Свистать всех на Linux, гром и молния

    Привет, Хабр! Сегодня я хочу рассказать о собственном опыте перевода рабочего места на Linux. Статья не претендует на 100% охват всех проблем и их решений, но кое-какие рецепты, позволяющие сделать жизнь лучше, тут все же будут. Также в статье будет некоторое количество флешбеков, и если вы хотите окунуться в воспоминания вместе со мной, то прошу под кат.

    Вообще этот рассказ (а может и цикл статей, если получится) я сначала хотел озаглавить как «похождения айтишника в недружественной среде».

    Потому что если вы работаете в крупном энтерпрайзе, то большая часть сервисов компании рассчитана на то, что вы пользователь windows. А если вы гик-отщепенец на никсах, то в решении проблем корпоративная техподдержка вам вряд ли поможет, хотя уже далеко не нулевые:
    если ответ на вашу проблему не вылазит на первой странице поисковой выдачи, то все, это конечная. Обращение в ТП за помощью приведет лишь к тому, что они введут вашу проблему в поисковик и зачитают информацию из первой ссылки выдачи

    Либо просто вам скажут, что это не реализуемо. Когда я победил конференции Lync, обрадованный коллега скинул мне ссылку на тикет в сервисдеске, который он создавал с той же проблемой примерно год назад. Резолюция в тикете была такая, что вы не можете использовать веб-приложение для Lync, потому что у вас спина белая ось не поддерживается. И других вариантов как обойти это недоразумение предложено не было.

    Disclaimer


    Некоторые считают нас, Темных, злыми. Вот уж нет! Мы просто справедливые. Гордые, независимые и справедливые. И все решаем сами за себя.

    Данный текст не преследует цели показать способы обхода запретов.
    Статья писалась как иллюстрация, что и на Linux вполне можно существовать в корпоративной среде, хотя и приложив определенные усилия при настройке необходимых для работы программ.
    А именно почты и календаря. Потому что по-английски гром это thunder, а молния lightning.
    Если вы связываете пиратский призыв с использованием нелицензионного софта, то это не так.

    Коралина в стране кошмаров


    Сначала небольшое введение, которое поясняет предпосылки для отказа от форточек. Начну с того, что я работаю в своей компании уже больше 10 лет и все изменения, происходящие в IT-экосистеме проходили на моих глазах.

    Сперва у нас отобрали права администраторов на компах, что напрочь лишало возможности менять какие-то настройки, требующие повышения привилегий. Но как известно, на каждую хитрую гайку найдется болт с резьбой и наш ответ Чемберлену заключался в загрузочной флешке, на которой был установлен Offline NT password changer. При необходимости сделать какие-то действия от администратора я загружался, сбрасывал пароль на свой, заходил на тачку локально (а не в домен) и производил необходимые модификации. Все эти действия были нужны потому что при следующей перезагрузке пароль администратора накатывался обратно групповыми политиками из домена.

    Следующим этапом было блокирование ICQ (да времена были еще те), Jabber и социальных сетей. С мессенжерами было проще — достаточно было сменить порты на SSL и включить шифрование. А вот с соцсетями пришлось попрощаться, что сделало жизнь немного более унылой. Хотя на работе вообще я использовал только плагин сообщений для QIP Infium, чтобы не пропускать сообщения из vk, а не просиживал в новостной ленте (которой тогда еще вроде и не было). Вкупе с блокированием соцсетей потом была запущена еще блокировка «развлекательного и запрещенного контента», которая до кучи еще и блокирует иногда полезные ресурсы. Один мой коллега долгое время воевал со сборкой одного java-проекта, как оказалось, проблема заключалась в блокировании в корп.сети необходимых maven-репозиториев. В запрещенные попали всякие облачные сервисы (гугл диск, документы, яндекс облако и т.д.) и файловые обменники.

    В какой-то момент в rdp-сессиях был заблокирован буфер обмена, а в корпоративном vpn — возможность открывать сетевые шары на рабочем пк. Копирование файлов стало сильно сложнее — только через флешку. Но потом мы лишились и этого — usb порты на компах хотя и не были заварены физически, но работали только как зарядное устройство для телефонов, любая вставленная флешка блокировалась антивирусом.

    Ну и финальным штрихом, который переполнил чашу терпения, стало ограничение запуска программ только из «разрешенных мест». За годы работы мной был накоплен багаж из различного полезного софта (который жил на отдельном от системного разделе в силу того, что его обычно не нужно было устанавливать, а достаточно просто скопировать): пакеры\анпакеры, редакторы ресурсов, hex-редакторы, PE-редакторы, отладчики\трассировщики, целый пак утилит с канувшего в лету сайта sysinternals, декомпиляторы (например DeDe для Delphi, JAD для java, ILspy для дотнета) и т.д.
    Не то чтобы это был необходимый набор для работы, но если уж начал заниматься программированием, то потом сложно остановиться.

    Пользователи вообще очень болезненно воспринимают разного рода ограничения, которые делаются «для их же блага». И я, конечно, не был исключением.
    Они украли, украли её у нас, нашу прелесссть

    И я стал готовить план отступления перевода рабочего места на Linux.

    Все станет по-другому, когда я стану богом


    Ария Рейстлина Маджере (мюзикл «Последнее Испытание»).

    Привлекательность Linux заключалась в том, что ты сам себе хозяин. Сам ставишь какие надо программы, сам управляешь всем, чем нужно. Но и как уже было сказано ранее, все возникающие проблемы решаешь тоже сам. Но благо сейчас уже давно не нулевые, и большая часть проблем какие могут возникнуть уже описаны и решения есть либо тут на Хабре, либо в тематических форумах на других ресурсах.

    Какие еще плюсы(жирные) я приобрел:

    • native ssh (я много работаю в консоли с серверами и это прямо ну очень порадовало)
    • native shell (до того я использовал cygwin окружение под виндоус для исполнения башевых скриптов или скриптов на перл)
    • native python и fabric (вытекает из 1 пункта, для массовой обработки списка серверов фреймворк облегчает рутинные задачи значительно). Для работы фабрики внутри cygwin был собран франкенштейн в виде ssh-агента, который берет ключ, общаясь с putty agent(который уже сидит в памяти), и передает его линукс подсистеме как если бы ключ был загружен в родной ssh-агент.
    • native git (работа в гите под windows это боль. хоть в cygwin, хоть внутри его собственного git bash внутри msys окружения)

    Как перейти на Linux и перестать ныть начать жить


    В свое время при тестировании подсистемы VDI от отдела windows-администрирования(назовем это так) приходил опрос о возможности перевода отдела разработки на Linux. В виду того что мы самые для этого подходящие «морские свинки». И в опросе были пункты «да, я готов, но мне потребуется помощь» и «да, я готов перейти и помощь мне не нужна». Ну я и выбрал мигрировать сам.

    Установка Linux на рабочую тачку не была чем-то экстра-сложным. Заранее дома была подготовлена загрузочная флешка с Live-образом необходимого дистрибутива, выбран был Linux Mint (последней на момент написания версии 19.2) по совету уже работающих коллег из отдела серверного администрирования.

    На попытку загрузиться с флешки комп никак не отреагировал, т.к. на пк был включен quick boot и вместо диагностических сообщений (где я надеялся увидеть сочетание для входа в BIOS) начинал сразу грузить винду. Беглое гугление по наименованию модели nettop вывело на клавиши для входа в BIOS и для входа в boot menu. И при входе в BIOS меня поджидал первый сюрприз — окно ввода пароля. Если отказаться вводить пароль по Esc, то настройки было можно только смотреть. Мда, вот тебе бабушка и Юрьев день. Хотя поменять boot sequence мне не удалось, но оставалась призрачная надежда на вход в boot menu. И точно, по F8 можно было выбрать устройство с какого грузиться.

    Грузимся с флешки, запускаем инсталл, далее следуем указаниям мастера установки. Из совершенных косяков был только 1 — при разбивке диска он мне любезно сообщил, что у меня не создан раздел для UEFI загрузчика и возможно я не смогу загрузиться потом после установки, на что я ему сказал: «да, создавай, ты же лучше меня все знаешь». И этот выбор потом мне стоил кровавых слез и некоторого количества потраченных нервов, потому что при загрузке у меня был теперь только Linux. Позднее опытным путем я выяснил, что могу загрузиться обратно в винду с помощью моей той самой незаменимой загрузочной флешки, на которой стоит GRUB (там имеется пункт поиска bootmgr на всех разделах и передачи ему управления в случае обнаружения). Но скажу честно, с момента перехода на темную сторону необходимости пока такой не возникало.

    Грохочет гром, сверкает молния в ночи


    а на холме стоит безумец и кричит
    сейчас поймаю тебя в сумку и сверкать ты будешь в ней
    мне так хочется чтоб стала ты моей

    Первым делом после установки системы мне нужно было настроить почту.
    Посмотрев на веб-почту, для себя я решил что OWA уныл чуть более чем полностью.
    Мой OWA кошмарит вообще адовые сценарии.
    Ну такой вот примерно сценарий усредненный, потому что вариаций масса.
    Берется почта, она не проверяется, проверять — это не про моего OWA.
    Он берет все письма, вываливает их в inbox и начинает фильтровать.
    Добавляет огромное количество приглашений на встречи, вложений, пропущенных сообщений Lync.
    Полушепотом приговаривая «ух бл..», при этом у него на лбу аж пот выступает.
    При попытке добавить новые правила фильтрации любезно предлагает мне отключить что-то из существующих, на что я отказываюсь.
    Надо ли говорить какой дичайший бардак потом в почте.

    И в качестве почтового клиента было решено использовать Thunderbird. Не буду приводить тут всю настройку, благо примеров полно и тут на Хабре, и вообще в интернете. Отмечу только некоторые моменты.

    При подключении почтового ящика по IMAP по умолчанию не отображаются папки. Чтобы папки стали отображаться, на них нужно подписаться. Но мне не удалось сделать отображение иерархии (у меня в ящике настроена довольно разветвленная структура папок куда письма сортируются фильтрами). Максимум что получилось сделать — это отображение непосредственных детишек для Inbox. Что удручало.

