Поправляем шапочку из фольги, завариваем чай, настраиваемся на вдумчивое восприятие информации — и начинаем с напоминания о двойных стандартах. Если кто-то посторонний состряпал шпионскую программу, то получился вирус. Если же такую программу изготовила крупная фирма, то это это уже как бы не вирус, а средство сбора данных для улучшения продукции. Официальный статус служит индульгенцией на любое нарушение приватности, каким бы вопиющим оно ни было.
KDE Plasma
Раньше в этой графической оболочке соглядатай назывался Nepomuk, теперь переименован в Baloo. Индексирует все файлы, всё их содержимое, собирает огромные, на десятки гигабайт, базы данных с каждой буковкой в пользовательских документах. При этом только в шестой версии Plasma нагружает процессор не так сильно. А до пятой включительно — попросту не позволял работать, выедая все сто процентов мощности устройства.
Оправдание таково: если вы вдруг забыли, в каком именно документе изложены ваши крамольные воззрения, Baloo посмотрит в свою базу данных и любезно найдёт требуемый файл. Ну а в случае конфискации компьютера быстро отыщут и заинтересованные лица, поскольку всё хранится на вашем диске.
Отключение File Search в системных настройках всегда неполное. Baloo их игнорирует, тихонько активируется и делает своё дело. Неопытный пользователь ничего с этим не поделает. Опытный выполнит в терминале команду:
sudo systemctl --global mask plasma-baloorunner.service kde-baloo.service
Только так, никакие другие средства не помогут. Причём, на популярных форумах обязательно находятся деятели, которые убеждают в полезности шпионского сервиса. Мол, если у одного из тысячи наблюдаются проблемы с памятью, то остальные девятьсот девяносто девять пользователей тоже должны страдать. О том, чтобы включать индексацию строго по желанию, речи не идёт.
Gnome Shell
Ситуация точно такая же. Только индексатор называется Tracker и действует не так явно. Иногда — даже без значительной нагрузки на ресурсы. Процесс tracker-miner-fs постоянно дежурит в оперативной памяти. Как только появляется новый файл, вызывается tracker-extractor-fs и извлекает содержимое, чтобы записать в базу данных.
Ранее подобным занимался Zeitgeist. Но в его исходном коде обнаружились функции отправки данных в интернет. Поэтому, как и в KDE Plasma, пришлось придумать новое имя вместо вызывающего отторжение. Хотя в старых, начала двадцатых годов, версиях Gnome Shell обе сущности могли действовать сообща. Было весьма забавно наблюдать в Spirallinux от анонимного производителя, как после принудительной деактивации Tracker тут же выскакивал Zeitgeist ему на замену. Кстати, о блокировке:
sudo systemctl --global mask tracker-extract-3.service tracker-miner-fs-3.service tracker-miner-rss-3.service tracker-writeback-3.service tracker-xdg-portal-3.service tracker-miner-fs-control-3.service tracker-store.service
Ничуть не удивительно, что в двух самых популярных графических оболочках такие вот дела. Иначе им не было бы дозволено стать популярными.
Но это не всё. В оперативной памяти постоянно висит Software, магазин программного обеспечения. Абсолютно шпионская программа, бэкдор в системе. Самостоятельно скачивает и автоматически устанавливает неведомые обновления. Ресурсы поедает без малейшего стеснения. Удалить gnome-software из Gnome Shell можно, но только если пользователь опытный, способный устанавливать приложения другими способами.
 |
| В Debian нужно устанавливать Gufw самостоятельно |
Неудивительно, что в Gnome Shell в частности и практически во всей экосистеме Gnome в целом в начальной комплектации дистрибутивов всегда отсуствует удобное графическое средство управления межсетевым экраном Gufw. И этот факт сам по себе является маркером.
 |
| Gufw в Linux Mint уже есть |
Исключение — Linux Mint, дистрибутив, который, несмотря на все недостатки его сообщества, всё же предоставляет столь полезный инструмент. Чтобы компьютер, образно говоря, не был открыт всем сетевым ветрам.
Ubuntu
Самый человечный дистрибутив Linux, его основной вариант, поставляется с Gnome Shell. Кто бы сомневался. И Gufw, конечно же, в комплекте нет.
Но одной связки шпионских сервисов Tracker показалось мало. Да и в версии с другими графическими оболочками надо что-то вставлять. Не оставаться же пользователям без присмотра со стороны Большого Брата.
Программа Whoopsie работает в фоне и собирает якобы сведения о сбоях. Передаёт программе Apport для отправки в фирму Canonoical. Программа kerneloops сама всё делает, якобы присматривает за состоянием ядра Linux и держит связь с его разработчиками. Программа rsyslog всё скрупулёзно журналирует, записывает сведения о каждом шорохе в системе.
