Kirill Zholnay<p><a href="https://s.zholnay.name/tags/qubesos" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>qubesos</span></a> <a href="https://s.zholnay.name/tags/baremetal" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>baremetal</span></a> <a href="https://s.zholnay.name/tags/isolation" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>isolation</span></a> <a href="https://s.zholnay.name/tags/pxe" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>pxe</span></a> </p><p>Глядя на обилие дыр по повышению привилегий, выходу из гостевого окружения и в процессорах и прочих Hammer-ов в памяти, прихожу к выводу, к которому приходил уже 15 лет назад:</p><p>> Лучшая изоляция — железная изоляция</p><p>Решением вижу — Privacy Cluster. Который не про доступность и производительность, а именно про приватность.</p><p>Вместо привычных гипервизоров и виртуалок, предлагаю на каждый "важный чих" использовать железку. Самые дешевые это одноплатники типа малины, или у меня штук восемь б.у. тонких клиентов на AMD.</p><p>Инстансы должны грузиться по PXE с предконфигурированных образов.</p><p>Пока смотрю на packer от hashicorp, может еще кто знает как образы собирать сразу в рабочие LiveCD?</p><p>В итоге выйдет, что на железке крутится ОСь без ~~окон и дверей~~ ssh. Иммутабельный как docker. Все изменения через новый билд и перезагрузку.</p><p>Зочем?:<br>- потому что могу (хочу?)<br>- временные виртуалки, в которых ничего не сохраняется по типу Talis или Disposable VPS как в QubesOS<br>- Дарк-сервисы доступные только в оверлейных сетях.<br>- Маленький хостинг</p><p>Ресурсы:<br>1. Whonix на железе, где все соединения не могут никак пройти, кроме как как через tor <a href="https://www.whonix.org/wiki/Dev/Build_Documentation/Physical_Isolation" rel="nofollow noopener" translate="no" target="_blank"><span class="invisible">https://www.</span><span class="ellipsis">whonix.org/wiki/Dev/Build_Docu</span><span class="invisible">mentation/Physical_Isolation</span></a><br>2. Загрузка популярных образов по сети <a href="https://netboot.xyz" rel="nofollow noopener" translate="no" target="_blank"><span class="invisible">https://</span><span class="">netboot.xyz</span><span class="invisible"></span></a> не совсем то<br>3. Packer для LiveCD <a href="https://github.com/hashicorp/packer/issues/955" rel="nofollow noopener" translate="no" target="_blank"><span class="invisible">https://</span><span class="ellipsis">github.com/hashicorp/packer/is</span><span class="invisible">sues/955</span></a><br>4. Провижнинг baremetal по сети <a href="https://tinkerbell.org" rel="nofollow noopener" translate="no" target="_blank"><span class="invisible">https://</span><span class="">tinkerbell.org</span><span class="invisible"></span></a> (сыровато)<br>5. Ventoy LiveCD - мало доков, китайское</p><p>Кто, что думает? Может у кого совет по удобному билду таких образов? TinyCore может кто собирал? Или любую другую ОСь для загрузки по PXE?</p>