Неожиданный взгляд на BolgenOS

В любой теме касающейся Linux дистрибутивов вообще и импортозамещения в частности обязательно появится комментарий про BolgenOS, которая сегодня стала даже не мемом, а некоторым жупелом.

Но давайте посмотрим на это явление с неожиданной стороны. Потому как там далеко не все так однозначно. Начнем, как обычно, сначала.

BolgenOS был представлен на конкурсе школьных проектов Нижнего Тагила в 2010 году и занял там первое место. И все сразу заговорили о его авторе – 16-летнем школьнике Денисе Попове.

Но как-то упускается из виду, что над этим проектом Денис работал более полугода на внеклассных занятиях по информатике под руководством своего педагога Ефима Ширинкина.

К Денису у нас нет никаких вопросов, 16 лет – это такой возраст, когда «в голове ветер, в жопе дым» и он сам не мог полностью понимать и осознавать последствия своих действий. Ну это нормально, у всех в этом возрасте есть какие-то вселенские планы и амбиции.

При этом надо отдать должное – в техническом плане Денис был неплохо подкован, так как пересобрать дистрибутив Linux, особенно в те годы, требовало определенных знаний и умений, да и сейчас не каждый 16-летний пацан это сделает.

А вот товарищ Ефим Ширинкин вполне должен был отдавать себе отчет о том, что они делают, если только он не клинический идиот. И как старший товарищ и наставник… Но это не про эту историю.

Как старший товарищ и наставник Ефим Ширинкин должен был предупредить, оградить, направить. Но он ничего этого не сделал. А почему? А потому что наша система образования ориентируется совсем на другие показатели. Там нужны места в конкурсах, грамоты, дипломы и прочая медийная мишура.

Чем больше этой мишуры – тем успешней школа, успешней учитель, да и управление образования в стороне не останется, если вдруг чего-то такое за пределы региона выстрелит.

И только будучи клиническим идиотом Ефим Ширинкин мог поверить, что его подопечный пишет ОС с нуля. Но идиотом он явно не был, а вот опытным функционером системы был.

В итоге на конкурс была заявлена и получила там первое место «принципиально новая ОС» - BolgenOS. Созданная Тагильским школьником Денисом под чутким руководством Ефима Ширинкина.

Изначально все шло хорошо, высокие оценки, интерес со стороны области, вылившийся в то, что управление образования даже предложило рассмотреть BolgenOS как замену Windows на школьных компьютерах.

Тот, кто знает эту систему может уверенно сказать, что все это было лишь сотрясение воздуха, нужный пиар, за счет которого нужные люди получили бы столь вожделенные плюшки, выполнили и перевыполнили планы, написали бы кучу красивых отчетов…

Но что-то пошло не так…

Ажиотаж по поводу BolgenOS неожиданно вышел за пределы области и распространился в интернете, чем вызвал неизбежное разоблачение и опровержение.

Крайним, как всегда, назначили самого молодого, т.е. Дениса, хотя именно гражданин Ширинкин приложил, в собственных интересах, конечно, все усилия по медийной раскрутке BolgenOS и Дениса.

После чего парня просто затравили. И отбили у него всякое желание далее развиваться в IT, впоследствии он ушел в звукорежиссуру и музыку, в настоящее время проживает в Москве и крайне не любит вспоминать про BolgenOS.

Но в чем виноват Денис? Только в одном, что по молодости и небольшому уму решил выкосить все копирайты и выдать свою сборку за собственную ОС.

Скажи он, что это просто еще один дистрибутив на основе Ubuntu и сохрани исходные копирайты – вопросов бы к нему не было.

А где были старшие товарищи? Тот же Ширинкин? Почему вовремя не одернул, не направил на путь истинный?

Клиническим идиотом Ширинкин не был, а вот функционером был и ему все это было на руку, так как позволяло получить кучу плюшек с этого проекта, а там хоть трава не расти. Да и зачем ей расти. На новый учебный год будут новые конкурсы, новые проекты, а про эти никто и не вспомнит.

А крайним, как всегда, оказался молодой парень Денис, который собрал на себя все говно в интернете, а всю шерсть с этой ситуации поимели старшие.

Хотя может быть в его лице страна потеряла хорошего, талантливого айтишника?

Бесплатная онлайн-экскурсия в IT-компанию.

Покажем и расскажем как настроить эффективный и удобный Service Desk. Простыми словами о сложном.
Подберем решение для вашей IT-службы.

