Давайте просто выясним это раз и навсегда

В обсчем думал что придется мутить карту какого-нибудь государства, где сия конторка работает официально, но сначала хочу дать шанс какой нибудь мордочке к официальному chatgpt.com

Из того что успел попробовать:

• ‘‘‘chatgpt-me.ru’’’
• ‘‘‘chatgpt4rus.ru’’’

Ужасный интерфейс, но самое главное, просят денюшку за доступ к версии 3.5, просто покидал некоторые запросы и сравнил с тем что в оригинале.

Раз обманывают, утверждая что у них 4-я версия, а продают 3,5, сразу возникает вопрос насколько это всё долговоечно.

В общем есть ли какой либо клиент, который не обманывает, принимает оплату SberPay или МИР, предоставляет доступ к gpt4o?

Linux тут при том, что даже его адепты предпочитают экономить время, которое можно потратить на конпиляние ведра

То есть чтобы http to socks5 при этом с минимумом разрешений и поддержкой автоматического запуска искаропки

Как-то (божественный) утубчик решил показать мне один маленький видосик про ThinkPad, типа «любимый ноут бывалого админа» ну и всё такое.

Ладно, смотрим. Про синкпады мне пояснял и один многоуважаемый айтишник, который вообще большой спец, и всё за что берется доводит до абсолюта, а вот у него любимый ноут – синкпад.

Ладно, глянул видосик. Да что там один, наверное штук 5 посмотрел, так утубчик стригерился выдавать мне рекомендации по теме. Там синкпад и в космос летает, и не ломается и вообще такая вундервафля, что даже айпятый в нем работает как айсидьмой, реально.

На следующий день в парке, где я наматывал шаги, на скамейке сидел какой-то хикан с синкпадом. «Айтишник» – подумал Штирлиц. Ну думаю, везде этот чудо девайс меня преследует.

Начал изучать предложение. Выяснил, что новые они сейчас сплошь с распаяной памятью и стоят конских денег, и так методом перебора и исключения дошел до L14 gen 2.

На i5 1145G7, у меня такой камушек в элитбуке, который меня всем прям радует, думаю, синкпад вообще, наверное, бомба.

Ладно. Нашел состояние нового у перекупа, с коробкой, даже бъется как будто бы на гарантии глобальной.

Но вот, после включения сразу давай он шуметь как-то больше чем нужно, о чем писал тут. Несколько дней курил управление питанием, в итоге с шумом разобрался, но дефолт сломанный.

Далее. Разбирается он сложнее элитбука, выглядит страшновато, хоть и не громко (ну вообще почти не слышно) крутит лопости зачем-то, хотя проц холодный.

Всё это в сумме не даёт асчушчэния чего-то топового.

В итоге сегодня весь день разбирался как отключить AMT и прочие приблуды Intel ME. Пока ниасилил. Проблема с кулером, который всё время активен, напомнила HP, потому как там было тоже-самое пока я не вырубил IME. После отключения волосы у меня сразу стали мягкими и шелковистыми.

В HP Elitbook это делается в биосе флажком disable, в слуаае с синкпадами весь интернет завален мануалами про то, как это половчей сделать через прошивку UEFI/BIOS и у кого дешевле программатор.

Короче, вот что меня затянуло, это то, что нарисовался такой квест, типа раскурить и сделать самому. В общем, вызов принят, но хайпа вокруг этих поделок ИМХО больше чем оно того заслуживает.

Цена моего элитбука и этого синкпада одинаковые до копейки, но вот хулит как-то лучше продуман и делать там реально нечего, всё уже сделали, а с синкпадом получаешь еще и квест.

Правда вторичного рынка элитбуков в моей провинции как будто бы совсем и нет, то есть я ничего не нашел, так что ThinkPad не плохой вариант – на запас.

