Внедрение терминальных рабочих станций (в классическом варианте или новомодном VDI) несет в себе много преимуществ для большинства компаний. Однако, большие первоначальные затраты на покупку оборудования и программного обеспечения/лицензий могут отпугнуть потенциальных потребителей данного решения. Не последнюю роль в общей стоимости играет цена самих терминальных клиентов - устройств с которых осуществляется удаленный доступ к терминальному серверу.
Понятно, что не всем по карману брендовые тонкие клиенты, как например HP T5735 , цена на которые близка к стоимости среднего офисного компьютера; вариант же с перенастройкой существующих рабочих станций пользователей не всегда применим, поскольку требует больших усилий по отключению всех ненужных программ и ограничению функционала, поддержке системы, установке обновлений для ОС и антивирусной защиты. Кроме того, в случае использования Windows, вы не избавляетесь от необходимости покупки лицензий на ОС. Печально, однако недорогой и практичный выход из данной ситуации есть.
Уже давно и прочно закрепилась во всех современных сетевых картах возможность загрузки по сети (PXE - Preboot eXecution Environment). Данная технология позволяет избавиться от необходимости хранить на локальных носителях какую бы то ни было копию загружаемой ОС, а использовать только лишь сетевую копию, загружаемую с сервера каждый раз при старте компьютера. Функционал PXE не ограничивается только лишь клиентскими компьютерами, при желании вы и серверы можете таким образом загружать (да хоть VMware ESXi). И, пожалуй, самым популярным на сегодняшний день клиентом, поддерживающим загрузку по сети, является Thinstation .
Маленький, но крайне функциональный тонкий клиент поддерживает работу с большим количеством протоколов удаленного доступа: Telnet, SSH, Microsoft RDP, Citrix ICA, X Windows и, конечно же, VMware View. Большим преимуществом Thinstation является то, что он может быть легко сконфигурирован под ваши конкретные нужды; при желании вы сами можете собрать загрузочный образ, содержащий необходимые драйверы, программы и файлы настроек.
В этой статье я приведу пример подготовки подобного образа и настройки PXE сервера для загрузки тонких клиентов по сети, использующихся для подключения к VMware View Manager.
Создание собственного образа
Прежде всего нам потребуется загрузочный образ Thinstation. Конечно, вы можете собрать его вручную, но гораздо проще воспользоваться одним из online конфигураторов TS-O-Matic. В качестве примера я использую сервер Denmark .
Сам конфигуратор состоит из нескольких разделов:
Hardware
- позволяет указать драйверы, которые требуется включить в образ.
Applications
- задает приложения (терминальные клиенты, оконные менеджеры, дополнительные программы). В данном разделе обязательно выберите компонент vmview
в Additional contributed packages
.
Parameters
- содержит различные настройки (пароли для учетных записей, разрешение экрана и т.п.)
Splash
и Background
- фоновое изображение в момент загрузки и при работе клиента.
Load Files
- загрузка файла с требуемой конфигурацией образа, если не хотите все указывать вручную.
После завершения настроек нажмите кнопку Build и дождитесь, пока система создаст нужный образ, а затем нажмите Write image .
На странице загрузки, перейдите в раздел Build и скачайте thinstation.conf.example - файл настроек тонкого клиента. Затем перейдите в раздел Etherboot и скачайте файлы thinstation.nbi и thinstation.nbi.zpxe .
Теперь самое время отредактировать файл настроек. Для этого переименуйте его, сначала, в thinstation.conf.network , а затем откройте в любом текстовом редакторе.
Найдите раздел, начинающийся с комментария "# VMWare View options ". Раскоментируйте нужные строчки с настройками подключения, удалив начальный символ "# ", а также заменив "# " в каждой строчке на цифру - порядковый номер, начиная с 0, под которым данный пункт будет присутствовать в меню тонкого клиента.
В итоге у вас должно получиться что-то похожее на:
SESSION_#_TITLE
- задает отображаемое имя в меню тонкого клиента
SESSION_#_TYPE
- тип доступа
SESSION_#_AUTOSTART
- включение/отключение автоматического выбора данного варианта при загрузке клиента
SESSION_#_VMVIEW_SERVERURL
- адрес сервера VMware View.
SESSION_#_VMVIEW_FULLSCREEN
- работа в полноэкранном режиме.
Если у вас есть желание - можете еще покопаться в настройках, благо, много понятно с первого взгляда.
Настройка сервера
После подготовки загрузочного образа, вам понадобится настроить на сервере DHCP и TFTP. В качестве сервера я использовал Windows Server 2003.
