Bitlocker s társai

 ( szz | 2019. május 18., szombat - 15:48 )

Mit érdemel az a notebook, akiben nem partícionálható az SSD?
Csavarhúzókat, műanyag szétszedőt és egy másik SSD-t. Aztán egy Ubuntu telepítőt.

Átköltözési tanulságok:

A régi SSD-t egy külső házba téve (ami pár ezer Ft-ért kapható) könnyebb a költözés.
Jól jöhet a csomagok listázása és átmásolása: https://www.ostechnix.com/create-list-installed-packages-install-later-list-centos-ubuntu/

Az új telepítés után átásoltam a /usr/local -t és a /var/lib/docker -t meg a /opt-ot, valamint a /home/saját könytárat is (előtte saját0-nak nevezve a már ott levő saját könyvtárat).
Egyes fájlok (pl. dockerből nyíló adatbázis esetén) a $HOME könyvtáram alatt is root jogosultságúak, emiatt root-ként végeztem a másolást.
Így a home-beli symlinkek root jogosultságúak lettek. Javításuk:

find . -user root -type l|xargs -iQ chown saját:saját -h Q

Enélkül a docker is köhögött, furcsa "DOCKER_HOST" hibákat adott vissza.
Fontos volt a sudo usermod -aG docker $USER is a boldogsághoz.

A /etc/hosts átrakása is elengedhetetlen a helyi webfejlesztéshez.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Mi köze a Bitlockernek a történethez?

Üdv,
Marci

A Bitlocker akadályozott meg abban, hogy átméretezzem a meglévő partíciókat és dual boot-os gépem legyen.
Igaz, azt nem írtam, hogy az eredeti SSD-t nem állt jogomban átírni; azon (a munkahelyem rendszergazdája által telepített) Microsoft Windows van, és nem kizárt, hogy valamikor vissza kell tennem.
Bár az előző négy évet kibírtam nélküle.

Szóval mégis a céges policy volt...

Üdv,
Marci

Milyen színű "mégis"?

Nem egyszerűbb lett volna feltenni egy VM-et?

es nalatok ilyen szep madaras a ceges noti? allatkert?:)

Szerethetnek az IT security-sek a munkahelyeden...
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Minimum fegyelmi...

Ti csak dockerezzetek Microsoft alól nyugodtan.

Ezt jol odatetted, de nem mentesit a fegyelmi alol :D

Mármint miért lenne fegyelmi? A windowsos meghajtóhoz nem nyúlt. Onnan a céges policy szerint adat sem szivárog ki. Nem látok benne problémát.


No keyboard detected... Press F1 to run the SETUP

Mert egy normálisabb cégnél, te mint alkalmazott nem bonthatod meg a céges gépet. Plusz az OS cseréjével sikeresen megbontja a céges infrastruktúra kontrollálhatóságát. Egy ilyen vadtelepítésnél a céges ITnak megszűnik a ráhatása az adott eszközre, és innentől kezdve a céges hálózaton biztonsági kockázat a gép.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

ami persze onmagaban nem lenne gond ha az IT nem 70-es iqju juzerekre lenne belove, ugye.

Most azokra a szakemberekre gondolsz, akik mindenféle ellenőrizetlen forrásból telepítgetnek mindent, csak mert otthon ezt szokták meg. Vagy azokra, akik autista rohamot kapnak, ha minimálisan szabályt kell követniük?
Láttam már olyan csúcsfejlesztőt, akinek szótagolva kellett elmagyarázni, hogy céges infrastruktúrán nem torrentezünk, és az így letorrentezett játékokat nem a céges gépen próbáljuk ki.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Ezt úgy mondod mintha a világ összes cége így működne. Jártam már pár helyen (legyen 10 tartósabb onsite ügyfelekkel együtt), eddig kettőnél voltam kénytelen IT dept által managelt laptopot használni (nem is tartottak túl sokáig :)
Akinek van esze és nem tökéletesen lúzer, meg érti a titoktartási nyilatkozat és egyéb dolgok lényegét, az szerintem nyugodtan BYOD-zzen. Utálom, ha valaki más felügyeli a gépet amit használok.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

Ok. És mondd, teljes anyagi felelősséget is hajlandó vagy vállalni, ha te, nem lúzer user, BYOD gépén keresztül szivárog ki a cég teljes szellemi terméke, plusz üzleti kritikus fejlesztései?
Mert ugye a bitlockernek nem az az elsődleges feladata, hogy kibasszanak a dolgozóval és ne tudjon Linuxot telepíteni, hanem a gép ellopása elvesztése esetén a rajta lévő kényes adatok ne kerülhessenek könnyen rossz kezekbe.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Természetesen titkosítva tárolom a gépen az adatokat. Nem nehéz összerakni.