О чём тут пойдёт речь

Предлагаю смотреть на вопрос философски. Многие из нас работают на удаленке. Защищая свою рабочую машину для просмотра котиков, мы возможно избавим от проблем себя и свою любимую компанию. А вот откуда может прилететь, сходу сказать сложно. Будем считать против нас Бох! Ну не тот который всё создал, а тот который специализируется на атаках ИБ, ну и раз он Бох, то он конечно умеет читать мысли и бессмертен.

Сам я звезд с неба не хватаю, но видел в жизни некоторое дерьмо. Поэтому хочу поделиться своим опытом в создании относительно безопасного рабочего места, которого мне хватает, при всей его аскетичности достаточно комфортно, приятно глазу, и которое, по моему мнению достаточно неудобно для эксплуатации известных мне уязвимостей, заложенных в современные ПК и Linux дистрибутивы.

Если вы кое чего добились и можете представлять кому-либо интерес, советую ознакомится с данным текстом, чтобы иметь представление о возможных методах сохранения своей приватности.

Пишу данный текст, чтобы получить обратную связь от более опытных и искушенных, хотя вряд ли кто-либо будет делиться подобной информацией.

Из чего я исхожу

Современные персональные компьютеры могут вести тайную жизнь. Так вот как я уже говорил, если вы кого-то заинтересовали, вы будете атакованы. Про любые телефоны я вообще молчу. Не спасут вас даже пароли, которые вы держите в голове, какой длинны бы они не были. Бох, вы знаете, он же человека насквозь видит, боги они хоть и бессмертны, но тоже нуждаются в деньгах. Поэтому если вы заинтересуете одного из богов, или не приведи господь, одного из них прогневааете, он до вас доберётся. Чем больше он о вас знает тем проще ему осуществить задуманное, а время у богов ничем не ограничено и оно играет против вас.

Android и iOS

Для краткости скажу, что всё что у вас на телефоне, это 100% публичная информация, всё что вы сфотографировали и даже никому не показали, уже видит Бох. Тут без вариантов. Не зря же РФ создает свои защищенные мобильные устройства. В общем про мобилки долго отнимать времени не буду. Просто старайтесь не вести переписку с телефона, любой звонок уже слушает Бох, а у него свои планы. Они могут с вашими не совпадать.

Больше встречайтесь с людьми, говорите о действительно важном с глазу на глаз. Всё сказанное через телефон это публичная информация. Всё что находится в ПЗУ, ОЗУ и экране мобилки, видит Бох.

Имейте это ввиду, тут ничего не поделаешь.

ПК и Mac

Всё это сорта примерно одной и той же субстанции. О ПК информации больше. Всевозможные Intel ME и аналоги от AMD и есть источник угроз. Технологии это сложные, закрытые и не так много людей точно понимает что происходит под капотом. Есть только небольшая надежда на то, что более открытый ПК, в некоторых случаях, обещает штатное отключение препроцессоров или отключение с помощью программатора. Полное отключение препроцессоров не предполагается, по крайней мере мне нагуглить такого не удалось.

В общем нам нужна аппаратная платформа с минимизированными функциями удаленного контроля. Всегда имел дело с ПК, про Mac сам бы послушал с удовольствием.

Ключи и пароли

Работа с паролями и ключами должна вестись на компьютере у которого физически нет возможности подключаться к сети. Генерируем пароли например pwgen, на сами пароли не смотрим, только столько сколько необходимо чтобы пароль поместить на аппаратный носитель. Разглядывать парольную последоватьность, ну такое.

На компьютере подготовленном для работы с ключами ничего не храним. Установка софта на нем только через флешку.

Естественно что ваш аппаратный ключ должен иметь копии. Как много и как их хранить каждый подумает для себя сам.

В качестве второго фактора к паролю везде, где это возможно, используйте FIDO2 или другие методы с применением аппаратных средств.

Установка Linux

Windows на десктопе это геморрой, и совершенно не понятно как его огораживать. Поэтому только Linux.