Для загрузки PXE клиента используется протокол TFTP (работающий на порту UDP 69). В Windows Server 2003 сервер TFTP входит в состав Remote Installation Services, либо, если у вас установлен SP2 - Windows Deployment Services. Так, что если вы не хотите заморачиваться с установкой, приведенной ниже, просто установите один из этих компонентов из мастера Установки/Удаления компонентов Windows, которые заодно установят и TFTPD, но не выполняйте первоначальную конфигурацию служб, а сразу переходите к редактированию реестра и добавлению корневой папки.
Для остальных же небольшая инструкция по установке TFTPD вручную.
Для начала, вам понадобится установить Windows Server 2003 Resource Kit. Загрузить его можно отсюда .
После этого, вставьте диск с дистрибутивом Windows Server 2003 в CD привод, откройте командную консоль и выполните:
expand X:\i386\tftpd.ex_ %systemroot%\tftpd.exe
Предполагается, что X - буква вашего CD привода.
После установки TFTPD вам потребуется зарегистрировать его в качестве службы Windows. Выполните следующую команду:
instsrv tftpd %systemroot%\tftpd.exe -a "NT AUTHORITY\NetworkService"
Ключ -a позволяет указать учетную запись из-под которой будет запускаться служба. В целях безопасности не рекомендуется запускать TFTPD из-под SYSTEM.
Теперь создайте папку, например: C:\TFTPRoot, которая будет является корневой для вашего сервера.
Запустите редактор реестра regedit и откройте ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\tftpd . Внутри tftpd создайте новый раздел Parameters . Внутри раздела создайте параметр Directory с типом REG_SZ, в качестве значения укажите путь к созданной корневой директории TFTP сервера.
Теперь запустите службу, запустив оснастку службы и найдя там tftpd, или набрав в консоли:
net start tftpd
Скопируйте в корневую папку три ранее загруженных файла: thinstation.nbi , thinstation.nbi.zpxe и thinstation.conf.network .
При загрузке по сети, PXE клиент посылает широковещательный запрос в поисках DHCP сервера, который мог бы сообщить клиенту необходимые сетевые настройки (IP-адрес, маску подсети, Default Gateway, адреса DNS серверов и т.п.). Дополнительно, DHCP сервер может передать настройки с DHCP Option 60, 66 и 67, сообщающие, что клиент должен скачать с определенного сервера загрузочный образ и загрузиться с него. Если такие настройки не передаются, клиент пытается послать еще один широковещательный запрос на порт UDP 4011 с целью обнаружения PXE сервера (так, например, работает WDS сервер Microsoft). В нашем случае мы будем использовать вышеперечисленные опции.
В качестве DHCP сервера я использую стандартный сервер, входящий в Windows Server 2003. Предположу, что вы уже установили нужную службу, создали область (scope), определили для нее диапазон адресов и исключений. Для дальнешей настройки откройте оснастку управления DHCP, щелкните правой кнопкой по имени сервера и выберите Set Predefined Options
.
Сборка тонкого клиента, ориетнированного на определенные клиенты, сводится к следующим этапам:
- Скачиваем полный репозиторий ThinStation
- Собираем "толстый" (полный) образ
- Загружаем тонкий клиент на толстом образе
- Получаем список необходимых для этого клиента модулей ядра и пакетов
- Исправляем конфиги сборки, оставив только самое необходимое (в том числе полученное на предыдущем этапе)
- Собираем "тонкий" (облегченный) образ
Подготовка кухни
Сразу скажу, что есть и другой путь сборки - скачивание подготовленного.iso образа. Но мне это кажется не таким удобным, поэтому я буду описывать "правильный" вариант.
Скачивание репозитория
Вообще, для работы с ThinStation рекомендуется иметь базовые знания работы с Git. Просто потому, что ваши изменения нужно будет куда-то сохранять, а заблудиться в иерархии файлов, когда кухня уже распакована (не зная Git) - очень легко. Скачивание сводится к выполнению одной команды.
Всё остальное сейчас не важно - настраивать тонко будем потом.
Отдельно остановлюсь на том, зачем нужно поменять систему сжатия со squashfs на gzip . Скрипт hwlister.sh , о котором пойдет речь ниже, использует очень интересную методику поиска загруженного firmware - он просто смотрит время доступа к файлам в /lib/firmware и на основе этого делает выводы, какие файлы были загружены. Но squashfs монтируется с параметром relatime , что приводит к тому, что время доступа к файлам не меняется и список firmware (чёрт, не знаю, как перевести это слово, не потеряв смысл) всегда пуст. Изменение режима сжатия на gzip - самый простой и быстрый способ вернуть скрипт к жизни не залезая в кишки. Я написал об этом разработчикам, но ответа пока не было.