Ну и вишенка на тортике: unattended-upgrages закачивает некие обновления без ведома и согласия пользователя. При этом никак не проверить, что именно загружается. Это не открытый исходный код, который можно проинспектировать. Только бинарные файлы с неведомым содержимым. В общем, команда такова:
sudo apt remove whoopsie apport kerneloops unattended-upgrades rsyslog update-manager update-notifier && sudo apt autoremove
К счастью, в отличие от других контор, Canonical всё же сохранили остатки совести и позволяют удалить их пакость без ущерба для работоспособности системы. А вот Tracker в основной версии Ubuntu и Baloo в Kubuntu доведётся только блокировать. Выпиливать нельзя, вся графическая оболочка сломается.
 |
Ubuntu Cinnamon
|
Соответственно, не берём Ubuntu с Gnome Shell. Берём, например, с Cinnamon. Просто чтобы не было совершенно необязательных хлопот с блокировкой Tracker.
Обновления
Открытый исходный код, который можно проверить, — это одно. А скомпилированные бинарные файлы — совсем другое. Именно они прилетают с обновлениями. И вы не видите, что там внутри. Учитывая всё изложенное выше, за вами настойчиво наблюдают. По крайней мере пытаются, рассчитывая на ваши неопытность, неосведомлённость, наивное доверие к солидным фирмам. Следовательно, в тех обновлениях наверняка есть подвохи.
Дело в том, что за долгие десятилетия своего существования операционные системы с ядром Linux стали надёжными то только в серверных версиях. Касаемо домашнего использования, они изготавливаются намеренно глючными, сырыми, недоделанными, чтобы заставить пользователей бесконечно скачивать обновления с исправлениями и исправления с обновлениями.
Как только продукт становится более или менее годным, например, KDE Plasma 5.27.5, разработчики его бросают, начинают изготовление Plasma 6 и таким образом перезапускают цикл тестирования, исправления недоделок, выпиливания глюков и, соответственно, закачки обновлений.
Если же человек хочет продолжать пользоваться стабильной оболочкой Plasma 5.27.5, на него обрушивается массированная и комплексная психологическая атака. Kubuntu донимает уведомлениями о новых релизах. На всех тематических форумах, во всех средствах массовой индоктринации расхваливают свежий продукт. В красивых видео показывается привлекательность свежего софта, обозреватели прям закатывают глаза от удовольствия. Если заманивание вкусной морковкой не срабатывает, то играют на страхе, пугают некими уязвимостями в устаревшем софте. Не срабатывает и это — давят на гордыню, включают массовые насмешки над немодным, бедным, неспособным купить новое оборудование ради всё более прожорливой операционной системы. Понаблюдайте, увидите целый комплект стандартных методов Gnome Shell манипуляции сознанием.
Кроме того, сама по себе проверка обновлений отправляет сведения о системе и установленных приложениях. Но соединение зашифровано, и мы не можем узнать точно, не отсылается ли что-либо ещё.
Золотое правило: если в дистрибутиве Linux невозможно отключить проверку обновлений полностью, значит, его разработчикам доверять не представляется возможным. К примеру, в текущей версии Pop!_OS можно лишь отсрочить на пару недель или вроде того. Если так сделано, значит, в этом есть какой-то умысел.
В Ubuntu и производных отключить можно. Причём, довольно просто, для этого есть удобная программа Software & Updates. И параметр Never (Никогда) легко выставляется на вкладке Updates. Практика показала, что Canonical не обманывает, закачка бинарных файлов действительно прекращается. (При условии выпиливания unattended-upgrades, конечно.)
Debian
Да, стабильная версия Debian не содержит таких пакостей, как Ubuntu, нету даже rsyslog. Однако рабочие столы укомплектованы набором шпионящего софта, поскольку невозможно вырезать Baloo из KDE и Tracker из Gnome, не сломав всю графическую оболочку.
Проблема в том, что Debian является в первую очередь системой для серверов. Натянуть на неё чистый, без подвохов, рабочий стол (Mate, XFCE) можно без труда, но что толку, если нет драйверов. Даже в 12-м выпуске, куда уже что-то вставлено, не работает аппаратное ускорение видео. То есть процессор не может передать нагрузку на видеокарту и вынужден делать всё декодирование самостоятельно. Потому греется при просмотре медиафайлов. Ну и как воспроизвести какую-нибудь презентацию на конференции, не превратив ноутбук в отопительный прибор и не посадив батарею за пятнадцать минут?
Конечно, для кого Linux — увлечение, тот даже рад поковыряться недельку-другую, найти, скомпилировать и всё же воткнуть нужные драйверы. Такой успех повысит ему самооценку. Но для большинства пользователей компьютер — рабочий инструмент. Средство добычи хлеба насущного. Обычный человек, не фанатик, просто возьмёт то, что работает и не требует обслуживания.
Подводим итоги
Популярность настольных дистрибутивов Linux растёт медленно, поэтому пока нет тотальной телеметрии, как в коммерческих операционных системах. То, что уже есть, можно обнаружить и обезвредить без особого труда.
Причём, даже если система уже установлена, можно почистить её прямо сейчас, используя полученные знания. Но, конечно, лучше всего сразу взять вариант с рабочим столом Cinnamon и не морочиться.
Шапочку из фольги в любом случае не выбрасываем, лёгкая здоровая паранойя ещё никому не навредила.