Осталось 4 места в декабре.
Участие бесплатное,
регистрация по ссылке

В прямом эфире от разработчиков Service Desk 1С:ITILIUM — покажем, как устроена современная IT-служба по принципам ITIL:
— Как автоматически обрабатываются 1200+ обращений в месяц;
— Как работает веб-портал и закрывается до 30% инцидентов;
— Как вывести SLA до 98%;
— Как выстроить процессы, которые масштабируются и выдерживают нагрузку;

💡 На экскурсии вы получите готовые практики, которые можно адаптировать под вашу IT-службу без долгих и сложных интеграций.

🎁 Бонус для всех участников — PDF с 27 кейсами цифровизации, сократившие ИТ расходы на 5–10 млн ₽ в год.

Осталось 4 места в декабре.
Участие бесплатное,
регистрация по ссылке

#реклама
О рекламодателе

​​Маршрутизация в OpenVPN

OpenVPN является одним из самых популярных решений для создания корпоративных VPN-сетей и одним из самых функциональных.

А если мы говорим о сетях, то никак нельзя забывать про маршрутизацию, тем более что OpenVPN предоставляет для этого мощные инструменты.

Основная задача VPN – соединить сети, а значит нам нужно каким-то образом направить нужный трафик в туннель. Для этого предназначена опция конфигурационного файла route, она может использоваться как на сервере, так и на клиенте и создает локальные маршруты при поднятии туннельного интерфейса.

Например, если у нас за VPN доступно несколько сетей, то просто пропишем в конфигурационный файл:

route 192.168.101.0 255.255.255.0
route 192.168.102.0 255.255.255.0

Однако маршрутная информация не является чем-то незыблемым и постоянным, она может меняться и поэтому прописывать подобные директивы в конфигурацию клиента считается плохой практикой, лучше отправить их с сервера, для этого в серверную конфигурацию добавьте:

push "route 192.168.100.0 255.255.255.0"

Директива push означает, что указанная в кавычках опция должна быть отправлена клиенту и аналогична ее добавлению в клиентский конфигурационный файл.

Но таким образом мы распространим маршрут на всех клиентов, а как быть если нужно выборочно задать маршруты? Для этого следует использовать client-config-dir, технологию позволяющую назначить каждому клиенту специфические опции.

Мы не будем подробно на ней останавливаться, надеемся, что читатели про нее знают.

Таким образом мы можем отправить каждому клиенту собственный набор маршрутов, например первому:

push "route 192.168.100.0 255.255.255.0"
push "route 192.168.102.0 255.255.255.0"

И второму

push "route 192.168.100.0 255.255.255.0"
push "route 192.168.101.0 255.255.255.0"

Отлично, запускаем клиентов, проверяем таблицы маршрутизации – все маршруты добавлены. Но ничего не работает… Как же так?

Все просто. Мы настроили только внешнюю маршрутизацию, которая предписывает отправлять в туннель все пакеты к указанным сетям. Но OpenVPN не использует по умолчанию топологию точка-точка, вместо этого используется внутренняя подсеть и поэтому она не знает какому узлу внутренней сети отправлять тот или иной пакет.

Для настройки внутренней маршрутизации предназначена директива iroute (internal route) и она используется только в ccd-конфигурациях. В данной директиве указываем ту сеть, которая расположена за клиентом:

Таким образом для первого клиента ccd-конфигурация будет:

push "route 192.168.100.0 255.255.255.0"
push "route 192.168.102.0 255.255.255.0"
iroute 192.168.101.0 255.255.255.0

Для второго:

push "route 192.168.100.0 255.255.255.0"
push "route 192.168.101.0 255.255.255.0"
iroute 192.168.102.0 255.255.255.0

А на сервере будет достаточно:

route 192.168.101.0 255.255.255.0
route 192.168.102.0 255.255.255.0

Здесь внимательный читатель спросит, а почему нет отдельного внутреннего маршрута для сетей за сервером. Здесь все просто, такой маршрут не нужен, так как внутри OpenVPN сети сервер является шлюзом по умолчанию и все пакеты для которых нет отдельного внутреннего маршрута будут направлены ему.

Тонкие настройки LXC. Подборка

Так как дальше у нас планируются статьи по тонкой настройке 1С в контейнерах, то рекомендуем освежить память, потому что разобранных в данной подборке вопросов мы будем обязательно касаться, но объем заметки не позволит остановиться на них подробнее.

