Эх, работа-учёба времени совсем ничего нет, а так хочется столько всего сделать (((

cocairo :ShareAlike: boosted

♲ @rosenfeld@diasp.org: diasp.org/uploads/images/b8c68…

"Что не так с Windows?"... or Windows: What's wrong?


Title: Windows: What's wrong?
Author: Rami Rosenfeld (Project #Rosenfox)
Site: diasp.org/u/rosenfeld
Version: 0.1.2
Updated: 2019/11/08
License: CC_BY-NC-ND_4.0
Language: ru_ru
Hashtag: #windows #gnu #linux #gpl #gnugpl #proprietary #soft #program #os #software #security #privacy #free #freedom #man #manual #howto #rms #stallman #torvalds #share #reshare #lang ru #rosenfeld

Распространение данного материала с активной ссылкой на блог всячески приветствуется, особенно при нехватке контраргументов 😀 в форумном и общежитейском общении с поклонниками MS Windows!

Краткий пользовательский ликбез - в сравнении с GNU/Linux


Ниже следует серьезно переработанный и глобально дополненный материал, публикуемый в новой версии.

Предыстория

Как-то в приватном общении на одном из русскоязычных технических форумов отвечал - без флейма и доказательств типа "сам дурак!" - случайному собеседнику на вопрос (публикую с его разрешения):
Вы пишете, цитирую: "попутно убедился в тотальной невозможности любых мер по поддержанию должного уровня приватности и анонимности в среде Windows". Мои эксперименты с "допиливанием" ОС семейства Windows показали, что Вы правы практически полностью за исключением XP. Я думаю, что это единственная ОС из всего семейства, которую можно превратить в "невидимку" + можно добиться практически полной вирусонепроницаемости без антивиря и внешнего файера.

В связи с чем прошу хотя бы тезисно обозначить Ваши претензии к Windows XP. Может я чего упустил?

… Сегодня подобный вопрос возник снова, и я решил создать (в первую очередь для самого себя, чтобы лишний раз не трепать языком и не оббивать пальцы об клавиатуру) мини-HowTo, которое позволило бы кратко обозначить основные проблемы Windows (любых версий). Вторая часть ликбеза посвящена возможностям GNU/Linux, с упором на обеспечение его безопасности.

При подборе аргументов я старался не вникать в высокие материи и излагал свои доводы так, чтобы информация была доступна для понимания любому ~~идиоту или домохозяйке~~ неподготовленному человеку.

Итак, ответы...

WINDOWS


На протяжении примерно четверти века я непрестанно твержу: "Безопасность любого компьютера должна быть комп-лекс-ной!" И речь здесь идет не только о защите браузера и коммуникаций "пользователь" - "конечный сайт". Поэтому, уж поскольку я много лет назад перешел с Windows XP на RedHat, вначале мне проще перечислить, чего не имеется в первой из вышеупомянутых ОС (равно как и в последующих версиях Windows):
  • ГЛАВНАЯ ПРОБЛЕМА: несвободное (проприетарное) программное обеспечение - это относится и к самой ОС, и к большинству прикладного софта к ней. Соответственно, всю ОС и все программы с закрытыми исходными кодами, которые недоступны для стороннего исследования, проверки и аудита, уже(!) можно считать недоверенной средой. Подобный софт "не принадлежит" пользователю, наоборот - "пользователь принадлежит ему" (в шутку принято говорить так: "Не пользователь имеет программное обеспечение, а программное обеспечение "имеет" пользователя"). Соответственно, любые ОС и ПО в силу их закрытости ведут себя, как им вздумается, причем эти процессы невозможно проконтролировать. Данный подход весьма метко называется "цифровыми наручниками".
  • Проприетарные (собственнические) лицензии, под которыми выпускается как ОС, так и программы под нее, не предоставляют конечному пользователю практически никаких прав, зато накладывают огромное количество ограничений, прямых запретов и обязанностей. Чтобы убедиться в этом, самостоятельно откройте любую сопроводительную лицензию, часто обозначаемую как EULA (end-user license agreement) и внимательно ознакомьтесь с содержанием.
N.B.! Не обольщайтесь и будьте внимательны в использовании: т.н. проприетарные "бесплатные", "Free", "Freemium" и "Shareware" лицензии к ПО под Windows относятся к аналогичной категории "цифровых наручников"!
  • Огромнейшая проблема любых последних версий Windows - это тотальная телеметрия! Отчеты практически о всех пользовательских действиях (работа с файлами, в т.ч. критичными; интернетом, электронной почтой и т.п.), а также о большинстве процессов, происходящих в ОС, напрямую передаются разработчикам, причем этот функционал является скрытым и неотключаемым. Таким образом, у пользователя Windows действительно "нет никаких секретов" перед разработчиками из Microsoft. Повторюсь: телеметрия ОС и программ под нее зачастую является неотключаемой в стандартных настройках и требует специальных познаний, связанных с тщательным и кропотливым редактированием реестра Windows или настроечного ini-файла программ. Именно поэтому весьма справедливо телеметрия именуется "анальным зондом".
N.B.! Кстати, далеко не факт, что внесенные вами запрещающие изменения не обнулятся при очередном обновлении (примерно так и происходит).
  • Платность (сразу оговорюсь - я принципиальный противник нарушения требований проприетарных лицензий и авторских прав разработчиков; соответственно - никогда не устанавливаю взломанные или нелегально модифицированные операционные системы или программы, а также сторонние сборки типа "Windows Zver-DVD", и не призываю к этому всех присутствующих. 😀
К примеру, рассмотрим, какую сумму необходимо затратить маленькой рекламной фирме из 3-5 сотрудников (поговаривают, что сейчас это самое модное направление бизнеса - куда ни плюнь, обязательно попадешь в какого-нибудь сраного "дизайнера") на приобретение минимального набора софта, обеспечивающего работу с графикой и видео. Для простоты и удобства будем рассчитывать стоимость ОДНОЙ операционной системы и ОДНОЙ программы для ОДНОГО компьютера.

