Возникла такая мысль. Купить мини-комп, хранить там отдельно от основного компа особо важные данные и установить на нем софт, который имеет доступ к таким данным.
Какие здесь могут быть подводные камни?
Собственно, как к нему подключаться? Через KVM — надежнее всего, но гемор. Через RDP — а надежно ли? Есть еще варианты?

Для особо важных нужно два или три: резервирование и отказоустойчивость.

Здравствуйте, qqqqq, Вы писали:

Q>Для особо важных нужно два или три: резервирование и отказоустойчивость.

Бэкап это уже отдельно. Сейчас меня интересует изолированность от зловредов.

Здравствуйте, Codealot, Вы писали:

C>Возникла такая мысль. Купить мини-комп, хранить там отдельно от основного компа особо важные данные и установить на нем софт, который имеет доступ к таким данным.

Ну то есть установить домашний сервер.

C>Какие здесь могут быть подводные камни?

Скорее всего тоже самое, что и на домашнем сервере. В идеале конечно новая серверная платформа от не вендерлочного производителя.

Можно купить только серверный корпус с серверным блоком питания. У меня такое, 1U укороченный с десктопным интел атомом внутри, но это конечно не круто.

Ну я бы сказал, что если ставить SSD на тот же Debian не забыть сделать настройки в fstab именно для SSD.

Но есть и другие варианты как по железу, так и по операционкам включая операционки для NAS.

Здесь вопрос только в деньгах. Я вот хочу серверную платформу асус, на худой конец супермикро, в крайнем случае гигабайт, но денег нет, однако я держусь.

А там выбор rack или edge, множество поколений, разная высота, длина, комплектация. Например, edge короче rack, но в rack можно напихать кучу вмего. А 2U более тихий и лучше охлаждает 1U, но выше.

C>Собственно, как к нему подключаться? Через KVM — надежнее всего, но гемор. Через RDP — а надежно ли? Есть еще варианты?

Я по ssh управляю. Через винду putty и total commander с плагином для ssh. В операционках для NAS скорее всего будет веб доступ из коробки. Я не пробовал NAS, потому что Debian стоит у меня в дуалбуте с виндой на десктопе и как бы ssh с консолью для меня привычное явление.

Тема вообще-то обширная, но сразу скажу не покупай микрокомпьютеры вроде распберри пи, там провал по питанию даже если извратиться со шнуром и блоком питания.

Проще уж тогда сделать бекап сервер из смартфона с большой внутренней памятью без флешки. Может так статься и покупать ничего будет не надо, ставишь termux не из google play и вперёд.

Но если нужно чтобы что-то висело в сети отдельно 24/7, тогда лучше традиционный сервер. Чисто для примера зайди на сайт асус посмотри серверные платформы. В обычных сетевых магазинах ими торгует никс, в какой-то степени днс.

А то видишь люди любят хвастаться какой-нибудь ерундой вроде автомобиля или макбука с айфоном. Не вендерлочные серваки вот что по настоящему круто. Один сервак может стоить дороже суперкара, я про ширпотреб от яблока даже не говорю.

Можно ещё купить NAS или NUC, но это не прикольно, зато сразу готовое решение.

https://youtube.com/watch?v=ZKoHlsPYeK0

C>>Возникла такая мысль. Купить мини-комп, хранить там отдельно от основного компа особо важные данные и установить на нем софт, который имеет доступ к таким данным.

V>Ну то есть установить домашний сервер.

Полагаю, что ТС хочет не сервер, а рабочую станцию, физически отделенную от других ПК.
Из чего следует, что связи по сети (LAN) быть не должно, и этим обусловлен выбор в пользу KVM, а не RDP.

Здравствуйте, Codealot, Вы писали:

C>Возникла такая мысль. Купить мини-комп, хранить там отдельно от основного компа особо важные данные и установить на нем софт, который имеет доступ к таким данным.
C>Какие здесь могут быть подводные камни?
C>Собственно, как к нему подключаться? Через KVM — надежнее всего, но гемор. Через RDP — а надежно ли? Есть еще варианты?