🔹Тонкие настройки LXC. Процессор

🔹Тонкие настройки LXC. Монтирование

🔹Тонкие настройки LXC. Память

​​Microsoft PC Manager: не можешь победить – возглавь

Мы крайне скептически и негативно относимся ко всяким «клинерам» и «твикерам», считая, что вреда от них, пожалуй, больше, чем пользы. Но пользователи трепетно любят данный вид ПО, и многие не мыслят без него существования.

Все эти утилиты можно разделить на условно полезные, которые действительно чистят временные файлы и немного оптимизируют систему. И условно вредные, которые вырезают компоненты, останавливают службы, вносят изменения в реестр.

Есть еще третья категория, откровенно вредоносные, которые не делают ничего из заявленного, но навязчиво предлагают скачать некие PRO версии, либо вообще без спроса натягивающие в систему различного бесполезного ПО.

Видимо посмотрев на весь этот балаган, Microsoft представила пользователям утилитку PC Manager, по сути, тот же «клинер» и «твикер», только теперь официальный.

Главная страничка выглядит типично для такого типа ПО, показаны основные параметры «здоровья» компьютера и тут же предлагается сделать «буст», ускориться прямо здесь и сейчас.

Никаких чудес, конечно же, здесь не будет, просто утилита попытается высвободить немного оперативной памяти, ну может еще временные файлы почистит.

На закладке Protection мы можем выполнить антивирусную проверку или установить обновления, восстановить параметры по умолчанию и, что на наш взгляд самое нужное – навести порядок со всплывающими уведомлениями, которые могут сильно портить кровь простым пользователям.

В разделе Storage можно выполнить очистку временных файлов и разобраться с тем, что занимает место на диске.

А на закладке Toolbox можно настроить верхнюю всплывающую панель, она позволяет быстро выполнить оптимизацию и запускать некоторые приложения, такие как скриншоты, калькулятор, блокнот, браузер.

В целом мысль здравая, все эти утилиты нужны постоянно, но занимать ими место на панели задач совершенно не хочется. В Windows 10 их можно было спокойно расположить на плитках в Пуске, но в Windows 11 меню сильно упростили и теперь эта панель в тему.

Если же присмотреться внимательно, то все эти инструменты в системе давно есть и равномерно разбросаны по новой панели управления. Но простой пользователь или домохозяйка туда не полезут: сложно и страшно. А вот понажимать кнопки в привычного вида «твикере» - это совсем другое дело.

Несмотря на простоту мы считаем Microsoft PC Manager полезной программой и можем рекомендовать ее к установке простым пользователям, единственное, что сегодня является препятствием – это отсутствие русского языка.

Для опытного пользователя данная программа практически бесполезна, а вот новичков и людей далеких от компьютеров убережет от установки разных сомнительных программ подобного назначения.

Никогда такого не было и вот опять!

Современные технологии дают в руки администраторов самые разнообразные устройства, которые, в теории, должны за небольшую сумму облегчить и упростить ему жизнь.

Последнее время особой популярностью пользуются IP-KVM на одноплатниках, такие как PiKVM, позволяющие недорого и эффективно решить проблему полного контроля над своими серверами.

Не так давно был анонсирован Sipeed NanoKVM – недорогое устройство на платформе RISC-V, которое благодаря соотношению цена/возможности сразу получило популярность и восторженные отзывы.

Но все оказалось не так безоблачно, первые устройства поставлялись с зашитыми в прошивку учетными данными root:root, но впоследствии это было исправлено. Но веб-интерфейс так и остался примитивным, лишенным механизмов безопасности.

Чего стоит невозможность корректно завершить пользовательские сессии, т.е. полностью выйти с устройства. Т.е. если вы предполагаете, что на устройстве есть нежелательная сессия, то сбросить ее вы сможете только физическим выключением устройства.

Дальше – интереснее, ключ шифрования паролей в веб-интерфейсе жестко прошит в прошивку и одинаковый на всех устройствах. Это позволяет злоумышленнику завладев этим ключом расшифровать пароли с любого устройства.

Само устройство постоянно обращается к китайским DNS и серверам производителя, откуда скачивает обновления и некоторую бинарную компоненту. Для проверки подлинности бинарной компоненты используется ключ, который хранится в виде открытого текста на диске.

Подлинность обновлений не проверяется вообще. Это дает возможность реализовать сценарий атаки на цепочку поставок, как скомпрометировав сервера производителя, так и просто перехватив и подменив трафик.