Итак, чтобы использовать Windows, а также необходимый набор проприетарных узкоспециализированных программ по профилю деятельности, главе условной фирмы необходимо потратить (в ценах 2019 г., взятых произвольно - из магазина Softline - при округленной стоимости доллара 65 руб.):

а) примерно 205$ - если я захочу приобрести отдельный "коробочный" инсталляционный носитель с Windows 10 Pro (плюс лицензию и регистрационный ключ); для сравнения - Windows 10 Home Edition (для домашнего пользования) продается по цене примерно 129$ - но это лишь стоимость самой электронной лицензии (в подобном случае пользователь "на руки" не получает ничего!)
б) 577$ - на пиксельный редактор Adobe Photoshop CC 2019 (с лицензией Enterprise - всего на 12(!) месяцев).
в) 191$ - на векторный редактор CorelDRAW Graphics Suite 2019 (с лицензией - всего на 12(!) месяцев).
г) 577$ - на издательскую систему (средство верстки) Adobe InDesign CC 2019 (с лицензией Enterprise - всего на 12(!) месяцев).
д) 394$ - на офисный пакет MS Office Standard 2019.
е) 577$ - на видеоредактор Adobe Premiere Pro CC 2019 (с лицензией Enterprise - всего на 12(!) месяцев).
ж) 60$ - на антивирус Kaspersky Small Office Security 6 (вариант лицензии для мини-организаций рассчитан на 5 ПК/мобильных устройств и всего на 12(!) месяцев).
з) 200$ - на "1С:Предприятие 8" для обеспечения бухгалтерских и прочих расчетов.

ИТОГО: 2 781 доллар США или 180 765 рублей (в рубли я пересчитал специально для моих русскоговорящих подписчиков и читателей)

... Впечатляет?! 😀
  • Отсутствие полноценного дискового шифрования, включая:
а) системный раздел;
б) раздел подкачки;
в) пользовательский раздел.
  • Отсутствие дополнительного надежного (повторюсь: "на-деж-но-го"!) шифрования данных пользовательских аккаунтов или отдельных каталогов в них.
  • Отсутствие возможности надежного полнораздельного шифрования съемных носителей (флэшек, винчестеров и т.п.)
  • Как итог предыдущих пунктов: полное отсутствие в ОС "из коробки" каких-либо симметричных, асимметричных и комбинированных средств шифрования, доступных конечному пользователю: GnuPG, LUKS, EncFS и т.п. В GNU/Linux первые две системы - неотъемлемая часть ОС.
  • Небезопасная и непрозрачная система обновлений ОС. Печально, но факт: вы не можете отключить автоматическое обновление Windows в ее последних версиях стандартными средствами (если не ошибаюсь - вообще(!) не можете), равно как и не состоянии управлять и даже наблюдать за обновлением ОС. Для сравнения: в GNU/Linux я полностью контролирую данный процесс (ибо вижу поименно, какие пакеты приходят для обновления; могу легко манипулировать ими: запрещать отдельные обновления, отменять их, т.е. делать даунгрейды и т.п.). Кроме того, в GNU/Linux каждый пакет имеет жесткие зависимости, подписан отдельной цифровой подписью, что исключает его подделку/видоизменение при автоматическом скачивании из официального репозитория или с "зеркала".
  • Игнорирование разграничения прав пользователей и игнорирование разграничения прав отдельных процессов и прикладных программ, а также доступа к ним. Приведу простой пример. Как правило, на стандартном компьютере с Windows первый (он же единственный) пользователь однозначно обладает административными правами; причем редко кто заботится о создании хотя бы примитивного пароля как к пользовательскому, а уж тем более - к отдельному администраторскому аккаунту. Буду максимально честен - к подобному опасному идиотическому подходу пришла распространенная среди школьников, хипстеров и ламеров операционная система GNU/Linux под названием Ubuntu и ее многочисленные деривативы (см. мою отдельную статью: "Почему sudo используют только чудаки").
Таким образом, любая критичная с точки зрения безопасности (и однозначно запрещенная в среде GNU/Linux!) операция в Windows выглядит следующим образом:

а) запускаем исполнимый файл (который может быть вредоносным);
б) предупреждение ОС: "Для его запуска необходимо обладать административными правами..." (или что-то подобное);
в) смело жмем на кнопку ОК;
г) ОС (осторожно): "Вы действительно хотите ...?"
д) Наш ответ: "Да!"
е) ОС (без тени сомнения): "Ну что же... валяйте! Разрешаю!"

О какой, стесняюсь спросить, "безопасности" тут может идти речь?!
  • Отсутствие нативного обеспечения sandbox, "песочницы", т.е. средства ("бесправного") запуска любых процессов в изолированной среде. Для сравнения: в GNU/Linux даже встроенным средствами SELinux (Security-Enhanced Linux; система принудительного контроля доступа) я могу запустить любой пакет в песочнице буквально одной простенькой командой.
  • Отсутствие нативного запуска "виртуальных машин". У меня это встроенная функция; соответственно, поверх хоста я могу запустить любую(!) изолированную операционную систему: от Windows и до самых экзотических… Ну и дальше - безопасно работать из-под нее.
  • Отсутствие TmpFS (разумного подхода к обеспечению безопасности, когда промежуточные данные перенаправляются исключительно в RAM, оперативную память). Соответственно, в Windows все многочисленные временные данные сохраняются на HDD и могут быть легко восстановлены гипотетической атакующей стороной.
  • Отсутствие вменяемого и логичного разбиения физического диска при первоначальной инсталляции ОС. По умолчанию, Windows будет установлена на единственный раздел (называемый "Диском С"), в котором будут располагаться:
а) загрузчик;
б) сама система;
в) прикладные программы, установленные пользователем;
г) настройки системы и всех прикладных программ;
д) все(!) пользовательские данные и профили;
е) файл подкачки.

