LINUX.ORG.RU
ФорумTalks

What's new in Windows 8.1 (с точки зрения пользователя Linux)


1

2

Привет!
Прочитал за вас ченжлог вин8.1, и тут небольшие комментарии. Или вопросы. Не знаю. Некоторые фичи выглядят довольно вкусными, чтобы попробовать сделать их у себя.

Workspace Join

Домен (от лат. dominium — владение) — в Средние века часть владений короля либо владения какого-либо феодала, на которых они вели собственное хозяйство.

Раньше на венде комп был в двух режимах: в домене и не в домене. Напомню: домен - это такой оккупационный режим, в котором админ домена имеет твой комп как хочет. В 8.1 появился этот самый Workspace Join, а вместе с ним - промежуточный режим, когда ты работаешь на чем хочешь, админ НЕ имеет твой комп как хочет, но при этом ты все еще можешь додолбиться до ресурсов сети. При этом админам дается возможность более тонкой настройки доступа до внутрисетевых ресурсов.

Как с этим в линуксе? Насколько понимаю, домена «в оккупационном режиме» искаробки у нас нет. Даже с Самбой, мы как бы юзаем тот самый «промежуточный» режим, когда мы хозяева своему девайсу. Но мы живем в рабском мире, и управление рабами востребовано как никогда. И в результате имеем то, что на работе админ часто просто забирает рутовый аккаунт на компах себе, а пользователям дает sudo. Что абсолютно неприемлемо, т.к. без рута работать проблематично. И сам админ мучается все это поддерживать.

Вопрос такой: ну как, кто-то уже сделал нормальный Domain Controller на основе линукса, или всё так же приходится собирать всё по кусочкам и потом патчить руками ведро как во времена, когда линукс еще не был мэйнстримом на десктопе?

Work Folders
Юзерские папки могут автоматически синхронизироваться с хранилищем в корпоративной сети (на серверах Твоего Господина).
Тут конечно все завопят, что рсинк никто не отменял. В документации MS это тоже отмечено, НО при этом основным преимуществом выставляется автоматическая работа данной фичи из коробки без настроек. Юзер просто мышкой прощелкивает, что будет синхронизироваться («я отдаю эти данные Моему Господину»), и всё, а как там это будет технически - уже дело ОС.

Вроде можно запилить скрипты для этого (например, пропатчить пакеты типа xdg-folders) и накатить еще на этапе установки линукса. Знаю как это осуществить на archlinux livecd, не совсем понимаю как пропатчить убунту.

Open MDM
Основа для администрирования мобильных устройств, работающих под шиндовс. Заявляется поддержка Mobile Iron и Air Watch. Весь цимес в наличии API, которое могут юзать как локальные, так и удаленные управляторы.

У нас такое есть? Хотя бы для андроидов? Насколько целесообразно иметь отдельное API (которое еще надо поддерживать!), когда есть ssh?

Mobile Device Management
Каждый раз когда запускаешь девайс, он регистрируется на корпоративном сервере (на сервере Твоей Госпожи), в результате чего всеми мобильными девайсами можно управлять через веб с Центрального Корпоративного Сайта. Включая централизованную установку софта (что-то типа аппстора, только внутри организации, вместо сайта аппстора юзается сайт Твоей Госпожи?).

Насколько понимаю, у нас такого вообще нет. Надо писать самостоятельно.

Web Application Proxy
Сервер в пару кликов превращается в прокси, который дает доступ к внутрисетевым веб-серверам. При этом применяются всякие разные системы проверки, чтобы во внутрисеть не влез шпиён.

У нас такого предостаточно. Но тут интересное наблюдение: два знакомых админа, которые средствами линукса открывали ограниченный доступ до веб-внутрисети, и юзали всяческие HTTP-авторизации, а) постоянно мучались с этим б) все эти HTTP-авторизации время от времени то переставали пускать кого надо, то наоборот, пускали кого не надо. Сервера - Apache,nginx,php-fpm. Все остальное у этих админов было хорошо, да и опыт у них большой. Как-то это подозрительно. Вообще подозрительно, что для такой простой функции нужны какие-то админы. Это должно делаться одной кнопкой.

