> И вместо админства одного х86 тазика который способен перекомпелять из исходников свою
> ОС и все приложения за пол часа получаем кучку девайсов с импактом админства хNГоворя за себя я позаимствовал у энтерпрайза ряд идей по части как они группы VM рулят. И импакт сильно меньше. Я менеджу все эти N тазиков с возней меньшей чем вы - один.
1) Я не рекомпилю вообще все ОС и приложения. Напрасная трата времени и электричества не про меня.
2) Я не юзаю инсталлеры и практикую модульную отстройку образов из наборов пакетов. У меня есть автоматизация всего этого.
3) В многих железках у меня есть снапшоты "known good"/"reset to factory defaults". Потому что btrfs это вам не ZFS и отлично живет даже на мелочи. А заодно переживает подарки типа случайного бэда раз в эн, если так настроить.
4) Для однотипных выводков я могу откалывать некое подобие группового управления если оно надо.
> и обновления бинарными пакетами потому что компелять они будут долго и печально.
А зачем мне компилять всякое добро самому? Я перекомпиливаю софт только если мне надо что-то там изменить или это дает что-то. Ритуалы ради ритуалов мной не практикуются, сорян.
> И хз что у вас за модель угроз когда вы железу не доверяете зато софту
> скаченному невесть откуда и собранному невесть кем доверяете.
Ну вот такая вот ерунда - майнтайнерам Дебиан я доверяю сильно больше чем Intel и AMD с заведомыми бэкдорами. При скачке пакетник делает достаточно сильный sig-check и ставит это только если подписи сошлись.
Самоличная компилежка софта - никак на это не влияет. Я же не буду делать аудит сорцов вообще всех системных компонентов от и до каждый раз, в самом деле? И майнтайнеры CVE трекают толпой лучше чем я, так что пакетник проблемные части лучше ловит и апдейтит. И это соответствует оговоренным полисям, пригодным для именно эксплуатации.
... а так по приколу, у ряда этих штук вообще нет менеджмента по сети, например, и все что не автоматическое - только вооон там физическим доступом к консоли по UART как пруф что это и правда хозяин. Это специальный подарок от того кто умеет нападать себе подобным. Я знаю что я бы ненавидел больше всего - и сделал именно это :)
> У меня фря на х86, и если кому то типа NSA потребуется
> меня ломать то 99,9% это будет сделано через кучу софта который
> у меня крутится.
Как показали забавные эксперименты - в целом такая гиперструктура выдерживает довольно много. Де факто на внешних щитах почти нечего атаковать, они барьер между внутренними и внешними мирами, и забавные абстракции.
> Ещё 0,05% я поставлю на физическое проникновение.
Поскольку я увлекаюсь электроникой, у меня и на этот случай есть несколько нежданчиков. Как абсолютный минимум я об этом всем узнаю и уже тогда буду думать что делать дальше.
...но кроме всего прочего, оно еще сделано так что понять где это физически - достаточно сложно, имхо. Скажем я при всем желании не скажу какой тут внешний IP, этой абстракции просто не существует в ее привычном виде.