LINUX.ORG.RU
ФорумTalks

Станет ли кирпичем мой прекрасный макинтош?

 , , ,


0

1

Собственно сабж, на фоне последних событий.

В тред призываются любители Аппл и просто милые неравнодушные красивые люди. Как сберечь свою «прелесть» от превращения в тыкву? Как лучше зазеркалить репу Homebrew? Как вы предохраняетесь?

З.Ы Линупс тут при том, что на прекрасный холодный матово блестящий макинтош можно поставить его вместо богомерзкой макоси и жить дальше, если они дистанционно не кирпичнут загрузку.

Поправки для тугих камрадов

Геораспределенная сетка из 200+ мака*бов, ходящих в «центр» через openvpn, openfortivpn, openconnect и иже с ними, которых не изолировать в отдельный vlan так если бы они были в одном опенспейсе ибо каждая тачка может ходить в инет сама по себе и получить вендор-страйк на бут в случае «плохого» сценария.



Последнее исправление: T3M4 (всего исправлений: 2)
Ответ на: комментарий от anc

Сертификат для приложения, который без продления аккаунта разработчика может окуклиться. Хотя я глубоко в разрабоку под ios особо не вникал, есть у них какие-то бессрочные?

ykroop
()

Что-то ни одной мысли по делу. Скорее всего пацаны не понимают.
ИМХО, дублируй, что можешь, готовься к худшему. Прибивать не будут железки (так как это акт), а вот доступ не дать - запросто.

Но ты пишешь, что Appstore и ID не пользуешь. Проведи инвентаризацию, может кто что-то и цапнул. Ну а перебздеть тут явно лучше.

modest
()
Ответ на: комментарий от ykroop

Та не, вроде уже установленные приложухи не окукливаются, во всяком случае я не встречал. Серт разраба это про деплой.

anc ★★★★★
()
Ответ на: комментарий от T3M4

Извините. У меня за последнии несколько недель немного подгорело с пиндосского ИТ (не политика).

anc ★★★★★
()
Ответ на: комментарий от modest

может кто что-то и цапнул

Это маловероятно, там все под роспись логинятся в стендалун, кто промахнулся - с того не постесняются вычесть.

а вот доступ не дать - запросто

Тащемто вопрос к чему. Но вообще я уже нашел кейс как сделать под ключ локальный HomeBrew и очень надеюсь что мы им обойдемся или нативным из первоисточника.

Мои опасения главные вокруг того, что могут удаленно залочить бут и тогда весь этот парк будет годен только на помойку или на хранение.

T3M4
() автор топика
Ответ на: комментарий от T3M4

Нет. ИМО, не будут так делать. Прецедент же будет. Я выше писал. А вот ограничение дуоступа ждём по всем фронтам. Их корпы типа не нарушают закон своей страны. Партия скажет - корпы поддержат. Ждём, куда это всё повернётся. Кто там точка DNS?

Раньше был Крым, теперь на всю Россию.

И да, @alpha, как теперь ты запоёшь о волшебном игноре лицухи Федоры? «А ты не говори, что из Крыма», писала ты, ага.

modest
()
Последнее исправление: modest (всего исправлений: 1)
Ответ на: комментарий от anc

Зачем такие сложности то? 8-( )

Чтобы по возможности отсечь бекдоры и закладки от управляющих ими серверов.
И да, это мнимум который при серёзном отношении недостаточен, но если и там несерьёзно относились к вкручиванию зондов и бекдоров то работы через rs-232 может и хватить.

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 1)
Ответ на: комментарий от torvn77

Это вы про вариант «презерватив, эпоксидка, презерватив, повторить...» ? Ну чесс слово, проще же решается... чем «беготня» за 232-ым с последующим пердолингом...

anc ★★★★★
()
Ответ на: комментарий от torvn77

через rs-232 может и хватить

Дружище, я не хочу сказать ничего обидного, тем более не хочу ругаться матом в этот трудный час, но как ты представляешь пустить 200+ маков через rs-232 часть из которых «аут оф хоум» ?