На мой взгляд надо брать ноутбук и ничего к нему не подключать. Можно даже отключить беспроводные интерфейсы. Если уж параноить, то по-полной. Никакой сети, ни в коем случае.

Чуть меньше паранойи — делать всю работу из виртуалок. Т.е. на хосте ты вообще ничего не делаешь кроме управления самими виртуалками. А внутри виртуалок уже делать всю работу, можно на каждого заказчика или на каждый проект отдельную виртуалку. Ну и для этих особо важных данных отдельную виртуалку.

Здравствуйте, vsb, Вы писали:

vsb> Чуть меньше паранойи — делать всю работу из виртуалок. Т.е. на хосте ты вообще ничего не делаешь кроме управления самими виртуалками. А внутри виртуалок уже делать всю работу, можно на каждого заказчика или на каждый проект отдельную виртуалку. Ну и для этих особо важных данных отдельную виртуалку.

Реальный, годный вариант.

Здравствуйте, vsb, Вы писали:

vsb>Чуть меньше паранойи — делать всю работу из виртуалок. Т.е. на хосте ты вообще ничего не делаешь кроме управления самими виртуалками. А внутри виртуалок уже делать всю работу, можно на каждого заказчика или на каждый проект отдельную виртуалку. Ну и для этих особо важных данных отдельную виртуалку.

Плюс хранить важные данные в криптоконтейнере.
https://www.veracrypt.fr

Здравствуйте, Codealot, Вы писали:

C>особо важные данные

Что именно Вы понимаете под этим термином? Данные, за которые убивают? Калечат? Сажают на десятки лет?

Здравствуйте, rudzuk, Вы писали:

vsb>> Чуть меньше паранойи — делать всю работу из виртуалок. Т.е. на хосте ты вообще ничего не делаешь кроме управления самими виртуалками. А внутри виртуалок уже делать всю работу, можно на каждого заказчика или на каждый проект отдельную виртуалку. Ну и для этих особо важных данных отдельную виртуалку.

R>Реальный, годный вариант.

Кажется, Qubes OS буквально так и устроена: разным приложениям/группам приложений своя виртуалка.

Здравствуйте, vsb, Вы писали:

vsb>На мой взгляд надо брать ноутбук и ничего к нему не подключать. Можно даже отключить беспроводные интерфейсы. Если уж параноить, то по-полной. Никакой сети, ни в коем случае.

Можно средний уровень паранойи: защищённую ОС поставить. Их много: Tails, Qubes OS, Astra Linux etc. Тогда можно и сеть. Но надо хорошо разбираться в предмете.

Здравствуйте, Nuzhny, Вы писали:

N>Здравствуйте, rudzuk, Вы писали:

vsb>>> Чуть меньше паранойи — делать всю работу из виртуалок. Т.е. на хосте ты вообще ничего не делаешь кроме управления самими виртуалками. А внутри виртуалок уже делать всю работу, можно на каждого заказчика или на каждый проект отдельную виртуалку. Ну и для этих особо важных данных отдельную виртуалку.

R>>Реальный, годный вариант.

N>Кажется, Qubes OS буквально так и устроена: разным приложениям/группам приложений своя виртуалка.

Qubes OS это отдельный рофл. Сеть обеспечивается отдельной вм, остальные вм должны быть настроены на подключение к сети через эту спец. вм
Клавиатура, USB устройства — аналогично, должны подключаться через спец. вм
Пользовательские вм изолированы друг от друга. Все вм на основе QEMU.
Диски шифруются с помощью LUKS, дисковое пространство для вм распределяется с помощью LVM
В общем если хочется поизвращаться с безопасностью — Qubes OS к вашим услугам.

AS>Пользовательские вм изолированы друг от друга. Все вм на основе QEMU.

Там же Xen в качестве гипервизора, разве нет?
Т.е. от qemu там разве что виртуальное железо.

AS>В общем если хочется поизвращаться с безопасностью — Qubes OS к вашим услугам.

