forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выпуск Wifibox 0.12, окружения для использования WiFi-драйве..."
Отправлено Аноним, 29-Сен-23 09:39

> И вместо админства одного х86 тазика который способен перекомпелять из исходников свою
> ОС и все приложения за пол часа получаем кучку девайсов с импактом админства хN
Говоря за себя я позаимствовал у энтерпрайза ряд идей по части как они группы VM рулят. И импакт сильно меньше. Я менеджу все эти N тазиков с возней меньшей чем вы - один.
1) Я не рекомпилю вообще все ОС и приложения. Напрасная трата времени и электричества не про меня.
2) Я не юзаю инсталлеры и практикую модульную отстройку образов из наборов пакетов. У меня есть автоматизация всего этого.
3) В многих железках у меня есть снапшоты "known good"/"reset to factory defaults". Потому что btrfs это вам не ZFS и отлично живет даже на мелочи. А заодно переживает подарки типа случайного бэда раз в эн, если так настроить.
4) Для однотипных выводков я могу откалывать некое подобие группового управления если оно надо.
> и обновления бинарными пакетами потому что компелять они будут долго и печально.
А зачем мне компилять всякое добро самому? Я перекомпиливаю софт только если мне надо что-то там изменить или это дает что-то. Ритуалы ради ритуалов мной не практикуются, сорян.
> И хз что у вас за модель угроз когда вы железу не доверяете зато софту
> скаченному невесть откуда и собранному невесть кем доверяете.
Ну вот такая вот ерунда - майнтайнерам Дебиан я доверяю сильно больше чем Intel и AMD с заведомыми бэкдорами. При скачке пакетник делает достаточно сильный sig-check и ставит это только если подписи сошлись.
Самоличная компилежка софта - никак на это не влияет. Я же не буду делать аудит сорцов вообще всех системных компонентов от и до каждый раз, в самом деле? И майнтайнеры CVE трекают толпой лучше чем я, так что пакетник проблемные части лучше ловит и апдейтит. И это соответствует оговоренным полисям, пригодным для именно эксплуатации.
... а так по приколу, у ряда этих штук вообще нет менеджмента по сети, например, и все что не автоматическое - только вооон там физическим доступом к консоли по UART как пруф что это и правда хозяин. Это специальный подарок от того кто умеет нападать себе подобным. Я знаю что я бы ненавидел больше всего - и сделал именно это :)
> У меня фря на х86, и если кому то типа NSA потребуется
> меня ломать то 99,9% это будет сделано через кучу софта который
> у меня крутится.
Как показали забавные эксперименты - в целом такая гиперструктура выдерживает довольно много. Де факто на внешних щитах почти нечего атаковать, они барьер между внутренними и внешними мирами, и забавные абстракции.
> Ещё 0,05% я поставлю на физическое проникновение.
Поскольку я увлекаюсь электроникой, у меня и на этот случай есть несколько нежданчиков. Как абсолютный минимум я об этом всем узнаю и уже тогда буду думать что делать дальше.
...но кроме всего прочего, оно еще сделано так что понять где это физически - достаточно сложно, имхо. Скажем я при всем желании не скажу какой тут внешний IP, этой абстракции просто не существует в ее привычном виде.

Исходное сообщение
"Выпуск Wifibox 0.12, окружения для использования WiFi-драйве..." Отправлено Аноним, 29-Сен-23 09:39
> И вместо админства одного х86 тазика который способен перекомпелять из исходников свою > ОС и все приложения за пол часа получаем кучку девайсов с импактом админства хN Говоря за себя я позаимствовал у энтерпрайза ряд идей по части как они группы VM рулят. И импакт сильно меньше. Я менеджу все эти N тазиков с возней меньшей чем вы - один. 1) Я не рекомпилю вообще все ОС и приложения. Напрасная трата времени и электричества не про меня. 2) Я не юзаю инсталлеры и практикую модульную отстройку образов из наборов пакетов. У меня есть автоматизация всего этого. 3) В многих железках у меня есть снапшоты "known good"/"reset to factory defaults". Потому что btrfs это вам не ZFS и отлично живет даже на мелочи. А заодно переживает подарки типа случайного бэда раз в эн, если так настроить. 