Вот же злобные пидоры. Контроль над опенсорсом решили устроить.
Ну, в первую очередь, из всех опенсорс проектов они выкинут русских разрабов.
Далее будут проверять остальных на предмет их цвета кожи и сексуальных предпочтений. И довольны останутся, видимо, когда опенсорсы будут клепать негры и педерасты. Чем полностью этот самый опенсорс убъют к хуям.
> Опенсорс хорош тем, что его всегда можно форкнуть и развивать свой форк без обязательного участия негров и пидарасов.
Мне вообще не понятно, почему надо убивать опенсорс, когда у них для критичной инфраструктуры есть вполне себе RHEL и SLES.
Развивать свой форк хорошо, но на примере наших Astra и RedOS - это хуже, медленнее и очень дорого.
Ну так. А каноническое ядро, и патчи этих самых майнтайнеров или как их там?
И смысл форка без серьёзной команды разрабов тогда в чем? Отстать от прогресса?
> сколько нам баксов заказать ФРС напечатать на импортозамещение этих частей, бегомбл*, ещё вчера нах!!!
Так чем им RHEL и SLES не подходят? Даже у нас для КИ использовали исключительно их, а не убунты-шмубунты.
Или они на nginx`ы с haproxy беспокоятся?
Скорее всего это очередная чиновничья некомпетентность. Разобраться надо, какие дистры они для КИ используют, а потом выть, биться и хрипеть в ужасе.
> Чтобы после проведённых специсследований на отсутствие закладок в код не напихали новых закладок.
Ну перевел я тут пару контор на Astra Linux SE 1.7, это пиздецкий пиздец, хоть отдельного человека нанимай для общения с их деревянной подержкой.
На 70% запросов вообще ответ: это ограничения защищенной версии, не исправить никак, ждите релизов.
> Ну и? Либо доверенная ОС, либо шашечки и удобство.
Т.е. когда отваливается сканер штрих-кодов и невозможно сопровождать автоматизированный процесс производства с использованием MES-системы (которая детали по технологическим цепочкам отправляет на основании уникальных их номеров, забитых в наклеенном штрих коде) и встаёт всё производство на час-два - это шашечки и удобство?
Нет это пиздец и невозможность использования "доверенной ОС".
Или когда у диспетчера гарнитура отсыхает в процессе руления фурами по логистическому ценру, и образуется пробка из трёх десятков фур, это тоже не шашечки, а пиздец.
> Это всё USB? Если USB, то на тебе таблетку для сброса контроллеров USB. Мопед не мой, я его нашёл где-то на просторах интернета.
Не только про USB, еще и про другое. Это как яркие примеры в последних проектах в стадии внедрения.
Про таблетки мои админы, думаю, справились. Но мне, как архитектору и ГИПу интересно:
А эту таблетку надо каждый раз применять когда оператор отошел покакать и у него комп залочился? (а отвал гарнитуры - каждый раз)
А если у оператора нет прав на sudo? (а их нет)
А если электрик в 2 часа ночи выполнил регламентные работы по питанию в цеху, ИБП промышленного ПК не дотянул до конца регламента, локальной консоли у ПК нет, после старта производственной линии в 4 утра сраные сканеры не заработают без внешнего вмешательства сонного админа?
В общем нет. Такой футбол нам не нужен.
И слава ТНБ я настоял на периоде тестирования на вторичном оборудовании в отдельно взятых сегментах, ато же заказчик хотел прямо в продуктив и на всю инфраструктуру. Чтобы дешевле и быстрее.
> Вот пусть и нанимают. Может я и спизданул про полтора человека на конкретно этих дистро. Но альт точно развивают полтора.
Нанимают. Тут в марте нам Астра в уши дула на очередной презентации, что прям так деньги попёрли, что они до конца года штат чуть ли не удесетерят.
Ждём.
> Во-первых, эту таблетку можно засунуть в скрипт и дать операторам право исполнения конкретно этого скрипта с таблеткой от имени root через sudo, можно даже без пароля. > > Во-вторых, вместо того, чтобы заставлять что-то делать операторов, таблетку можно обернуть в скрипт-демон, который будет мониторить syslog на предмет появления в нём сообщений про отвал нужного устройства USB и сброса в этот момент контроллера USB. Скрипт настроить на запуск при старте системы.
> > Ну и в третьих, если отвал наступает после блокирования/разблокирования компа, так надо отключить компу вообще всё энергосбережение, потому что, скорее всего, пока оператор срал, комп просто заснул. И вот про последний способ можно наверняка прочитать что-нибудь в интернетах на тематических форумах, потому что проблема с отвалом разных устройств после выхода компьютера из режима энергосбережения относится к линуху вообще, и потому нечего ковырять ею мозг поддержке конкретно Астры.
В энергосбережение на очень многих системах Астра Линух не умеет. Поэтому отключается везде сразу же.
Блокировка компа через 5 минут - это требование ИБ и отключить это нельзя. В корп.среде так положено.
Запускать от root из под пользователя ничего нельзя - это требование ИБ. В корп.среде так положено.
Делать костыли в обход решений вендора нельзя - это требования корпоративной архитектуры. Или решение работает, или, если оно не работает, значит оно требует доработки со стороны вендора, а не со стороны заказчика. Это корпоративные стандарты внедрения.
Астра Линукс сейчас не отвечает требованиям корп. среды и поэтому мы ебём поддержку, за которую заплачены деньги. Если вендор не устраняет замечания на этапе апробации, то он меняется на другого.
Тут вмешиваются два фактора: требования об импортозамещении и желание заказчика показать Сами Знаете Кому в ближайшей перспективе супер-навороченный роботизированный производственно-логистический комплекс на полностью импортозамещенных решениях.
И, конечно же, на этапе MVP будут и костыли и ручное допиливание напильником. Но после показа MVP всё это опять уйдёт в девелоп и тестирование пока АстраЛинух не решит все проблемы, не выкатит нам пакет официальных патчей, не обеспечит поддержкой это решение. Так принято.
> > > В общем нет. > > В общем, про linux way тебе мало что известно.
А тебе про стандарты внедрения ит-решений в крупных корпоративных средах. Уж извини.
> > > Такой футбол нам не нужен. > > Ну, не сделаешь ты — найдётся какой-нибудь более подкованный в линухе интегратор.
Да я то сделал, работает. Просто так нельзя делать, особенно на объектах КИ.
Мы поставлены раком: требование минпромторга - отечественный линух. Требование ФСТЭК - Astra Linux SE. Мы поставлены раком, а раз нас поставили раком органы, мы поставим раком этот самый Астра Линух. Будем открывать бесчисленные тикеты, будем выставлять уточненные ФТТ.
Конечно, мы накостылим там решений чтобы Сами Знаете Кто посмотрел как всё свистит и огоньками переливается красиво. Но после его отъезда всё будет переделано на то, на чем оно нормально работает, пока компания AL не соизволит сделать лучше. Увы.
> В чём проблема? Ты вендор? Нет. Ты заказчик? Тоже нет. Ты — интегратор! Поэтому делать костыли ты имеешь полное право! Тем более, никаких решений по автоподъёму упавших USB устройств вендор не предоставляет и потому никаких «в обход» тут не будет. Я понимаю, ядро бы падало в панику каждые полчаса, и ты написал патч, который это падение устраняет, а тут фигня какая-то.
У крупных корпов решение интегратора проверяется внутренними и внешними экспертами. Внутренние сверяют их с НМД, внешние оценивают их соответствие best practices и работоспособности в целом.
Костыль - это не соответствует НМД. Если это костыль, значит я обязан заставить вендора этот костыль превратить в патч, указать в релизе патча, что этот патч решает вот эту проблему, продемонстрировать это всем крючкотворам от юристов до экспертов, и потом перевесить поддержку этого костыля на вендора.
Как то так это работает.
> > > Но после показа MVP всё это опять уйдёт в девелоп и тестирование пока АстраЛинух не решит все проблемы, не выкатит нам пакет официальных патчей, не обеспечит поддержкой это решение. > > Какие патчи-то? Это ж набор скриптов.
Даже если это набор скриптов, то он должен быть прописан в доках вендора, как необходимый набор скриптов. Прям вот черным по белому в бумагах. И если ты позвонишь в поддержку AstraLinux и скажешь, что у тебя демон get_usb_back_again не работает - поддержка вендора должна будет тебе рассказать, как это решить на 1-й, 2-й и 3-й линиях.
Понимаешь? Покупается у Astra Linux техподдержка, в случае поломки скриптов ей звонить будут, а не мне.
Если этот набор скриптов требуется для работы ПО, которое накатано на ОС, то то же самое должно быть прописано в документации к ПО и так же должна осуществляться поддержка этого решения на 1,2,3 ЛП но уже со стороны разработчика ПО.
Я, как ГИП и архитектор, считаю, что проблема именно в ОС и ебу именно Астру, а не вендора ПО. Так как до этого на убунте в тестах на стендах у них всё работало, а теперь - нет.
> > > Да я то сделал, работает. Просто так нельзя делать, особенно на объектах КИ. > > Отлично! А теперь зашли в Астру свои автоподнимальные скрипты и прямым текстом обрисуй им ситуацию: если они хотят продавать свой линух, пускай включают их в дистрибутив. Не хотят — продать не смогут. И не тушуйся, действуй через верх.
Заслано. Обрисовано. Работа идёт. Обещают, но сроков не дают. А у меня сроки на проект конкретные.
Я просто констатирую тут факт, что форкнутая Астра работает хуже, чем другие развивающиеся опенсорсные ветки. Начался то весь разговор с форков и их разрабов.
> > Я, как ГИП и архитектор, считаю, что проблема именно в ОС и ебу именно Астру, а не вендора ПО. Так как до этого на убунте в тестах на стендах у них всё работало, а теперь - нет. > > А как у заказчика на его площадке с наводками на кабели? Что с заземлением? Почему бы не накатить на стенд астру вместо убунты, чтобы убедиться в том, что глюки появляются именно на астре? И, кстати, разве астру форкнули не из дебиана? А то, вроде бы, не все патчи к убунтовским ядрам доходят до дебиановских.
Стенд делался год назад. Заказчику хотел убунту, он её получил. У него вообще вся инфра на ней, и это не я тут руку приложил.
А теперь вот так. Всё меняется, как обычно.
> > > Я просто констатирую тут факт, что форкнутая Астра работает хуже, чем другие развивающиеся опенсорсные ветки. > > В астру вкорячили слишком много безопасности, она может работать «хуже» именно из-за этого. Может, там какой-нибудь модуль хочет что-то сделать в случае отвала оборудования, но вот криво настроенная принудительная система контроля доступа ему этого сделать не даёт.
Да нет. Вся причина в том, что Астра не умеет нормально с устройствами работать, если у пользователя права чуть ли не гостя.
По какой-то неведомой причине они даже и не предполагали, что пользователю могут быть зарезаны все без исключения права, кроме запуска браузера и evolution. И что один раз настроенное под пользователем устройство может отвалиться и для настройки потребуются танцы с бубном.
Вот мой ноутбук при загрузке с виндой всегда помнит параметры монитора у меня на даче, хоть я там и полгода не бываю, когда я его подключаю на даче к монитору, он выставляет частоту и разрешение того монитора без проблем.
А при загрузке с Astra CE 2.12 я каждый раз при подключении монитора выставляю заново частоту и разрешение, иначе пиздец. Ну что это?
> > > Начался то весь разговор с форков и их разрабов. > > Разговор начался с того, что если в основной ветке какого-то опенсорсного проекта началось нездоровое брожение, никто не в силах помешать форкнуть проект и развивать его самостоятельно. Само собой, успешность форка будет целиком и полностью зависеть только от того, чья команда разработчиков окажется более грамотной и подкованной.
В итоге ставлю Астре тройку пока. Может даже с минусом за то, что у них ядро в SE младше ядра в CE аж на 4 года. (так мне это сказал админ мой, не знаю, правда ли, проверять лезть лень).
> Странно, насколько мне известно, в линухе от уровня доступа консольного пользователя в работе с устройствами ничего не зависит.
С пользовательскими устройствами зависит как то. И это один из основных вопросов к ТП: почему так? На который они отвечают: потому, что гладиолус.
> > А при загрузке с Astra CE 2.12 я каждый раз при подключении монитора выставляю заново частоту и разрешение, иначе пиздец. Ну что это? > > 1. Отсутствие/нарушение работоспособности DDC.
Как оно "из коробки" сразу нарушилось? Такое только им удалось.
> 2. Отсутствие прав доступа на запись в файл, в котором сохраняются настройки монитора.
В логах всё есть, но я уже полгода эмулирую "обычного пользователя" и как бы не должен знать, куда посмотреть и как это исправить. ТП предложило откатить версию пакета на пониже, я этого не стал делать.
Ну и возможность обновить с SE 1.5 на 1.6 и с 1.6 на 1.7 только полной переустановкой ОС - это тоже немного напрягает. А что будет, когда у меня их будет не 50, а 5000?
> > > Может даже с минусом за то, что у них ядро в SE младше ядра в CE аж на 4 года. > > Да, в SE 1.7 ведро версии 5.4, а в последнем, прошлогоднем релизе CE 2.12 ведро проапгрейдили до 5.10. Но не думаю, что это так уж критично.
У безопасников от этого когнитивные расстройства. У них везде в НМД написано, что только последние версии ядра и пакетов, а тут им говорят использовать систему со старым ядром и они страдают от этого.
> > С пользовательскими устройствами зависит как то. > > Не должно от слова «совсем». udev работает совершенно независимо от того, залогинен кто-нибудь в систему, или нет.
А вот поди ж ты. Колбасня с USB-устройствами (сканеры, детекторы, этикеточные принтеры), колбасня со звуком через гарнитуру в жабере и всяких других клиентах sip-телефонии.
> > > И это один из основных вопросов к ТП: почему так? > > Скорее всего, потому что консольный пользователь не включён в группу доступа к конкретному устроийству, которую файлу этого устройства выдал udev. Ну а тут нет ножек — нет мультиков.
Если завтра на этот АРМ сядет другой пользователь?
> > > Как оно "из коробки" сразу нарушилось? Такое только им удалось. > > Regression. Взяли, и сломали что-то, причём не в астре, а прямо в самом дебиане, откуда был взят соответствующий пакет.
В общем недоработочка.
> > В логах всё есть, но я уже полгода эмулирую "обычного пользователя" и как бы не должен знать, куда посмотреть и как это исправить. > > Нуу, компьютеры без сисадминов не работают. Кто думает иначе, тот уже сам мутировал в сисадмина. Остальные хоть раз в жизни прибегали к услугам сисадминов хотя бы в виде консультации.
После расстановки линуксов моим клиентам этой весной (не астры - это отдельные проекты, а убунты и рэдосы) нагрузка на моих удаленных и выездных админов выросла раза в 2. Прогнозирую, если я еще 2 клиентов переведу на линуховые десктопы, народ ни за какие деньги не захочет работать в моем аутсорсовом подразделении, первая линия начнет увольняться. Ну или штат расширять, что влечет за собой рост стоимости обслуживания для конечных клиентов. Что влечет за собой отвал клиентов и снижение выручки. Замкнутый круг, в котором на рынке еще и большой недостаток линукс-админов и людей с компетенциями надо держать и не пущщать любыми силами.
> > > У безопасников от этого когнитивные расстройства. У них везде в НМД написано, что только последние версии ядра и пакетов, а тут им говорят использовать систему со старым ядром и они страдают от этого. > > Странные люди. Объясни им, что «новое» относится не линуху вообще, а к конкретному дистрибутиву.
Они очень странные, они на своей волне всегда. К тому же они безопасники заказчика.
Были у меня хорошие знакомые вменяемые безопасники, но они собрались в кучу, организовали свою контору по пен-тестам и эмигрировали отседова еще два года назад.
> А на чем же у тебя клиенты? На 10-ке? И тоже ФСТЭК?
Я про мое подразделение, занимающееся обслуживанием юр.лиц. Там мелкие и средние предприниматели, они все, естественно, на своём зоопарке и им соответствовать никаким надзорам и прочему не нужно, но идя на поводу общей истерики некоторые хозяева очень хотят внедрить себе линукс.
А тут я обсуждал проектную деятельность. Когда проект начинался (полтора года назад) ни о каких срочных импортозамещениях не думали и проектировали системы с учетом пожеланий вендоров ПО, известные события произошли когда проект уже перешел в стадию закупки и реализации. В результате на лету начали переписывать ТЗ, появились новые вводные в виде демонстраций самизнаетекому и прочие инициативы, превращающие проект не в прогулку по парку, а в блудняк с кучей капризных блядей. Тут же повышение уровня систем до КИ, набежали ФСТЭКи, хуеки и еще кодла проверяющих. На этапе развёртывания минимального рабочего экземпляра оказалось, что астры на десктопах в большей степени и на технологических ПК в меньшей ну просто не способны работать стабильно. Сейчас подходит срок решения по переходу на полноценное тестирование, можно было бы перейти, если бы ТП Астры не отмораживались, а помогали решать возникшие трудности.
В итоге проект выглядит как инвалид на 10 костылях, который от любого чиха падает рожей в битое стекло, что жутко бесит меня и заказчика, а безопасникам, Астре и проверяющим похоже весело и они ждут не дождутся, когда инвилид сдохнет и хозяин всей этой ярмарки маразма не облажается перед самизнаетекем.
> Его тоже надо включать в соответствующие группы для доступа к устройствам. Такая в линухе (и в юниксах вообще) модель разграничения доступа.
Я в курсе про модель прав.
Мне не нравится, что оно не работает как на стенде на убунтЕ и как на это реагирует ТП.
> > > В общем недоработочка. > > Причём, не астровская.
Вполне допускаю.
> А куда они денутся с подводной лодки, если винду они легально купить не смогут, поддержку по ней они не смогут получить даже нелегально, в результате чего никаких лицензий на их свою основную деятельность им органы не дадут?
Там 70% и так на пиратках сидят. Только теперь они боятся, что обновы какие-нибудь выйдут и всё превратится в кирпич. Но платить больше, да еще в нынешних условиях, готовы далеко-далеко не все.
> > Они очень странные, они на своей волне всегда. К тому же они безопасники заказчика. > > И? Вот есть перечень доступных ядер для SE 1.7. Вот последнее ведро 5.4.ххх, выкаченное вендором, и оно уже установлено. Всё в полном соответствии с требованиями. А то, что там на kernel.org лежит текущая версия, скажем, версии 6 с чем-то там, вас, безопасников, волновать не должно, оно всё равно в купленную вами SE 1.7 не встанет, даже если вы попытаетесь это ядро собрать и установить из исходников. Как-то так.
Ну вот на это и надежда. Только, опять же, надо получить от Астры официальное письмецо с описанием этого.
На словах они не поверят.
ALD зарелизился только недавно. Когда проект писался только FreeIPA была.
Начать внедрять сейчас ALD, это еще плюс 3-4 месяца на реализацию, да еще и согласование бюджета.
> Зато потом обещают разворачивание станций по сети с нуля и прочие плюшки. Плюс виндовый клиент. Имхо, лучше сразу начать согласование, пока клиентов меньше сотни. > Наш админ сказал - надо брать обязательно, хотя план внедрения на 200-300 астралинуксов всего.
Учитывая кривокосость АстраЛинукса можно я подожду еще пару лет. Этот ALD только-только появился, ну его нахер, быть их бета-тестерами не хочется.
Сейчас, сейчас
Ну, в первую очередь, из всех опенсорс проектов они выкинут русских разрабов.
Далее будут проверять остальных на предмет их цвета кожи и сексуальных предпочтений. И довольны останутся, видимо, когда опенсорсы будут клепать негры и педерасты. Чем полностью этот самый опенсорс убъют к хуям.