«Ребята, я GosLinux видел!» или «Мы уже победили, просто это пока не так заметно»

Это надо консоль.
Но, для тех, у кого проблемы с чтением и пониманием текста специально продублирую:

«Ребята, я GosLinux видел!» или «Мы уже победили, просто это пока не так заметно» (комментарий)
После логина рабстол с тремя ярлыками на почтовик, опенофис и рабочую прогу. Других ярлыков не сделать, возможности запустить что-то обрезаны.

И даже так можно умудриться затянуть в закачки скрипт, или приатачить его к письму себе. Только на рабстол не записать - прав не хватает, а в остальные каталоги не попасть - файлового менеджера нет.

браузера нет? а почтовик какой?

можно в окошке About любой из 3 установленных программ попробвать открыть линк на сайт разработчика, откроется браузер, если он есть в системе, в настройках браузера для обработки .sh файлов назначить bash

в настройках браузера для обработки .sh файлов назначить bash

Он предварительно сохранит его в подпапки /tmp или /home а там noexec.

Браузера конечно же нет - он для работы не нужен.

Если есть доступ в нэт, то скорее всего почта, если почта, то громоптица, если громоптица, то увнутрях есть движек браузера. Дальше придумывать лень, я лучше почитаю как это другие решать собираются.

По этой причине ни браузера, ни громоптицы. А если сеть, то это заботливо настроенный кальмар + режик с блэклистом. Ну и layer7 никто не отменял. Для доступа к гос.сайтам — белый список + написанный специально для этого браузер, без настроек из гуя, адресной строки и т.д. И на рабстоле на эти сайты ярлыки, которые отредактировать прав не хватит. А браузер такой строгануть дело не хитрое.

ну это другое дело шеф. надеюсь весь зоопарк из связок подчищен. А то ведь можно что-то еще надумать. Я сразу скажу, в глаза не видел гослинукса

Я его тоже не видел. Поэтому не могу утверждать что и как. Наверняка там многое нараспашку и можно натащить гадости. Это же зависит от квалификации настройщика. Практически любой дистрибутив можно доточить до требуемого под задачу состояния. Какой-то проще, какой-то сложнее.
И от поставляемого ПО. Может у приставов там одна программа сразу для всего в режиме киоска в полный экран, и запуск её прописан в inittab ;) — пускается сразу при включении и авторизоваться надо уже в ней.

файлового менеджера нет.

а из почтовика или опеноффиса?

кстати да, диалог открытия файлов - тоже файловый менеджер в какой-то степени )

а что насчёт злоупотребления физическим доступом, загрузочная флешка с линуксом, монтирование рабочего раздела с хомяком и вписывание туда асечки и ярлыка на десктоп? Допустим, бухгалтерша умеет разбирать системник, сбрасывать пароль биоса и подключать юсб-разъёмы

бухгалтерша может не умеет, зато умеет в сиськи. Или у неё сын, или друг сына мамин кулхацкер)

P.S. В лайвсиди загрузиться, поменять опции монтирования home,tmp каталогов и всё.

а что насчёт злоупотребления физическим доступом, загрузочная флешка с линуксом, монтирование рабочего раздела с хомяком и вписывание туда асечки и ярлыка на десктоп?

А для этого надо вломиться в серверную, положить nfs-сервер откуда хомяки тянутся и вписывать ярлыки там.

Допустим, бухгалтерша умеет разбирать системник, сбрасывать пароль биоса и подключать юсб-разъёмы

Разберёт она тонкий клиент с сетевой загрузкой и что дальше?

и всё

Да, действительно всё, фантазия у куль-хацкеров закончилась.

ну ок, тогда так - бухгалтерша покупает одноплатник с двумя сетевухами, ставит на него линукс и пишет кастомный модуль ядра, который пропускает через себя сетевой трафик и на лету модифицирует обнаруженный ярлык открытия либреофиса, вместо /usr/bin/libreoffice тонкому клиенту при попытке чтения ярлыка выдаётся /lib/ld-linux-x86-64.so.2 icq-zver-edition.bin

потом приносит этот одноплатник с двумя сетевухами и патчкордом на работу, втыкает между своим тонким клиентом и сетью, дальше понятно...

потом приносит этот одноплатник с двумя сетевухами и патчкордом на работу, втыкает между своим тонким клиентом и сетью, дальше понятно...

И ничего не работает, она забыла подменить MAC.

ну это уже мелочи, это подразумевается и очевидно, что MAC надо склонировать

да и вообще может тот одноплатник прозрачно для L2 работает и своим маком не светит

вместо /usr/bin/libreoffice тонкому клиенту при попытке чтения ярлыка выдаётся /lib/ld-linux-x86-64.so.2 icq-zver-edition.bin

Тоже не прокатит кстати, icq-zver-edition.bin будет стёрт из хомяка, как только там будет закрыт файл на запись и inotifywatch дёрнет скрипт для проверки файла на соответствие ods/odt. :)

Тогда я женюсь на этой бухгалтерше.

ладно, одноплатник подменяет ядро при загрузке и отдаёт патченое, которое даёт бухгалтерше рута и тотальный контроль над своим тонким клиентом %) а также не только ядро, но и браузер и другой необходимый софт отдельным разделом, монтируемым по NFS с того же одноплатника

Тоже не прокатит кстати, icq-zver-edition.bin будет стёрт из хомяка, как только там будет закрыт файл на запись и inotifywatch дёрнет скрипт для проверки файла на соответствие ods/odt. :)

открываешь *bin, и сохраняешь как *odt :-D

открываешь *bin, и сохраняешь как *odt :-D

Не, не прокатит, надо обмануть file. А ему на расширения как-то пофиг.
file bash.odt
bash.odt: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, stripped
Придётся делать специальный odt и ждать уязвимости в writer.
Проще действительно телефон, или планшет. Я ж не зверь, сделаю изолированный гостевой сегмент с полным доступом в интернет. Только скорость чуток подрежу.

Ты просто обязан меня с ней познакомить! Я уже хочу от неё детей!

в очередь! :)

Я первый!

Браузера конечно же нет

он для работы не нужен

2016

чет проиграл

Следующий

Ну серьезно, как без браузера в 2016 году?

Я там по ходу пьессы написал про браузер, если нужен кому-то — белый список, браузер патченный. Речь, напомню, про работников ФССП, можно расширить на бухов.