А как же все эти уязвимости в интеловских CPU, позволявшие в том числе читать память вне "песочницы".
IMHO, решение на VM это для случаев когда ты ограничен одним ПК (ноутбук например).
А в стационарных условиях можно спокойно позволить себе изолированное физ. устройство.

vsb>На мой взгляд надо брать ноутбук и ничего к нему не подключать. Можно даже отключить беспроводные интерфейсы. Если уж параноить, то по-полной. Никакой сети, ни в коем случае.

ноутбук имеет минус в том, что обычно поставляется как целое, несамосборное устройство.
А вдруг там окажется что-то типа неотключаемого микрофона/динамика, сливающего данные на соседние устройства.
Как в современных смартфонах.

Здравствуйте, m2user, Вы писали:

vsb>>На мой взгляд надо брать ноутбук и ничего к нему не подключать. Можно даже отключить беспроводные интерфейсы. Если уж параноить, то по-полной. Никакой сети, ни в коем случае.

M>ноутбук имеет минус в том, что обычно поставляется как целое, несамосборное устройство.
M>А вдруг там окажется что-то типа неотключаемого микрофона/динамика, сливающего данные на соседние устройства.
M>Как в современных смартфонах.

А вдруг на материнский плате окажется микрофон? А вдруг на видеокарте окажется микрофон? )

Микрофон в ноутбуке один. И он управляется операционной системой. При желании ты можешь раскрутить корпус, найти этот микрофон и оторвать его.

Если ты не доверяешь производителю ноутбука, то ты не должен доверять и производителю любого другого компонента своего компьютера. А тут уже ничего практически применимого не получится.

Здравствуйте, m2user, Вы писали:

m> ноутбук имеет минус в том, что обычно поставляется как целое, несамосборное устройство.
m> А вдруг там окажется что-то типа неотключаемого микрофона/динамика, сливающего данные на соседние устройства.
m> Как в современных смартфонах.

Есть ноутбуки позволяющие физически отключить микрофон, камеру и беспроводные интерфейсы. https://puri.sm/products/librem-14/

Здравствуйте, m2user, Вы писали:

M>А как же все эти уязвимости в интеловских CPU, позволявшие в том числе читать память вне "песочницы".

Я уже несколько лет пытаюсь найти конкретные примеры, работающие хотя бы на одном из моих компьютеров. Пока не нашел.

Здравствуйте, vsb, Вы писали:

vsb>На мой взгляд надо брать ноутбук и ничего к нему не подключать. Можно даже отключить беспроводные интерфейсы. Если уж параноить, то по-полной. Никакой сети, ни в коем случае.

Если уж параноить, то можно отдать свой бук на проверку перед использованием. Обученные люди с правильным оборудованием вполне себе такие услуги оказывают. Они же избавят твой аппарат от всего излучающего неправильные радиоволны, а также посмотрят рентгеном на предмет закладок. Недешево, но вполне подъемно это. Особенно, если параноить

R>Есть ноутбуки позволяющие физически отключить микрофон, камеру и беспроводные интерфейсы. https://puri.sm/products/librem-14/

Это предложение из разряда "раскрутить корпус, найти этот микрофон и оторвать его." из предшествующего комментария.
Можно, но проще собрать ПК самому, т.к. требования мобильности у ТС вроже как нет.

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Что именно Вы понимаете под этим термином? Данные, за которые убивают? Калечат? Сажают на десятки лет?

Пароли, которые кейлоггер мог бы перехватить. Номера кредиток. Данные банковских и брокерских счетов.
А что за странный вопрос?

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ> Я уже несколько лет пытаюсь найти конкретные примеры, работающие хотя бы на одном из моих компьютеров. Пока не нашел.

У саомого, поди, микрокод апдейтится постоянно

з.ы. Кажется, даже тут heart bleed воспроизводили, где-то в КСВ.

Здравствуйте, andyp, Вы писали:

vsb>>На мой взгляд надо брать ноутбук и ничего к нему не подключать. Можно даже отключить беспроводные интерфейсы. Если уж параноить, то по-полной. Никакой сети, ни в коем случае.

A>Если уж параноить, то можно отдать свой бук на проверку перед использованием. Обученные люди с правильным оборудованием вполне себе такие услуги оказывают. Они же избавят твой аппарат от всего излучающего неправильные радиоволны, а также посмотрят рентгеном на предмет закладок. Недешево, но вполне подъемно это. Особенно, если параноить

Или поставят свои закладки )

Здравствуйте, Codealot, Вы писали:

C>А что за странный вопрос?

