Птица цвета Submarine

Включенный брандмауэр и две необременительные программы четвертый месяц позволяют мне не только спасаться, попав на плотике Eee PC в сетевые Елевсинские топи, но и уверенно отправляться в плавание на их розыски. Желтым лебедем.

Для меня, как и для подавляющего большинства юзеров средней руки, информационная безопасность никогда не становилась проблемой. Наши данные слишком легкомысленны и слишком сиюминутны, чтобы ими дорожить. Обычно мы с легкостью отдаем предпочтение методу восстания из мертвых путем переустановки Windows, сторонясь малопривлекательной ежедневной рутины сопротивления системной энтропии.

Этим летом мне довелось провести часть отпуска довольно далеко за городом. В какой-то из сеансов обхода привычных сетевых мест посредством GPRS и малыша ASUS Eee PC я некстати словил очередного "зайчика". Антивирусные программы у меня сроду не водились, а предусмотрительно заготовленная восстановительная флэшка с системой осталась в городе. Поэтому следующие несколько дней я пролежал на сеновале, меланхолично разглядывая подвешенные к потолку и покачиваемые прохладным сквозняком березовые веники.

По возвращению домой, с уже подключенным к кабелю Eee PC были проведены необходимые действия, и он было приступил к своим обязанностям совершенно бесшумного торрент-насоса и однослотового Bluetouth/WiFi-роутера для моего покета. Но. Пользуясь тем, что никто из домашних всерьез на блокнотик не претендует, я, случается, на нем "немножко шью". Чаще поздно вечером, когда и на один из XXX-сайтов заглянуть не грех. Стоит ли говорить, что встреча со следующим "зайчиком" была бы делом недолгого времени, и породила бы очередной сеанс простоя, в течение которого только и оставалось, что предаваться невеселым размышлениям?

Да и как иначе? Допустим, установка системы с флешки проходит так же налажено споро, как на десктопе с CD. Но возвращение в строй прикладных программ и настроек к ним требует и времени и, на машинке такого класса, известной сноровки. Что до переустановки, скажем, клиента системы электронных платежей, то тут и вовсе рекомендую предварительное погружение в состояние активного гипнотического сна. Проще "забыть, наплевать, и растереть".

Собственно, с тризны по сиротскому червонцу в кошельке WR и началось эта история. Ну не могла хозяйственная жаба смириться вот так, всякий раз "за здорово живешь", с разбазариванием активов. Она бы, впрочем, и дальше себе "не могла", да вот скучающая душа мастерового углядела в ситуации практическую тему для заморочек.

Поиск решения начался традиционно экстенсивно: с подбора антивирусной программы. Так как четырехгигабайтную SDHC-карту я снял с ноутбука почти сразу (с покета, из положения лежа, слушается, смотрится, читается и лучше и дольше), на свободном, после зачистки от останков апдейта и сокращения своп-файла, гигабайте и со штатными 650 мегагерцами, установкой комплексных систем защиты и антивирусных мониторов не забалуешь. Я просто поднял из архива шикарного уровня и комплектности коллекционный гадюшник в виде имитации патча к редкой программе, и остановился на первом же бесплатном сканере, восстановившем режим системной санитарии. Им оказался затравочный Dr.Web. Думаю, любой другой сканер справился бы не хуже. На этом проблема залетных флэшек и троянских дистрибутивов оптимистично посчиталась мной исчерпанной.

Следующий шаг тоже не был оригинальным, но в результате не оставившем и следа от первоначального положительного тренда. Брандмауэр. Признаюсь, до недавнего времени я без затей селил в свои и чужие системы дедушку AtGuard'а. Во-первых, он железно держит все, что попадает ему в руки, а во-вторых, в силу возраста, глуховат к современным разновидностям протоколов передачи данных, что делает его напрочь непроходимым собеседником, как для внешних хитроумных сканеров портов, так и никаким партнером для невинного скачивания девятигигабайтного фильма. Увы, последняя фича стала неактуальной в связи с почти повсеместным исчезновением дайлапа. Но ничего столь же бескомпромиссного, минималистичного, но юного, среди разноцветного, хватающего за карманы табора брандмауэров мне найти не удалось. Так скоро вернуться к занятиям "некуда жить" и "думать себе в голову" я не ожидал, не рассчитывал, и штатный брандмауэр Windows был запущен чисто в минутной прострации.

Ну, или почти минутной. Ибо птица удачи, да что там! - птеродактиль откровения давным-давно барражировал в воздухе и разве что только не гадил на голову. До меня он долетел в виде "кем-то" из домочадцев установленного на входе в систему желтого утенка (уверен - этот персонаж в дефолтном наборе - в прикол пингвину). Просебяшный матюг в "чей-то" адрес завис на полуслове... Случилось.

С года три назад я получил по почте, бесплатно, комплект "Убунту" из двух пластинок. Из любопытства добросовестно установил и три недели настраивал vpn-соединение, руководствуясь страничкой техподдержки моего провайдера, больше похожей на партизанскую листовку. Вопреки крепнувшим сомнениям затея разрешилась благополучно. Но заделаться карбонарием мне передумалось. Непростой треугольник интимных отношений root'а, sudo и user'а поставил тогда в тупик. К тому времени я знал о существовании разделения прав пользователей и в Windows, но посчитал эту фичу на обеих платформах исключительной прерогативой жадных на офисные игрушки сисадминов и, в целом, недоразумением. Склеить концепцию разделения прав и "информационную безопасность" собственного компьютера в одно целое мне, ветерану, и в где-то инвалиду тыла от ИТ, привелось только находясь под впечатлением наблюдений за многообразием форм жизни в деревенском сарае.

