Bitlocker s társai

Mit érdemel az a notebook, akiben nem partícionálható az SSD?
Csavarhúzókat, műanyag szétszedőt és egy másik SSD-t. Aztán egy Ubuntu telepítőt.

Átköltözési tanulságok:

A régi SSD-t egy külső házba téve (ami pár ezer Ft-ért kapható) könnyebb a költözés.
Jól jöhet a csomagok listázása és átmásolása: https://www.ostechnix.com/create-list-installed-packages-install-later-…

Az új telepítés után átásoltam a /usr/local -t és a /var/lib/docker -t meg a /opt-ot, valamint a /home/saját könytárat is (előtte saját0-nak nevezve a már ott levő saját könyvtárat).
Egyes fájlok (pl. dockerből nyíló adatbázis esetén) a $HOME könyvtáram alatt is root jogosultságúak, emiatt root-ként végeztem a másolást.
Így a home-beli symlinkek root jogosultságúak lettek. Javításuk:

find . -user root -type l|xargs -iQ chown saját:saját -h Q

Enélkül a docker is köhögött, furcsa "DOCKER_HOST" hibákat adott vissza.
Fontos volt a sudo usermod -aG docker $USER is a boldogsághoz.

A /etc/hosts átrakása is elengedhetetlen a helyi webfejlesztéshez.

Hozzászólások

Mi köze a Bitlockernek a történethez?

Üdv,
Marci

A Bitlocker akadályozott meg abban, hogy átméretezzem a meglévő partíciókat és dual boot-os gépem legyen.
Igaz, azt nem írtam, hogy az eredeti SSD-t nem állt jogomban átírni; azon (a munkahelyem rendszergazdája által telepített) Microsoft Windows van, és nem kizárt, hogy valamikor vissza kell tennem.
Bár az előző négy évet kibírtam nélküle.

Szerethetnek az IT security-sek a munkahelyeden...
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Mert egy normálisabb cégnél, te mint alkalmazott nem bonthatod meg a céges gépet. Plusz az OS cseréjével sikeresen megbontja a céges infrastruktúra kontrollálhatóságát. Egy ilyen vadtelepítésnél a céges ITnak megszűnik a ráhatása az adott eszközre, és innentől kezdve a céges hálózaton biztonsági kockázat a gép.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Most azokra a szakemberekre gondolsz, akik mindenféle ellenőrizetlen forrásból telepítgetnek mindent, csak mert otthon ezt szokták meg. Vagy azokra, akik autista rohamot kapnak, ha minimálisan szabályt kell követniük?
Láttam már olyan csúcsfejlesztőt, akinek szótagolva kellett elmagyarázni, hogy céges infrastruktúrán nem torrentezünk, és az így letorrentezett játékokat nem a céges gépen próbáljuk ki.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Ezt úgy mondod mintha a világ összes cége így működne. Jártam már pár helyen (legyen 10 tartósabb onsite ügyfelekkel együtt), eddig kettőnél voltam kénytelen IT dept által managelt laptopot használni (nem is tartottak túl sokáig :)
Akinek van esze és nem tökéletesen lúzer, meg érti a titoktartási nyilatkozat és egyéb dolgok lényegét, az szerintem nyugodtan BYOD-zzen. Utálom, ha valaki más felügyeli a gépet amit használok.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

Ok. És mondd, teljes anyagi felelősséget is hajlandó vagy vállalni, ha te, nem lúzer user, BYOD gépén keresztül szivárog ki a cég teljes szellemi terméke, plusz üzleti kritikus fejlesztései?
Mert ugye a bitlockernek nem az az elsődleges feladata, hogy kibasszanak a dolgozóval és ne tudjon Linuxot telepíteni, hanem a gép ellopása elvesztése esetén a rajta lévő kényes adatok ne kerülhessenek könnyen rossz kezekbe.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Természetesen titkosítva tárolom a gépen az adatokat. Nem nehéz összerakni.


/home/.ecryptfs/gyuszi/.Private on /home/gyuszi type ecryptfs (rw,nosuid,nodev,relatime,ecryptfs_fnek_sig=***,ecryptfs_sig==***,,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_unlink_sigs)

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

*ásít*

Érteni értem amit mondasz, de ezeket a kérdéseket nem nekem kell feltenned hanem azoknak akik engedik a BYOD -ot. Ami a részemről megtehető, én megteszem. (lásd titkosítás és egyéb józan paraszti ész által ditkált dolgok).

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

> nem nekem kell feltenned hanem azoknak akik engedik a BYOD -ot

Ha jol remlik, pont arrol szol a thread, hogy a kerdezo sajat OS-t telepitett a ceges mellett/helyett, igy az "engedik a BYOD-t" kicsit tulzas. :)

Ahol a BYOD megengedett, ott valoszinuleg nem is teged vesznek elo, ha egyebkent betartod a jatekszabalyokat.