/home/.ecryptfs/gyuszi/.Private on /home/gyuszi type ecryptfs (rw,nosuid,nodev,relatime,ecryptfs_fnek_sig=***,ecryptfs_sig==***,,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_unlink_sigs)

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

És a titkosításod készítője milyen anyagi és jogi felelősséget vállal feléd és a munkáltatód felé?
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

*ásít*

Érteni értem amit mondasz, de ezeket a kérdéseket nem nekem kell feltenned hanem azoknak akik engedik a BYOD -ot. Ami a részemről megtehető, én megteszem. (lásd titkosítás és egyéb józan paraszti ész által ditkált dolgok).

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

> nem nekem kell feltenned hanem azoknak akik engedik a BYOD -ot

Ha jol remlik, pont arrol szol a thread, hogy a kerdezo sajat OS-t telepitett a ceges mellett/helyett, igy az "engedik a BYOD-t" kicsit tulzas. :)

Ahol a BYOD megengedett, ott valoszinuleg nem is teged vesznek elo, ha egyebkent betartod a jatekszabalyokat.

Magam is így vagyok.
Titkosítottam a teljes SSD-t (ami az alapértelmezett Ubuntu telepítés), ezen kívül követem a józan ész diktálta utat.
Nem gondolom, hogy Linux alatt jobban ki lenne szolgáltatva bárminek a céges hálózat, mint Microsoft Windows alatt.

Ezzel együtt megértem a rendszergazdák aggályait, hogy ilyen-olyan vírusirtó nincs nálam telepítve (s ennél fogva bizonyos hálózatokra akadályozott is a belépés). Most, az új notebookomnál első mozdulatom az volt, hogy kipróbáltam, megy-e jól a WSL. Pár dolog ment, de a számomra létfontosságú (és munkakörnyezetet jelentő) docker nem (vagy csak nyakatekerten, Docker 4 Windows révén ment volna). Úgyhogy irány a Linux. Kell a munkámhoz. Ennyi s nem több az oka a különcségemnek.

Pár hónap múlva ígérnek teljes értékű WSL-t. A következő notebookomon talán már nem kell ilyen SSD-csere megoldást használni - ami ráadásul a saját zsebemből történő vásárlást jelentett, plusz utánajárást, szerelési munkát.

encryptfs helyett ajánlom a LUKS-ot.


No keyboard detected... Press F1 to run the SETUP

Ezzel volt egyszerű megcsinálni (létező home titkosítása, kevés hely, nem volt kedvem külső tárra mozgatni a titkosítás miatt... stb).
Miben jobb egy LUKS nekem?

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

Egy kalóz Windows kikapcsolt mindennel talán biztonsági kockázat lenne. De egy opensource Linux disztró? Azt nem hinném, hogy akármilyen kockázatot hordozna. Főleg, ha le is van titkosítva.


No keyboard detected... Press F1 to run the SETUP

Itt nem azt kell nézni, hogy szerinted (!) mi számit biztonsági kockázatnak, hanem az, hogy a céges policy mit mond, mit támogat ...stb.

A fenti akcióért jobb helyeken fegyelmivel repülsz.
-------------------------
Dropbox refer - mert kell a hely: https://db.tt/V3RtXWLl
neut @ présház

Nyilván a nulladik napon tisztázom a policyvel kapcsolatos kérdéseket. Nem szoktam fű alatt BYOD-ozni. Ha figyeltél a sztorira, elmondtam hogy mindenhova eleve BYOD felkiáltással megyek, amit el szoktak fogadni, ahol meg nem, ott alkalmazkodtam és használtam a céges hulladékot.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

"BYOD felkiáltással megyek, amit el szoktak fogadn"

Szóval megegyezel a munkáltatóval. Ezzel nincs gond, viszont a posztot magából kitoló user egy szóval sem emlitette, hogy igy járt volna el.

Nem tetszik a céges hulladék? Menjen olyan helyre, ahol az ő igényeihez passzoló környezet van...

-------------------------
Dropbox refer - mert kell a hely: https://db.tt/V3RtXWLl
neut @ présház

Gondolhatod, hogy nem tartom titokban, ha már ezen a felületen is megírtam.
1997 óta dolgozom ennél a cégnél (kis kihagyással), és ismert a munkáltatóm előtt, hogy az elmúlt tíz évben végig linuxoztam a céges gépeken.