    Как-то раз, блуждая по корпоративной wiki, я обнаружил статью про то, что у нас поднят шлюз DavMail. Это шлюз, который является смычкой города с деревней и позволяет работать с серверами Exchange для не-windows машин. Попробовал подключить IMAP через него и о чудо, у меня отобразились сразу все папки с иерархией как они были созданы раньше. С одной задачей было покончено. Следующей задачей была настройка адресной книги с подсказками адресов при вводе. В громоптице адресная книга настраивается как ldap directory, и я ее подключил тоже сперва через DavMail шлюз, но потом выяснилось что в этом есть и свои минусы(об этом далее).

    Заводит молния меня, как жаль что я ее не смог


    Ну и финальный штрих к настройке почты — это календарь\органайзер, чтобы управлять приглашениями на встречи и планировать свой день. В последних версиях дополнение Lightning идет сразу предустановленное, но требуется его настройка. DavMail экспортирует календари Exchange в формате CalDav, первым делом я подключил этот вид календаря. И сразу обнаружил минусы в его работе: входящие приглашения в календарь добавляются, но я не могу добавить потом еще в то же мероприятие людей (форварднуть приглашение на митинг), если я не являюсь организатором. Я испробовал много разных вариантов и единственное, что тут удалось сделать, это поставить дополнение SFOA, которое добавляет возможность скачать из письма само приглашение в виде ics файла, который я потом пересылал другим людям. Мда, не очень-то удобно. А потом я нашел в сети дополнение для работы сразу с календарями Exchange напрямую. Оно отсутствует в магазине дополнений и может быть только установлено из файла (ссылка на гитхаб в конце статьи). При установке дополнения календарь стал работать почти как в Outlook, по крайней мере я смог нормально форвардить встречи как это было мне надо, т.е. без лишних телодвижений.

    Ну кому нужны книжки без картинок


    Говорила Алиса в произведении Льюиса Кэррола.

    И я с ней в некоторой степени согласен. Особенно, если это адресная книга в вашей почте. Пока я пользовался оутлуком, я обычно проверял кому я отправляю почту по изображениям адресата, которые там показывались во всплывающем тултипе при наведении на адрес. Сразу из коробки в громоптице нет возможности показывать аватары, но в магазине есть дополнение под названием Awesome LdapInfoShow, которое позволяет добавить эти красивости. В информации к дополнению указано, что изображение берется из пары атрибутов в ldap директории (которая используется как адресная книга в настройках thunderbird), но у меня он упорно выводил сообщение no ldap server available.
    Будь проклят тот день когда я сел за баранку этого пылесоса!

    Для выяснения причин, почему он это выводит, мне пришлось опять залезать в код (я скачал репозиторий с гитхаба автора). Если работаешь с опенсорсом, то в этом есть и свои плюсы тоже. Причина оказалась в принципе простая, но об этом можно было и написать в инструкции по настройке. При попытке получения фотографии адресата дополнение проверяет, что почтовый домен адреса совпадает с доменом ldap сервера в адресной книге (а у меня там было прописано по ип), либо что он совпадает с логическим именем ldap директории. Я исправил логическое имя, т.к. адреса ldap каталогов в компании находятся во внутреннем домене и не совпадают с доменом почты.

    Но если вы думаете, что исправление настроек дополнения сразу дало мне аватары адресатов, то вы ошибаетесь. Сообщение недоступности сервера пропало, но места под аватары оставались в письмах пустыми. И тут я решил посмотреть, что мне возвращает сервер с адресной книгой. Для работы с ldap в графическом интерфейсе есть JXplorer (завести LdapAdmin, к которому я привык, через wine мне не удалось, различные статьи на форумах говорили про несовместимость реализации winldap32.dll у вайна с другими windows-приложениями). И что же я увидел — в атрибутах адресной книги, выдаваемой шлюзом DavMail, нет атрибутов с картинками, которые я видел, если просто подключиться к контроллеру домена. Пришлось поменять адресную книгу на прямое подключение в контроллер домена, но при этом и подкорректировать запрос, которым клиент делает запрос поиска адресов (и который используется для репликации адресной книги локально в файл).

    А как приятный бонус кроме самих аватаров дополнение показывает еще во всплывающем тултипе при наведении на адрес еще и доп. информацию о человеке. Настраивается вывод наименования должности, департамента, телефонов (рабочего и сотового), ну и в принципе любой информации какую можно достать из атрибутов ldap по контакту. В такой конфигурации thunderbird не отличается практически от оутлука, а на мой взгляд так еще и превосходит его по функциональным возможностям.

    В хрустальном шаре ты видишь этот мир


    После настройки программ на рабочей машине встал вопрос настройки удаленных сеансов.
    В силу ограничений офисного файрвола vnc использовать было нельзя т.к. порт 5900 был закрыт, а проверять другие какие доступны было лениво. Коллеги подсказали, что можно использовать xrdp, который работает на стандартом rdp порте и подключаться к нему можно с любого клиента: хоть на windows машинах, хоть на Linux. Но как выяснилось не все так безоблачно. При попытке входа в rdp я видел только черный экран после ввода своих учетных данных в окне авторизации. Каким-то чудом на форуме минта был обнаружен рецепт для исправления этой ситуации, привожу его тут, может кому пригодится тоже (я использую оконный менеджер xfce, поэтому и рецепт соответствующий, можно заменить на любой другой какой вы используете у себя):

    echo "env -u SESSION_MANAGER -u DBUS_SESSION_BUS_ADDRESS xfce4-session" > ~/.xsession
    

    При запуске менеджера сессий очищаются 2 переменные окружения, что делает возможность удаленного входа без отключения уже существующих на пк локальных сеансов.

    После настройки самого удаленного входа встал вопрос настройки клавиатурных раскладок в удаленных сеансах. Всякий раз мне приходилось их настраивать заново, когда я обнаружил вот этот гайд. Спасибо, 2 чая этому господину. После настройки rdp я до кучи настроил себе еще и sshd и получил возможность пробрасывать иксы прямо с рабочей тачки на домашний пк. В некоторых случаях это удобнее, чем запускать rdp.

    Возможно со временем в «похождениях айтишника» добавится еще глав, а пока спасибо за внимание и до новых встреч.

    Ссылки:
    Exchange Calendar (Thunderbird extension)
    настройка xrdp
    моя статья по настройке конференций Lync

    Список цитат:
    1. С. Лукьяненко «Дневной Дозор»
    2. Страх и ненависть в Лас-Вегасе (изменено)
    3. Дж. Толкиен «Властелин Колец»
    4. Антон Круглов «Последнее Испытание» (мюзикл, персонаж Рейстлин Маджере)
    5. Король и Шут «Дурак и молния»
    6. Жареный суп (изменено)
    7. Агата Кристи «Ни там, ни тут»
    8. Льюис Кэррол «Алиса в стране чудес»
    9. Кавказская пленница
    10. Ария «Отшельник»
    11. Ария «Игра с огнем»
    Поделиться публикацией

    Похожие публикации

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 266

      +37
      У вас там что, админов нет?
      Юзер, который начнет заниматься такой самодеятельностью, в нормальной фирме получит по шапке. Быстро.
        +10
        >У вас там что, админов нет?
        Ну или есть, но какие-то сказочные раздолбаи.

        На windows запретили запускать программы — а при этом загрузиться с флешки, установить linux, и в нем работать, почему-то можно. Ну вот тупо, во всех местах где я вообще наблюдал контроль за установкой периферии в машину — везде нельзя было вот так примитивно загрузиться. А если так все же сделаешь — то рано или поздно (скорее — рано) будет как минимум выговор. Если не увольнение — за нарушение требований безопасности.

        P.S. У нас кстати можно линукс на рабочую машину. Насколько я помню, выглядит это просто — пишешь заявление, и получаешь машину с готовым образом. И если в нем будет можно что-то такое, чего нельзя в Win 7 — то можно сильно не радоваться, потому что это временное явление.
          0
          Они у нас есть. Но решают именно задачи связанные с виндоус администрированием.
          Целью использования linux не было обойти ограничения(ведь их можно все равно и на винде обойти), а сделать свою работу более продуктивной и эти моменты описаны в виде плюсов. Жаль что это не было понятно из текста.
          А, во-вторых, использование linux не является чем-то запрещенным. У нас часть сотрудников, которые занимаются администрированием линукс-серверов на нем работают сразу
            +11
            У вас все как-то не типично. Если можно самому линукс, и там не будет ограничений, то зачем их вводили на Win? Админские права отняли — но одновременно можно рут?

            Ввели — но обойти можно, и за это ничего не будет? Это странно. Обычно софтовые ограничения вводятся службой безопасности, чтобы скажем вирусы не таскали — и за обход таких ограничений именно что дают по шапке. Быстро и больно.

            >А, во-вторых, использование linux не является чем-то запрещенным.
            А кто говорит, что запрещенным? У меня в проекте софт на Hadoop, в наличии несколько кластеров для разработки, тестирования и эксплуатации. Это не просто линукс, это много линукса. Все машинки кластера естественно под RHEL. Это совершенно не означает, что я, как прикладной программист, имею там хоть какие-то права. Обычный юзер, которому ничего нельзя. Переставить линукс на кластере — это отдельная группа админов линукса.

            На рабочем месте Win 7, и попросить туда линукс я могу запросто — но рута у меня не будет все равно, так же как и в Win нет админских прав с некоторых пор.
              +1
              Про вирусы и ограничения — на это и был упор.