RDS Enhancements

Если пользователь юзает виртуальные (удаленные) рабочие столы, то Большой Брат может свободно за этим наблюдать и вмешиваться как хочет, хоть за мышку тебя хватать. (У на в линуксах есть что-то такое? Вообще не в курсе)

В отличие от Wayland, все поставлено как раз на возможность удаленного запуска приложений по сети.

Но в шиндовс отдельная тема, потому что на удаленные столы нужно покупать отдельные лицензии. И наличие этих лицензий даже проверяется (хотя и легко крякается). В линуксах такие системы есть? Я не знаю ни одной. Они вообще нужны? Так-то запилить можно что-нибудь.

NFC Tap-to-pair Printing
Wi-Fi Direct Printing
КИЛЛЕР-ФИЧА

Подходишь к корпоративному принтеру и тапаешь жабу кнопку на своем мобильном девайсе. Причем, поддерживается прямое соединение по wifi, без прохождения через центральный сервер. Всё, можно печатать с этого принтера. Никаких «настроек печати по локальной стети».

Кто может это запилить?

Mobility Enhancements
Напоминает список фич NetworkManager.
Из забавного - программы знают, когда им нужен доступ до ресурсов внутрисети. Например, почтовый ящик, который можно проверить только через VPN. Все происходит в один клик: прога просит у тебя доступа, а потом нужные «ресурсы» подтягиваются автоматически. Под «прогой» тут наверное понимается Microsoft Office, а остальные курят в сторонке. Но полюбас, у нас даже LibreOffice так не умеет.

Remote Business Data Removal
Данные делятся на «юзерские» и «корпоративные». Корпоративные данные (по договору принадлежащие Твоему Господину) могут в случае надобности автоматически быть вайпнуты одним кликом сисадмина. Для этого нужны специальные программы-зонды на девайсах и на центральном сервере, которые дадут удаленное API для вайпанья. Всякие шифрования и паранойя в комплекте.

С тем чтобы что-то вайпнуть у нас проблем нет, а вот поделить данные на «юзерские» и «корпоративные» как? Сделать какую-нибудь специальную файловую систему? Или такая уже есть, чтобы к каждому файлу поддерживала тэги (добавить туда флаг «корпоративное») и опциональное (для каждого конкретного файла) шифрование?

Improved Biometrics
Всяческие местные аналоги sudo и пакетного менеджера могут вместо логина юзать биометрию. У нас такого нет, но ведь можно сделать? Нужно ли для этого переписывать sudo или можно как-то обойтись стандартными средствами?

Pervasive Device Encryption
Девайсы постоянно шифруют всё, что на них есть. Насколько понял, при переходе в слип может шифроваться даже оперативка. У нас такое возможно?

Improved Internet Explorer
IE больше не тормозит.
Как заставить перестать тормозить жирнолиса?

Device Lockdown
Парой кликов можно перевести девайс в kiosk mode, так что на нем можно будет пользоваться всего 1 выбранным приложением в полноэкранном режиме. Например, чтобы дети могли рубиться только вот в эту игрушку и всё, ни-ни.

Примерно представляю как это можно сделать на KDE4. По крайней мере, Хромиум+KDE4. А как у гномеров с этим?

★★★★☆

Всяческие местные аналоги sudo и пакетного менеджера могут вместо логина юзать биометрию. У нас такого нет, но ведь можно сделать? Нужно ли для этого переписывать sudo или можно как-то обойтись стандартныя неми средствами?

ЕМНИП, Я что-то похожее делал с помощью распознования лица, у меня не взлетело.

shuck ★★★
()

Всяческие местные аналоги sudo и пакетного менеджера могут вместо логина юзать биометрию. У нас такого нет, но ведь можно сделать? Нужно ли для этого переписывать sudo или можно как-то обойтись стандартными средствами?