Сама система представляет собой крайне причудливо урезанный Linux, который не содержит инструментов администрирования, но с предустановленными tcpdump и aircrack – инструментами для перехвата и анализа сетевого трафика.

Позже на плате устройства был найден миниатюрной микрофон, а в составе системы утилиты amixer и arecord, готовые к записи звука.

И, как вишенка на торте, некая странная версия WireGuard клиента, при том, что изменить сетевые параметры устройства за пределами, разрешенными прошивкой достаточно проблематично.

Также в сети достаточно много жалоб на неправильно выполненную гальваническую развязку сетевого адаптера устройства, что приводило к нестабильной работе сети, а в ряде случаев даже привело к выходу из строя управляемого компьютера.

Фактически перед нами плохо выполненная китайская поделка с серьезными проблемами безопасности. Но сфера ее применения дает ей возможность оказаться в самой глубине инфраструктуры минуя все периметры безопасности.

Поэтому каждый раз, задумываясь о применении подобного устройства, нужно сесть и подумать, а что, кроме заявленных полезных функций оно может в себе таить? А также осмотреться по сторонам, возможно в вашем окружении уже притаились и ждут своего часа подобные устройства с «недокументированными» возможностями.

✅ По материалам: https://telefoncek.si/2025/02/2025-02-10-hidden-microphone-on-nanokvm

Смена профессии — сложный и ответственный путь. Хотите получить востребованную IT-профессию? Тогда приходите на бесплатный вебинар «Как стать 1С-программистом в 2026 году: обучение и карьера начинающего специалиста», который проведёт автор и преподаватель курсов Школы Programming Store, Валентина.

📍 Дата и время: 16 декабря, 16:00 (МСК)
📍 Регистрация по ссылке

Расскажем:
— перспективы профессии 1С-программиста;
— какие ключевые навыки нужны на старте карьеры;
— как правильно выбрать обучение;
— реальные примеры успешного старта.

Каждого гостя ждёт бонус, который позволит начать обучение профессии мечты. Сделайте первый шаг к своей успешной карьере 1С-разработчика!

#реклама
О рекламодателе

Sudo в Windows

Лучше поздно – чем никогда, этот лозунг как нельзя лучше подходит к небольшому, но важному нововведению Windows 11 в которую добавили утилиту sudo.

Работает она точно также как ее Linux аналог, только вместо ввода пароля вам нужно подтвердить повышение прав UAC.

Однако есть некоторые особенности ее использования. Утилита может работать в одном из трех режимов:

🔸 В новом окне (forceNewWindow) – это режим работы по умолчанию, в этом случае открывается новое окно с повышенными правами, в котором исполняется вызываемая нами команда.

🔸 Закрытые входные данные (disableInput) – в этом случае процесс с повышенными правами запускается в текущем окне, но он не может принимать на вход никакие данные из этого окна. Т.е. поток ввода для него будет заблокирован.

Это сделано в целях безопасности, чтобы злонамеренные приложения, работающие без повышенных прав, не могли взаимодействовать с процессом, которому были повышены привилегии и передавать ему данные для выполнения.

🔸 Встроенный (normal) – этот режим наиболее похож на работу sudo в Linux, процесс с повышенными привилегиями запускается в том же окне и может получать на вход данные из этого окна, в т.ч. и от приложений с обычными правами.

🤞 В настоящий момент sudo доступна в Windows 11 24H2 и Server 2025.

Для Windows 10 утилиты не было, нет и не будет (с учетом окончания срока поддержки последней)

☝️ Не все умеют правильно пользоваться командами su и sudo.

Команда su производит замену пользователя и имеет синтаксис:

su [опции] имя_пользователя

Если имя пользователя не указано - то root. Но при этом сохраняется контекст текущего пользователя (дом. директория, переменные окружения и т.д.). Поэтому, например, нельзя вызвать бинарник не указывая путь к нему, который еще надо узнать.

Если же использовать:

su - (-l, --login)

То будет загружен контекст root, как будто бы он вошел в систему.

sudo позволяет выполнить команду от имени другого пользователя, если не указано имя, то - root и тоже работает в контексте вызвавшего пользователя.

Чтобы изменить поведение используйте:

sudo -s

Данный ключ запустит командную оболочку согласно настроек вызываемого пользователя.

Альтернативный вариант:

sudo -i

Этот ключ полностью повторяет поведение su - и не только запускает оболочку вызываемого пользователя, но и полностью считывает параметры окружения, как будто бы он интерактивно вошел в систему.