше обрабатывает большие документы.
iterignis
14.09.2023 18:30у меня на приличном компе под eos c 24 га все приложения Libre Office стартуют секунд по 15. И даже если уже один документ открыт, и все либы вроде как должны быть загружены. Плюс подтормаживания в процессе работы.
Плюнул, поставил WPS Office, который Kingsoft. Тот летает, как нотепад.Dolios
14.09.2023 18:30Сейчас проверил, на очень среднем компе Writer стартовал 2-3 секунды (сложно точно засечь), потом я его закрыл и открыл Calc, тот стартовал мгновенно (менее секунды). В процессе работы ничего не подтормаживает. Проблема у вас в чем-то другом, похоже.
iterignis
14.09.2023 18:30nach kurzen googlen показывает, что проблема со стартом LO - вечная. Треды как минимум 8-милетней давности присутствуют. Вариантов причин - n+1. В общем, пока не понял, зачем нужно заниматься дебагом LO, когда есть WPS, который просто работает.
aGGre55or
14.09.2023 18:30+1Если бы в финансовых организациях и ведомствах документы готовили в LO/MSO, клиентам их пришлось бы ждать до морковкиного заговенья. Офис - это уровень представления. Когда страховая выписывает Вам, например, полис (причём на бланке строгой отчётности, ошибки вёрстки недопустимы) он создаётся в CRM, которая использует шаблоны LO (не MSO). У сотрудницы нет проблем что-то подправить в Writer/Calc перед печатью. Хотя это и не рекомендуется, ведь данных об этих изменениях в CRM при таком подходе не остаётся, за это наказывают. Если кому-то не нравится его зарплата андеррайтера и т.д. - увольняйся. За порогом стоят тысячи таких же 40+ летних тётушек-операторов ПК, но без предубеждений в отношении офисного пакета. Специфика вся в корпоративных системах (которые открываются в Firefox) и "очень ценных" знаниях где и что в офисе лежит (бумага, скрепки, чай). То же самое с переходом на Linux. В Xfce нет "Мой компьютер" и кнопки "Пуск"? Увольняйся, что же поделать)
ftc
14.09.2023 18:30Не очень понял, при чём тут это. Если документ готовится CRM-кой и потом должен только печататься - зачем тут вообще офис? В pdf его выгрузить и печатать сколько надо (и да, 99% документов от банков/страховых/ещё кого прилетают именно в PDF).
Офис - это именно средство для подготовки документов произвольной формы. Например: технические задания (которые гуляют часто между несколькими людьми, комменты там оставлять можно, режим правок есть, вот это всё). Если мы про таблицы - то это какие-то аналитические отчёты с графиками, либо мелкая автоматизация (когда до CRM мы ещё не доросли например).
Ну то есть кейс: берем выгружаем что-то полезное из базы SQL-ем, потом хотим "сверху" навертеть какие-нить частичные суммы, посчитать мб корреляции и накидать графиков. В теории Excel для этого отлично подходит. На практике - Excel справляется хорошо, а в LO приходится страдать.
aGGre55or
14.09.2023 18:30Потому что LO начал выгружать в PDF раньше чем MSO, вот и прилетают Вам PDF))
Притом что прикладной кейс использования офиса в 99,99% организаций именно такой. Кейс "берем выгружаем что-то полезное из базы SQL-ем" - вымороженный. Вы же не в форматах MSO выгружать будете, в лучшем случае CSV, и импорт. И здесь говорить про вёрстку (о чём спич выше был) уже не приходится, а про тормозит... Ну, у меня не тормозит и MSO вообще не пользуюсь - интерфейс с лентой бесит. Прикладному пользователю в офисе или школе такое точно не надо, а речь про него. У DBA (и даже сисадмина) меньше 64G RAM на ПК - просто неприлично. Память по цене грязи, сами знаете. Нет, не тормозит. LO запускается и на слабых конфигурациях, но там мне не приходит в голову заниматься числодроблением, поэтому ничего не могу сказать. Для типовых офисных задач на 8G RAM - с головой.
ftc
14.09.2023 18:30А не зависит от объёма рамы торможение. У меня 48G на рабочей машине и всё равно тормозит.
И да, ну правда, не хватает 48G чтобы поворочать 2К строчек данных? Серьёзно, это считается нормально? ДожилиaGGre55or
14.09.2023 18:30Зависит напрямую. Параметры > LibreOffice > Память. Там же Быстрый запуск. Также посмотрите ключи, там много интересного. При установке не надо ставить то чем пользоваться не будете. Проверку орфографии Суахили ставить, например, не нужно. Если используются расширения, то JDK11 производительней JDK8. Не телепат, поэтому не знаю что происходит на Вашем ПК. Тормозит - это субъективно, у меня не тормозит ни 2K, ни 20K, разницы вообще нет. Там миллион строк на лист максимум может быть, всем должно хватать. Такого как в MSO
встречать не приходилось. В своё время собирал коллекцию ошибок MSO, под рукой, так что не удивляйтесь, могу ещё с десяток подкинуть)
zhuser
14.09.2023 18:30У меня есть таблица, ведется с 2000го года, сейчас 40252 строчки. Изначально в Экселе 95 делали, потом в ЛО перенесли. Сейчас открыл -- примерно 8 сек. Сводная по таблице обновляется 4-5 сек. Зион е31230, 3,2ГГц, 16 гиг рамы, LO 7.3.7.2, но это неважно, ЛО Калк уже много лет не лагает, дольше всего чинили лагание автофильтра. Как-то трудно представить, что 2к строчек могут тормозить.