              А права на серверах рулятся отдельно. И там конечно никакого рута у меня нет.
              Да зачем мне переустанавливать систему на серверах, если есть специально занимающиеся этим люди?
              А по существу — я работаю под обычным пользователем на пк, у которого прав суперпользователя тоже нет.
                0
                По поводу «вирусы не таскали» — много уже есть способов распространения вирусов на Виндовые машины через машину на Linux? Хотя, если какой-то научится использовать ту же почту по списку контактов компании — сможет куда-то себя распространить.
                  0
                  >много уже есть способов
                  Вообще-то достаточно одного ) Ну и потом, про вирусы — это только пример. По большому счету наличие в сети машин с разными ОС — это просто лишний геморрой для админов. Еще и зоопарк из версий и дистрибутивов тут никому не нужен.
                +4
                Они у нас есть. Но решают именно задачи связанные с виндоус администрированием.

                Они должны бы решать любые задачи, связанные с администрированием. В поставили линукс — у них компьютер пропал из домена. Расследовать и надавать по шапке виноватым.

                сделать свою работу более продуктивной

                Это тоже задача админов — делать работу юзеров более продуктивной.

                А, во-вторых, использование linux не является чем-то запрещенным

                Речь не про запрет линуксов, речь про запрет самодеятельности.
                В праивльной конторе пишется служебка «в связи с тем-то прошу поставить мне то-то». Хоть макось, хоть линукс, хоть черта лысого.
                А вот эти вот «мне запретили запускать левый софт и я решил поставить линукс» — подобного быть не должно.
                0
                Значит посчитали, что хватит пароля на БИОС.
                +1
                У нас в контре примерно такой же расклад официально:

                Винда — ты не адимн, у тебя стоит толстый антивирус, и по любому чиху — бежишь на поклон к админам.

                Linux — ты настраиваешь и обслуживаешь сам, но коллеги/админы могут помочь советом. И да — антивирус не нужен.

                Причем эта политика вполне согласуется с мировыми стандартами в области зашиты финансовых данных (PCI DSS).
                  0
                  Тем более что защита данных все равно обеспечивается отделом информационной безопасности. Все ходит через 1 файрвол и попытайся ты слить базу, к тебе сразу придет особист
                    +1
                    Если вы имеете доступ к финансовым данным с рабочего места программиста, то это блудняк сам по себе.
                      0
                      Возможно я не достаточно точно сформулировал, но вы уж точно поняли не правильно.
                      Ни о каком доступе к фин. данным с рабочего места разработчика речи быть не может.
                      Но даже компы разработчиков софта для работы с финансами или даже просто закрытыми данными ПОПАДАЮТ под требования стандартов безопасности.

                      Если можно взломать комп разработчика (а работа под админом на винде в разы увеличивает такой риск), то это либо облегчит, либо просто позволит организовать атаку на обслуживаемую разработчиком систему.

                      Мне не надо напоминать что информационные систем сейчас уже даже через аквариум взламывают…
                        +2
                        С точки зрения стандартов безопасности, каждая версия программного обеспечения, работающего с конфиденциальной информацией, должна проходить аудит безопасности перед внедрением в эксплуатацию. И в этом плане несущественно, взломали комп разработчика злые хакеры, или же он сам оказался злоумышленником.

                        И информационная безопасность вообще не занимается количественной балансировкой рисков (к вопросу о “разах”), она устраняет угрозы.

                        Любая не имеющая сертификата безопасности ОС дырява по факту, админ там у неё или не админ. А случаи сертификации общесистемного программного обеспечения, включающего средства разработки, являются редчайшей казуистикой.

                        Короче говоря, если в вашей модели безопасности программист является угрозой, от которой админ защищает компьютер политиками, то эту мысль надо додумывать до конца, а не останавливаться на полпути.
                          0
                          каждая версия программного обеспечения, работающего с конфиденциальной информацией, должна проходить аудит безопасности перед внедрением в эксплуатацию. И в этом плане несущественно, взломали комп разработчика злые хакеры, или же он сам оказался злоумышленником.


                          Во-во, пытались у нас как-то раз такую тему аудитору загрузить при прохождении PCI DSS…

                          … не прокатило.
                            0

                            Предлагаю рассмотреть ситуацию когда прикрытие собственной точки не самоцель, и когда неважно утечка через купленную ос с сертификатом или левый калькулятор воткнутый в сеть (не важно до уровня — наказание будет одинаковым).
                            А так, сертификация и аудит иногда превращаются в банальное перекладывание и размазывание ответственности.

                            +6
                            Винда — ты не адимн, у тебя стоит толстый антивирус, и по любому чиху — бежишь на поклон к админам.
                            Linux — ты настраиваешь и обслуживаешь сам, но коллеги/админы могут помочь советом. И да — антивирус не нужен.

                            Не знаю, как насчет согласования с мировыми стандартами в области защиты финансовых данных, но политика «администратор делегирует пользователям администрирование их компьютеров» ни с какими стандартами в области защиты чего угодно не согласуется, независимо от ОС. То, что человек в состоянии установить и настроить себе Linux, никоим образом не означает, что он там будет соблюдать информационную гигиену, и не запустит какую-то дрянь через sudo, и будет патчи безопасности своевременно накатывать. Поэтому фигня всё это с точки зрения безопасности. Просто админам лень админить ваши линуксы, ну или они банально не умеют это делать.
                              –2
                              Да нет, конкретно наши админы почти все на Linux… И помощи по Linux у них получить порой проще чем по винде. По винде есть спецальный эникейщик на помошь.

                              У нас просто PCI DSS. И вот эта тема «в Linux ты можешь стать рутом, а на венде ты никто + антивирус» она оттуда.
                                +7
                                У нас просто PCI DSS. И вот эта тема «в Linux ты можешь стать рутом, а на венде ты никто + антивирус» она оттуда.

                                Не оттуда. Уж поверьте :) В требованиях PCI DSS вообще нет ничего ни про винду, ни про линукс. Но есть общие требования по организации доступа к данным кардхолдеров, по логированию такого доступа, по идентификации пользователей, обязательные к исполнению на любых ОС. Так что это просто выдумка ваших админов, или кто там придумал подобную политику.
                                  –2
                                  Еще раз — кроме общих слов стандарта есть аудит и его требований в сто раз больше.

                                  Все кто имеет доступ к продакшен системе (админы и девопсы) — там уже все досупы только по токену. Но офис (разработка, саппорт и коммерция) — полюбому попадают под рекомендации аудитора. Так вот речь моя — именно про разработчиков.
                                    +3
                                    Еще раз — кроме общих слов стандарта есть аудит и его требований в сто раз больше.

                                    И аудитор сказал: «Ок, пусть пользователи Linux имеют админские права»? Нет, в этом слабо верится. Куда больше верится в самый очевидный вариант: что разработка у вас целиком отделена от продакшеновых баз данных (это хорошо и правильно), вы с «живой» информацией о кардхолдерах не работаете (это тоже хорошо и правильно), и под аудит PCI DSS ваше подразделение просто не попадает (и никаких конкретных требований, кроме «отлично, у вас всё ок, решайте сами» они вам и не выставляли).
                                      –2
                                      Не совсем так.

                                      Все немножко сложнее и запутаннее.

                                      В системе нет такого места где можно было бы получить полные данные банковской карты. Требования сейчас таковы, что только отдельные компоненты системы в отдельные (короткие) промежутки времени могут хранить полные данные о банковской карте и только в оперативной памяти: ни в логи, ни куда либо еще, эти данные полностью не пишутся. А в базе тот же PAN — хранится в зашифрованном виде (хотя и доступны 6 первых и 4 последних цифры).

                                      Да, собственно никаких данных о кардхолдерах и нет — есть отдельные поля — (условно) PAN/EXP/CARDHOLDER/CVC/TRACK..., и по всем ним разные требования на работу с ними. Кроме того есть еще очень много другой информации которая не должна покидать пределы компании.

                                      К части этих данных имеют доступ и разработчики и служба поддержки.

                                      Так что аудитору не так что бы совсем нет дела до компов «за периметром». У нас просто этих периметров — не один. И крайний периметр (который так или иначе попадает под сертификацию) — это двери офиса.
                                        +3
                                        Да я же не про то, как оно там хранится. В конце-концов, сам семь с половиной лет проработал сначала в процессинге, потом в обслуживающем его ИТ-подразделении, так что мне не обязательно это рассказывать :) Я про то, что аудитор PCI DSS вам не мог разрешить самостоятельное администрирование линуксов пользователями. Он мог просто определить какое-то подразделение, как не имеющее доступа к данным карт, и поэтому к нему не применяются никакие особые требования безопасности, а остаются на ваше усмотрение. Вот вы и наусматривали себе странненького :)
                                          0
                                          Уточните какой конкретно уровень сертификации по PCI DSS проходила ваша контора? И в каком году?

                                          Вполне допускаю что у нас с вами разные представления о этой сертификации именно из за разных уровней, да и требования по стандарту накручивают из года в год. Так что важно и по какой период времени вы говорите.
                                            0
                                            Уточните какой конкретно уровень сертификации по PCI DSS проходила ваша контора? И в каком году?

                                            Я же написал, что я работал в процессинговом центре. По-моему, это как раз ответ на первый ваш вопрос — естественно, Level1, какие ещё могут быть варианты? Что касается года, то последний аудит со мной в составе команды был в 2010-м году. Но насколько я понимаю, с тех пор послаблений не было, и аудиторы не стали разрешать пользователям подразделений, работающих с БПК, устанавливать ОС и администрировать свои компьютеры, верно?
                                              0
                                              Кажется я понимаю почему мы с вами друг друга не понимаем.

                                              Просто с 2010 уже очень много все поменялось.

                                              Конкретно у нас все политики безопасности для всех компов в офисе и удаленщиков — это предмет контроля со стороны аудитора. И именно в этих политиках есть та разница между виндой и Linux про которую я говорю. И эти политики каждый год только «усугубляются». Но по отношению к Linux там мало что изменилось в последние годы.
                                                0
                                                А первый и четвертый это как небо и земля.

                                                Вообще да. Но раз у вас четвёртый, это многое объясняет. Четвёртый — самый низкий, с минимальными требованиями к безопасности ;) Отсюда и растут странные вольности вроде установки линуксов пользователями.
                                                  0
                                                  Нет по 4-й я ошибся (не стой стороны считал) 1-й у нас.