Дальше началось то, что подпадает под классическое определение "не догнал, зато согрелся". Настройка прав user'а в Windows. Сначала на иписьной XP Home Edition, потом на отбитом для большей динамики домашнем десктопе под XP Pro. Скажу вам, наверное, нет таких мест, где бы "моя не пропадала", но так отчаянно, самозабвенно, и по возрастающей, я еще никогда и нигде не тупил. Чего стоило одно открытие обязательности наличия на системном разделе жесткого диска файловой системы NTFS. Оказалось, без нее "машинка" не едет, хотя пар испускает очень правдоподобно. Чтение переводных книг, форумных топиков и справочника системы оставляло стойкое ощущение терминологического бреда. К сожалению, я поздно понял, что для чтения надо бы было раздобыть всего лишь англоязычный апокриф из первых рук. Порыв иссяк. Чтобы передать степень драматизма процесса, достаточно сказать, что начинал я своего user'а с картинки "шахматная доска", а закончил добровольным возвращением к лейбаку с субтильным утенком и отказом от каких-либо дополнительных поднастроек.

Как выяснилось, создание и существование в системе пользователя-администратора (root) и пользователя, пораженного в правах (user), не содержит для владельца компьютера ничего дискриминационного и, тем более, унизительного. На самом деле ограничиваются только запущенные user'ом программы и, самое главное, программы запущенные не им. Происходит это на глубинном, скорее всего, пока еще недоступном сторонним разработчикам антивирусов и брандмауэров уровне, дополнительных ресурсов компьютера не требует и входит в стоимость системы.

Сама процедура очень проста и известна всем, кто хоть однажды заглядывал в панель управления в поиске средств установки пароля на доступ к компьютеру. В учетных записях создается еще один пользователь с ограниченным типом записи, а пользователь, бывший единственным, обзаводится паролем. Чтобы менее болезненно пройти этап натурализации в качестве user'а, можно еще до перевода нового пользователя в лишенцы войти в систему и настроить по вкусу рабочий стол, клаву, режимы питания, исключения брандмауэра и сетевые подключения. Повторюсь, на самом деле настройка прав user'а располагает куда большим инструментарием и средствами, нежели недоступность папок root'а и невозможность что-либо сохранять и удалять в папках Windows и Program Files. Но именно, только и всего лишь эти несколько ограничений делают систему фактически неуязвимой.

Если вы еще не срыли Vista с ее UAC (в отличие от нас, недалеких пижонов, проманкировавших в свое время Windows 3.0), то в режиме user'а вы "ваще в броне" и следующая программа класса "система предотвращения вторжений" могла бы вам совсем не понадобиться. Если бы в диалоговых окнах вообще, и у UAC в частности, кнопки "да" и "нет" не были расположены так близко друг к другу, что, конечно же, никак не дает пользователю достаточно времени на обдумывание предупреждающих сообщений. В данном классе ПО, как и в случае с антивирусами и брандмауэрами, царят перепроизводство и балаган. Приемлемо компромиссной для себя я посчитал полубесплатную программу с бесхитростным интерфейсом WinPatrol. Даже незарегистрированный вариант программы позволяет без напряга отслеживать подозрительные изменения в системе и вовремя проходится по владениям антивирусным сканером. Полная версия "патруля" еще функциональнее: и за надстройками к IE присмотрит и объявившуюся вдруг, из ниоткуда, службу Windows сдаст.

Вот и все, - "джунгли зовут"! Осталось только отчитаться об издержках жизни в роли user'а. Куда ж без них...

Первое, что неизбежно вызывает внутренний протест и раздражение, это затрудненность размахивания торчащим из зада флажком приверженности к неповторимой индивидуальной игре на "пианине". Дело понятное и простительное, но сделать ничего нельзя - хоругви самостийности придется приспустить. Реальные усилия понадобится на то, чтобы принять, а потом и различать на глаз плохие, хорошие, блестящие программы, неспособные существовать в ограниченном режиме (это вопрос не качества, а школы или намерений авторов). Для запуска некоторых из них стоит призвать ВрИО root'а - sudo (пункт контекстного меню "Запуск от имени..."), для других лучше поискать альтернативу или винт с левой резьбой. Привычный мне QIP оказался из разряда таковых. Я честно искал ему замену, что-то находил, что-то при этом терял. Наконец, вышел на кустарную portable-сборку, и все наладилось. Теперь с помощью программы Vmware пеку из строптивого прикладного софта портабли собственноручно. Блины размещаю в папку, созданную user'ом в корневом разделе диска, а папку Program Files резервирую под установки системообразующего ПО на правах root'а. Вот теперь все.

Несмотря на обескураживающую примитивность подхода к администрированию в Windows XP по умолчанию, запускаемый им механизм удивительно эффективен. Включенный брандмауэр и две необременительные программы четвертый месяц позволяют мне не только спасаться, попав на плотике Eee PC в сетевые Елевсинские топи, но и уверенно отправляться в плавание на их розыски.

Желтым лебедем.