Я использую в качестве корня BTRFS, в качестве домашнего раздела, смотрите что больше нравится. Btrfs умеет в снапшоты, а еще в моем дистрибутиве можно грузить root в RO режиме. Соответственно сразу после установке всего необходимого перезагружаюсь и сижу в RO.

LVM + LUKS лежит ниже разделов FS. Соответственно весь диск для того, кому он случайно попадет в руки, будет выглядеть как «требующий форматирования».

И так, систему накОтили, секретную фразу сгенерили на отдельном ПК без сети и диск зашифровали. Срочно подключаемся к интернету и начинаем разглядывать котиков. В моем дистрибутиве модуль pam_u2f не поставляется на ISO образе и его нужно скачать отдельно, пока это не настроено, к сети не подключаемся. Читаем об этом, например тут. Я обычно сохраняю необходимость ввода пароля, мой конфиг выглядит так:

$ cat /etc/pam.d/common-auth

auth	required	pam_env.so	
auth	optional	pam_gnome_keyring.so
auth	required	pam_u2f.so	authfile=/etc/Yubico/u2f_config cue [cue_prompt=Slava Rossii!!!]
auth	required	pam_unix.so	try_first_pass

Далее идем в /etc/passwd выносим всё непонятное, в общем я по началу обращал внимание только на то, чтобы ни у кого кроме root и моего пользователя не было bash, все кроме этих двоих nologin:

$ cat /etc/passwd

root:x:0:0:root:/root:/bin/bash
messagebus:x:498:498:User for D-Bus:/run/dbus:/usr/sbin/nologin
polkitd:x:497:497:User for polkitd:/var/lib/polkit:/usr/sbin/nologin
scard:x:496:496:Smart Card Reader:/run/pcscd:/usr/sbin/nologin
#lp:x:495:495:Printing daemon:/var/spool/lpd:/usr/sbin/nologin
tss:x:98:98:TSS daemon:/var/lib/tpm:/usr/sbin/nologin
systemd-coredump:x:482:482:systemd Core Dumper:/:/usr/sbin/nologin
systemd-timesync:x:481:481:systemd Time Synchronization:/:/usr/sbin/nologin
#tftp:x:480:480:TFTP Account:/srv/tftpboot:/usr/sbin/nologin
srvGeoClue:x:479:479:User for GeoClue D-Bus service:/var/lib/srvGeoClue:/usr/sbin/nologin
qemu:x:107:107:qemu user:/:/usr/sbin/nologin
pulse:x:477:477:PulseAudio daemon:/var/lib/pulseaudio:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/var/lib/nobody:/usr/sbin/nologin
man:x:13:62:Manual pages viewer:/var/lib/empty:/usr/sbin/nologin
#flatpak:x:476:476:Flatpak system helper:/:/usr/sbin/nologin
daemon:x:2:2:Daemon:/sbin:/usr/sbin/nologin
rtkit:x:473:473:RealtimeKit:/var/lib/empty:/usr/sbin/nologin
rpc:x:472:472:User for rpcbind:/var/lib/empty:/usr/sbin/nologin
unbound:x:471:471:unbound caching DNS server:/var/lib/unbound:/usr/sbin/nologin
dnsmasq:x:469:469:dnsmasq:/var/lib/empty:/usr/sbin/nologin
brltty:x:467:467:Braille Device Daemon:/var/lib/brltty:/usr/sbin/nologin
usbmux:x:466:466:usbmuxd daemon:/var/lib/usbmuxd:/usr/sbin/nologin
bin:x:1:1:bin:/bin:/usr/sbin/nologin
#statd:x:465:465:NFS statd daemon:/var/lib/nfs:/usr/sbin/nologin
#sshd:x:464:464:SSH daemon:/var/lib/sshd:/usr/sbin/nologin
nm-openvpn:x:463:463:NetworkManager user for OpenVPN:/var/lib/openvpn:/usr/sbin/nologin
nm-openconnect:x:462:462:NetworkManager user for OpenConnect:/var/lib/nm-openconnect:/usr/sbin/nologin
#colord:x:461:461:user for colord:/var/lib/colord:/usr/sbin/nologin
#fwupd-refresh:x:460:460:Firmware update daemon:/var/lib/fwupd:/usr/sbin/nologin
gdm:x:458:458:Gnome Display Manager daemon:/var/lib/gdm:/usr/sbin/nologin
unclestephen:x:1000:1000:Uncle Stephen:/home/unclestephen:/bin/bash
dockremap:x:454:454:docker --userns-remap=default:/:/usr/sbin/nologin