                                                  И вольностей нет — аудитор сует свой нос во все бумаги.
                                          0

                                          Pan это номер карты?
                                          Тогда терзают смутные сомнения по поводу требований, хотя наверное зависит от того для кого из участников.

                                            0
                                            PAN — Personal Account Number — в просторечии — номер карты. В открытом виде он в системе нигде, никому не доступен. Существует только очень сложный протокол (с привлечением минимум 2-х человек), по которому номер карты может быть восстановлен и выдан по запросу МВД (в рамках расследования).

                                            Требования к персональным компам согласованы с аудитором PCI DSS для машин отдела разработки и коммерческого, для админов и девопсов: требования строже, но и им не запрещают рутом становится на персональных компах, если там Linux (они то много куда рутом ходят, но на прод системы — только через криптотокен).
                                              0

                                              Значит у вас очень круто, но я просто замечу, номер карты, по сути не является секретной информацией, вот в комплекте с другими параметрами уже да…
                                              (А когда-то РЖД при возврате билетов требовало карту чтобы сделать скан-копию лицевой стороны ;) лично проходил, это в районе 2008-го ).

                                                0
                                                Номер карты, он же PAN, является той самой, «секретной информацией» и по PCI DSS не может присутствовать в не маскированном виде вне ядра (кажется так, давно было) периметра.
                                                +1
                                                PAN — Personal Account Number — в просторечии — номер карты. В открытом виде он в системе нигде, никому не доступен. Существует только очень сложный протокол (с привлечением минимум 2-х человек), по которому номер карты может быть восстановлен и выдан по запросу МВД (в рамках расследования).

                                                Можно подумать, админ вашего процессинга не в состоянии выдернуть ключи шифрования PAN из системы, будь у него такое желание (ну и квалификация) :) И то, если он у вас там действительно шифруется, т.к. PCI DSS требует, чтобы его нельзя было открыто посмотреть целиком, но при этом допускает разные варианты его защиты, и шифрование лишь один из них.
                                                Сбербанк вон тоже аудит PCI DSS успешно прошёл.
                                                  0
                                                  Вы невнимательно прочли мое сообщение.
                                                  Говорю же — так все организовано (регламентами) что нужно двум сговорится чтобы получить карточные данные. Но если они в компанию еще одного не возьмут, то они оставят очень очевидные следы в системах аудита.

                                                  Так что со следами и для МВД — двое, что бы без следов — трое.

                                                  И не надо нашу контору с банком сравнивать — у нас в работе карточные данные это «побочный продукт жизнедеятельности» (они мимо проходят), а не продукт, который мы продаем.
                                                    +1
                                                    Говорю же — так все организовано (регламентами) что нужно двум сговорится чтобы получить карточные данные.

                                                    Я внимательно прочел ваше сообщение. Но то, что у вас там организовано регламентами и системами доступа, это всё совершенно не означает отсутствия технической возможности администратору системы вытащить ключи, залезть напрямую в таблицу базы данных в обход системы, выбрать данные и декриптовать их. И никакой аудит не поможет, потому что
                                                    а) администратор СУБД всегда есть.
                                                    б) возможность получить доступ к данным на уровне ниже, чем работает система аудита, у него всегда есть.
                                                      0
                                                      Незадача однако: у администратора БД нет доступа к той части системы, которая содержит ключи для расшифровки. В самой базе никаких средств для расшифровки нет.

                                                      А у админа который может на криптосервер залезть нет доступа к серверам баз данных.

                                                      Говорю же — минимум два человека должны сговорится. Но вы конечно мне не верите и я все вру.
                                                        +1
                                                        Но вы конечно мне не верите и я все вру.

                                                        Я не говорю, что вы всё врете. Я допускаю, что вы просто слишком верите тому, что вам рассказывают :)
                                                        В любой системе, которая как-либо работает с криптографией, есть место, где данные расшифровываются и зашифровываются. Пусть это даже не на уровне СУБД, а на уровне middleware, но так или иначе, там где-то в одном и том же модуле происходит и запрос к БД, и запрос к криптопровайдеру, и на выходе будут чистые данные. И у этого сервера есть человек, который имеет на нём достаточно прав, чтобы и в памяти поковыряться, и дампы снять и т.д.
                                                          0
                                                          Там где данные расшифровываются для передачи в процессинг — там есть такое место где есть и данные из базы и доступ к криптопровайдеру для расшифровки. Вы правы. Но это место обвешено всякими ограничениями и алертами как новогодняя елка украшениями. Что-то там отдампить из оперативки не оставив следов не получится.

                                                          А хотя да — я просто не знаю ничего и всем на слово верю — вы же лучше знаете как устроена система у нас в компании, тут и спорить не о чем.
                                                            +2
                                                            А хотя да — я просто не знаю ничего и всем на слово верю — вы же лучше знаете как устроена система у нас в компании,

                                                            Я не знаю лучше вас, как устроена система у вас в компании. Я знаю только, что скорее всего, она устроена точно так же, как и все аналогичные системы, с которыми я сталкивался и у себя, и у партнеров, и у клиентов процессинга. Потому что везде принципы похожие. А ещё, нигде в этих системах нет специалистов, которые подробно знают и требования аудиторов по всем направлениям, и детали технической реализации соответствия этим требованиям. Все специалисты, извините за каламбур, специализированы. Админы домена знают свою систему безопасности и её регламенты, админы баз данных свою, разработчики свою, картёжники свою и т.д. Поэтому оснований считать, что вы знаете всё, о чем говорите, нет никаких. Максимум — то, что вам рассказывали безопасники на брифинге о том, как проходить этот аудит.
                                                              0
                                                              нигде в этих системах нет специалистов, которые подробно знают и требования аудиторов по всем направлениям, и детали технической реализации соответствия этим требованиям.


                                                              Ну если их негде нет (знающих все), то и вы тогда всего знать не можете, не так ли?

                                                              Поэтому оснований считать, что вы знаете всё, о чем говорите, нет никаких.
                                                                +1
                                                                Ну если их негде нет (знающих все), то и вы тогда всего знать не можете, не так ли?

                                                                А я разве где-то говорил, что всё знаю? Я знаю лишь о существовании конкретных уязвимых мест там, где непосредственно имел отношение к разработке. Поэтому меня и удивляет ваша безапелляционность, что, дескать, у вас там всё защищено, доступ только с участием двух людей с разными правами… У нас у всех пользователи систем точно так же в этом были уверены. Но то ведь пользователи, а не администраторы, и не разработчики.
                                                                  –2
                                                                  А я разве где-то говорил, что всё знаю? Я знаю...

                                                                  Ну вы же все время знаете, что я ничего не знаю и знаете, что вы знаете даже то, чего я не знаю. Плюс вы знаете за всех, что они все — точно не все знают, но вы то знаете то, что они не знают. Так что, выходит, что вы знаете, что знаете больше всех, пусть даже знаете, что не все знаете. Ну хотите так знать — знайте. Я не знаю и знать не хочу зачем вам нужно такое знание.
                                0
                                Имел, когда работал с банковской БД и её интеграцией с внутренней CRM(хотя, скорее ERP), иначе работать невозможно.
                                Да, при этом рабочее место было single point of everything dangerous, но серверная была за стеной.
                                  +1

                                  Осталось понять что ЦБ имел ввиду в фразе (по памяти, не точно но смысл пытался сохранить) "на арм сотрудника имеющего доступ к финансовым данным не должно быть установлено средств разработки". Ни безопасность(позиция запретить всё по дефолту), ни юристы (позиция — неоднозначно) ни регулятор (позиция что-то вроде — вы там сами разберитесь, но если что всех покараем) толком объяснить не могут.
                                  При этом Excel+макросы и скрипты по хорошему = средство разработки, простой notepad под вин. да тоже легко с учётом установленных по умолчанию библиотек :), а если это всё выключить то на пару лет можно закрывать...

                                    0
                                    А чего тут не понять? Абсолютно правильно говорят. АРМ у вас аттестован для доступа к финансовым данным? Аттестован. Как только вы начинаете в нём что-то менять, этот аттестат можно выкинуть нафиг.
                                      0

                                      Это вы поторопились, вот скажите vba это средство разработки или нет? Проблема в том что приняв одно положение и не дав определений (и списков и механизма тестирования для попадания в категории) один регулятор поставил всех перед выбором, вторым вариантом которого является прекращение деятельности (в моменте)

                                        0
                                        Я в винде не силён. Если он позволяет порождать или модифицировать исполняемые файлы (в юниксе – устанавливать битик +x), то точно средство разработки в этом смысле. Делаете экзешник с любым эксплойтом интеловского процессора, и вперёд мимо политик безопасности.

                                        Если у вас деятельность прекращается от невозможности применять эксель к защищаемым законом данным, то это ваши проблемы.
                                          +1

                                          Проблема в том что блокнот тоже опасная штука и любой hex редактор, а по вашему варианту выходит что jdk не является средством разработки, т.к. вы запускаете только JVM которую запускать разрешено а она уже исполняет скрипты, аналогично с Python и pero и bash (если вам про win не нравится) это всё может быть использовано как средство разработки чтобы слить инфу через видеопоток/звук).

                                            +1
                                            Блокнот и hex редактор – опасная штука, если иметь возможность их применять к исполняемым файлам.

                                            JVM является частью JDK и по факту редко проходит сертификацию.

                                            Вопрос не в том, можно ли слить инфу через видеопоток/звук, это обеспечивается правами доступа к инфе. Вопрос в средстве, позволяющем обойти механизм контроля прав доступа. Python и bash исследованы достаточно, чтобы удостовериться, что они не содержат люков сквозь механизм контроля доступа. Хотя сами по себе могут быть дырявы.
                                              +1

                                              Я что-то не понял, как Python/bash защищает от желающего слить оператора, работающего с фин данными…
                                              Про JVM, вы удивитесь но из многого софта (вплоть до утилиты для подписи по смарткарте) её можно запустить, уж извините но в детстве я как-то с машкодами возился, в общем моё ИМХО со многих позиций с доступом защищает не работа службы инф. безопасности а законопослушность и разумность сотрудников (а также отсутствие приложения к ним паяльников с третьей стороны).