Magam is így vagyok.
Titkosítottam a teljes SSD-t (ami az alapértelmezett Ubuntu telepítés), ezen kívül követem a józan ész diktálta utat.
Nem gondolom, hogy Linux alatt jobban ki lenne szolgáltatva bárminek a céges hálózat, mint Microsoft Windows alatt.

Ezzel együtt megértem a rendszergazdák aggályait, hogy ilyen-olyan vírusirtó nincs nálam telepítve (s ennél fogva bizonyos hálózatokra akadályozott is a belépés). Most, az új notebookomnál első mozdulatom az volt, hogy kipróbáltam, megy-e jól a WSL. Pár dolog ment, de a számomra létfontosságú (és munkakörnyezetet jelentő) docker nem (vagy csak nyakatekerten, Docker 4 Windows révén ment volna). Úgyhogy irány a Linux. Kell a munkámhoz. Ennyi s nem több az oka a különcségemnek.

Pár hónap múlva ígérnek teljes értékű WSL-t. A következő notebookomon talán már nem kell ilyen SSD-csere megoldást használni - ami ráadásul a saját zsebemből történő vásárlást jelentett, plusz utánajárást, szerelési munkát.

Itt nem azt kell nézni, hogy szerinted (!) mi számit biztonsági kockázatnak, hanem az, hogy a céges policy mit mond, mit támogat ...stb.

A fenti akcióért jobb helyeken fegyelmivel repülsz.
-------------------------
Dropbox refer - mert kell a hely: https://db.tt/V3RtXWLl
neut @ présház

Nyilván a nulladik napon tisztázom a policyvel kapcsolatos kérdéseket. Nem szoktam fű alatt BYOD-ozni. Ha figyeltél a sztorira, elmondtam hogy mindenhova eleve BYOD felkiáltással megyek, amit el szoktak fogadni, ahol meg nem, ott alkalmazkodtam és használtam a céges hulladékot.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

"BYOD felkiáltással megyek, amit el szoktak fogadn"

Szóval megegyezel a munkáltatóval. Ezzel nincs gond, viszont a posztot magából kitoló user egy szóval sem emlitette, hogy igy járt volna el.

Nem tetszik a céges hulladék? Menjen olyan helyre, ahol az ő igényeihez passzoló környezet van...

-------------------------
Dropbox refer - mert kell a hely: https://db.tt/V3RtXWLl
neut @ présház

+1

Én is a nagy multinál az első napok után lementem az IT-ra, hogy Linuxot szeretnék, multibootba. Hümmögtek, hogy hát ahhoz nem értenek, ezért azt mondták, hogy csak úgy engedélyezik, ha ezután ők nem biztosítanak supportot a laptopra. Mondam, hogy rendben. Valamelyik srác áttologatta a partíciókat, csinált üres helyet, ideadta a gépet, aztán a következő 7 évben néha új gépet adtak.

Nem volt ezzel semmi gond.

"A /etc/hosts átrakása is elengedhetetlen a helyi webfejlesztéshez."

Ez egészen pontosan mihez kellett?

Nem, illetve nem önmagában ilyenre, hanem tetszőleges service registry-re: https://microservices.io/patterns/service-registry.html

Amit linkeltél az egy gateway, de ebből a szempontból az is csak egy service, ami használhatja a registry-t. Pl netflix vonalon zuul és eureka szépen integrálódik.

valahol egy üzemeltetőmaci most mérgesen toppant a lábával

De miért kell ehhez másik SSD? Összeshrinkeled a Windows particiót lemezkezelővel, ott marad a végében XGb unallocated tárhely. Arra meg felrakod az Ubuntut. Bootolásnál meg F9 és kiválasztod melyik EFIs rendszer töltsön be.

Lehet, hogy rosszul gondoltam, és működött volna az összenyomás. Titkosított fájlrendszert is össze lehet shrinkelni? Nekem úgy rémlett régről, hogy nem. Valahogy úgy voltam vele, mint egy bombával: nem ismertem alaposan, így nem mertem megpiszkálni, nehogy tönkretegye a hivatalosan ott levő Windows-t. Ahogy látom egy-két friss írásból, valóban meg lehet küzdeni a bitlockerrel: http://www.bojankomazec.com/2019/04/how-to-open-bitlocker-drive-on-ubun… https://www.linuxuprising.com/2019/04/how-to-mount-bitlocker-encrypted… https://www.ctrl.blog/entry/dual-boot-bitlocker-device.html

Lehetett volna zsugorítani, az biztos, viszont kérdés, hogy elegendő egybefüggő helyed lett volna a végére. Néhány ilyent csináltam már, egyszer volt olyan, hogy pár GB-nyi lett volna csak a felszabadított területről létrejövő partíció, a többi esetben elegendő méretűt tudtam csinálni, de akkor sem lett akkora a méret, amennyire a szabad hely alapján számítani lehetett volna.

Az a CentOS-os csomaglistázós dolog az nagyon ergya, mióta van yum-debug-dump meg yum-debug-restore a yum-utils csomagban... P