Таким образом, при успешном 😀 и качественном крахе системы, вы лишитесь всего и сразу! Помните поговорку "Не кладите все яйца в одну корзину"? ... Вот-вот!
  • Отсутствие нативных, надежных и проверенных средств уничтожения данных. GNU/Linux, напротив, обладает встроенным функционалом.
  • "Родной" фаэрволл в Windows (добавлено позже: по крайней мере, это мое утверждение относится к версии XP) - это отдельная и очень большая проблема. Будем считать, что его там вообще нет. Это, кстати, не мое утверждение, а результаты исследований со специализированного сайта Matousec, много лет подряд занимающегося тестированием и сравнением брандмауэров и т.п. (к сожалению, сейчас эти данные там недоступны).
    • Вирусная активность. Могу ли я дальше ничего не объяснять подробно? 😀 Приведу лишь маленький пример; вы, наверное, обращали внимание на объем баз, скачиваемых/обновляемых вашим антивирусом? Так вот, отдельная сигнатура (условно говоря, хеш-сумма) определенного вируса, может занимать 4/8/16 байт. При расчете: 1 сигнатура = 4 байта (с использованием алгоритма CRC32) и "весе" антивирусной базы в 256 Мб, мы придем к количеству примерно в 67(!) миллионов вирусов, написанных под Windows! Причем, (зоо-)парк вирусов под Windows имеет свойство увеличиваться в геометрической прогрессии.
Более того, сами антивирусные программы обладают свойствами "троянского коня" - они зачастую передают телеметрические и прочие(!) пользовательские данные производителям, особенно при "облачной" проверке файлов; так что будьте готовы к тому, что ваш любой(!) файл, например секретный документ или фото голой подружки с огромным фаллоимитатором в руке, 😀 обязательно покинет компьютер и будет отправлен на чужой сервер.

Не секрет, что комплексные антивирусы (т.н. Internet Suit), рекламирующие "безопасность при работе в интернете" и "проверку любой ссылки/закачки", по сути, являются успешным примером завуалированной атаки man-in-the-middle ("человек посередине"), т.к. в данном случае они служат своеобразными прокси-серверами, перехватывающими и затем расшифровывающими любые получаемые/передаваемые данные для "проверки на вшивость" и зашифровываемыми обратно. Кстати, в некоторых случаях стойкость алгоритмов шифрования в HTTPS-соединения при подобном подходе снижается, т.к. антивирус может использовать менее надежный алгоритм.
  • Небезопасная и непрозрачная система обновлений прикладных программ. Как правило, для "правильного" и "чистого" обновления какой-либо программы в Windows необходимо вручную осуществить следующие действия:
а) корректно экспортировать и сохранить критичные данные из пользовательского профиля (пароли, закладки и т.п.);
б) деинсталлировать старую программу;
в) зачистить множественные обрывки в реестре и на винчестере при помощи дополнительного софта;
г) найти официальный(!) сайт производителя;
д) самостоятельно выбрать(!) и скачать оттуда инсталлятор, подходящий для текущей ОС и для ее разрядности (32/64);
е) установить программу;
ж) настроить ее;
з) импортировать в программу сохраненные пользовательские данные.

Учитывая, что большинство обычных пользователей тупо набирает в Яндексе/Гугле название программы и качает ее из первого же(!) попавшегося источника (т.е. с любой файлопомойки или недостоверного, но прорекламированного сайта; в этом можно убедиться самостоятельно - просто обратите внимание на первые строки выдачи результатов поиска в распространенных поисковых системах или вспомните недавнюю историю про фейковый "русский TOR"), результат их действий вполне предсказуем. 😀 И это не говоря уже о том, что даже в "официальный" проприетарный дистрибутив, скачанный с не менее официального сайта, производители - и на вполне легальной основе! - могут встроить кучу стороннего "мусорного" софта (и отказаться от него можно только перейдя в "расширенные настройки установки"; впрочем, бывают отдельные тяжелые случаи, когда установку дополнительных программ, навязываемых пользователю, запретить нельзя).

В GNU/Linux, как вы, наверное, понимаете, такая ситуация невозможна в принципе (см. ниже).
  • Пользователю предлагается всего две файловые системы - FAT и NTFS.
  • Отсутствие отслеживания зависимостей между компонентами (пакетами) со стороны общесистемного инсталлятора (в GNU/Linux это apt-get, yum, dnf). Как результат, любая(!) сторонняя программа может занести с собой при установке любые(!) компоненты (библиотеки и т.п.), необходимые для ее работы, абсолютно не обращая внимания на тот факт, что они в ОС:
а) уже имеются;
б) не подходят по версии к другому, т.е. уже установленному ПО (таким образом, возможен конфликт).
  • Дичайшее и неоправданное потребление системных ресурсов! Не так давно я занимался восстановлением Windows 10 Home (c заводского образа, расположенного на скрытом разделе) на ноутбуке одного друга. Так вот - после переустановки свежей ОС и тотального отключения всех ее телеметрических сервисов - как вручную, так и при помощи интерфейса программы O&O ShutUp10 - а также удаления ПО, щедро предустановленного производителем Lenovo, и прочего мусорного софта, оперативная память, равная 2 Gb, все равно была задействована на 60-70%!
Для сравнения: сразу 3 разных версии Fedora Linux на трех стареньких нет(!)буках с 1 GB RAM, потребляют у меня... не более 220-240 Мб памяти (вместе со всем установленным софтом!)
  • (…) И это - только навскидку! Извините, устал перечислять. 😀

GNU/LINUX


А вот как это устроено в GNU/Linux:
  • САМОЕ ВАЖНОЕ! Свободны - как сама операционная система, так и все пакеты (т.е. программы, библиотеки, скрипты, фреймворки и т.п.) к ней; причем "свободны" с точки зрения Free as a Freedom, not as "free beer" ("Свободны как в слове "Свобода", а не как в словосочетании "халявное пиво").
Напомню, что представляют из себя пользовательские свободы с точки зрения основной лицензии - GNU GPL (and lesser, т.е. ее производные):
  • Свобода номер ноль - это свобода запускать программу так, как вам этого хочется.
  • Свобода номер один - это свобода изучать исходный код программы и изменять его так, чтобы программа работала в соответствии с вашими пожеланиями.
  • Свобода номер два - это свобода помогать остальным, свобода распространять точные копии программы среди других пользователей.
  • Свобода номер три - это свобода вносить вклад в сообщество. Это свобода распространять модифицированные копии программ, если вам этого хочется.

Если у пользователя программы есть все четыре свободы, программу можно отнести к свободному программному обеспечению. Свободное ПО - это общественный строй, который определяет, как распространять и использовать программы.

(цитируется по интервью Ричарда Мэттью Столлмана, он же rms, основоположника операционной системы GNU и лицензии GNU GPL)
  • Полноценное и тотальное распределение ограничивающих прав - как на каталоги, каждый отдельный файл, так и на группы пользователей.
  • Полноценное полнодисковое шифрование LUKS (The Linux Unified Key Setup). При инсталляции ОС шифруются:
а) "/" - системная область;
б) "/swap" - раздел подкачки;
в) "/home" - пользовательский раздел.
г) опционально - другие разделы.
  • Дополнительное шифрование пользовательского раздела, находящегося в общесистемном каталоге "/home".
  • Вынос загрузчика ОС на внешний носитель (простейший аналог аппаратного ключа).
  • Обеспечение системы принудительного контроля доступа - SELinux в enforcing-режиме. SELinux является не заменой, а следующим уровнем, работающим после классической модели безопасности Linux. Применение политик безопасности и ролей (т.е. каждый пакет/программа обладает минимальным ограничивающим набором прав в соответствии с ее официальным функционалом).
Простейший пример: любой произвольный текстовый редактор имеет права записывать данные на носители или посылать задания на печать, но если он проявит иную нехарактерную активность, например, попытается самостоятельно соединиться с веб-ресурсом или, к примеру, записать компакт-диск, 😀 то немедленно будет блокирован. Этот функционал немного схож с HIPS (Host-based Intrusion Prevention System, системой предотвращения вторжений, которой обладают некоторые серьезные антивирусы для Windows; хороший пример качественного HIPS имеется в Comodo Internet Security), однако в GNU/Linux он является встроенным в саму ОС. Впрочем, предустановленные для большинства приложений роли (они периодически скачиваются и устанавливаются вместе с системными обновлениями) можно видоизменять под свои нужды, однако делать это необходимо с максимальной осторожностью. Категорически не рекомендуется переводить SELinux в разрешительный режим permissive или отключать его!
  • Глобальный менеджер системных сервисов - systemd.
К примеру, чтобы инициализировать/запустить/остановить или проверить состояние/статус любого сервиса (ранее они именовались "демонами"), необходимо выполнить простейшую команду:
systemctl enable/start/stop/status name.service (или name.socket)
  • Надежный и удобный в настройке предустановленный фаэрволл, например, firewalld, работающий в режиме "запрещено все, кроме того, что явно не разрешено".
Взгляните, вот как просто одной консольной командой закрываются все(!) порты сразу по двум протоколам TCP/UDP, и одновременно из правил фаэрволла удаляются неиспользуемые службы:
firewall-cmd --permanent --remove-port=1-65535/udp && firewall-cmd --permanent --remove-port=1-65535/tcp && firewall-cmd --permanent --remove-service=samba-client mdns ssh (...)

Впрочем, эти же действия осуществляются и посредством GUI, т.е. графического интерфейса фаэрволла.
  • Журналирование действий ОС, прикладных пакетов и тотальный централизованный контроль за логами (подчеркиваю - за любыми(!) логами), а также их анализ - система journald. Это изумительную по простоте и удобству систему я хочу кратко продемонстрировать на отдельных примерах:
Просмотр логов, созданных сервисом name.service (можно набрать просто "name"):
# journalctl -u name

Просмотр логов, созданных сервисом name только в текущей сессии загрузки системы:
# journalctl -b -u name

Просмотр логов, созданных сервисом name сегодня (и т.п., например "с... до"):
# journalctl -u name.service --since today

Просмотр активности определенного пользователя (с использованием его UID):
# journalctl _UID=1000

Просмотр последних 15 записей всех логов ОС и ПО:
# journalctl -n 15

Просмотр полного лога в реверсивном режиме (последние записи отобразятся первыми):
# journalctl -r

Просмотр в режиме реального времени (с автообновлением):
# journalctl -f

Удаление логов по временному промежутку:
# journalctl --vacuum-time=2months
# journalctl --vacuum-time=1days
  • Виртуализация: начиная с простейшей "sandbox" ("песочницы"), в которую легко "оборачивается" любая прикладная программа и ей присваивается определенная ограничительная "роль", и заканчивая полноценными виртуальными машинами, когда из-под хоста запускается "гостевая ОС", разворачиваемая из ISO-файла.
К примеру, вот как просто запустить ваш браузер в изолированном от ОС ограничительном окружении:
sandbox -X --type sandbox_web_t browser_name
  • Перенаправление временных и промежуточных данных в TmpFS (т.е. они записываются не на HDD, а исключительно в RAM и уничтожаются с обесточиванием); в отдельных продвинутых дистрибутивах существуют также методы борьбы с атакой, используемой во время т.н. cold reboot ("холодной перезагрузки").
  • Обновление ОС и всего прикладного ПО из официальных репозиториев; автоматическая проверка электронной цифровой подписи (ЭЦП) каждого пакета. Прозрачные ("говорящие") названия каждого пакета и доступность расширенной информации о нем, в том числе - о его зависимостях. Весь системный и прикладной софт:
а) автоматически скачивается из официальных репозиториев (источников пакетов и их обновлений);
б) при этом используется защищенный канал к любому из "зеркал" репозиториев;
в) как я уже упоминал, каждый пакет подписан официальной цифровой подписью производителя и его злонамеренное видоизменение невозможно.
  • Простота и наглядность при установке/удалении программного обеспечения, обновлении ОС и ПО.
К примеру, чтобы обновить всю(!) операционную систему и все(!) пакеты (прикладные программы, библиотеки и т.п.) в ней, необходимо выполнить всего одну команду:
dnf upgrade

Для автоматизированной установки необходимых программ списком (вместе с их зависимостями) команда столь же примитивна:
dnf install program_1 program_2 program_3 (...)