                                                0
                                                в общем моё ИМХО со многих позиций с доступом защищает не работа службы инф. безопасности а законопослушность и разумность сотрудников (а также отсутствие приложения к ним паяльников с третьей стороны).

                                                Это вообще-то общеизвестный и неоспоримый факт. Самое слабое звено в любом защитном периметре — человек.
                                  0

                                  Не уверен что в pci dss было бы допустимым настраивать машину таким образом что например если не зашифровать home директорию то все ключи можно скопировать загрузившись с флэшки например с правами sudo. Или как там кажется требуется периодическая смена пароля но вы ее отключите. Или самое классное установить в конце концов temviewer и получить доступ к защищенному устройству к которому доступ через вохр с автоматами с любого девайса

                                    +6
                                    Причем эта политика вполне согласуется с мировыми стандартами в области зашиты финансовых данных (PCI DSS).

                                    Приведите ссылку на конкретный п. или не упоминайте всуе. Отсутствие единого контроля за окружением — это никакого PCI DSS либо просто ваше рабочее место НЕ входит в защищаемый контур.
                                      –2
                                      Выше уже обсуждается эта тема.
                                      +1
                                      Я не против линуксов на рабочем месте. Вернусь из отпуска — сам начну пробовать кладовщикам под 1С начать ставить.
                                      Я против (точнее — не понимаю) самодеятельность, когда юзер может сам поставить другую ОС и ему за это ничего не будет.
                                        0
                                        Если не снёс винду за что наказывать? Сам ставил убунту много раз, необходимости что-то убивать не возникало.
                                          +1
                                          За нарушение регламента. Пользователь может только пользоваться компьютером, устанавливать и настраивать — дело админа.
                                          Если у меня юзер поставит сам себе линукс, то этот линукс будет снесен нафиг как только замечу. Что бы там юзер не говорил про то, что ему так удобнее. Если удобнее — пиши служебку, аргументируй, почему сегодня неудобно. Либо решим проблемы, либо сами поставим линукс, если только под ним работать можете.
                                            +1
                                            А работа на своём железе (BYOD), как я смотрю у вас не пользуется популярностью?
                                            Сам работал довольно часто в банках, как программист, и считаю разумным сценарий, когда можно работать (DEV) на своем ноуте, но доступ к реальны данным (STAGE, PROD) возможен, только через выделенные каналы. Естественно, с протоколированием и четким набором действий. Плюс бумаги о материальной ответственности. Но там и зарплата другая. То есть, если ты просто программист, то данных ты не увидишь.
                                              +1
                                              Не пользуется, но запрета нет. Все так же, через служебку. Несколько менеджеров и кое-кто из начальства так работает.
                                              И грузчики. Притащили себе комп, в свободное время интернетятся. Доступа в основную сеть у них нет, конечно. Но посчитаны.

                                              Вообще, у нас правила не самые строгие, разрешено все, что не запрещено. Но надо согласовывать, хотя бы устно для начала. Если криминала нет («поставьте мне автокад, вот дистрибутив, вот кряк»), то бумажно оформить проблем обычно нет, даже поможем подобрать формулировки.
                                    0
                                    А чё — так можно было чтоли? (с)

                                    А по теме, в волне импортозамещения, скоро все мы там будем.
                                      0

                                      Не только замещение, ещё и окончание поддержки win7

                                      +26

                                      Если вам для работы надо запускать питон, гит, ссш, прочее «программирование» и при этом вам не дают права администратора, то вам не надо ставить Линукс. Вам надо оттуда БЕЖАТЬ, срочно!

                                        +2
                                        Если вам для работы надо запускать питон, гит, ссш, прочее «программирование» и при этом вам не дают права администратора, то вам не надо ставить Линукс. Вам надо оттуда БЕЖАТЬ, срочно! то почему вы до сих пор не перешли на Linux?

                                        Fixed.

                                        А если серьезно — то сейчас вы мало на какой работе сможете официально получить админа на винде если там соблюдаются современные стандарты в области безопасности.
                                        А вот на Linux иметь sudo — те же стандарты не запрещают.

                                        Как говорится — «почувствуйте разницу»…
                                          +6

                                          Даж не знаю, работаю в огромной компании, админ есть. Правда локальный и некоторые настройки типа обновлений винды заблокированы доменными политиками и их поменять нельзя. Но в целом проблем с нехваткой прав нету. Разве что шифрование диска и антивирус немножко раздражают потому что они медленные, но хоть понятно зачем нужны. А не давать программистам админа это почти как пчёлы против мёда — есть куча задач которые без супер прав не делаются. Сниффер например без админа не запустить, IIS не понастраивать и прочее.

                                            0
                                            Ну я не говорил что НИГДЕ нельзя админа на винде получить. Я говорил что мало где это возможно. И ваше исключение общей тенденции не отменяет.
                                            +2
                                            Если вам для работы надо запускать питон, гит, ссш, прочее «программирование» и при этом вам не дают права администратора, то вам не надо ставить Линукс.

                                            вам просто надо, чтобы их установили на Win админы. Причем в этом нет никаких сложностей.
                                            +1
                                            По поводу git хочу вставить 1 ремарку. Запускаться он запускается и работает. Но по сравнению с linux — медленнее, причем ощутимо. У нас у некоторых разработчиков пришлось даже компьютеры апгрейдить, чтобы выкачивание репозитория не занимало целую вечность. Причем сервер с репозиторием стоит в локальной сети, а не где-то далеко в интернете.
                                            Хотя возможно в этом опять виноват антивирус.
                                              +3
                                              >Хотя возможно в этом опять виноват антивирус.
                                              Почти 100%, что это он. Попросите админов внести рабочие папки в исключения — и сразу увидите разницу.
                                              +11
                                              Зашел оставить этот комментарий. Переходить надо было не на Линукс, а в другую компанию.
                                                +4
                                                На линукс в другой компании.
                                                  0
                                                  Если на Linux перейти в этой разрешают, то и уходить — незачем.
                                                    +6

                                                    Судя по описанию, уходить — не "за чем", а от кого. Разрешение sudo и такие запреты на Windows говорят о чём? У меня теория одна: где-то сидит профнепригодный безопасник, админы на местах слепо следуют указу, а те, кто понимает этот театр абсурда, придерживаются принципа "ты начальник — я дурак". Не и зачем там работать? Есть какие-то незаменимые плюшки? Зарплата х1,5 от рынка?


                                                    Плюс неудобно же, начальство борется с сотрудниками, а те — с политикой начальства.

                                                      –2
                                                      Ну предположить конечно можно, но я вам конкретный пример привел международного стандарта по которому без всяких предположений именно так.
                                                        0
                                                        Напомните, пожалуйста, что это за стандарт такой, согласно которому, для получения прав на администрирование своего рабочего места, можно и нужно притащить с собой флешку с Kali Linux, загрузиться с нее и сделать offline password recovery работать?
                                                          0
                                                          Речь немного о другом.

                                                          Речь о том, что если на компе стоит винда — то адмна не дают, а если Linux — то на нем есть возможность стать рутом.

                                                          Ни про какие взломы речи не идет.

                                                          Речь идет о политике настройки рабочих мест сотрудников, которую в рамках аудита проверяет и согласовывает аудитор по PCI DSS.
                                                            +1
                                                            Речь о том, что если на компе стоит винда — то адмна не дают, а если Linux — то на нем есть возможность стать рутом

                                                            А как это согласовывается с PCI DSS, с любыми правилами безопасности, наконец, банально со здравым смыслом? Ну правда же, не надо наговаривать на аудитора, я в жизни не поверю, что ваш аудитор настолько неквалифицированный. Вы же, надеюсь, сами осознаёте, что разрешения пользователя в системе должны соответствовать его полномочиям, а не разновидности его операционки? Это — политика безопасности. А то, что вы озвучили, это просто странная блажь админа, на которую почему-то все закрывают глаза, и ваши Security officers, и аудиторы.
                                                              0
                                                              Да — это политика безопасности. Документ такой который в рамках аудита проходит согласование с аудитором. Не верите мне — ну и не надо. Что я могу поделать.
                                                        0

                                                        Представим ситуацию, есть большая компания, есть контур с неочень ценными данными и когда-то для некоторых отделов были согласованы исключения по некоторому набору параметров, возможно разумных. :)
                                                        В принципе ведь существуют люди с большим доступом икоторым доверяют, почему некоторая компания не может допустить такого же отношения к некоторым сотрудникам, причём нам же неизвестно, может админы и просигналили руководителю, а он дал добро под свою ответственность.

                                                  0
                                                  Вот и я о том же…
                                                  0
                                                  Поставил на ноутбук Linux Mint 18. Все бы устроило, но управление курсором с тачпада просто вымораживало. Не понимаю в чем разница, но попасть с тачпада по нужной кнопке или полосе прокрутки у меня не получается без специальных усилий. С мышью в принципе нормально.
                                                    +1
                                                    Там надо ставить драйвер тачпада (ну это я условно называю его драйвером). К большому сожалению, сейчас точно вспомнить не могу, что именно. Но, кажется, так: sudo apt-get install xserver-xorg-input-synaptics-hwe-18.04 (для убунты 18.04).
                                                      0
                                                      Спасибо. Чуть позже попробую.
                                                        +1
                                                        ну это я условно называю его драйвером
                                                        Это драйвер и есть.
                                                      0
                                                      > порт 5900 был закрыт… можно использовать xrdp
                                                      Может я чего-то не понял, но пуркуа было не поднять vnc-сервер на 3389-м порту?
                                                      xrdp же всё-равно работает через censored vnc.
                                                      А так и волки сыты, и овцы целы, и пастуху вечная память.
                                                        0
                                                        Думал об этом, и даже был вариант пробросить vnc через ssh.
                                                        Но Remmina как клиент удаленного доступа для rdp больше нравится(хотя в ней и vnc плагин тоже есть). Суть xrdp в моем случае — легкое подключение и с виндоус-машин без установки дополнительных программ.
                                                          +1
                                                          У вас еще хорошо, у меня на работе открыты только 80 и 443. На домашний роутер залезаю через ssh на 80-м порту.