Сборка
Сборка любого образа выполняется в chroot - так что не забываем в него зайти. Для сборки толстого образа существует также специальный параметр --allmodules , который включает в образ все доступные модули ядра, что также пригодится на неизвестном железе.
После того, как процесс завершится, в директории boot-images можно будет найти варианты образа - iso, pxe и syslinux. Можно использовать любой и загружать клиент любым удобным способом.
Сбор информации
Когда подопытное железо успешно загрузилось, необходимо зайти в консоль любым удобным способом и написать:
Это обычный bash-скрипт, после выполнения которого вы обнаружите несколько файлов:
- /firmware.list - список необходимых firmware
- /module.list - список необходимых модулей ядра
- /package.list - список необходимых пакетов, учитывая архитектуру будет содержать только xorg7-* пакеты
- /vbe_modes.list - если используется uvesafb , этот файл будет содержать список поддерживаемых режимов
Некоторые файлы могут отсутствовать, если ничего подходящего не найдено
Этот же скрипт попытается загрузить файлы на ваш tftp-сервер, указанный в конфиге, однако, надеюсь, у вас запись на tftp, как и у меня, запрещена. Поэтому забираем файлы с тестируемой системы любым способом и кладем в директорию ts/build/machine/MACHINENAME , где MACHINENAME - кодовое имя, которое вы дадите своему железу.
Тонкий образ
Сборка тонкого образа - это всегда балансирование на границе между функциональностью и объемом. Меньше объем - быстрее загрузка бездисковых рабочих станций по сети, быстрее старт системы, меньше оперативной памяти требуется клиентам. Лично у меня стояла задача сделать образ минимального объёма всего под одну задачу - терминальный RDP-клиент. Об этом я и буду рассказывать.
Итак, у нас есть офис, набор тонких клиентов, подключенных проводами, получающих адрес по DHCP, загружающихся по PXE и стартующих одно единственное приложение - RDP-клиент.
Конфигурация сборки - build.conf
Как я уже писал выше, первый этап в конфигурации сборки - это правка файла build.conf . Он определяет какие пакеты будут включены в образ и некоторые другие параметры сборщика.
- Все строки начинающиеся с machine - комментируем. Должно остаться только то, что используется у вас. Нужно отметить, что в конфигурации можно держать активными сразу несколько профилей - тогда получится образ, запускающийся на любом из них (в теории, если нет конфликтов).
- Скорее всего вам не понадобятся файловые системы кроме vfat и ntfs - поэтому в блоке файловых систем можно смело комментировать строки isofs , udf , ext* .
- Так как мы создали профиль для своего железа, содержащий необходимые пакеты xorg7 , то все строки содержащие package xorg7-* - можно смело комментировать.
- Смело комментируем все пакеты локалей package locale-* кроме, конечно ru_RU , и, по желанию, en_US - нужна она или нет вопрос спорный.
- Если вам нужен удаленный доступ к рабочим станциям - включите package sshd
- Если вам нужны смарт-карты и USB-токены - включите package ccidreader
- Если вы собираетесь вырезать оконный менеджер, рабочий стол и показывать пользователю только одно приложение (например FreeRDP) - включите пакет package automount для автоматического монтирования любых USB-устройств. При этом package udisks можно смело выключить.
- Если вам не нужен интерфейс для Wi-Fi соединений и другие рюшечки - закомментируйте package networkmanager и включите package autonet . Но будьте готовы к тому, что придется покопаться в его внутренностях - это скриптовая обвязка для системных утилит и в некоторых сетях может работать не совсем так, как ожидается.
- Чтобы максимально облегчить образ, включаем package openbox и выключаем package gtk-* , package icons-* , package fonts-* .
Что касается пакетов в разделе Applications - здесь выбор полностью за вами. Всё описанное выше применимо к тонким клиентам, где пользователь не будет видеть своего рабочего стола (RDP, VNC, etc) и для использования, например, локального браузера - многое из перечисленного выше придется оставить.
Остается не забыть вернуть param initrdcmd "squashfs" и убрать 3 строки в самом конце: package alltimezone , param allres true и param allfirmware true - в тонком образе это нам не пригодится.
Runtime-конфигурация - thinstation.conf.buildtime
Файл thinstation.conf.buildtime является по своей сути bash-скриптом, предоставляющим переменные окружения для всех скриптов запуска. Перед тем, как начать его редактировать, стоит заглянуть в директорию ts/build/conf (github) - здесь собраны кусочки конфигураций для каждого пакета, включающие в себя пояснения и все доступные переменные.