Agw29 Автор
14.09.2023 18:30Смирнов также подчеркнул, что ДИТ распространяет по школам продукт — «М ОС», который не включен в реестр ПО при Минцифры
мне это показалось странным, раз ос уже есть, то почему он не включен в реестр?
temaps
14.09.2023 18:30Может быть потому что включение в реестр процесс очень и очень небыстрый, а релиз МОС 12, судя по сайту https://os.mos.ru/, был только 24.08.2023? Может потому что это включение просто в процессе? Не приходило в голову? Может имело смысл предварительно как следует изучить тему?
orenty7
14.09.2023 18:30Разговаривают двое Хакеров, один другому:
- Знаешь как взломать М ОС?
- Не, как?
- Берешь кали линукс подходишь к системнику, ставишь ноутбук на пол, chroot-ишься и меняй, что хочешь.
- А нафига кали?
- Ну как!.. А какой же ты Хакер без кали?
temaps
14.09.2023 18:30+10Уиилило вот это:
Оказывается, безопасность хромает сразу после установки. Путем нехитрого брутфорса, паролем оказалась комбинация 012345678
Автор установил систему, видимо, во время установки задал пароль 012345678 (или что это вообще за пароль-то?), забыл его, подобрал брутфорсом и пишет, что взломал? ????
yar3333
14.09.2023 18:30+5Хорошо, что вас волнует эта проблема. Плохо, что вы не участвовали в процессе. Когда-то, во времена, когда интернет в РФ только начинался, участвовал в создании эдакого web-портала с возможностью использования offline (для средних школ). Так вот, учителя этот портал даже запустить не всегда могли. Думаю, что если поставить пароль не 012345678, а что-то рандомное - все огребут кучу проблем уже на этапе первого входа в систему. Если система получилась в принципе юзабельной - это уже хорошо. С чего-то же нужно начинать. Что же касается заявлений про безопасность - понятно, что безопасность разная бывает - очень широкая тема - спорить бесполезно, без точных знаний о том, что было в ТЗ на разработку.
maximtkachev
14.09.2023 18:30+2Извиняюсь за оффтоп. Но не могу молчать. Орфография хромает. Вот прямо сильно хромает. Вычитывайте, пожалуйста, статью перед отправкой. Статью без ошибок приятнее читать.
Araki_Satoshi
14.09.2023 18:30Это же ОС для школ, о какой такой кибербезопасности там речь? Сколько программной защиты не ставь, школьники как крали оперативку просто сняв крышку, так и будут красть.
Забор сделать выше - сделали, а ворот как не было, так и нет.
useful_citizen
14.09.2023 18:30+4Даже тут интеграция с War Thunder...
kisskin
14.09.2023 18:30+2Для сброса cmos не надо ждать 24 часа, это делается перемычкой практически на любой материнке, а если нет, то вытаскиванием батарейки и замыканием контактов.
vlatro
14.09.2023 18:30+13Ахренеть открытие. Оказывается (sarcasm), загрузка с live носителя даёт доступ к любым незашифрованным данным на диске.
Вот только причём тут М ОС (Как и любая другая)?
servspb
14.09.2023 18:30+2Ну так-то можно и Соболь приделать, и не придется ни чего паять. Правда нет ни какой уверенности, что это нужно.
geher
14.09.2023 18:30Но есть кардинальный выход из данной ситуации, просто отключить usb порты, точнее впаять мышь/клавиатуру напрямую в плату.
Проще в uefi/bios выключить загрузку с usb. Пока не встречал случаев, когда такой возможности нет. А инженерные пароли не всегда доступны.
В противном случае, помогут только инженерный пароль или очистка cmos памяти, нужно батарейку на 24 часа вынуть.
В некоторых материнках (по крайней мере на ноутах встречал) настройки и пароли хранятся во флэше. А потому подождать придется не 24 часа, а несколько лет. Впрочем, всегда (или почти всегда?) есть бэкдор, именуемый инженерным паролем. Радует только, что пока еще не на все материнки он есть в открытом доступе.
koreychenko
14.09.2023 18:30+1Робко упомяну, что всё это же актуально и для какой-нибудь Убунты. Ну и вообще, при наличии физического доступа к компу можно много чего сделать, например, физически перенести жесткий диск на другой комп, например. И никакой пароль на биос не спасёт. (Кстати, какое отношение имеет пароль на биос к ОС?)
alextrof94
14.09.2023 18:30Пароль на биос, видимо, как средство защиты от втыкания live-usb, точнее загрузки с неё.
iamoblomov
14.09.2023 18:30Специально для безопасности, в КТРУ 26.20.15.000-00000001 Системный блок, есть следующий параметр:
Возможность блокировки кнопки включения системного блока
Шах и мат кулхацкеры и агенты ЦРУ.
ЗЫ. На деле это обычный замочек в разрыв кнопки включения, с одинаковым круглым ключиком.
ЗЗЫ. Для решения поставленных автором задач ДЕЙСТВИТЕЛЬНЫМ образом, в этом же КТРУ есть пункт:
Наличие средств доверенной загрузки, сертифицированных ФСТЭК
Что защищает загрузчик от манипуляций. Стоит условный соболь в районе $200, дефицитен, не продается просто так. Есть доверенные загрузчики в виде модуля UEFI, там класс пониже, но кали тоже не пройдет.
ЗЗЫ. Чтобы украсть много денег, в том же ктру есть пункты:
Контроль температуры и влажности внутри корпуса (на случай наводнения или применения ЯО видимо)
Контроль уровня запыленности внутри корпуса (на случай самума)
grumbler70
14.09.2023 18:30Стоит условный соболь в районе $200
При этом создаёт проблем на гораздо большую сумму, если считать по времени простоя ПК из-за его фантастической глючности.
Lam70
14.09.2023 18:30+2Вот прям напомнило один в один:
B глухой сибирской тайге мужики валили лес двуручными пилами.
Однажды прислали им японскую лесопилку, которую наши мужики
решили тут-же испытать на прочность. Взяли и положили на лесопилку
здоровую сосну.
-"Вж-ж-ж-жик!"-сказала японская лесопилкка.
-"Ух,ты!"-удивились мужики и положили на лесопилку здоровенный дуб.
-"Вж-ж-ж-жик!"-сказала японская лесопилка.
-"Ух,ты!!"-пуще прежнего удивились наши мужики и положили на лесопилку
железный лом.
-"Вж...Тр-р-пр-р-пук..."-сказала японская лесопилка.
-"АГА!!!!!"-восторженно заорали мужики и пошли валить лес двуручными
пилами.А суть такова - чтобы хреначить лом нужна нужен другой инструмент. И для тех угроз на которые намекает автор нужны другие компы и другая ос. Что стоит совсем других денег если автор что-то понимает в ИБ. А зачем это в школе? Там что есть инфа уровня доступа совсекретно? Мало того туева хуча угроз закрывается банальными оргпюанизационными мероприятиями. Автор, ты про орг мероприятия ИБ не в курсе?
Paul_Arakelyan
14.09.2023 18:30Автор вообще "не в зуб ногой" в учебном процессе.
Задача в школе/ВУЗе ровно одна - "сделать так, чтоб всё работало и без физ. воздействия - не ломалось". Если её реализация сложна - "сделать так, чтоб можно было быстро восстановить ПК". И то, и другое - вполне неплохо решается со времен MS-DOS :). Хотя с DOS - в итоге студенты заломали защиту от записи на диск :), но к тому времени - уже на NT начали переходить. В итоге, для реализации первого - нужно не дать загрузиться с постороннего носителя, что решается и технически (BIOS), и административно (условная "Мариванна" и компы мониками внутрь класса - видно всё, а заодно и на прокладке кабеля экономится :) ). Второе - бездисковая загрузка + накатывание образа диска.
Ограничение инета и т.п. - управляемые коммутаторы, static MAC на портах, ну и т.д. (уже на уровне роутера/прокси-сервера).
В статье, почему-то, про init=/bin/sh не рассказали :).
Тут в коментах написали про "кражи оперативки" (по опыту - крали "всё") - решается дрелью и навесным замком :), если "Мариванна" не справляется.
Если критиковать - то аж одну вещь - дофига народу, получая зп Н месяцев, с горем пополам собрали дистрибутифф. Эффективность - космос. И шо-то я сомневаюсь, что в процессе этого они стали опупенными знатоками кишок и опций всех тех софтин, что они пересобрали. Но это ж государство, с абсолютно ****нутой системой, где нужно надувать щеки, включив имитатор бурной трудовой деятельности - ведь ты получаешь не за результат, а за провтыканные на работе часы.
Tvinsen_NSK
14.09.2023 18:30Кажется, всё это уже было в Симпсонах. Нет, в конце 2000-х. Тоже что-то там Альт напилил для школ, а IBS внедряло...
...Место проклятое, пора бы уже понять
Rezzonans
14.09.2023 18:30Это прям очень странно сравнивать линукс (м ос) с линукс (астра). Другой вопрос, что производителям отечественных линуксов, вероятно, стоит поставлять компы с уже настроенными линуксами - это да, хотя бы на текущем этапе развития отечественных ОС. А статья - так, плач Ярославны.
garwall
Причем здесь тяжелая артиллерия? Любой иной дистрибутив линукс даст возможность сделать chroot или протсто творить, что хочется. То же самое к виндоус системе даст любая загрузка с подобного лайва.
Это уже неактуально черт знает сколько времени
В общем, тут не видно каких-то специфических линукс-проблем. А скорее проблемы с организацией физического доступа к компьютерам. - к этому чувствителен любой компьютер без шифрования, вне зависимости от ОС