                                                          Но чем хорош ssh — имея только его прокинуть можно что угодно.
                                                            +1

                                                            Можно настроить sslh и повесить ssh, openvpn, https на один порт (443).

                                                              0
                                                              Про sslh я знаю, но мне не нужно так много всего.

                                                              Если нужно зайти на вебморду роутера или допустим на вебморду Syncthing одного из домашних компов, то я через ssh покидываю нужные порты и открываю на работе. Ну а если там что-то жене или ребенку подкрутить надо — то обычно мне простого ssh на их компы хватает.
                                                            –2
                                                            1. VNC через ssh — это масло масленное. VNC сам по себе шифрует и пакует трафик. А Вы сверху его еще раз шифруете и пакуете ssh.
                                                            2. remmina — это просто «агрегатор» клиентов. Берете простой vnc-viewer (любой) — и вперед.
                                                            3. аналогично на Windows.
                                                              0
                                                              Да, я знаю. Но там ssh описывался просто как способ проброса порта приложения через файрвол: на удаленной системе vnc server слушает 127.0.0.1:5900 который форвардится на домашний пк. И то что Remmina это просто набор плагинов для разных протоколов тоже.
                                                                0
                                                                Так вроде как у VNC плохо с защитой. Пароль максимум из восьми символов и защиты от перебора нет. Плюс проброс порта VNC проще всего осуществить именно при помощи SSH.
                                                                  +1

                                                                  Шутить изволите? В протоколе vnc шифрование трафика отсутствует в принципе. Позтому за пределы локалки его без обёртки выпускать нельзя ни при каком раскладе.

                                                                    +1
                                                                    Ой, ну…
                                                                    Ок, если хотите академически:
                                                                    протокол VNC не поддерживает шифрования. Это не его работа.
                                                                    — шифрование поддерживает реализация оного. И если RealVNC-клиент на Вашем любимом макбуке договорится о протоколе шифрования с TigerVNC-сервером на Вашей же любимой рабочей машине — то будет Вам шифрование.
                                                                    Если же нет — пускаете VNC поверх (или внутри) ssh — и вперед.
                                                                    Так лучше?
                                                                    Просто дольше писать.
                                                              +10
                                                              Программист без админских прав на локальной машине — это бред. Всё равно найдёт лазейку, а производительность труда падает. Любые ограничительные меры эффективны только при неизменности программного окружения, это в любом учебнике и стандарте по безопасности написано. Бегите от этих людей.
                                                                –1
                                                                Смотря что он там программирует. У наших программистов (веб, 1с) админских прав нет и не просят.
                                                                  –1
                                                                  Программист без админских прав на локальной машине — это бред.

                                                                  А для чего программисту админские права на локальной машине? Что он может с ними сделать что без них невозможно?

                                                                    +3
                                                                    Программист может сделать всё, независимо от того, предоставите вы ему админские права или не предоставите; просто во втором случае он будет возиться дольше и вообще разрушит до основания систему безопасности, как это сделал автор поста.

                                                                    А в практическом плане, может потребоваться, например, менять конфигурацию операционной системы и версии общесистемных библиотек для проверки работы программы в разных условиях. Устанавливать дополнительные утилиты. Отключать антивирус для проверки его конфликта с кодом. Да мало ли что.
                                                                      +1
                                                                      Например, поставить docker :) Да много всего… Но тут решение очень простое — обговаривать это при устройстве на работу. И менять её если это важно. Можно, конечно, попробовать и как автор, но тут есть вариант, вылететь с работы с волчим билетом — да, так что потом не устроишься не в одну серьёзную контору, которая, с финансами работает. У всех есть проверка в службе безопасности…
                                                                        +1
                                                                        Например, поставить docker

                                                                        О докере то я и не подумал. Остальное ещё как-то можно, а докер получается придётся админам ставить

                                                                        +1

                                                                        Ставить пакеты системным ПМ, а не захламлять ~.

                                                                          –1

                                                                          Ну вот тут я скорее за то, чтобы системынй ПМ не трогать, а копировать программы локально, чтобы можно было легко менять версии на те, которых в системном ПМ нет и чтобы программист чётко знал, что ему необходимо для работы.

                                                                          +1

                                                                          Например, студия для отладки под iis требует админские права. Хотя, конечно, тс в линухе та ещё корова.

                                                                            0

                                                                            Можно все в виртуалках гонять. Но это тоже смешно. Т.к. как только имеется в виртуалка с выходом в корп сеть… то дальше можно не продолжать.

                                                                        0

                                                                        Вы затронули очень болезненную тему. Я бы разделил ее на несколько частей.


                                                                        1. Конечно вне зависимости от операционной системы в идеальном Энтерпрайза не должно быть возможности переустанавливать систему, получать админские права, устанавливать "нужный" софт который не всегда является безопасным и лицензионным. Но суровая реальность такова что админы Энтерпрайзов равно как и разработчики ит отделов это такая себе своеобразная среда в которой любят поговорить о том что уйди они на галеры или свали за бугор имели бы зарплаты в тысячу раз выше и все остальные им сильно обязаны за то что они с нами. Как результат какие-то дикие ограничения. Например у меня где я работал не было времени на соцсети. И я бы даже если попросили в них не зашёл бы. Но поскольку на каждом сайте есть ссылки на соцсети то работа в интернете была примерно такая. Сначала две минуты ожидаешь что по таймауту не загрузились библиотеки от ВК до этого момента страница заблокирована. После этого наконец контент отображается. Но по всему экрану всплывают фреймы где со ссылкой на какое то распоряжение сообщается что я якобы пытаюсь войти в соцсети и мой запрос блокирован. Но и по софту. Конечно весь софт который нужен должен быть установлен в идеале и разработан или куплен. Но в нашем Энтерпрайзе это не так. Опять же сошедшие с небес местные ит службы не вникнув в суть нужных задач что-то быстро стандартной палитрой пятых дельфей набрасывают и уходят ворча что где-нибудь за бугром за такую работу предприятия заплатило бы миллионы.


                                                                        2. Но тут есть и обратная сторона. Это собственно типичные клиенты Энтерпрайз систем. Это секретари руководителей, бухгалтеры, экономические службы. Которые в силу правового нигилизма подсели на пиратский винддвский софт. И не смотря на то что на линухе есть бесплатная альтернатива до поры до времени пока вирус шифр овальшик не удалил все данные требуют себе Майкрософт офис.


                                                                          0
                                                                          Да уж, вот я по выражению автора «гик-отщепенец» в окружении врагов OS Windows, у нас организация перешла на Office 365, каждый пользователь имеет свой логин на портале office.com, и мне теперь не надо локально офисные программы ставить, лепота, можно конечно «по просьбе трудящихся» скачать из их учетной записи софт и установить локально. Для удаленного доступа сервера есть Remmina, точнее freeRDP…
                                                                            +6
                                                                            Пост о Linux или о глупых ограничениях работы в вашем случае на винде?
                                                                              –1
                                                                              О Linux и настройке почты и календаря(оно даже в заголовок вынесено).
                                                                              А все почему-то только видят подтекст про обход ограничений…
                                                                                +4
                                                                                Может потому что первых 3 экрана говорят только про это?
                                                                              +6
                                                                              >Привлекательность Linux заключалась в том, что ты сам себе хозяин. Сам ставишь какие надо программы, сам управляешь всем, чем нужно

                                                                              … при условии, что пользователь был создан с правами администратора и включен в группу sudo. Ничем особенно не отличается от аналогичной ситуации в Windows.
                                                                                –4
                                                                                Вы не поняли.

                                                                                Вопрос не в доступах, а в политике безопасности.

                                                                                Просто сейчас существует уже дефакто общепринятый стандарт безопасности: пользоватею корпоративного компа прав админа в винде давать нельзя.
                                                                                Но в Linux дать право на sudo — можно (по тем же стандартам).
                                                                                  +7
                                                                                  Странные стандарты какие-то. Почему нельзя, это как аргументируется? А если надо по работе?
                                                                                    –3
                                                                                    По работе надо — позови эникея — он тебе настроит.
                                                                                    +1
                                                                                    Странная логика… Вот у меня в конторе как раз под виндой у разработчиков есть права локального администратора ( но не доменного ). А на никсовых машинах безопасность рута ни за что не дает, мол под рутом можно что угодно наворотить, и даже следов не оставить.
                                                                                      +2
                                                                                      А можно ссылочку на стандарты?
                                                                                        –4
                                                                                        Конкретно у нас PCI DSS — довольно сложная штука и так что бы дать ссылочку на один конеретный документ — не получится — там много всяких уровней и по каждому уровню — свои требования.
                                                                                          +5

                                                                                          Может быть я не понял о чем речь но как раз pci dss это один pdf файл.

                                                                                            –3
                                                                                            В том файле еще очень много ссылок на другие. До даже не это важно.
                                                                                            Важно что начиная с Level 2 — там уже нужно проходить ежегодный аудит и всякие сканирования и т.п…
                                                                                              +3
                                                                                              При чем тут аудиты и пр.? Вопрос про совершенно конкретную вещь — где там написано, что админские права в win нельзя, а sudo в линукс можно? Можете найти цитату, которая говорила бы именно про это?
                                                                                                –3
                                                                                                Это как-раз от аудитора.