Давать какие-то универсальные советы - сложно. Настройка будет зависеть от вашего окружения и используемых пакетов. Приведу лишь пример для RDP-сессии.
# У пользователя не будет локального UI, так что локально выкручиваем громкость на максимум AUDIO_LEVEL = 100 MIC_LEVEL = 100 # Для бездисковых станций резонно собирать логи в одном месте SYSLOG_SERVER = syslog.example.com # Локаль и таймзона LOCALE = ru_RU.UTF8 TIME_ZONE = Europe/Moscow # Кнопки "Безопасного извлечения устройства" также не будет - поэтому включаем обязательно USB_STORAGE_SYNC = ON DISK_STORAGE_SYNC = ON # Монтировать устройства нужно в директорию, которую мы потом пробросим в удаленную сессию USB_MOUNT_DIR = /mnt/usb # Для поддержки кириллицы на съемных накопителях, я для себя вывел вот такой набор параметров. Он точно подходит для FAT32/NTFS разделов и FreeRDP USB_MOUNT_OPTIONS = DISK_MOUNT_OPTIONS = "rw,nosuid,nodev,relatime,fmask=0022,dmask=0022,codepage=437,iocharset=ascii,shortname=mixed,showexec,utf8,flush,errors=remount-ro" # Если выключили NetworkManager и включили autonet - обязательно настройте сеть NET_USE_DHCP = ON # Нулевая сессия должна быть оконным менеджером # Можно попробовать обойтись без него и даже вообще без Иксов # но это тема для отдельной статьи SESSION_0_TITLE = Desktop SESSION_0_TYPE = openbox SESSION_0_AUTOSTART = ON # Главная рабочая сессия # Список параметров FreeRDP - пожалуй также повод для отдельной статьи SESSION_1_TITLE = RemoteDesktop SESSION_1_TYPE = freerdp SESSION_1_AUTOSTART = ON SESSION_1_FREERDP_SERVER = rdp.example.com SESSION_1_FREERDP_OPTIONS = "+decorations +fonts +aero ..."
Сборка тонкого образа
Теперь, когда конфигурация готова, остается лишь собрать легковесный образ. Всё те же команды, что и для полного образа, за исключением одного параметра:
И это всё. В зависимости от того, что вы указали в build.conf , вы получите готовые образы для загрузки по PXE, с CD-ROM, жесткого диска или флешки. При описанной конфигурации можно добиться образа размером ~90 MB и времени загрузки по PXE (от включения питания до рабочего стола) около 1 минуты. С локального диска и того быстрее.
Другие возможности
Нужно отметить, что всё, о чем я писал выше - советы по сборке универсального образа. Я добился того, чтобы с одного образа можно было загрузить любой ПК из присутствующих в зоопарке компании. Но может получиться так, что вам понадобится сделать несколько вариантов клиентов, с разными настройками или, например, разными адресами серверов. В таком случае обратите внимание, что ThinStation умеет как скачивать дополнительные конфигурационные файлы во время загрузки, так и докачивать дополнительные модули. Это очень хорошо описано в документации, и я на этом останавливаться не буду.
Полезные заметки
Очистка кухни
Периодически, особенно если вы активно экспериментируете с версиями пакетов, сборкой, пересборкой, перекомпилированием бинарников и т.д., рано или поздно вам придется начать очищать рабочую директорию от накопившегося мусора.
- Не забыть выйти из chroot
- Убедиться, что сохранили все свои изменения в Git
- Отмонтировать все системные ФС внутри кухни: umount -R thinstation/*
- Запустить скрипт очистки: sudo ./setup-chroot -a
- Удалить всё, что осталось: git clean -dx - это удалит все несохраненные файлы
Добавление своих пакетов
Если вы собираетесь привносить в проект что-то свое, нужно знать о том, что в терминологии ThinStation, а вернее в терминологии CRUX Linux, на котором базируется TS, существует два базовых понятия:
- package (далее "пакет") - некая абстракция, указывающая на то, что необходимо установить в будущий образ. Пакет может содержать кусок дерева файловой системы, отдельные файлы, или даже просто один конфигурационный файл, указывающий, например на зависимости.
- port (далее "порт") - подобие *.deb иди *.rpm пакета, с одним важным отличием: архив со скомпилированными файлами не содержит правил установки, а представляет из себя просто кусок дерева файловой системы. Любые правила (скрипт компиляции, скрипты пост-установки, и т.д.) лежат рядом с архивом и легко редактируются.