+1

Én is a nagy multinál az első napok után lementem az IT-ra, hogy Linuxot szeretnék, multibootba. Hümmögtek, hogy hát ahhoz nem értenek, ezért azt mondták, hogy csak úgy engedélyezik, ha ezután ők nem biztosítanak supportot a laptopra. Mondam, hogy rendben. Valamelyik srác áttologatta a partíciókat, csinált üres helyet, ideadta a gépet, aztán a következő 7 évben néha új gépet adtak.

Nem volt ezzel semmi gond.

Nálam minden hulladék, amit nem én telepítettem és customizáltam. Ha ez egy Windows, akkor főleg. Ez van..

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

"A /etc/hosts átrakása is elengedhetetlen a helyi webfejlesztéshez."

Ez egészen pontosan mihez kellett?

Az összes, dockerben futó webalkalmazás innen kapja a "szép nevét" (127.0.0.1-hez).

Én ezt úgy csinálom, hogy projektneve.localhost:port - ez működik alapból, és így nem kell hosts fájlt szerkesztgetni, de persze nem működik, ha nem lehet hosztnevet állítani az app-ban valami miatt.

Jó ötlet! Mégiscsak volt haszna ennek a blogbejegyzésnek! ☺️ Köszi!

Nincs mit! :)

Tudtam én, hogy érdemes volt elolvasni ezt a blogbejegyzést. Köszönöm a docker port név ötletet.

Ha nem tetszik a localhost vegzodes, nezhetsz egy lvh.me vegzodest is...
--
Blog | @hron84

Minek nekik szép név?

Hogy a kutyájukról nevezhessék el...

Azt próbáltam megtudni, hogy egymással kommunikálnak-e, mert akkor erre 2019-ben vannak jóval szofisztikáltabb megoldások is...

Ilyesmire gondolsz? https://traefik.io

Nem, illetve nem önmagában ilyenre, hanem tetszőleges service registry-re: https://microservices.io/patterns/service-registry.html

Amit linkeltél az egy gateway, de ebből a szempontból az is csak egy service, ami használhatja a registry-t. Pl netflix vonalon zuul és eureka szépen integrálódik.

valahol egy üzemeltetőmaci most mérgesen toppant a lábával

https://rtl.hu/rtlklub/showderklub/videok/283061

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

:-D "Otthonában toppantott"

Topp!
--
Blog | @hron84

De miért kell ehhez másik SSD? Összeshrinkeled a Windows particiót lemezkezelővel, ott marad a végében XGb unallocated tárhely. Arra meg felrakod az Ubuntut. Bootolásnál meg F9 és kiválasztod melyik EFIs rendszer töltsön be.

A bitlocker elérhetetlenné teszi a Windows partíciót, ha hozzányúlunk. Nem akartam teljesen agyonvágni a Windows elérhetőségét. Amit írsz, az ment 4-5 évvel ezelőtt.

Ez valami policy? Pontosan ilyen bitlockeres, secure bootos HP gépen összeshrinkelve semmi baja nincs, dulaboottal használható. Annyi hogy kell legyen windows alatt rendszergazda jog, hogy hagyja összébb shrinkelni.

Lehet, hogy rosszul gondoltam, és működött volna az összenyomás. Titkosított fájlrendszert is össze lehet shrinkelni? Nekem úgy rémlett régről, hogy nem. Valahogy úgy voltam vele, mint egy bombával: nem ismertem alaposan, így nem mertem megpiszkálni, nehogy tönkretegye a hivatalosan ott levő Windows-t. Ahogy látom egy-két friss írásból, valóban meg lehet küzdeni a bitlockerrel: http://www.bojankomazec.com/2019/04/how-to-open-bitlocker-drive-on-ubuntu.html https://www.linuxuprising.com/2019/04/how-to-mount-bitlocker-encrypted.html https://www.ctrl.blog/entry/dual-boot-bitlocker-device.html

Lehetett volna zsugorítani, az biztos, viszont kérdés, hogy elegendő egybefüggő helyed lett volna a végére. Néhány ilyent csináltam már, egyszer volt olyan, hogy pár GB-nyi lett volna csak a felszabadított területről létrejövő partíció, a többi esetben elegendő méretűt tudtam csinálni, de akkor sem lett akkora a méret, amennyire a szabad hely alapján számítani lehetett volna.

Igen, legalábbis windows alól lehet titkosítottat is. Viszont ez lehet, hogy tényleg kockázatosabb, mint kicserélni az SSD-t.