                                                                                                Там в бумагах только общие слова. И если для Level 1 все довольно просто то все что выше — там очень много идет конкретных указаний от аудитора и это не в виде высеченного в камне — это из-года в год меняющиеся требования.
                                                                                                  +1
                                                                                                  Кажется ответа на вопрос нет) Либо вы это придумали, либо это тайна, покрытая мраком
                                                                                            0
                                                                                            Ну вот честно говоря — не то что не верится, а скорее так — в ваших словах слишком много простора для неверной интерпретации. Начиная с того, что sudo вполне можно разрешить в разных вариантах (например, только sudo -u user, и больше никак, что на самом деле далеко не рут). Поэтому в таком вот общем виде оно и вызывает сомнения.
                                                                                              –4
                                                                                              Если пользователь не в группе adm. У него никакого sudo нет,
                                                                                              А если есть то команда под sudo = команда выполненная рутом, ну если надо можно sudo -s или sudo -i и ты рут пока не выпонил exit.
                                                                                                +3
                                                                                                Это, мягко говоря, не вся правда. См. как минимум sudoers.
                                                                                                  –3
                                                                                                  Мы с вами немного про разное. Но я с вами и не спорю, если в не поняли.
                                                                                                +1
                                                                                                в sudo можно указать конкретный набор команд которые можно запускать.
                                                                                                Для многих вещей, в том числе и для администрирования отдельных продуктов вполне хватает.
                                                                                                  +1
                                                                                                  Я знаю. Зачем я по-вашему упоминал sudoers?
                                                                                            +2
                                                                                            Иногда мне кажется, что никто не умеет настраивать sudoers…
                                                                                              +1
                                                                                              >существует уже дефакто общепринятый стандарт безопасности

                                                                                              И вы, конечно же, можете сослаться на соответствующий параграф в одной из книг «Rainbow Series»?
                                                                                            0
                                                                                            Прошу прощения, а что за контора если не секрет? Не хочу устраивать флуда и холивара, но я бы из такой сбежал вперёд собственного матерного крика. Подобные ограничения по-моему говорят уже о неадекватности руководства.
                                                                                              –4
                                                                                              Как ни крути но линукс самое стабильное ПО.
                                                                                                +2
                                                                                                Ну тоже спорный вопрос. Бывают обновления, обратно несовместимые, которые ломают что-то.
                                                                                                Или например недавно в sudo нашли уязвимость.
                                                                                                Которую тут же впрочем быстро заплатали. Никто от ошибок не застрахован 100%.
                                                                                                  –3
                                                                                                  а в винде уязвимости не находят, поэтому они там остаются)
                                                                                                  +4
                                                                                                  Вы давно читали release notes от какого-нибудь дистрибутива? Насколько я помню, типовой документ такого вида от RHEL — это много страниц, с перечнями багов в том числе.
                                                                                                    0

                                                                                                    Было бы интересно сравнить с релизнотесами винды.

                                                                                                      +1
                                                                                                      Вряд ли их можно сравнить напрямую. Но в принципе MS свои документы не прячет, они в виде KB доступны прямо из UI обновления системы.

                                                                                                      Ну и в целом, качество очевидно не напрямую зависит от числа найденных багов — а скорее от того, как оперативно и аккуратно их исправляют. И от того, насколько пользователю удобно с этим работать — т.е. можно ли, грубо говоря, легко найти, какие проблемы были найдены в моей конкретно версии, выбрать и установить конкретные патчи для себя.
                                                                                                        –1

                                                                                                        Ну, по факту у меня линукс годами работает без перезагрузки что на серверах, что на десктопе в режиме 24/7, а винда начинает канючить в среднем через месяц использования в режиме «погонять вечером пару раундов баттлы».

                                                                                                          0
                                                                                                          Это барабашки ) Точнее я могу сказать так — в позапрошлом проекте у меня были сервера с MS SQL 2008, так они естественно крутились на Windows Server 2008, и аптайм у них был порядка нескольких месяцев (от одного обновления софта до другого — т.е. либо Windows, либо сам MS SQL). Естественно, что обновления при этом ставились сугубо выборочно, именно и только те, которые нужны во внутренней сети, и которые реально влияют на что-то. Стоявшие рядом линуксы — примерно так же, обновления от красной шапочки прилетели — значит в выходные возможно будет перезагрузка, нет — продолжаем 24/7.

                                                                                                          И да, это не про Win 10, на мой взгляд (
                                                                                                            +1
                                                                                                            Значит вы там кроме пары раундов ещё что-то химичите.
                                                                                                            Ещё с 2000 начиная винда уже сама по себе не захламлялась и вполне была пригодна для работы годами, тем более — на ограниченном круге программ.
                                                                                                            Молчу уж про сервера, где нога юзеров напрямую не ступала.

                                                                                                            Вирусов и кривые обновления рассматривать не будем, везде бывает. Хотя в винде почаще, не спорю.
                                                                                                              0

                                                                                                              Ничего не химичу. Я просто включаю машину, кликаю на иконке игры, играю в неё, выхожу, и увожу машину обратно в спящий режим. Всё.


                                                                                                              А круг программ там ну очень ограниченный. Origin для запуска баттолфилда, стандалон-версия DCS, ПО для хедтрекера, ПО для джойстика, и всё. А, ну дискорд ещё.

                                                                                                                +2
                                                                                                                Тогда либо ваш софт химичит, либо не договариваете. Либо у вас десятка. :)
                                                                                                                  +1

                                                                                                                  Не, 8.1 до сих пор, лень обновлять.


                                                                                                                  Софт химичит — вполне возможно. Но вот, с одной стороны стороны, почему-то софт под линуксом не химичит, хотя у меня там его на порядки больше, и обращаюсь я с ним не сказать чтобы так уж аккуратно, а, с другой стороны, если про винду говорят, что там всё просто и понятно, не то что в этом нашем страшном линупсе, то разбираться, почему она не уходит в спящий режим, или почему там не ставится одно из рекомендованных обновлений уже полтора года, или почему Origin тупо виснет при старте после пары недель, и приходится перезагружать машину… Короче, неохота в этом всём разбираться.

                                                                                                                    +1
                                                                                                                    Без причины даже десятка не глючит.
                                                                                                                    А ориджин то еще глюкало. У себя стараюсь не запускать и игры там не покупать по мере возможности.

                                                                                                                    А так у меня есть знакомый линуксоид, у которого тоже винда разваливается в руках. Правда удаленно ему как-то редко получается помочь, а на «принеси — гляну», говорит, что лучше новый комп купит.
                                                                                                                      +1
                                                                                                                      Без причины даже десятка не глючит.

                                                                                                                      Ну, может, причиной является то, что я этот компьютер вообще включаю. Не включал бы — не глючило бы.


                                                                                                                      А ориджин то еще глюкало. У себя стараюсь не запускать и игры там не покупать по мере возможности.

                                                                                                                      Меня как пользователя это волновать не очень должно.

                                                                                                                        +1
                                                                                                                        Тогда, как пользователь, вы должны обратиться к специалисту. ;)
                                                                                                                        Потому что, в целом, любая ос на исправном железе стабильна. У меня был виснущий на ровном месте линукс — там в ссд дело оказалось, после замены пока не висло.
                                                                                                                        Винда, впрочем, на том же ссд нормально себя ведет. Но она на ночь выключается.
                                                                                                      0
                                                                                                      Самый стабильный имхо debian. Остальные далеко нет, особенно rhel based)
                                                                                                        +1
                                                                                                        В них во всех приколы бывают. У меня дебиан как-то при апгрейде грузиться переставал — конфиг загрузчика запарывал. Давно было, правда.
                                                                                                      +2
                                                                                                      Театр безопасности по айтишному. У админов есть возможность доменных политик для windows, они их применяют. У админов нет аналога доменных политик для linux — поэтому они их не применяют.
                                                                                                      Так то, я уверен, можно обосновать необходимость наличия прав локального администратора (dual boot, виртуальной машины с полностью подконтрольной ОС), и они появятся.
                                                                                                      Но можно потратить некоторое время и забороть систему ;)
                                                                                                        +8

                                                                                                        Жесть, на винде закрыли USB, поставил Linux и без проблем прокинул иксы домой.
                                                                                                        Прямо цирк какой-то в плане безопасности.
                                                                                                        Флешкой грузиться и пароль виндовый менять — это, вообще, за гранью добра и зла.
                                                                                                        Откуда у вас с такой паранойей доступ к биосу и прочему?

                                                                                                          +2
                                                                                                          Так в биос его и не пустили — только в меню загрузки… но это на мой взгляд — упущение :)
                                                                                                            +1
                                                                                                            Так меню загрузки не отключить, это часть БИОС.
                                                                                                              +1
                                                                                                              Сильно зависти от прошивки — мне допустим чаще попадались такие где на загрузочное меню и на вход в настройки можно было задать разные пароли или не задавать (индивидуально) разрешая вход без пароля.
                                                                                                                +1
                                                                                                                Мне наоборот, думаю у компов тоже есть стандарты безопасности, и если при покупки это учитывать то юзер не сможет свою ОС установить.
                                                                                                          +2

                                                                                                          Операционная система — это инструмент, и инструменты по функционалу отличаются, поэтому то, что удобно в Linux, может оказаться плохо в Windows, и наоборот.


                                                                                                          Касательно GIT — да, консольный GIT в Windows — это боль. Однако, при использовании IDE и нативных удобных GIT-клиентов под Windows (типа Sublime Merge) необходимость в использовании консольного гита отсутствует практически полностью. Даже в Linux я бы предпочёл графический клиент — он единомоментно показывает гораздо больше полезной информации и в более наглядном виде.


                                                                                                          Удалённый доступ. В случае Windows основной инструмент, через который можно сделать что угодно — это RDP. В случае Linux — SSH. А вот пытаться делать наоборот не стоит. С удалёнными рабочими столами в Linux очень и очень плохо из-за архитектурных особенностей графической подсистемы. VNC — крайне медленная и неэффективная штука по сранению с RDP, а проброс иксов через SSH — извращенство ещё то.


                                                                                                          Собственно, эффективный удалённый доступ с передачей рабочего стола — одна из основных причин, почему разработку я веду под Windows, а не Linux. Мне важна не командная строка, а графические средства разработки (IDE). Конечно, можно обойтись vim, но что-то не хочется.