Когда вы хотите дополнить образ чем-то своим, первое, о чем стоит задуматься, а что именно вам нужно? Если вы хотите добавить в образ пару текстовых конфигов - просто создайте свой пакет, включите его build.conf - и этого будет более чем достаточно. Если же вам нужно собирать бинарные файлы - то вам понадобится сделать свой порт.
Создание своего порта
Prtdir /ts/ports/yourproject
Хранить в отдельной директории будет гораздо проще и безопаснее. После редактирования файла нужно не забыть перезайти в chroot. Стоит отметить, что в этом файле уже присутствуют директории с портами, разложенными по коллекциям. Сборщик будет искать порт по имени во всех директориях по-порядку, поэтому, если боитесь коллизии имен - располагайте вашу директорию выше остальных.
Теперь вам понадобится создать один единственный bash-скрипт, который будет отвечать за сборку порта: /ts/ports/yourproject/portname/Pkgfile . Образец можно посмотреть , а можно подсмотреть в любом другом порте. Базовый вариант выглядит так:
Name = mdetect-TS version = 0 .5.2.3 release = 1 source =(http://ftp.de.debian.org/debian/pool/main/m/$name /$name -$version .tar.bz2) build() { cd $name -$version ./configure --prefix= /usr \ --exec-prefix= / \ --sysconfdir= /etc \ --mandir= /usr/man \ --disable-extras make make DESTDIR = $PKG install }
Давайте разберемся, что он делает (на самом деле делает не он, он лишь определяет стадию сборки):
- Скачивает файлы, заданные в source (в данном случае - http://ftp.de.debian.org/debian/pool/main/m/mdetect-TS/mdetect-TS-0.5.2.3.tar.bz2), их может быть несколько
- Распаковывает все скачанные файлы в рабочую директорию
- Выполняет configure + make
- Делает make install из директории /ts/ports/yourproject/portname/work/src в /ts/ports/yourproject/portname/work/pkg
- Полученное содержимое директории pkg упаковывается в архив. Это и будет наш порт, готовый для установки.
Проверим наши предположения. Чтобы выполнить первую сборку, необходимо сделать следующее:
[ _chroot]/# cd ts/ports/yourproject/portname/ [ _chroot]/ts/ports/yourproject/portname# pkgmk -kw =======> Building "/ts/ports/yourproject/portname/portname#0.5.2.3-1.pkg.tar.xz".
Скачивая приложения из интернета можно легко заразить свое android-устройство вирусом . Даже устанавливая приложения с Google Play есть верояность подцепить вредоносное приложение.
Вы рискуете потерять не только всю информацию с вашего телефона, но и дать доступ злоумышленникам к вашим аккаунтам в социальных сетях, банковским картам и прочей важной информации. Для того, чтобы этого не произошло можно предпринять пару несложных действий описанных ниже.
Существуют простые советы как уберечь телефон от вирусов:
1. Не устанавливать приложения со сторонних сайтов, только из Google Play
Google Play не идеален, но верояность подцепить заразу в нем невелика, что нельзя сказать о "левых" источниках. На сайтах могут быть размещены вирусы, трояны и прочая зараза, как намеренно, так и по незнанию.
Обязательно читайте описания приложений. В них может содержаться информация, которая убедит Вас не устанавливать приложение. Есть вероятность, что помимо необходимого приложения вы скачаете абсолютно ненужные вам дополнения, которые будут засорять телефон и «жрать» оперативную память.
3. Настроить безопасность телефона
Для начала выясним какая версия Андроид у вас. Заходим в настройки ⇒ о телефоне ⇒ версия Android.
⇒
Для чего это необходимо? Это необходимо для того, чтобы понять нужно ли читать статью дальше или нет.
Иными словами, у более ранних версий дройда, а именно версии до 4.0 функция сканирования вредоносных программ по умолчанию активизирована и вы не сможете регулировать процесс самостоятельно.
Если же версия более поздняя, тогда читайте дальше.
- шаг № 2
Снова заходим в настройки и находим раздел безопасность. Однако, надо учитывать различия между версиями Андроид. Если у вас версия с 4.0. до 4.4 тогда в разделе безопасность найдите подраздел неизвестные источники и убираете галочку.
⇒
Но на смартфонах, версия Андроид которых является 4.4 появляется еще одна функция, которую можно включить или выключить при желании.
⇒
4. Не забывать обновлять ПО
Обновления выпускаются не просто так. В них содержатся важные "заплатки" безопасности.
⇒
К сожалению, вместе с ростом популярности Android смартфонов растет и количество вирусов, которые атакуют пользователей данных устройств. Все чаще можно услышать истории о заражении смартфонов вирусами, которые привели к взлому аккаунтов или потере денег.