T3M4
() автор топика
Ответ на: комментарий от anc

Только не говорите, что это не возможно.

Взвизгнул с подхрюком, грязно выругался, опрокинул рюмку пустырника

T3M4
() автор топика
Ответ на: комментарий от T3M4

о как ты представляешь пустить 200+ маков через rs-232 часть из которых «аут оф хоум» ?

200+ маков с медленным интернетом лучше чем 200+ маков обращённые в кирпич.

Или ты не серьёзно относишся к возможности дистанционного окерпичивания ввереных тебе 200+ компов?

П.С. Раз уж у тебя плохо с фантазией то в принципе через RS-232 надо пустить только связь этих 200+ компов с интернетом, между собой они могут общаться и по кабелю ethernet(WiFi по соображениям обекдоривания лучше избегать).
Да и обязательно ли это должен быть RS-232?
На самом деле RS232 не желателен, так как таки бекдор может быть сделан и для него, на самом деле хорошо бы что-то нестандартное, для чего точно не окажется бекдоров ни в ОС, ни в БИОСе.
А значит самое хорошее взять FPGA, которая может быть вполне себе производительной.
Но тогда надо самому писать прошивку и драйвера.

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 2)
Ответ на: комментарий от anc

Это вы про вариант «презерватив, эпоксидка, презерватив, повторить...» ? Ну чесс слово, проще же решается... чем «беготня» за 232-ым с последующим пердолингом...

А в чём пердолинг?
В настройке pppd на двух соединяемых компах?

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 1)
Ответ на: комментарий от torvn77

На самом деле RS232 не желателен, так как таки бекдор может быть сделан и для него, на самом деле хорошо бы что-то нестандартное, для чего точно не окажется бекдоров ни в ОС, ни в БИОСе.
А значит самое хорошее взять

расийский кампутер! :) И не мучать себе нерву с «а вдруг отключат, а вдруг не отключат, нет, а вдруг все-таки отключат...» :) «Блин но почемуже не отключили? Я же надеялась...»

200+ маков с медленным интернетом лучше чем 200+ маков обращённые в кирпич.

Что считать кирпичом? 200+ маков которые не могут обновиться, для того что бы в дальнейшем выполнять задачу которую они без обновления не могут выполнить, отчасти можно считать «кирпичом».

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Cикорость :)

512К хватит всем, да и на RS232 свет клином не сошёлся, есть и ещё порты, это просто то, что может быть на материнской плате(что вообще говоря минус в контексте защиты от бекдоров и закладок)

torvn77 ★★★★★
()
Ответ на: комментарий от anc

они без обновления не могут выполнить

/сарказм/Ой, в самом деле?/сарказм/

torvn77 ★★★★★
()
Ответ на: комментарий от torvn77

Извини, без обид, но это всё кукаретика мало что имеющая с ситуацией ИРЛ.

Раз уж у тебя плохо с фантазией то в принципе через RS-232 надо пустить только связь этих 200+ компов с интернетом

Больше половины этих маков размазаны географически по всей территории Алкоивании, в Саратове, Челябинске, Новосибирске, Торжке, мать его, и ходят «домой» через openfortivpn и openconnect но не часто, часть в филиалах, так же географически размазанных, но за корпоративным  NAT который более-менее можно перекрыть в случае чего. Короче все сложно, андерштуд?

T3M4
() автор топика
Последнее исправление: T3M4 (всего исправлений: 1)
Ответ на: комментарий от anc

Суть не в этом. Если этим машинам выпишут вендор-страйк на на бут пох где они находятся, хоть за тойным натом.

T3M4
() автор топика
Ответ на: комментарий от anc

Это ты не понял. Тупо предлагать сетевую изоляцию парка машин, который геораспределен и каждая машина может при этом жить своей жизнью и получить вендор-лок на бут просто через любой инет. Если бы все эти маки находились в одном уютном опенспейсе, вопрос бы не стоял так остро и я бы, возможно, заблаговременно изолировал их в отдельный перекрытый vlan.

T3M4
() автор топика
Ответ на: комментарий от T3M4

Всё ещё не поняли. Перечитайте на что я ответил.

anc ★★★★★
()

Внес поправки в ОП-пост т.к узрел неадекват и кукаретику в ответах

T3M4
() автор топика
Ответ на: комментарий от T3M4

Короче все сложно, андерштуд?

Я сказал своё имхо, как хочешь так и делай, это тебе поручили и тебе решать.

torvn77 ★★★★★
()
Ответ на: комментарий от T3M4

Тупо предлагать сетевую изоляцию парка машин, который геораспределен и каждая машина может при этом жить своей жизнью

Мы можем тебе посочувствовать, но то что я предложил это самое простое, иное так приведёт к IDA Pro и изучению трёх книг Криса Касперски, с последующей постройкой кластера для подбора ключа цифровой подписи БИОС.

torvn77 ★★★★★
()

Собственно сабж, на фоне последних событий.

Пока что об этом даже речи нет. И даже о лишении доступа к аппстору ничего не говорится.

Все может измениться, конечно, но тем не менее. Кроме того, репутационные потери - все поймут, что «так можно». Еще момент, что трудновато отделить кому окирпичивать - кому нет. Ни IP, ни s/n из российских партий не гарантируют, что например, корреспонденты иностранных СМИ не попадут.

praseodim ★★★★★
()
Ответ на: комментарий от torvn77

это тебе поручили и тебе решать

Ясен перец. Я тред заводил что бы получить фидбэк от тех, у кого такой же примерно зоопарк есть или вообще макоюзеров, кто понимает какие могут выписать болты с бутлоком с учетом политической ситуации. Ну или хотя бы фидбэк от тех, кто желает поглумиться над мако*бами, я могу это еще понять.

T3M4
() автор топика
Ответ на: комментарий от praseodim

Кроме того, репутационные потери - все поймут, что «так можно».

По моему США девственности уже лишилась, ну а бешенный принтер он и там бешенный принтер.

torvn77 ★★★★★
()
Ответ на: комментарий от praseodim

Все когда-то случается впервые.

anc ★★★★★
()
Ответ на: комментарий от T3M4

фидбэк от тех, у кого такой же примерно зоопарк есть

Пойми вот какую вешь, ты вполне обоснованно выразил своё недоверие платформе, но не хочешь признавать всю глубину которая вытекает из этого недоверия.

Вот ты говоришь "я бы изолировал в vlan", а ты можешь доверять роутеру и свичу на которых этот vlan будет сделан?
Я вот даже за rs порт не поручусь, а ты хочешь поверить целому аппаратному комплексу с неясной фирмварной начинкой.

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 1)
Ответ на: комментарий от praseodim

Я в смысле о том, что они что-то отключали или удаляли из магазина, да хотя бы тот же Телеграм когда его к ногтю за помощь в протестах прижали.

Ну и про отключенные турбины Сименс забывать не стоит.

Да даже если бы ничего не было, проблема в том что проверить есть или нет полностью нельзя.

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 1)

Кирпич – он маленький и толстенький. А твой макинтош сгодится разве что как плитка на стену в туалете.

dimgel ★★★★★
()
Ответ на: комментарий от torvn77

Вот ты говоришь «я бы изолировал в vlan», а ты можешь доверять роутеру и свичу на которых этот vlan будет сделан?

Если говорить о «доверии» то так можно дополоскаться до либрема, штульмана и прочей религии прожженных параноиков. Я больше перагматик и сетевому оборудованию доверяю больше чем макитошам, чей рекавери может скакать по сети как блоха по яйцам. И в своей практике руководствуюсь принципом «не можешь доверять - изолируй», но это не совсем справедливо для сабжа и не везде можно применить увы.

T3M4
() автор топика
Последнее исправление: T3M4 (всего исправлений: 1)
Ответ на: комментарий от dimgel

А твой макинтош сгодится разве что как плитка на стену в туалете

Все так, а на мертвом айпэд вообще удобно резать краковскую копченую колбасу под водочку, я это с успехом делал, но к сабжу это не относится.