Из того что нужно срочно снести:

pipewire, sshd, avahi-*, ну остальное сами смотрите.

Далее не плохо бы отрубить ipv6.

В файл /etc/sysctl.conf добавляем:

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

Применяем

sysctl -p 

Проверяем, что фаервол запущен, на самом деле тут конечно есть о чем поговорить, но у меня именно осознанных знаний, которыми я бы мог поделиться по этому вопросу мало.

Возможно стоит установить один из интерактивных фаерволов, например OpenSnitch, чтобы вообще получить представление о том кто и куда ходит на вашем ПК. Таким образом в список сносимого софта попал avahi, который то и дело соединяется с какими то ненужными мне серверами. Короче вот так.

Далее ставим софт, если всё перед этим сделано верно, можно уже из сети, ставим только то, что необходимо на данной машине для просомтра котиков работы. Ничего лишнего, что не требуется для работы тут быть не должно.

Ператские игори запускаем под виндой на отдельной машине!!!

Когда всё проверено, можно перезагружаться на последнее состояние диска в RO.

В прошлогодней Suse Tumbleweed шарить можно было только сам хром или другие хромоподобные поделки.

Решил обновиться до актуального релиза и вот, screen sharing заработал для всего видимого на экране. А если он работает для хромого, значит оно работает для всего что захочет.

Вот хочу поломать, но не знаю что за это отвечает. Вроде как xdg-desktop-portal (если по доке от Arch), но у меня такого пакета в системе нет.

# zypper rm xdg-desktop-portal
Reading installed packages...
'xdg-desktop-portal' not found in package names. Trying capabilities.
No provider of 'xdg-desktop-portal' found.
Resolving package dependencies...
Nothing to do.

Вроде (опять же по доке от Arch) можно радикально все разкурочить остановив pipewire, но у меня такой службы нет, хатя процессы есть.

# systemctl --user disable --now pipewire.{socket,service}
Failed to connect to bus: No medium found

# systemctl disable pipewire
Failed to disable unit: Unit file pipewire.service does not exist.

В общем я из-за этого screen sharing’a не сплю и бабы мне давать перестали, помогите, подскажите что делать

Есть ли какие то способы?

Задумал я взять синкпад.

Пацаны сказали что надо брать «P» серию, но такого на местном рынке не водится в принципе.

Погуглил что есть в ритейле и на местном авито, решил брать эту модель так как память у него расширяемая, при этом цена $400 за новое устройство.

Асчушчэния подвоха не было, в РФ брал на авито HP Elitbook на точно таком же проце, примерно в те же деньги в идеальном сохране, уже год пользуюсь проблем нет.

Ну оке. И вот уже дома понял, что денешку я похоже выкинул.

Решил настроить его, для проверки, под офтопиком. С помощью Vantage девайс определяется как гарантийный, при этом судя по жесткому диску проработало не более 6 часов.

Так вот проблема: кулер не прекращает работу примерно никогда и громко шумит.

Провёл диагностику, с помощью Aida64 и Lenovo Diagnostic.

Первая показала, что процессор не перегревается, и работает в диапазоне от 39 до 45 градусов при просмотре видео FHD, а вторая показала что вентилятор исправен.

В итоге смог заметить, что если снять устрйоство с зарядки и работать от аккумулятора кулер останавливается. Настроил сбережение аккумулятора так, чтобы зарядка останавливалась на 75%.