Но, если проявлять некоторую осторожность, то риск заражения можно значительно снизить. В этой статье мы дадим несколько советов, как защитить Android смартфон от вирусов.
Совет № 1. Устанавливайте приложения только из магазина Google Play Market.
Операционная система Андроид позволяет устанавливать приложения из любых источников. Вы можете зайти на любой сайт, скачать там приложение в формате его на свой смартфон. Такой подход очень удобен и дружелюбен по отношению к пользователю, поскольку он не привязан к одному магазину приложений.
Но, с другой стороны установка приложений из сторонних сайтов несет большие риски. Такие приложения никем не проверяются и могут содержать все что угодно. Это могут быть вирусы, трояны или другое вредоносное программное обеспечение.
В особенности это относится к платным приложениям, которые бесплатно распространяются через сторонние сайты. Вместе со снятием защиты взломщики могли встроить в приложение собственный вредоносный код. Поэтому, если вы хотите защитить свой Андроид смартфон от вирусов, то в никоем случае не экономьте на приложениях и не скачивайте их из интернета, только из Play Market.
Также не редко во время просмотра веб-страниц с помощью Андроид смартфона можно увидеть всплывающие сообщения о том, что вам нужно обновить операционную систему, установить веб-браузер или запустить Flash-плеер. Также в некоторых случаях может появляться предложение установить какой-то APK-файл. Все это – попытки внедрить вирус на ваш Андроид смартфон.
В случае появления подобных неожиданных предложений что-то установить или обновить просто закройте вкладку с данным сайтом и больше на него не заходите.
Совет № 2. Устанавливайте только популярные приложения от известных разработчиков.
Если приложение доступно в магазине Play Market, то это еще не гарантирует, что оно полностью безопасно. Несмотря на то, что доступные в магазине приложения проверяются, всегда есть вероятность, что разработчикам вирусов удастся хорошо скрыть вредоносный код и такое приложения пройдет проверку.
Для того чтобы защитить свой Андроид смартфон от подобных скрытых вирусов нужно очень внимательно относиться к тому, что вы устанавливаете. Старайтесь устанавливать только популярные приложения, у которых есть хотя бы 100 тысяч установок. Если в популярном приложении вдруг появится вирус, то это обнаружат намного быстрее, а значит подобные приложения намного безопасней.
Совет № 3. Не получайте Root-права.
На Андроид смартфоне можно . Это обеспечивает полный доступ ко всей операционной системе и позволяет модифицировать ее на свое усмотрения. Такой доступ позволяет внедрять в систему новые функции, изменять ее внешний вид и удалять системные приложения.
Но, сточки зрения защиты от вирусов получение Root-прав создает ряд проблем. Например, вы лишаетесь возможности получать обновления операционной системы. Также Root-доступ открывает перед вирусами дополнительные дыры для внедрения в операционную систему Андроид.
Опасность получения Root-прав настолько высока, что многие банковские приложения отказываются работать если обнаруживают, что пользователь получил такой доступ.
Совет № 4. Используйте антивирус.
Антивирусы на Андроид смартфонах не так эффективны, как на ПК, но они все равно обеспечивают некоторый уровень защиты. Поэтому если вы хотите защитить Андроид смартфон от вирусов, то не стоит пренебрегать этой возможностью немного повысить уровень безопасности.
Чтобы установить антивирус зайдите в магазин приложений Play Market и воспользуйтесь поисковой строкой, которая находится вверху экрана. Введите поисковый запрос «Антивирус», изучите список доступных антивирусов и выберите любой из понравившихся.
Совет № 5. Обновляйте операционную систему.
– основный принцип безопасности для любой операционной системы и Андроид здесь не исключение. В обновлениях часто закрывают уязвимости, которые позволяют вирусам проникать в систему и воровать данные пользователя.
Поэтому, если для вашего смартфона появляются обновления, которые можно установить, то их обязательно нужно устанавливать. Это касается как самой операционной системы Андроид, так и приложений, которые установлены. Все должно быть обновлено до последней доступной версии.
Сейчас смартфон для человека – что-то вроде личного психолога. Именно мобильному гаджету пользователь предпочитает доверять все свои тайны – разумеется, предполагая, что тот не «проговорится». Однако хакерский взлом смартфона – дело осуществимое и, если речь идёт не об устройстве Apple, довольно-таки простое. Пользователь не может быть уверенным на 100%, что его персональные данные не окажутся у третьих лиц – но он способен предпринять ряд мер, которые существенно снизят риск взлома.
При помощи каких действий можно повысить безопасность гаджета, вы узнаете, прочитав эту статью.