То же самое относится к массовому удалению ненужных программ (немаловажно - и зависимостей к ним):
dnf remove program_1 program_2 program_3 (...)

Кстати, конечному пользователю вовсе необязательно помнить и приводить подробным списком все программы (пакеты), необходимые, например, для разработки и компиляции исходных кодов языка С. Все компоненты для его использования можно установить методом "груповой инсталляции":
dnf group install @c-development

Добавлю, что репозиториях любой ОС предусмотрены самые разнообразные группы пакетов, например Office и т.п.

Столь же просты и удобны команды поиска программы в репозиториях, а также получения расширенной информации о них. И поверьте, для этого нет необходимости искать в интернете сайт официального производителя или обращаться к Википедии:
dnf search program_name
dnf info program_name

Весьма часто пользователю необходимо запретить обновление какого-либо софта. Это достигается перечислением имени пакета(-ов) в конфигурационном файле менеджера пакетов:
exclude=program_1 program_2 program_3 (...)
  • Гарантированное многопроходное уничтожение (а не простое удаление) критичных данных, включая логи ОС, демонов, сервисов и пользовательских файлов.
  • Резервное копирование критичных и пользовательских данных с заданием периодичности и автоматической синхронизации, а также шифрование бэкапов.
  • Встроенная по умолчания система генерирования (импорта-экспорта, хранения, редактирования и присваивания степени доверия) открытых/приватных ключей стандарта OpenPGP, а также пользовательских паролей к различным веб-программам, интернет-аккаунтам (XMPP, WebDAVs, OpenCloud) и прочих ключей, например SSH.
  • Встроенная по умолчанию в файловые менеджеры опция шифрования, заверения при помощи электронной цифровой подписи, аутентификации и расшифрования файлов по стандарту OpenPGP (см. абзац выше).
  • Расширенное планирование и последующий автоматический запуск любых процессов посредством systemd.timer (или устаревшим crontab).
  • Обеспечение приватности и защищенности любых коммуникаций, включая веб-серфинг, E-mail, голосовое (VoIP) и IM-общение: SSL/TLS, SSH, SFTP, SCP, The Onion Router (TOR), GnuPG, OTR (Off-the-Record Messaging); ZRTP (Z+Real-time Transport Protocol), используемый для Voice over Internet Protocol (VoIP). Шифрование и верификация DNS-соединений, минуя DNS-провайдера: DNSCrypt, DNSSec.
  • Отсутствие вирусов и прочих вредоносных программ. Кстати, если уж речь зашла о вирусах, могу добавить: в GNU/Linux их практически нет - этому способствует множество факторов: корректное (ограничительное) распределение прав групп, отдельных пользователей, а также присвоение атрибутов файлов и каталогов; сама архитектура ядра, система контроля SELinux и т.п. Официальной статистики о вирусах, разработанных под Linux, не существует, а редко встречающиеся данные значительно устарели; так, в Википедии утверждается, что "число вредоносных программ под Linux увеличилось с 2005 года. В частности, произошло удвоение количества вирусов с 422 до 863 [единиц]"(!)
Отдельно отмечу, что практически все вирусы в среде GNU/Linux необходимо "запускать руками", т.е. пользователь обязан самостоятельно активировать вредоносный файл (предварительно отключив имеющиеся системы защиты и предоставив ему при этом необходимые права). Именно поэтому, как правило, все вирусы для GNU/Linux созданы в тестовых целях - на предмет изучения гипотетических уязвимостей ОС. Ну а большинство обнаруженных уязвимостей исправляются производителями буквально в течение нескольких дней после обнаружения.

Опционально в ОС может быть установлены сетевая система предотвращения и обнаружения вторжений, например Snort, система сканирования на руткиты, бэкдоры и локальные эксплойты - rkhunter (Rootkit Hunter), а в качестве необременительного довеска - антивирус ClamAV.
  • "Собор и базар". С предыдущим абзацем (об устранении уязвимостей) тесно связан подход к созданию GNU/Linux и прикладного ПО к нему, именуемый "базар"; эта важная тема впервые была раскрыта в основополагающем эссе Эрика Реймонда. Если создание исходных кодов для Windows происходит в централизованном и "закрытом" иерархическом режиме (такой подход именуется "собор"), а конечный пользователь никак не может повлиять на этот процесс, то в GNU/Linux любой пользователь, исходя из вышеперечисленных "четырех свобод", обеспеченных лицензией GNU GPL, имеет полное право:
а) искать уязвимости в ОС и пакетах/программах;
б) самостоятельно исследовать уязвимости и сообщать о них разработчикам;
в) создавать дополнительный улучшенный функционал пакетов и программ;
г) свободно распространять его в т.н. "форках" ("вилках", т.е. в ПО под иным названием, но с обязательным соблюдением исходной свободной лицензии);
г) делиться результатами своего труда и исходными кодами с другими пользователями;
д) предлагать их разработчикам для включения в мейнстрим.