Это решило проблему но лишь отчасти, по индикаторам скорость вращения вентилятора отмечена как 0 оборотов, но выдув всё равно есть, хотя и значительно снизился, ну и шум соответсвенно остался ощутимый.

Дело в том что я не выключаю ноутбуки неделями и неприрывная работа вентилятора приведет к быстрому выходу его из строя.

Настроечки для данного ноута довольно куцие в офтопике, решил накатывать Suse и смотреть дальше.

В общем с помощью TLP задействовал профиль low-power для обоих вариантов питания и кулер стих.

Получилось типа того:

> sudo tlp-stat -p
[sudo] пароль для root: 
--- TLP 1.6.1 --------------------------------------------

+++ Processor
CPU model      = 11th Gen Intel(R) Core(TM) i5-1145G7 @ 2.60GHz

/sys/devices/system/cpu/cpu0/cpufreq/scaling_driver    = intel_pstate
/sys/devices/system/cpu/cpu0/cpufreq/scaling_governor  = powersave
/sys/devices/system/cpu/cpu0/cpufreq/scaling_available_governors = performance powersave
/sys/devices/system/cpu/cpu0/cpufreq/scaling_min_freq  =   400000 [kHz]
/sys/devices/system/cpu/cpu0/cpufreq/scaling_max_freq  =  1100000 [kHz]
/sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_min_freq  =   400000 [kHz]
/sys/devices/system/cpu/cpu0/cpufreq/cpuinfo_max_freq  =  1100000 [kHz]
/sys/devices/system/cpu/cpu0/cpufreq/energy_performance_preference = balance_performance [EPP]
/sys/devices/system/cpu/cpu0/cpufreq/energy_performance_available_preferences = default performance balance_performance balance_power power 

/sys/devices/system/cpu/cpu1..cpu7: omitted for clarity, use -v to show all

/sys/devices/system/cpu/intel_pstate/status            = active
/sys/devices/system/cpu/intel_pstate/min_perf_pct      =   9 [%]
/sys/devices/system/cpu/intel_pstate/max_perf_pct      = 100 [%]
/sys/devices/system/cpu/intel_pstate/no_turbo          =   1
/sys/devices/system/cpu/intel_pstate/hwp_dynamic_boost =   0
/sys/devices/system/cpu/intel_pstate/turbo_pct         =  81 [%]
/sys/devices/system/cpu/intel_pstate/num_pstates       =  41
/sys/module/workqueue/parameters/power_efficient       = N
/proc/sys/kernel/nmi_watchdog                          = 0

+++ Platform Profile
/sys/firmware/acpi/platform_profile                    = low-power
/sys/firmware/acpi/platform_profile_choices            = low-power balanced performance
/sys/devices/platform/thinkpad_acpi/dytc_lapmode       = 0

В общем данный вариант не самый лучший для покупки, но заставить его работать вполне возможно.

Чисто в теории, можно попробовать найти радиатор от модели на i7, но не факт что встанет.

Плюсы ноута тоже есть:

1. Топ за свои деньги!!111
2. Легко разбирается
3. Засыпает и просыпается под онтопиком, полная поддержка всего в Linux
4. Свежая переферия (Wi-Fi и BT)
5. До 64 гигов памяти
6. Небольшой вес
7. Любые запчасти в продаже

Нашел как отключать анимацию нажимаемых клавиш на клавиатуре Samsung, но последний введенный символ все равно отображается в поле секрета.

Нагуглить как это можно сделать ниасилил

В общем в доке сказано что есть каталоги, а есть нативный доступ к s3, который включается fs.native-s3.enabled=true в catalog.properties

так вот не поднимается после этого trino, говорит

1) Error: Invalid configuration property hive.metastore.uri: must not be null (for class StaticMetastoreConfig.metastoreUris)

не соображу что делаю не так…

Админы нашего s3 не понимают что я хочу, так как в нативном s3 нет такого параметра