Автоматическая блокировка экрана – это самая банальная мера безопасности, но при этом и самая действенная. Даже если речь идёт о простейшем PIN-коде из 4-х цифр от 0 до 9, то возможны аж 10 000 различных вариантов. Злоумышленнику предстоит запастить терпением, чтобы перебрать все возможные комбинации – хотя почти наверняка он запутается уже на первой сотне.
Устанавливая в качестве PIN-кода число «со значением» (например, год рождения), пользователь значительно упрощает жизнь взломщику. Строго рекомендуется применять только случайные числа – те, которые ничего не значат.
Допустимо использовать и другие способы разблокировки экрана — в том числе:
Пароль . Пароль отличается от PIN-кода тем, что не ограничен по длине и может включать в себя не только цифры, но также буквы и прочие символы – вроде «собаки». Поставить пароль на разблокировку вместо PIN-кода удастся на всех девайсах, современных и не очень – например, на iPhone 4S, гаджете 6-летней давности, сделать это проще простого.
Графический паттерн . Чтобы разблокировать устройство, пользователю нужно начертить пальцем на экране узор, последовательно соединив точки.
Этот способ разблокировки наиболее любим пользователями, однако не способен гарантировать безопасность по ряду причин: во-первых , потому что подсмотреть бесхитростную последовательность и запомнить её для злоумышленника не составит труда, во-вторых , потому как от постоянного ввода одного и того же узора на экране может остаться след, по которому восстановить паттерн будет достаточно просто.
Отпечаток пальца. Наличие дактилоскопа в современном смартфоне не является чем-то из ряда вон выходящим – даже бюджетные модели производители начали оснащать соответствующими датчиками.
Разблокировка при помощи отпечатка пальца является сейчас, пожалуй, лучшим способом. Однако прогресс на этом отнюдь не останавливается — например, Samsung Galaxy S8 получил сканер радужной оболочки глаза. Это позволило представителям корейской компании назвать S8 «самым защищённым смартфоном» — всё-таки с пальца можно сделать слепок, а вот новый сенсор обмануть точно никак не получится.
Совет: если вы храните на смартфоне данные предельной важности, используйте комбинацию нескольких способов разблокировки. Можно, скажем, настроить гаджет так, чтобы после ввода ПИН-кода он требовал бы ещё и графический узор начертить.
Какие бы эксперты по программной безопасности ни делились советами, рекомендация обязательно «запаролить» гаджет звучит одной из первых. Даже если злоумышленники, в нечистые руки которых попал смартфон, проявят настойчивость и сумеют разгадать пароль, пользователь выиграет время – и в течение этого времени сможет стереть конфиденциальную информацию удалённо.
Что такое двухэтапная аутентификация и как она помогает?
Двухэтапная аутентификация – это система, которой активно пользуются банки и социальные сети. Суть системы заключается в появлении дополнительного уровня защиты. Можно вспомнить «Сбербанк Онлайн» как самый красноречивый и наглядный пример – пользователь услуг банка указывает пароль от Личного Кабинета, а затем подтверждает вход в аккаунт ещё и при помощи кода, который поступает в СМС-сообщении следом. Вот и два этапа: первый – пароль, второй – телефонный код .
Двухэтапная аутентификация является одним из самых надёжных способов защитить себя от взлома AppleID или учётной записи Google!
Даже если хакер сможет дистанционно взломать аккаунт, разгадав пароль, он столкнётся с необходимостью указать телефонный код – который узнать ему уже никак не удастся. Пользователь же, получив сообщение с кодом, которое не заказывал, расценит это как тревожный «звоночек» и при первой же возможности поменяет пароль от аккаунта.
Владельцы гаджетов с iOS 9 и выше могут настроить на своих iPhone двухфакторную аутентификацию вместо двухэтапной проверки. Apple отмечает, что при двухфакторной аутентификации используются более современные методы генерации и выдачи 4-значных кодов.
Как защитить смартфон от вирусов при помощи ПО безопасности?
Есть ли толк от того, что на смартфоне установлено ПО безопасности – вопрос, однозначного ответа на который эксперты не могут найти до сих пор. Риск заражения вирусом устройства Apple очень низок, потому как Айфоны и Айпады функционируют под управлением закрытой операционной системы iOS. Гаджеты с ОС Android заражаются куда чаще, потому как на них можно загружать программы и контент из сторонних источников – следовательно, они в антивирусах нуждаются .