Что значит нет? Если есть сканер отпечатков пальца, для которого есть драйвера, то сделать авторизацию проще простого.

andreyu ★★★★★
()
Ответ на: комментарий от andreyu

Сценарий: прога, требует root access, просит su. На экране появляется «введите логин». Вместо ввода логина ты смотришь в веб-камеру и жмешь на ней кнопку (или касаешься пальце-ридера). Система автоматически пропускает ввод логина и пароля и логинит тебя ассоциированным с биометрией пользователем. Можно? Ссылку?

stevejobs ★★★★☆
() автор топика
Ответ на: комментарий от rusty_angel

У меня это не завелось, года 3 назад.

Руки правда были кривее некуда.

shuck ★★★
()
Ответ на: комментарий от stevejobs

касаешься пальце-ридера

Когда вы уже угомонитесь, авторизация по отпечатку пальца уродлива и ненадёжна.
Прозреваю, что МС под «биометрией» имеет ввиду более интересные сканеры.

Deleted
()

Ух ты! Они изобрели ПАМ! Вот это поворооот, я уж думал что посля изобретения интернета и айпи они больше ничего не создадут...

Jetty ★★★★★
()
Ответ на: комментарий от rusty_angel

ты сам это юзал? Ситуации когда тебе нужно не «recognition» а «as password» работают? Например, срабатывает логин, но я не хочу, чтобы PAM опознал меня как меня (user olegchir), я хочу вначале сказать чтобы логинился в учетку вебсервера (user httpd), и только потом биометрия юзалась как пароль. Было что-то типа pam-face-auth для вебкамеры через opencv, написанное студентами в рамках google summer of code, но по мануалу оно так не умело.

stevejobs ★★★★☆
() автор топика

Improved Biometrics

У меня лет пять назад было sudo по отпечатку пальца. Я отказался - быстрее пароль из одной цифры набрать.

В Глисте на соседнем разделе, кстати биометрия настроена, так она мою рожу перестала узнавать, отпечатки пальцев, впрочем, работают, правда тоже не во всех случаях распознает (когда руки мокрые или лень по-нормальному палец просканировать) после чего на пару минут блокирует систему.☻

ViTeX ★★★★
()
Последнее исправление: ViTeX (всего исправлений: 1)
Ответ на: комментарий от stevejobs

В других комбинациях и не с биометрией - вполне юзал. Мы же про концепцию, а не о кривизне модулей и софта? Сканер отпечатков на x220 сходу не осилил в своё время (потому что некрофил-затейник с CentOS везде) и забил.

rusty_angel
()

Я заводил сканер отпечатков пальцев давно, но PAM не так так удобен как в виде. Особенно это заметно при логине в систему. PAM заменяет пароль когда пользователь уже выбран, а винда узнает и пользователя по скану отпечатка.

alexru ★★★★
()

NFC Tap-to-pair Printing

Wi-Fi Direct Printing
КИЛЛЕР-ФИЧА


Хотеть


А как у гномеров с этим?

Если что-то похожее найдут, то обязательно удалят.

druganddrop-2 ★★
()
Ответ на: комментарий от pkurg

Лорчую. Вобще, полезность некоторых фич сомнительна для меня, а надёжность, зная МС, ещё более сомнительна. Но занятно.

skiminok1986 ★★★★★
()

Насколько целесообразно иметь отдельное API (которое еще надо поддерживать!), когда есть ssh?

Целесообразно. Различный публичный API сплош и рядом, а «публичный ssh» как правило явная ошибка админа.

TEX ★★★
()
Ответ на: комментарий от gh0stwizard

И все потому-что тут без АНБ не обошлось. А так бы был костыль похлеще systemd.

anonymous_sama ★★★★★
()
Ответ на: комментарий от one_more_hokum

Вообще то GINA ещё с WinNT 3.51 была.