T3M4
() автор топика
Ответ на: комментарий от T3M4

и прочей религии прожженных параноиков.

Хороший админ стоит на грани госпитализации в психиатрическую больницу, что с ним порой от нервов и случается.

Впрочем если ты относишся к вопросу так, то пусть накупят сохо роутеров которые умеют экспортироватьи импортировать конфиги, такое есть к примеру у Keenetic или как там его правильно.

torvn77 ★★★★★
()
Ответ на: комментарий от torvn77

накупят сохо роутеров которые умеют экспортироватьи импортировать конфиги

Ох лул, ну да, можно было бы купить всем микротики и я не сильно напрягаясь мог бы нах***вертить на них более-менее годное решение пиная их через Ansible, но это утопия, в реальном кейсе это не реализовать, увы.

Хороший админ стоит на грани госпитализации в психиатрическую больницу

Ахахахаха, ага, да. И прочие мифы и ортодоксальные верования от бабки Собачихи

T3M4
() автор топика

З.Ы Линупс тут при том, что на прекрасный холодный матово блестящий макинтош можно поставить его вместо богомерзкой макоси и жить дальше, если они дистанционно не кирпичнут загрузку.

Сами же написали ответ и решение проблемы.

X512 ★★★★★
()
Ответ на: комментарий от torvn77

В интернет подключаться через PPP/VPN так чтобы BIOS гарантированно не смог подключиться к интернету.

X512 ★★★★★
()
Ответ на: комментарий от fornlr

Выключить Bluetooth модуль на аппаратном уровне.

X512 ★★★★★
()
Ответ на: комментарий от X512

В интернет подключаться через PPP/VPN так чтобы BIOS ...

А этот VPN пойдёт к серверу как?
По Ethernet?

1. А где гарантия что в высших кольцах, куда не пускают даже ос, а только прошивку из БИОСа не мониторят этот ethernet в ожидании некоего пакета?
2. Где гарантия что такого же мониторинга нет и в сервере, причём сервер если у него есть два порта ethernet так же тайно и прозрачно от ОС не маршрутизирует эти пакеты между этими двумя портами?
3. Где гарантия что vpn сервер в ОС не затолкает тайные пакеты в идущий по vpn трафик, а сервер Mac в свою очередь их не ждёт?

Нет ни одной из трёх гарантий.

torvn77 ★★★★★
()
Ответ на: комментарий от torvn77

А этот VPN пойдёт к серверу как?
По Ethernet?

VPN раздавать через доверенный роутер в комнате.

  1. А где гарантия что в высших кольцах, куда не пускают даже ос, а только прошивку из БИОСа не мониторят этот ethernet в ожидании некоего пакета?

Роутер не пропускает никаких пакетов снаружи без зашифрованного туннеля.

  1. Где гарантия что такого же мониторинга нет и в сервере, причём сервер если у него есть два порта ethernet так же тайно и прозрачно от ОС не маршрутизирует эти пакеты между этими двумя портами?
  1. Где гарантия что vpn сервер в ОС не затолкает тайные пакеты в идущий по vpn трафик, а сервер Mac в свою очередь их не ждёт?

Сервер VPN в вашем роутере и под полным вашем контролем.

X512 ★★★★★
()
Ответ на: комментарий от T3M4

Ну или хотя бы фидбэк от тех, кто желает поглумиться над мако*бами, я могу это еще понять.

В другое время я бы поглумился. Щас чёта желания нет.

ashot ★★★★
()
Ответ на: комментарий от T3M4

Ну вообще вероятность есть немаленькая, учитывая что там интернет-рекавери у них может своей жизнью зажить при необходимости

Это однозначно вызовет всплеск фанатизма эпплоюзеров и их станут любить больше. И разумеется китайская аудитория не задумается.

kirill_rrr ★★★★★
()
Последнее исправление: kirill_rrr (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.