Вопрос в том, насколько отдельный "защищенный" компьютер снижает вероятность последствий, которые Вы рассчитываете предотвратить с его помощью. Если, например, собираетесь хранить в нем компромат на серьезных людей, то к Вам с той же вероятностью придут и при единственном компьютере. А если Ваш основной компьютер защищен с разумной степенью заботы, и ценность хранимых на нем сведений не окупает целенаправленной атаки, то вероятность хищения опять же [почти] не меняется при добавлении второго.

Отдельный компьютер имеет смысл, если на основном бардак и бесконтрольность, белый IP с прямым подключением, автоматическое открывание почтовых вложений, и подобное.

Здравствуйте, rudzuk, Вы писали:

R>У саомого, поди, микрокод апдейтится постоянно

Вообще не апдейтится. Я как-то давно сдуру поставил какой-то microcode update от Intel, а потом снес его вместе с драйверами Intel ME.

R>Кажется, даже тут heart bleed воспроизводили, где-то в КСВ.

Про это не в курсе, а после паники с Meltdown/Spectre я уже с десяток раз просил в разных форумах дать ссылку на реально работающий пример. Всё, что удалось найти, у меня работает не лучше случайного угадывания.

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Отдельный компьютер имеет смысл, если на основном бардак и бесконтрольность, белый IP с прямым подключением, автоматическое открывание почтовых вложений, и подобное.

И вероятность того, что ни одна скачанная и поставленная тобой софтина имеет бэкдор или просто уязвимость равна нулю.
Особенно сейчас, когда каждый говнодевелопер считает обязательным ставить обновления автоматически.

Здравствуйте, vsb, Вы писали:

vsb>Если ты не доверяешь производителю ноутбука, то ты не должен доверять и производителю любого другого компонента своего компьютера.

Я бы предложил начать с недоверия сотрудникам банков (и эмитента, и эквайеров), сотового оператора, МВД, ГосУслуг, всех торговых точек, где используется физическая карта, всех сайтов, где вводятся реквизиты карты, разработчикам мессенджеров и т.п.

Здравствуйте, vsb, Вы писали:

vsb>Или поставят свои закладки )

Кто будет сторожить сторожей. Особенно когда точно известно, что на этом конкретном ноуте будут серьезные ценности.

Здравствуйте, vsb, Вы писали:

vsb>Микрофон в ноутбуке один.

Мой протестует — в нем их два.

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Я бы предложил начать с недоверия сотрудникам банков (и эмитента, и эквайеров)

Этим в случае серьезных косяков можно зажать яйца в тиски.

ЕМ>сотового оператора, МВД, ГосУслуг

На самом деле да, хотя там хоть какой-то контроль должен быть. В любом случае, моих платежных данных у них нет.

ЕМ>всех торговых точек, где используется физическая карта, всех сайтов, где вводятся реквизиты карты

Вот этим совершенно точно нельзя доверять. Особенно сайты. Настоятельно рекомендуется использовать виртуальные карты.

Здравствуйте, Codealot, Вы писали:

C>вероятность того, что ни одна скачанная и поставленная тобой софтина имеет бэкдор или просто уязвимость равна нулю.

Нулю — не равна, но у каждого вероятность своя. Зависит от частоты использования нового софта, тщательности его выбора, наличия проверок сканерами/мониторами и т.п.

C>Особенно сейчас, когда каждый говнодевелопер считает обязательным ставить обновления автоматически.

"Съесть-то он съест, да кто ж ему даст". Я, например, даю доступ к сети только тому софту, который предназначен для работы с сетью, а софта, который хочет обновляться принудительно, вообще не использую.

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Нулю — не равна, но у каждого вероятность своя. Зависит от частоты использования нового софта, тщательности его выбора, наличия проверок сканерами/мониторами и т.п.

Хоть запроверяйся, но всегда есть вероятность, что разработчику какой-нибудь софтины надоест зарабатывать 50 килобаксов в год и он решит завязать с эти делом, напоследок срубив бабла по крупному.