Вообще-то, PAM функциональней чем GINA, а аналогов NSS (что в 100500 раз важнее) в винде вообще нет.

no-dashi ★★★★★
()

Большинство описанных тобой фич, нахрен не сдались на десктопе.

neocrust ★★★★★
()

В целом познавательно.

В 8.1 появился этот самый Workspace Join, а вместе с ним - промежуточный режим, когда ты работаешь на чем хочешь, админ НЕ имеет твой комп как хочет, но при этом ты все еще можешь додолбиться до ресурсов сети

What? Зам по безопасности меня уволит, если я подобное внедрю... А дома мне подобное не надо.

P.S. Пол года назад присутствовал на одном публичном мероприятии на котором выступал российский представитель Microsoft, цитирую его слова по поводу win 8:

«Я познакомился с win 8, где-то в декабре прошлого года, да своеобразный интерфейс, но через пару недель привыкания к нему я ощутил всю его мощь и непревзойденность...» - у меня честно говоря первая мысль в голове - внедрю я ее в конторе и все будут привыкать 2 недели - а работать кода?

aeX1pu2b
()

IE больше не тормозит.

Зато NET Framework может на ровно месте устроить TypeLoadException, и превед до перезагрузки.

Из забавного - программы знают, когда им нужен доступ до ресурсов внутрисети. Например, почтовый ящик, который можно проверить только через VPN.

Угу. А заюзать SSL/TLS не судьба.

Сервер в пару кликов превращается в прокси, который дает доступ к внутрисетевым веб-серверам. При этом применяются всякие разные системы проверки, чтобы во внутрисеть не влез шпиён. У нас такого предостаточно. Но тут интересное наблюдение: два знакомых админа

Руки из жопы - генетическое заболевание, лечащееся путёвкой на биржу труда.

Каждый раз когда запускаешь девайс, он регистрируется на корпоративном сервере (на сервере Твоей Госпожи), в результате чего всеми мобильными девайсами можно управлять через веб с Центрального Корпоративного Сайта. Включая централизованную установку софта

Если под мобильным устройством подразумевается ноут с линуксом, то я за символическую сумму научу тебя как создать свой репозиторий, как создать метапакет и как всё это само после этого работает. Но не в арчлинупсе, конечно.

В 8.1 появился этот самый Workspace Join, а вместе с ним - промежуточный режим, когда ты работаешь на чем хочешь, админ НЕ имеет твой комп как хочет, но при этом ты все еще можешь додолбиться до ресурсов сети

Ыыыы, они ВНЕЗАПНО(!) осознали, что участник домена != доменный раб? Наконец-то...

т.к. без рута работать проблематично

Работать? Нет, не проблематично. Дрочить и конфигурить - да, тут проблематично. Но ненужно.

no-dashi ★★★★★
()

Remote Business Data Removal Данные делятся на «юзерские» и «корпоративные». Корпоративные данные (по договору принадлежащие Твоему Господину) могут в случае надобности автоматически быть вайпнуты одним кликом сисадмина. Для этого нужны специальные программы-зонды на девайсах и на центральном сервере, которые дадут удаленное API для вайпанья. Всякие шифрования и паранойя в комплекте.

С тем чтобы что-то вайпнуть у нас проблем нет, а вот поделить данные на «юзерские» и «корпоративные» как? Сделать какую-нибудь специальную файловую систему? Или такая уже есть, чтобы к каждому файлу поддерживала тэги (добавить туда флаг «корпоративное») и опциональное (для каждого конкретного файла) шифрование?

ACL же!

XVilka ★★★★★
()
Ответ на: комментарий от aeX1pu2b

What? Зам по безопасности меня уволит, если я подобное внедрю

Сдай зама по безопасности в дурку, потому что он дурак. Возможности пользователя нарушить корпоративные правила не должны зависеть от инструмента, которым пользуется пользователь. Это аксиома.

no-dashi ★★★★★
()
Ответ на: комментарий от XVilka

а вот поделить данные на «юзерские» и «корпоративные» как?