Именно благодаря такому подходу (иногда его называют "миллионы глаз"), уязвимости в GNU/Linux обнаруживаются и закрываются весьма быстро.
  • Разнообразие DE (Desktop Environment, графическое окружение рабочего стола) и графических оболочек для операционной системы. Если вы помните, в Windows существует одна-единственная унифицированная схема оформления интерфейса ОС (расположения меню, элементов управления и т.п.) и пара-тройка цветовых гамм. Пользователи же GNU/Linux имеют возможность выбирать себе DE примерно среди десятка разнообразных окружений. Наиболее популярными сейчас являются GNOME 2, GNOME 3 (в них используется оболочка GNOME Shell), KDE, XFCE; среди относительно новых - Cinnamon, MATE и прочие.
Лично мне больше всего импонирует GNOME, руководствующийся принципом: "одна задача - одно приложение". Поясню этот подход подробнее: если производители других DE порою переусердствуют в желании обеспечить пользователя всем необходимым - и в предустановленной ОС зачастую можно встретить сразу два-три средства со схожим функционалом (например, различные терминалы для работы с командной строкой), т.е "каждой твари по паре", то GNOME выгодно отличается своим минималистичным подходом.
  • Предустановленное ПО (см. предыдущий пункт). Конечные пользователи GNU/Linux после установки получают не "голую" ОС, а полноценную среду, уже настроенную на работу и выполнение основных задач. И если в свежеустановленной Windows, по сути, нет ничего, кроме примитивного текстового редактора, весьма уязвимого и малофункционального браузера и морально устаревшего плейера, не умеющего обрабатывать самые распространенные кодеки, пользователь GNOME, может воспользоваться полноценным и качественным программным обеспечением. Вот стандартный набор ПО:
GNOME Terminal - эмулятор терминала;
GNOME Maps - географические карты (online);
GNOME Documents - менеджер документов;
GNOME Photo - менеджер изображений;
GNOME Contacts - менеджер контактов;
GNOME Games - набор игр;
GNOME Weather - метеорологическая станция;
GNOME Disks - средство создания, редактирования разделов на носителях (включая полнодисковое шифрование; иногда дополняется отдельной программой GParted);
Eye of GNOME - средство просмотра графики (как правило, зачастую его дополняют простым фоторедактором gThumb);
Web (ex-Epiphany) - браузер; впрочем, как правило, производители заменяют его на Firefox;
Evolution - почтовый клиент + PIM - мощное сервер/клиентское средство планирования, работы с задачами, событиями, заметками, контактами, календарем;
Ekiga - средство IP-телефонии;
Empathy - приложение мгновенного обмена сообщениями, поддерживающее множество протоколов, а также видео- и голосовое общение;
FileRoller - всеформатный менеджер архивов;
Totem - видео-/аудиоплейер; иногда дополняется аудиоплейером Rhythmbox;
Nautilus - файловый менеджер;
Alacarte - редактор меню;
Brasero - программа для работы с CD/DVD.
Sound Juicer - приложение для извлечения звуковых дорожек с компакт-дисков;
Tomboy - программа создания заметок;
Gedit - расширенный текстовый редактор (он понимает практически все языки разметки и программирования);
Seahorse - средство создания, хранения шифровальных ключей GNUPG, SSH и регистрационных данных (связок "логин/пароль") к разнообразным пользовательским аккаунтам;
Evince - средство просмотра электронных документов (pdf, djvu и т.п.).

LibreOffice - офисный пакет (создание и редактирование документов, электронных таблиц, презентаций, графики и математических формул); Примечание: не относится к GNOME, но предустанавливается практически во всех распространенных дистрибутивах GNU/Linux.

КРАТКИЕ ИТОГИ


Надеюсь, из вышеприведенного материала вы смогли проанализировать и усвоить некоторые 😀 отличия двух операционных систем. И напоследок хочу добавить следующее: исходя из неоспоримых преимуществ, надежности и повышенной безопасности, а также длительного срока техподдержки у серьезных производителей дистрибутивов (та же RedHat обеспечивает расширенную поддержку/обновление своих продуктов в течение 14 лет!) GNU/Linux успешно используется:

а) на промышленных серверах (особенно в критических областях): атомной энергетике и т.п.;

б) в научной сфере; например, при обслуживании Большого адронного коллайдера (в европейском CERN'e); в знаменитой американской физической лаборатории им. Энрико Ферми; при обработке астрономических данных (результатов исследования межзвездного пространства);

в) на гигантских метеорологических серверах, обсчитывающих в реальном времени миллионы погодных данных со всего света;

г) в военной области; например, даже(!) в РФ большинство из т.н. "отечественных 😀 операционных систем", применяемых в МО РФ и прочих силовых ведомствах, полностью основано на исходных кодах RedHat: "ROSA Linux", "Заря", "Мобильная система Вооружённых Сил", "ГосЛинукс";

д) в дата-центре на новейшем американском эскадренном миноносце с ракетным вооружением Zumwalt;

е) примерно на 60-70% веб-серверов;

ж) при обеспечении веб-хостинга; так, даже по состоянию на далекий 2014 г., 7 из 10 самых надежных хостинговых компаний в мире использовали GNU/Linux;

з) практически на 100%(!) мировых суперкомпьютеров (см. т.н. "список Top 500");

и) на "фермах" высокопроизводительных компьютеров, создающих цифровые спецэффекты и графику для фильмов (интересный факт: кинотриллогия "Властелин Колец" создавалась на Linux-ферме из 192 двухъядерных процессоров Silicon Graphics (1200/1100 series), которые исправно и непрерывно трудились в режиме "24/7" длительное время, необходимое для рендеринга изображения и наложения спецэффектов;

к) в подавляющем большинстве электронных мини-устройств, применяемых в IoT ("интернете вещей") и системах "умный дом"; так, Linux Embedded можно обнаружить в автоматике, контрольно-измерительных приборах, системах видеонаблюдения, "умных" часах, холодильниках, телевизорах, а также в смартфонах, электронных книгах, телефонах и множестве аналогичных бытовых устройств.

КОНЕЦ


На этом - пока что все... Изменения, дополнения и возражения с благодарностью принимаются!
cocairo :ShareAlike: boosted

Каждый день магазины и рестораны выбрасывают тонны еды. И каждый день кто-то рядом с этими магазинами и ресторанами считает деньги, пытаясь понять, хватит ли у него сегодня на сосиски или пряники. Расточительство и бедность живут рядом.
Фудшеринг — движение, которое делает так, что ненужная ресторанам и магазинам еда попадает к людям, которым она нужна. Движение возникло в Германии, распостранилось по Европе и теперь есть и у нас. Подробнее тут: foodsharing.ru

@rf

Думал поднять чат для своих, чтоб даже в случае блокировки всего осталась гавань.
Думал, голосовой - забил.
Думал, обычный вес чат - забил.
Понял что обычная борда это самое лучшее

Хмм, а что нужно для ламповых стримов.
По сути голосом пиздеть, видиво слать в эфир, ну и чатик.
А ну и компухтер, что это потянет.
Кхе, с последним беда.