ЕМ>"Съесть-то он съест, да кто ж ему даст". Я, например, даю доступ к сети только тому софту, который предназначен для работы с сетью, а софта, который хочет обновляться принудительно, вообще не использую.

Никакие браузеры тоже не используешь?

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ> R>У саомого, поди, микрокод апдейтится постоянно

ЕМ> Вообще не апдейтится. Я как-то давно сдуру поставил какой-то microcode update от Intel, а потом снес его вместе с драйверами Intel ME.

Оно в составе обновлений ОС приходит.

Здравствуйте, Codealot, Вы писали:

C>всегда есть вероятность, что разработчику какой-нибудь софтины надоест зарабатывать 50 килобаксов в год и он решит завязать с эти делом, напоследок срубив бабла по крупному.

То есть, Вы уже приняли все возможные меры на тот случай, если подобная перемена случится с кем-то из Ваших близких, друзей, коллег, соседей?

C>Никакие браузеры тоже не используешь?

Использую, конечно. А Вы, как я понял, полностью завязали с онлайн-оплатой?

Здравствуйте, rudzuk, Вы писали:

R>Оно в составе обновлений ОС приходит.

Кому-то, наверное, приходит.

Здравствуйте, vsb, Вы писали:



A>>Если уж параноить, то можно отдать свой бук на проверку перед использованием. Обученные люди с правильным оборудованием вполне себе такие услуги оказывают. Они же избавят твой аппарат от всего излучающего неправильные радиоволны, а также посмотрят рентгеном на предмет закладок. Недешево, но вполне подъемно это. Особенно, если параноить

vsb>Или поставят свои закладки )

За которые ты всегда сможешь предъявить например в суде, имея бумажку о проверке.

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>То есть, Вы уже приняли все возможные меры на тот случай, если подобная перемена случится с кем-то из Ваших близких, друзей, коллег, соседей?

Ход мысли у тебя крайне странный.

ЕМ>Использую, конечно. А Вы, как я понял, полностью завязали с онлайн-оплатой?

"а софта, который хочет обновляться принудительно, вообще не использую"
Это кто написал?

Здравствуйте, andyp, Вы писали:

A>За которые ты всегда сможешь предъявить например в суде, имея бумажку о проверке.

А может, их кто-то уже потом установил.

Здравствуйте, Codealot, Вы писали:

C>А может, их кто-то уже потом установил.

Так не выйдет. Тебе его опечатанным вернут.

Здравствуйте, andyp, Вы писали:

A>Так не выйдет. Тебе его опечатанным вернут.

А печать, конечно, подделать нельзя.

Здравствуйте, Codealot, Вы писали:

C>А печать, конечно, подделать нельзя.

Сложно. Это голографическая наклейка на тонкой пленке. Сразу будет понятно, что вскрывали. Оно и по жизни полезно — всегда будешь уверен, что в твой аппарат без тебя не влезали. Мы ж все ещё о паранойе говорим?

Здравствуйте, andyp, Вы писали:

A>Сложно. Это голографическая наклейка на тонкой пленке. Сразу будет понятно, что вскрывали. Оно и по жизни полезно — всегда будешь уверен, что в твой аппарат без тебя не влезали. Мы ж все ещё о паранойе говорим?

Можно подумать, такие вещи когда-то останавливали по настоящему упорных злоумышленников. А когда речь идет потенциально о сотнях мегабаксов, то можно и поднапрячься.
Или еще лучше. Сотрудники возвращают ноут, и сами ставят на нем печать "с признаками манипуляции". Юзер ничего не заметит. А потом, если что, экспертиза покажет, что печать была нарушена. Наверняка неизвестными злоумышленниками.

Здравствуйте, Codealot, Вы писали:

C>Можно подумать, такие вещи когда-то останавливали по настоящему упорных злоумышленников. А когда речь идет потенциально о сотнях мегабаксов, то можно и поднапрячься.
C>Или еще лучше. Сотрудники возвращают ноут, и сами ставят на нем печать "с признаками манипуляции". Юзер ничего не заметит. А потом, если что, экспертиза покажет, что печать была нарушена. Наверняка неизвестными злоумышленниками.