а) группа владельца

б) extended attributes

c) acl хитрым способом

no-dashi ★★★★★
()

Если кратко — добавили еще больше зондов для корпоративных хозяев, и как обычно ничего для пользователя.

vurdalak ★★★★★
()
Ответ на: комментарий от no-dashi

В 8.1 появился этот самый Workspace Join, а вместе с ним - промежуточный режим, когда ты работаешь на чем хочешь, админ НЕ имеет твой комп как хочет, но при этом ты все еще можешь додолбиться до ресурсов сети

Возможности пользователя нарушить корпоративные правила не должны зависеть от инструмента, которым пользуется пользователь

Как-то по-моему не сходится или я чёт не понимаю?

aeX1pu2b
()

С точки зрения пользователя - я не понимаю в чем полезность этих фич.

Корпоративные пользователи - тоже не понимают т.к. у них есть админ для этого.

irton ★★★★★
()
Ответ на: комментарий от aeX1pu2b

Как-то по-моему не сходится или я чёт не понимаю?

Скорей у тебя случилось неразделение задач.

Есть две задачи - неразглашение данных (задача зама по безопасности, контроль потоков данных) и ненарушения работоспособности оборудования (задача зама по технической политике), и ставить под контроль надо потоки данных (workflow) а не клиентские устройства (devices).

Да, эти два направления - тех.политика и защита информации - могут пересекаться (и будут пересекаться!) но не полностью.

Windows 8.1 в рассматриваемом случая приближается к политике BYOD (build your own device), когда юзер может со _своего_ девайса может удобно пользоваться корпоративными ресурсами. В линуксовых десктопах, кстати, эта политика жила изначально - аутентифицировался в домене - получил доменные ресурсы. Не аутентифицировался - обломись: со своим компом можешь сделать что угодно, но до данных не доберешься.

no-dashi ★★★★★
()
Ответ на: комментарий от vurdalak

Если кратко — добавили еще больше зондов для корпоративных хозяев, и как обычно ничего для пользователя.

А может наоборот - дали пользователям чуть больше свободы, разделив потоки данных?

no-dashi ★★★★★
()

Девайсы постоянно шифруют всё, что на них есть. Насколько понял, при переходе в слип может шифроваться даже оперативка. У нас такое возможно?

Ненужно. Режимные данные не должны попадать на неконтролируемый девайс, точка.

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

Угу. А заюзать SSL/TLS не судьба.

Для этого нужно выводить внутрисетевой ресурс наружу, если их несколько почта/деск/шары то VPN как справляется лучше и пожалуй безопаснее.

TEX ★★★
()

Грубо говоря добавили тонну никому не нужных вещей.

ЕМНИП 90% перечисленного делали/хотели сделать, но так или иначе забили ибо нафиг не нужно оказалось.

upcFrost ★★★★★
()
Ответ на: комментарий от no-dashi

когда юзер может со _своего_ девайса может удобно пользоваться корпоративными ресурсами.

Весьма тонкая тема...

aeX1pu2b
()
Ответ на: комментарий от TEX

Для этого нужно выводить внутрисетевой ресурс наружу, если их несколько почта/деск/шары то VPN как справляется лучше и пожалуй безопаснее.