                                                                                                          Native SSH и native shell — тут, понятное дело, альтернатив нет. Если у вас имеется постоянная необходимость в использовании cygwin, mingw, то вы ошиблись в выборе операционной системы как инструмента.

                                                                                                            0
                                                                                                            . С удалёнными рабочими столами в Linux очень и очень плохо из-за

                                                                                                            Да ещё лучше чем в Ворде. Устанавливаете teamviewer и с любого девайса шпилите

                                                                                                              +1

                                                                                                              Попробовал teamviewer на убунте. Действительно, скорость выше всяких похвал, правда, пока проверил только в локальной сети.


                                                                                                              Из минусов: высокая нагрузка на клиента (1 ядро было полностью загружено) + отсутствие возможности виртуализации рабочего стола как в RDP.


                                                                                                              Последнее мне особенно критично. Мне нужно, чтобы разрешение удалённого стола и DPI scaling подстраивались под характеристики клиента, ибо просматривать удалённый 4K экран с масштабированием 150% с ноутбука 1366х768 — это боль.

                                                                                                                +1

                                                                                                                TeamViewer умеет подстраивать рабочий стол под разрешение клиента, во всяком случае в Windows.

                                                                                                                  +1

                                                                                                                  RDP тоже умеет. Зачем мне какой-то левый софт, когда есть готовый функционал из коробки?

                                                                                                                    +1

                                                                                                                    Он не умеет подключаться снаружи внутрь сети за NAT и HTTP Proxy, через который даже VPN не пробросить.


                                                                                                                    Если я не прав, и вы знаете такой способ — научите, буду только благодарен. Без шуток.

                                                                                                                      +2
                                                                                                                      Сам по себе не умеет, но разве это проблема? Если вам можно и нужно работать удалённо, говорите админу, он пробрасывает вам RDP. Если не положено, то вас уж точно не похвалят, если вы там самостоятельно сессию TV пробросите. Разве оно того стоит?
                                                                                                                        +1

                                                                                                                        Так то я сам админ, но только внутри. А Шлюз у нас на отделе Защиты. И они занют, что мне на случай форсмажора нужен доступ внутрь, но у них тупо квалификации нет это настроить. Пытались и тупо не смогли, да. Да вот, такие порядки у нас в бюджетных учреждениях… А дать порулить мне на 5 минут, чтобы все сделать, не имеют права!


                                                                                                                        И да, не надо сразу про "бегите оттуда". Некуда бежать в облцентре на 300тыс жителей.

                                                                                                                          +1

                                                                                                                          Тогда заводите внешний VPS, поднимаете на нём VPN и настраиваете постоянное подключение со стороны рабочего компьютера. Нужно получить доступ к рабочей сети? Подключаетесь с любого компа к тому же VPN и имеете доступ какой хотите. Можно обойтись и без VPS, если поднять VPN-сервер на домашнем компе, просто надёжность будет ниже.

                                                                                                                        +3

                                                                                                                        Рабочий компьютер, который торчит какими-то сервисами наружу — не очень безопасный вариант. Единственное разумное решение проблемы — это VPN.

                                                                                                                          +1

                                                                                                                          У нас прокси — сквид 2й версии. У меня через него не работают VPN, ума не приложу, как быть.

                                                                                                                            +1

                                                                                                                            А многие ли варианты пробовали?


                                                                                                                            1. OpenVPN через 443 порт TCP.
                                                                                                                            2. SoftEther VPN.
                                                                                                                            3. Кустарные разработки типа таких:
                                                                                                                              https://github.com/unbit/vpn-ws
                                                                                                                              +1

                                                                                                                              Open и Ether не заработали. Дело не столько в открытых портах, сколько в том что сквид не умеет в UDP, только TCP.

                                                                                                                                +1

                                                                                                                                Потому я и написал про TCP/443. У меня ещё нигде не было проблем, даже в Китае.

                                                                                                                                  +1

                                                                                                                                  Спасибо, буду гуглить.

                                                                                                                  +4
                                                                                                                  Да ещё лучше чем в Ворде. Устанавливаете teamviewer и с любого девайса шпилите

                                                                                                                  Да Teamviewer как раз не замена RDP. Его «заточенность» кроется в его названии, чтобы подключиться в сессию к другому пользователю, и помочь ему что-то сделать. А для удалённой работы он неэффективен. Сессию новую не создает, виртуальный десктоп с нужными параметрами не создаёт, да и денег стоит.
                                                                                                                    0

                                                                                                                    Не говоря уже о том, что тимвьювер — это облачный сервис. Весь обмен идет через их центральный сервер (ну, может и не весь, но точно — значительная часть). Факторы риска ИБ...

                                                                                                                      +1

                                                                                                                      Там можно поключаться напрямую по IP без обмена с центральным сервером.

                                                                                                                        0

                                                                                                                        Idшники ведь по идее все равно головным узлом генерируются?
                                                                                                                        Ну, напрямую, по ip не проверял. К тому же, это явно будет работать только в прямой видимости, что даже для корпсетей не всегда верно.

                                                                                                                          +1

                                                                                                                          Разрешаете в настройках прямые подключения и вбиваете IP вместо ID — будет работать, если порты не зарезаны.

                                                                                                                    +2
                                                                                                                    Ваша компания, конечно же, покупает вам лицензию на TeamViewer и даёт разрешение пускать всю рабочую информацию через сервера неизвестно кем управляемой компании?
                                                                                                                      +2

                                                                                                                      Я как раз против использования teamviewer и не использую его вообще и даже не знаю как это делать. Мне вполне достаточно командной строки а давать доступ к своим устройствам мне как то не хочется. Я даже Телегой не пользуюсь т.к. ее нарочитая защищенность вкупе с обязательной регистрацией по номеру телефона как-то меня смущает.

                                                                                                                  –1
                                                                                                                  Любой виндоус ide с поддержкой гита все равно вызывать будет бинарный git.exe
                                                                                                                  В чем разница того, что вы его не вызываете сами из консоли? Только в том что его вызывает другая программа?
                                                                                                                  А по поводу cygwin\mingw — я не выбирал какую ось мне не комп ставить. Так как ставят всем только windows при выдаче пк.
                                                                                                                    +1
                                                                                                                    Любой виндоус ide с поддержкой гита все равно вызывать будет бинарный git.exe

                                                                                                                    Мне казалось, что Visual Studio использует собственную GIT реализацию для ряда функций. Видимо, ошибался.


                                                                                                                    В чем разница того, что вы его не вызываете сами из консоли? Только в том что его вызывает другая программа?

                                                                                                                    Разница в накладных расходах на вызов процесса.

                                                                                                                      0
                                                                                                                      Не могу сказать про VS. Вполне может быть у них и своя реализация.
                                                                                                                      А как часто они обновляют эту реализацию при выходе новых версий гита с новыми плюшками?

                                                                                                                      Ну а про накладные расходы на запуск процесса все понятно и так, но все равно спасибо что уточнили.
                                                                                                                        0
                                                                                                                        Сильно сомневаюсь что собственную. Всегда думал что используют libgit2
                                                                                                                        +2
                                                                                                                        Любой виндоус ide с поддержкой гита все равно вызывать будет бинарный git.exe

                                                                                                                        Конечно, нет. Никто не запрещает использовать/написать библиотеку по работе с файлами Git'а.
                                                                                                                          0
                                                                                                                          Конечно, нет.

                                                                                                                          И какая IDE не использует git.exe ?


                                                                                                                          Никто не запрещает использовать/написать библиотеку по работе с файлами Git'а.

                                                                                                                          И некотороые даже пишут, но в IDE используют git.exe

                                                                                                                            0

                                                                                                                            Вам веткой ниже уже сказали — Eclipse.

                                                                                                                              0
                                                                                                                              В Eclipse используется реализация на Java, JGit.
                                                                                                                                0
                                                                                                                                Если б я был султан джавист, тогда бы мне это помогло. Спасибо за подсказку.
                                                                                                                            +1

                                                                                                                            "В чем разница того, что вы его не вызываете сами из консоли?"


                                                                                                                            Дык в том и разница, что не нужно из IDE переключаться в консоль и обратно. Лишнее действие.

                                                                                                                              –1

                                                                                                                              Если бы я занимался разработкой для с++ или дотнета и была куплена студия, тогда бы это имело смысл. А так, только теоретические рассуждения получаются

                                                                                                                                +1

                                                                                                                                Если вы при разработке под что угодно пользуетесь IDE, и эта IDE умеет в VCS — странно не пользоваться встроенным в IDE интерфейсом. Разве что он совсем убогий ;)
                                                                                                                                Консоль в Windows (кмк) то ещё убожество, без крайней необходимости не вижу смысла в нее переключаться.

                                                                                                                                  0
                                                                                                                                  Просто ретро какое-то… Conemu, Power Shell, WSL — эти слова вам ни о чём не говорят? Всё совсем не плохо с консолью на винде. Мне вот еще sshd на Windows Server из коробки не хватает. Иногда надо за логами следить, а tail на расшареных дисках еще то извращение…
                                                                                                                                    0
                                                                                                                                    WSL — это эрзац, заменитель. Не все там работает хорошо.
                                                                                                                                    Например, докер под виндами унылое подобие.
                                                                                                                                      0
                                                                                                                                      Хмм… Вольному воля, спасенному рай.
                                                                                                                              0
                                                                                                                              >Любой виндоус ide с поддержкой гита все равно вызывать будет бинарный git.exe
                                                                                                                              Ага, ага. Eclipse, например ;)
                                                                                                                              0
                                                                                                                              По поводу cygwin — Очень странное утверждение. Какое мне дело как ssh или awk работает?
                                                                                                                              Они работают прекрасно как на Windows так и на Linux. Почему мне надо комплексовать от того что они в cygwin-e? А если мне надо постоянно пользоваться Visual Studio и Cygwin-ом, то на какую ОС мне переходить тогда?
                                                                                                                                0

                                                                                                                                Возможны проблемы с совместимостью и накладными расходами.
                                                                                                                                А что касается Linux: можно подумать о Rider, CLion, VS Code.