Блин, у всех технических мер есть предел. И тем не менее, я вполне себе жизненный и используемый комплекс мер тебе предлагаю. Если разговор о сотнях мегабаксов, то построй вокруг этого бука здание с соответствующим режимом доступа

Здравствуйте, andyp, Вы писали:

A>И тем не менее, я вполне себе жизненный и используемый комплекс мер тебе предлагаю.

Используемый — да. А насколько действенный, на самом деле?
Просто интересно.

Здравствуйте, Codealot, Вы писали:

C>Используемый — да. А насколько действенный, на самом деле?
C>Просто интересно.

Ну если железка находится не на улице и доступ на длительное время посторонних лиц к ней ограничен, если конторе ты хотя бы немного доверяешь неизвестен конечный получатель устройства, если буков ты на проверку отдаешь штук десять, а пользуешься потом одним на выбор, а остальные у тебя годами на полочке лежат до лучших времен...

Здравствуйте, m2user, Вы писали:

AS>>В общем если хочется поизвращаться с безопасностью — Qubes OS к вашим услугам.

M>А как же все эти уязвимости в интеловских CPU, позволявшие в том числе читать память вне "песочницы".

Вне песочницы, но все же замапленную в адресное пространство задачи. Пусть даже без явно открытых прав на чтение.

Мое представление о сегодняшнем состоянии дел таково:
1. все свое адресное пространство можно прочитать. Даже куски, которые в него замаплены без права на чтение. Даже из JS в бровсере.
2. две сговорившиеся между собой программы найдут способ обмениваться данными, даже если это им запрещено. Даже если они обе — JS в разных закладках/окнах бровсера

Но при этом данные невзломанной программы, которая не делит с кем-то адресное пространство, защитить впомне возможно.

M>IMHO, решение на VM это для случаев когда ты ограничен одним ПК (ноутбук например).
M>А в стационарных условиях можно спокойно позволить себе изолированное физ. устройство.

В стационарных условиях две сговорившиеся между собой программы завсегда найдут способ обмена данными, даже если они на физически разных машинах работают.

M>IMHO, решение на VM это для случаев когда ты ограничен одним ПК (ноутбук например).
M>А в стационарных условиях можно спокойно позволить себе изолированное физ. устройство.
Если приедет маски-шоу, то про существование VM (одной из множества) теоретически можно не сказать, а отдельный комп вызовет пристальный интерес термокриптоаналитиков.

Здравствуйте, Codealot, Вы писали:

C>Возникла такая мысль. Купить мини-комп, хранить там отдельно от основного компа особо важные данные и установить на нем софт, который имеет доступ к таким данным.
C>Какие здесь могут быть подводные камни?
C>Собственно, как к нему подключаться? Через KVM — надежнее всего, но гемор. Через RDP — а надежно ли? Есть еще варианты?

Чем сильнее заизолируешь, тем менее удобно будет пользоваться. Довольно изолированный и неудобный вариант — тетрадка с ручкой. Нет ничего лучше каллиграфии гуидов.

Pzz>В стационарных условиях две сговорившиеся между собой программы завсегда найдут способ обмена данными, даже если они на физически разных машинах работают.

Это как?

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>"Съесть-то он съест, да кто ж ему даст". Я, например, даю доступ к сети только тому софту, который предназначен для работы с сетью, а софта, который хочет обновляться принудительно, вообще не использую.
Не, я устал бороться. Да и глупо же. С широкополосным все страх потеряли.
Брандмауер, как мондавошка, бдит и всех обламывает. Даже меня, когда забываю про него.

Здравствуйте, akasoft, Вы писали:

A>Брандмауер, как мондавошка, бдит и всех обламывает. Даже меня, когда забываю про него.

Это его работа — обламывать все, что не было вдумчиво добавлено в правила. Даже когда для софта, который я планирую допускать до сети, вылезает стандартный системный запрос "приложение хочет в сеть, пустить?", я отказываюсь, и добавляю правила вручную, чтоб не давать лишнего.