Сделал ты значит у себя внутреннюю сеть 172.16.0.0/23, мобильным клиентам раздал VPN, и веь такой довольный и правильный. А потом твой клиент приехал в какой-нибудь суровый офис, сел в локалку партнёра, решил показать ему файл с шары... А никак. Хотел тебе письмо написать... Плиать, снова никак! А почему?? Потому, что адрес локалки партнера, внезапно, 172.16.0.0/24, и половина твоей VPN-ной локалки недоступно нафиг. Видел я таких, да :-)

no-dashi ★★★★★
()
Ответ на: комментарий от abraziv_whiskey

В дистрибутиве Kali Linux (бывш. BackTrack Linux) предназначенном для penetration testing, по-дефолту используется root. В FAQ написано, что раз уж всё равно почти все утилиты требуют рута, то использование дополнительных не-рутовых пользователей по-дефолту наоборот понизило бы безопасность и жутко надоело бы пользователю. Они все (вместе с коммерческой компание Offensive Security где делают этот дистр) - тоже админы локалхоста?

stevejobs ★★★★☆
() автор топика
Ответ на: комментарий от vurdalak

Какие еще потоки?

А такие. Какие категории информации существуют и обрабатываются, кому что можно видеть, куда что какими способами можно передавать, где можно хранить и где нельзя. И потом только принимается решени, каким способом обрабатывать данные и какие технические меры задействовать.

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

А винда тут при чем? В ней всего лишь добавили больше средств для централизации данных и передачи прав от пользователя его хозяевам.

vurdalak ★★★★★
()

во времена, когда линукс еще не был мэйнстримом на десктопе?

Не, ну это слишком толсто же!

sT331h0rs3 ★★★★★
()
Ответ на: комментарий от stevejobs

Они все (вместе с коммерческой компание Offensive Security где делают этот дистр) - тоже админы локалхоста?

«Они все» делают специализированное решение, а не дистрибутив общего назначения. Требования и назначение этого специализированного решения пересекаются с назначением и требованиями к рабочему месту обычного пользователя чуть менее чем никак.

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

Сделал ты значит у себя внутреннюю сеть 172.16.0.0/23, мобильным клиентам раздал VPN ...

т.е. выставить внутрисетевые ресурсы через ssl/api наружу, с точки зрения безопасности и учитывая что они на win - это более правильное решение? То же сумневаюсь ....

aeX1pu2b
()
Ответ на: комментарий от vurdalak

А винда тут при чем? В ней всего лишь добавили больше средств для централизации данных и передачи прав от пользователя его хозяевам.

Не для централизации, а для управления данными. И передачи прав не на управление устройством, а на управление данными. И в прицнипе, в этом нет ничего плохого - это очень даже правильный шаг. Правда, бесполезный - если конечно не запретить юзеру пользоваться каким-либо несертефицированным и неподписанным софтом.

no-dashi ★★★★★
()
Последнее исправление: no-dashi (всего исправлений: 1)
Ответ на: комментарий от aeX1pu2b

т.е. выставить внутрисетевые ресурсы через ssl/api наружу, с точки зрения безопасности и учитывая что они на win - это более правильное решение?

Это проблемы индейцев (писателей софта). Пусть учатся писать код чистый, красивый и правильный код :-)

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

как создать метапакет ... Но не в арчлинупсе, конечно.

порадовал) Там скорее всего можно будет дистанционно менеджить конфиг системы, ну или по крайней мере смотреть его и разрешать/запрещать подклчения. Мышкой. Научи меня создавать метапакеты мышкой, которые будут править /etc/*.conf и при этом не конфликтовать друг с другом (что будет, когда отменяешь метапакет со старыми настройками и применяешь новые - система «в неконсистентном состоянии»? Как твой пакетный менеджер относится к тому, что один файл имеют несколько пакетов? (тот который поставил, и тот который поверх накатил изменения конфига)).

Сам я эту фичу 8.1 не видел из-за отсутствия 8.1-домена, а описание в ченжлоге что-то уж очень мутное. Может быть, всё совсем не так. Но они столько лет это обещали, что есть вероятность что именно это наконец и сделали.

Дрочить и конфигурить - да, тут проблематично. Но ненужно.

Дрочить и конфигурить — основное занятие программистов. Даже если это ява и формально рута не нужно - реально всё равно нужно.

stevejobs ★★★★☆
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.