От первых мобильных антивирусов было больше вреда, чем пользы. Разработчики защитного ПО не сильно заботились о том, чтобы адаптировать антивирусные программы под смартфоны – они просто копировали функционал с десктопных версий. Как итог, антивирусы «пожирали» драгоценные мегабайты «оперативки» и миллиамперы заряда – гаджеты с установленным защитным ПО неприятно подтормаживали. Современные мобильные антивирусы – совсем другое дело. Они потребляют существенно меньше ресурсов, почти не расходуют заряд аккумулятора и могут похвастать гибкими настройками.
В Google Play защитных программ уйма – есть как платные, так и распространяемые на безвозмездной основе. Исследование, проведённое российским порталом www.comss.ru , позволило определить топ самых любимых пользователями мобильных антивирусов в 2016 году:
Изображение: comss.ru
Лидерские позиции занимают сразу 2 продукта от Dr.Web. Антивирус Light является бесплатной версией с рекламой и урезанным функционалом – которого, впрочем, достаточно, чтобы:
- Вернуть работоспособность устройству при его полной блокировке троянцем-вымогателем.
- Детектировать неизвестные вредоносные файлы при помощи эффективного алгоритма Origins Tracing.
- Быстро проверить файловую систему при попытке сохранения файла — задействуя монитор SpiDer Guard.
- Дистанционно стереть данные с потерянного устройства при помощи функции «Антивор».
Dr.Web Security Space – программа с полным функционалом – имеет пробный период продолжительностью в 2 недели. По окончании этого периода пользователю нужно оплатить подписку минимум на 1 год.
Популярность антивируса Dr.Web, очевидно, обусловлена наличием бесплатной версии. Программа от Касперского, а также антивирусы ESET NOD32 и Avast! имеют даже более высокие оценки в Google Play, однако все они распространяются по модели freemium – то есть предлагают попользоваться полным функционалом в течение ограниченного периода времени, а потом, если понравится, приобрести подписку. Сразу отказываться от платного варианта не следует – ведь стоимость годовой подписки на антивирусное ПО, как правило, значительно ниже цены услуг мастеров сервисных центров, к которым приходится обращаться за очисткой ОС от «троянов» и прочих вирусов.
Эксперты ESET и Лаборатории Касперского дают пользователям и другие советы по поводу того, как обезопасить свой смартфон от взлома, а себя – от потери важных данных:
Используйте менеджеры паролей. Запомнить пароли от всех порталов, на которых зарегистрирован – задача не из простых. Многие пользователи, дабы не забивать голову, устанавливают один и тот же пароль везде. Это большая ошибка : злоумышленнику будет достаточно взломать страницу человека в соцсети – и вот он уже имеет доступ к почтовым ящикам и электронным кошелькам своей жертвы. Куда безопаснее использовать менеджер паролей – программу, которая под мастер-кодом хранит пароли от всевозможных сайтов.
Самыми надёжными и эффективными менеджерами паролей считаются LastPass и 1Password.
Следите за Bluetooth и . Если пользователь не собирается передавать данные или оплачивать покупки бесконтактным путём, ему лучше отключить и Bluetooth, и NFC. Так ему удастся не только снизить риск подвергнуться компьютерной атаке, но и сэкономить заряд батареи.
Избегайте публичного Wi-Fi . Покрытие 3G / 4G сейчас есть во всех общественных местах – лучше потратить мегабайты трафика на загрузку или онлайн-просмотр контента, чем ставить безопасность своего гаджета под угрозу, подключаясь к беспарольным Wi-Fi раздачам.
Если без общественного Wi-Fi никак не обойтись, то рекомендуется подключаться к нему через VPN, при помощи которого можно зашифровать трафик, скрыть IP-адрес гаджета и его местоположение.
Своевременно обновляйтесь . Обновления ОС, как правило, содержат патчи системных уязвимостей. С каждым обновлением «операционка» гаджета становится всё более защищённой.
Следите за тем, что разрешаете приложениям . Если, скажем, небольшая программка для смены обоев запрашивает доступ к геолокации и контактам, стоит задуматься – может быть, лучше предпочесть менее требовательный аналог и не переживать по поводу безопасности личных данных? Прочитайте нашу , где рассказано об этом подробнее.
Заключение
Пользователю не нужно принимать каких-либо трудоёмких и дорогостоящих мер ради того, чтобы повысить безопасность смартфона. Поставить автоблокировку и быть внимательным при загрузке контента и подключении к Wi-Fi-сетям – это уже 90% дела. Для пущей уверенности в том, что гаджет не подвергнется взлому или заражению, можно загрузить и установить антивирусную программу – однако нужно быть готовым к тому, что эффективное защитное ПО будет стоить денег и что заплатить, скорее всего, придётся за год вперёд.