4) Для однотипных выводков я могу откалывать некое подобие группового управления если оно надо. > и обновления бинарными пакетами потому что компелять они будут долго и печально. А зачем мне компилять всякое добро самому? Я перекомпиливаю софт только если мне надо что-то там изменить или это дает что-то. Ритуалы ради ритуалов мной не практикуются, сорян. > И хз что у вас за модель угроз когда вы железу не доверяете зато софту > скаченному невесть откуда и собранному невесть кем доверяете. Ну вот такая вот ерунда - майнтайнерам Дебиан я доверяю сильно больше чем Intel и AMD с заведомыми бэкдорами. При скачке пакетник делает достаточно сильный sig-check и ставит это только если подписи сошлись. Самоличная компилежка софта - никак на это не влияет. Я же не буду делать аудит сорцов вообще всех системных компонентов от и до каждый раз, в самом деле? И майнтайнеры CVE трекают толпой лучше чем я, так что пакетник проблемные части лучше ловит и апдейтит. И это соответствует оговоренным полисям, пригодным для именно эксплуатации. ... а так по приколу, у ряда этих штук вообще нет менеджмента по сети, например, и все что не автоматическое - только вооон там физическим доступом к консоли по UART как пруф что это и правда хозяин. Это специальный подарок от того кто умеет нападать себе подобным. Я знаю что я бы ненавидел больше всего - и сделал именно это :) > У меня фря на х86, и если кому то типа NSA потребуется > меня ломать то 99,9% это будет сделано через кучу софта который > у меня крутится. Как показали забавные эксперименты - в целом такая гиперструктура выдерживает довольно много. Де факто на внешних щитах почти нечего атаковать, они барьер между внутренними и внешними мирами, и забавные абстракции. > Ещё 0,05% я поставлю на физическое проникновение. Поскольку я увлекаюсь электроникой, у меня и на этот случай есть несколько нежданчиков. Как абсолютный минимум я об этом всем узнаю и уже тогда буду думать что делать дальше. ...но кроме всего прочего, оно еще сделано так что понять где это физически - достаточно сложно, имхо. Скажем я при всем желании не скажу какой тут внешний IP, этой абстракции просто не существует в ее привычном виде.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> И вместо админства одного х86 тазика который способен перекомпелять из исходников свою >> ОС и все приложения за пол часа получаем кучку девайсов с импактом админства хN > Говоря за себя я позаимствовал у энтерпрайза ряд идей по части как > они группы VM рулят. И импакт сильно меньше. Я менеджу все > эти N тазиков с возней меньшей чем вы - один. > 1) Я не рекомпилю вообще все ОС и приложения. Напрасная трата времени > и электричества не про меня. > 2) Я не юзаю инсталлеры и практикую модульную отстройку образов из наборов > пакетов. У меня есть автоматизация всего этого. > 3) В многих железках у меня есть снапшоты "known good"/"reset to factory > defaults". Потому что btrfs это вам не ZFS и отлично живет > даже на мелочи. А заодно переживает подарки типа случайного бэда раз > в эн, если так настроить. > 4) Для однотипных выводков я могу откалывать некое подобие группового управления если > оно надо. >> и обновления бинарными пакетами потому что компелять они будут долго и печально. > А зачем мне компилять всякое добро самому? Я перекомпиливаю софт только если > мне надо что-то там изменить или это дает что-то. Ритуалы ради > ритуалов мной не практикуются, сорян. >> И хз что у вас за модель угроз когда вы железу не доверяете зато софту >> скаченному невесть откуда и собранному невесть кем доверяете. > Ну вот такая вот ерунда - майнтайнерам Дебиан я доверяю сильно больше > чем Intel и AMD с заведомыми бэкдорами. При скачке пакетник делает > достаточно сильный sig-check и ставит это только если подписи сошлись. > Самоличная компилежка софта - никак на это не влияет. Я же не > буду делать аудит сорцов вообще всех системных компонентов от и до > каждый раз, в самом деле? И майнтайнеры CVE трекают толпой лучше > чем я, так что пакетник проблемные части лучше ловит и апдейтит. > И это соответствует оговоренным полисям, пригодным для именно эксплуатации. > ... а так по приколу, у ряда этих штук вообще нет менеджмента > по сети, например, и все что не автоматическое - только вооон > там физическим доступом к консоли по UART как пруф что это > и правда хозяин. Это специальный подарок от того кто умеет нападать > себе подобным. Я знаю что я бы ненавидел больше всего - > и сделал именно это :) >> У меня фря на х86, и если кому то типа NSA потребуется >> меня ломать то 99,9% это будет сделано через кучу софта который >> у меня крутится. > Как показали забавные эксперименты - в целом такая гиперструктура выдерживает довольно > много. Де факто на внешних щитах почти нечего атаковать, они барьер > между внутренними и внешними мирами, и забавные абстракции. >> Ещё 0,05% я поставлю на физическое проникновение. > Поскольку я увлекаюсь электроникой, у меня и на этот случай есть несколько > нежданчиков. Как абсолютный минимум я об этом всем узнаю и уже > тогда буду думать что делать дальше. > ...но кроме всего прочего, оно еще сделано так что понять где это > физически - достаточно сложно, имхо. Скажем я при всем желании не > скажу какой тут внешний IP, этой абстракции просто не существует в > ее привычном виде.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру