#qubesos #baremetal #isolation #pxe

Глядя на обилие дыр по повышению привилегий, выходу из гостевого окружения и в процессорах и прочих Hammer-ов в памяти, прихожу к выводу, к которому приходил уже 15 лет назад:

> Лучшая изоляция — железная изоляция

Решением вижу — Privacy Cluster. Который не про доступность и производительность, а именно про приватность.

Вместо привычных гипервизоров и виртуалок, предлагаю на каждый "важный чих" использовать железку. Самые дешевые это одноплатники типа малины, или у меня штук восемь б.у. тонких клиентов на AMD.

Инстансы должны грузиться по PXE с предконфигурированных образов.

Пока смотрю на packer от hashicorp, может еще кто знает как образы собирать сразу в рабочие LiveCD?

В итоге выйдет, что на железке крутится ОСь без ~~окон и дверей~~ ssh. Иммутабельный как docker. Все изменения через новый билд и перезагрузку.

Зочем?:
- потому что могу (хочу?)
- временные виртуалки, в которых ничего не сохраняется по типу Talis или Disposable VPS как в QubesOS
- Дарк-сервисы доступные только в оверлейных сетях.

Ресурсы:
1. Whonix на железе, где все соединения не могут никак пройти, кроме как как через tor whonix.org/wiki/Dev/Build_Docu
2. Загрузка популярных образов по сети netboot.xyz не совсем то
3. Packer для LiveCD github.com/hashicorp/packer/is
4. Провижнинг baremetal по сети tinkerbell.org (сыровато)
5. Ventoy LiveCD - мало доков, китайское

Кто, что думает? Может у кого совет по удобному билду таких образов? TinyCore может кто собирал? Или любую другую ОСь для загрузки по PXE?

Follow

@kirill китайцы делают материнки, куда втыкается два десятка "Малин"

@zd915 Да, кластер из малинок круть, только дорого. Тонкие клиенты мне по $7 обходятся с БП и 2Гб ОЗУ.

Sign in to participate in the conversation
Qoto Mastodon

QOTO: Question Others to Teach Ourselves
An inclusive, Academic Freedom, instance
All cultures welcome.
Hate speech and harassment strictly forbidden.