Давно не заходил.
Вот поставил старенький коредуба на шкаф в качестве сервера.
Приятно работает.
Сижу теперь людям паки расшариваю по фтп, жаль безопасность не к чёрту, но буду допиливать.
Кофе пью на работе и думаю о вечном.

@rf
Хех, ещё об экосистеме.
Я понял что нужно уточнить что я имею ввиду.
Я понимаю экосистему, как несколько программно аппаратных комплексов, которые взаимодействуют без задецствия сторонних сервисов.

Может не совсем верно выразился сказав про опен сорсную экосистему, но именно открытость и возможность развернуть у себя, это и есть то, по каким параметрам идёт выборка.

Попытаюсь сформулировать задачу, я хочу избавиться от всех сторонних сервисов, но при этом пользоваться всеми их благами, будь то облачный офис, синхронизация всего и вся, хранилище...
Сложно оформить всё это, я хочу понять, можно ли сделать такое же пространство рабочее как у Гугла или Майков, с их диском, офисом и т.д.
Но с помощью свободных технологий.
Думаю так

@rf помогай.
Я вот задумался, у Гугла есть экосистема, у Майков, у яблочников, а что у опенсорсников?
Естественно эта экосистема не похожа на прочие, но всё же.
Вот телефон на ведре, ноут, стационарный ПК и сервер.
Есть nextcloud, который закрывает часть мобильных облачных сервисов.
Слышал про весч что синхронизирует компьютеры на линуксе, не файлы, а именно настройки окружения и программы, надо найти её опять.

Вообще этот вопрос родился в ответ на необходимость создания своей домашней экосистемы.

Поставил дома старый комп в качестве сервера, приятно журчит на шкафу теперь.
Сайт зачёт там, gitea (только не знаю как с порта её перевести на отдельный адрес), хочу вот от Гугла уйти завести там nextcloud.
Ну и надо бекапами озаботиться, кхе

@@@
ЛЮДИ НА ФОРУМАХ ОБЪЕДИНЯТСЯ И НАЧИНАЮТ РАСПРОСТРАНЕНИЕ ГАРАЖЕЙ ДЛЯ СБОРКИ ЛАБОРАТОРИИ ПО ИЗГОТОВЛЕНИЮ ПИВА.
СО ВРЕМЕНЕМ ПРОЕКТ ОБРАСТАЕТ СЛОЖНОЙ СИСТЕМОЙ ЗАВИСИМОСТЕЙ. ПОЯВЛЯЮТСЯ ПЕРВЫЕ КОНТЕЙНЕРЫ С ГОТОВЫМИ ЛАБОРАТОРИЯМИ.
@@@
НО СИСТЕМА УПРАВЛЕНИЯ КОНТЕЙНЕРАМИ НЕ УСТАНАВЛИВАЕТСЯ ИЗ-ЗА СЛОЖНЫХ ЗАВИСИМОСТЕЙ.
СБОРКА ПИВА ИЗ ИСХОДНИКОВ СТАНОВИТСЯ СЛИШКОМ СЛОЖНОЙ, КОМПАНИИ НАЧИНАЮТ ВЫПУСКАТЬ STABLE-ВЕРСИИ ПИВОВАРЕН С ДЛИТЕЛЬНОЙ ПОДДЕРЖКОЙ.
@@@
STABLE-ВЕРСИИ СОЧЕТАЮТ В СЕБЕ ПРИВКУС ГОВНA И НОТКИ ИМБИРЯ, НО ВСЕ ХАВАЮТ, ПОТОМУ ЧТО ПОРОГ ВХОДА В ТЕХНОЛОГИЮ СТАЛ ОЧЕНЬ БОЛЬШИМ.
@@@
ИТОГ: ОБЫЧНОЕ ПИВО В МАГАЗИНАХ СО ВКУСОМ ГОВНА И СВОБОДНОЕ ПИВО СО ВКУСОМ ГОВНА.
@@@
А ГЕЙТС ВЫПУСКАЕТ WSB.
WINDOWS SUBSYSTEM FOR BEER MAKING.
@@@
ТЕМ ВРЕМЕНЕМ APPLE ЗАЯВЛЯЕТ О РЕВОЛЮЦИИ И ПРОДАЁТ ВСЕМ ПРОШЛОГОДНИЙ СИДР

GNU/BEER - НИКТО НЕ МОЖЕТ СВАРИТЬ ДАЖЕ ПОСЛЕ СОТНИ МАНУАЛОВ, ФОРУМЫ ЗАБИТЫ ВОПРОСАМИ. ТО, ЧТО СОБРАЛИ, НЕ ТРЕБУЕТ ЛИЦЕНЗИИ И РАЗРЕШЕНИЯ ВЛАСТЕЙ, НО НА ВКУС СОВСЕМ КАК ГОВНО. СВОБОДНОЕ ГОВНО!
@@@
СТОЛЛМАН НАЧИНАЕТ ЕЗДИТЬ ПО БАРАМ И ПРЕДЛАГАТЬ СВОЙ КРАФТ, ЕГО ВЕЗДЕ ШЛЮТ НА ХУЙ, ОН СТАНОВИТСЯ ЕЩЁ ЗЛЕЕ И ФАНАТИЧНЕЕ.
@@@
CANONICAL ЗАСОВЫВАЕТ РЕКЛАМУ НА ЭТИКЕТКУ И ПЕРЕДАЁТ ТЕЛЕМЕТРИЮ ЧЕРЕЗ ПРОБКУ.
@@@
ПРИ НЕВНИМАТЕЛЬНОМ ЧТЕНИИ МАНУАЛА ПОЛУЧАЕТСЯ ЛИБО БЕТОН ЛИБО ДУХИ С ЗАПАХОМ КОЗЫ.
@@@
ВЕРНЫЕ ИНСТРУКЦИИ ЕСТЬ ТОЛЬКО В ИНДУССКОЙ, ИРАНСКОЙ И ЭФИОПСКОЙ ВЕРСИЯХ, НО НЕ ВО ВСЕХ СРАЗУ.
@@@
СПУСТЯ ДВА ДЕСЯТКА ЛЕТ НИКТО НЕ МОЖЕТ СОБРАТЬ ПОД АРХИТЕКТУРУ ОБЫЧНОЙ БАНКИ.
@@@
ДЛЯ СБОРКИ ТРЕБУЕТСЯ БАНАН, ФАРА ОТ ВАЗ 2110 ИМПОРТИРОВАННОЙ В ИЗРАИЛЬ И КУСОК БОРДЮРА.
ВО ВРЕМЯ СБОРКИ БОРДЮР ЛОМАЕТСЯ, ФАРА СВЕТИТ, А С БАНАНОМ НИЧЕГО НЕ ПРОИСХОДИТ.
ЗАЧЕМ ЭТО ВСЁ НУЖНО НИКТО НЕ ЗНАЕТ
.

Почему ненормально любить двоих?

@rf
Давно уже создал чат русскоязычный с названием анархизм в матриксе, может взлетит.
matrix.to/#/#anarchism:hackers
Ну и чат занавеса конечно, тоже новый
matrix.to/#/#iron_curtain:hack

Посмотрим что будет

cocairo :ShareAlike: boosted

29. Ингаляции водными растворами (физраствор или лазолван и физраствор) через небулайзер при вязкой мокроте — ок
30. Ингаляции беродуала при легких симптомах бронхоспазма — с осторожностью, по предписанию и под контролем врача
31. Протаргол и прочие коллоидные соединения серебра в нос — в педиатрии противопоказаны, на западе не используются
32. Прогревания, горчичники, банки, баня, парная, сауна — не работают

21. Антигистаминные (супрастин, зиртек и т.д.) при ОРВИ — вроде как должны помогать
22. Гормональные спреи в нос при ОРВИ — ослабляют местный иммунитет, поэтому нет (UPD: аллергическим ринитчикам — скорее да)
23. Российскими вакцинами от гриппа не прививаемся
24. Арбидол! (как я мог забыть про этот фуфломицин)
25. Бутамират (синекод, омнитус) от кашля бесполезны
26. Полноценная диета с белками и жырами
27. При боли в горле нужно не прощёлкать ангину (гнойные бело–желтые шарики–пробки на миндалинах). С ангиной — сразу к врачу за антибиотиками. В остальном лечение фарингита симптоматическое, орошения не помогут. Боль неплохо снимается, если приспособиться мазать глотку 2%–ным лидокаином. На лидокаин может быть аллергия.
28. И еще про капли в нос — часто бывает так, что небольшой или средней интенсивности кашель провоцируется не трахеитом и не бронхитом, а забрасываемыми в дыхательные пути соплями (особенно у детей), поэтому иногда от кашля капли в нос тоже помогают

14. Оксолиновая мазь — на свалке истории
15. Полиоксидоний и кагоцел — фуфел
16. Тамифлю (осельтамивир) от гриппа раньше считался действующим, сейчас опять под вопросом
17. Промывать нос физраствором/аквалорами можно, но умеючи и аккуратно. Если у человека бактериальная инфекция, то физраствором можно разнести сопли вообще по всем самым дальним пазухам.
18. От мучительного кашля из легко доступного действенен либексин, из менее доступного — бронхолитин (по рецепту). Мучительный кашель нужно снимать. Кашель это грыжи и инсульты.
19. Жаропонижающие — по вкусу. При температуре менее 38.5–39 не показаны, но если есть мышечная боль, или кости ломит, или просто человеку очень плохо и он не может спать — то можно. UPD: сообщают, что и этот тезис пересматривается, так как температура делает плохо человеку, а вирусу она побоку
20. На работу не ходить, рукопожатий избегать, руки мыть почаще. Маска помогает только тем, кто болеет сам, здорового она не спасет

8. Спреи и капли в нос можно использовать не больше недели, обычно достаточно 2–3 дней. Но если есть подозрение на присоединение бактериальной инфекции (то есть если сопли зеленые/коричневые), то важно продолжать их подкапывать даже если тотальная заложенность носа прошла и остались только сопли. Зачем — чтобы снять рефлекс шмыгания. Когда мы шмыгаем гнойными соплями, мы забрасываем их в трахею и бронхи.
9. Всякие леденцы–стрепсилсы не работают. Но те, что с мятой/ментолом, дают эффект очень слабой анестезии, поэтому если вам лично нравится — то ешьте. Подсказывают, что Стрепилс Плюс содержит местное обезболивающее для горла, поэтому можете попробовать.
10. Таблетки для рассасывания с антибактериальными добавками (грамидин) не работают
11. Эффективность спреев с антибиотиками в нос (Изофра) не доказана
12. Эффективность гексоралов/хлоргексидинов/мирамистинов и прочих спреев–антисептиков при фарингитах не доказана
13. Интерфероны не работают

6. Капли в нос берите лучше детской концентрации. Еще лучше спреи, а капли не капайте вообще. Потом, несмотря на то, что действующее вещество в спреях разных производителях одинаковое, некоторые препараты дают неприятные субъективные ощущения. Я лично очень плохо переношу польский галазолин — у меня от него словно голову сдавливает обручем. Поэтому спреи нужно пробовать разные и подобрать для себя самый "мягкий".
7. Про антибиотики все всё знают. Про то, что они должны назначаться врачом строго по показаниям только при наличии очевидных признаков присоединения бактериальной инфекции (гнойных соплей или гнойной мокроты), и про то, выбирать антибиотик самостоятельно не надо, принимать антибиотик разово нельзя, пропускать приёмы тоже нельзя и что курс должен строго соответствовать инструкции и длиться не менее 5–7 дней?

Show more
quey

Welcome to quey.org! quey is a general and moderated Mastodon instance. Publish anything you want: links, pictures, text, mp3 & video. All on a platform that is community-owned and ad-free.