[vpsFree.cz: community-list] Bez Hostovani ARM & RISC-V & dalsich desek

Thu Apr 26 14:56:27 CEST 2018

Ahoj,
mě to celkem zaujalo :-)
Akorát to podle mě ze strany tvojí a několika dalších co k tomu HW mají
fyzický přístup zvedne vytíženost, protože pokud jsem dobře pochopil, v
případě že to spadne, mám smůlu, že?
Jinak prostorem si myslel donesení si vlastního disku (v rámci toho
plusového členství), nebo prostor na NASu?
Díky,

S pozdravem,

*Martin Myška*

Email: martin at martinmyska.cz
Tel.: +420 777 885 138 <777885138>
Web: www.martinmyska.cz <http://martinmyska.cz/>

Specialista na redakční systémy.
Programátor na volné noze.

Dne 26. dubna 2018 14:41 Ondrej.Flidr <Ondrej.Flidr at seznam.cz> napsal(a):

> Hoj,
> napad je to hezky. Pro me sice ne az tak zajimave (nepracuju na VPSFree s
> datama, ktery by musely mit takovejhle stupen ochrany), nicmene dovedu si
> predstavit usecase, kdy se to vyuzije.
>
> OF
>
> ---------- Původní e-mail ----------
> Od: Pavel Snajdr <snajpa at snajpa.net>
> Komu: community-list at lists.vpsfree.cz
> Datum: 26. 4. 2018 14:18:39
> Předmět: [vpsFree.cz: community-list] Bez Hostovani ARM & RISC-V & dalsich
> desek
>
> Ahojte,
>
> od zacatku roku bojujeme spolu se vsemi ostatnimi, co chteji sdilet
> vykonne masiny, se zranitelnostmi procesoru.
>
> Blizici se GDPR (na ktere uz konecne pripravujeme smernici, btw) a
> celkove stav kyberprostoru myslim pro ty z nas, co si ceni soukromi vic,
> znamena neklidny spanek.
>
> Spectre a Meltdown mame softwarove workaroundnute, po par mesicich boje,
> uff.
>
> Branchscope? Zatim ani naznak reseni, to zas pristane do upstreamu jeden
> fajny patch a pak budeme vymyslet backporty na vsechno mozne, ze...
>
> No. Jake to ma reseni?
>
> Pokud nemuzu pro citliva data v RAM v kazdy moment 100.0% verit, ze se
> na ne nemuze divat nekdo jiny, nepomuze ani sifrovani, protoze staci
> najit v dumpu sifrovaci klice a je to.
>
> Resenim je tedy mit svoji RAM pod kontrolou.
>
> Jak na to?
>
> Virtualizace? Kde ze, napr. Spectrem prolezete i pres ni.
>
> Jediny, co mne napadlo, je dat clenum moznost mit ciste svoji RAM pro
> sebe, pro citliva data.
>
> Tedy, kdo mate potrebu realne chranit nejake zaznamy, dostanete moznost
> mit tu ci onu databazi na samostatnem pocitaci, na ktery nema primy
> pristup nikdo jiny.
>
> Jak?
>
> Zaciname varit hardware, ktery bude fungovat jako podpurny management
> pro jednodeskove pocitace, ktere si:
>
> - donesete sami a my je umistime do datacentra
> - nakoupime spolecne hromadne
>
> Ja mam vysoke standardy a tak muzu rict, ze mi Rasberry Pi stacit
> nebude, ani trojka (za mne moc pomale, no).
>
> Cortex-A53 s 1 GB LPDDR2 RAM mi prijde OK tak pro testovani a hrani si s
> takovou "secure enklavou", nebo pro uplne nekriticke pouziti; ja bych
> osobne uvital vykonnejsi desky s vice RAM.
>
> Moje uvaha je, ze kdyz budu mit kombo CPU a RAM pro sebe, mam vcelku pod
> kontrolou, jestli se mi z te moji enklavy da vyladovat data nejakou
> zranitelnosti v CPU.
>
> Ale nechtel bych behat do datacentra menit SD karty - bohuzel, vetsina
> desek bootovat ze site naprimo neumi; u nekterych se PXE-bootovat da
> pomoci chainloadu z u-bootu z SD karty, ale taky ne u vsech.
>
> Ja bych chtel mit storage zalohovany a na nejakem solidnejsim ulozisti,
> nez je SD karta. Proto v Base48 startujeme projekt HW emulatoru SD karty
> & managementu SBCs (napisu mail behem par dni, o co jde). S tim se taky
> sveze podpora power on/off, resetu a serioveho portu pro remote consoli.
>
> Zaroven s tim jeste resime sifrovani remote konzole, protoze pokud mam
> mit data na cizim ulozisti, budu je sifrovat - a nejak musim v pripade
> rebootu/vypadku napajeni dodat klic k tomu pocitaci tak, abych te ceste
> mohl verit. Pravdepodobne to bude obnaset fyzickou navstevu v nekterem z
> hackerspaces po republice, abyste zanesli nejaky svuj klic/heslo na
> hardwarovy token, ktery bude pouzivan k sifrovane komunikaci s
> management deskou - aby nebylo mozne precist klic k sifrovanym diskum po
> ceste, kdyz ho do toho pocitace budete zadavat.
>
> Chteli bychom management "secure enklav" zaintegrovat do vpsAdminu, aby
> se dalo:
> - tomu systemu pristoupit na konzoli pri odrezani se
> - zapnout/vypnout "natvrdo"
> - ale taky vymenit "virtualni SD kartu"
> - udelat snapshot, obnovit ze zalohy
> - pripadne SD kartu zpristupnit do nektereho z kontejneru na x86
> infrastrukture a oddebugovat si to pod QEMU
>
> Co se tyce "BYOD", tedy "dones si svoje zarizeni", pozadavky budou:
>
> - rozumna spotreba a rozmery (5V napajeni, rozmery max okolo rozmeru
> 3.5" pevneho disku)
> - microSD/SD slot z ktereho se bootuje (pripadne boot ze site bez
> potreby SD karty je taky v poho)
> - 1/2 ethernety (1000/100/10M)
>
> No a co se tyce hromadnejsiho sehnani HW:
>
> - chtel bych, abychom meli aspon par desek RISC-V a mohli to zpristupnit
> tem, kteri na tom potrebuji odladit open-source balicek a podobne
> -> kdo budete chtit RISC-V pro sebe, muzete se pridat
>
> - potom bych chtel rozumne ARMv8 (64bit) desky s aspon 4 GB RAM (zatim
> je muj favorit SoC RK3399)
>
> - nejaky pool Raspberrycek asi taky neuskodi
>
> A co mne laka uplne nejvic, cela open-source komunita by tak mela
> moznost si umistit nekam HW, ktery muze delat dokola automatizovane
> testovani software na tech deskach, protoze:
>
> 1. reset
> 2. remote storage
> 3. remote console
> 4. remote GPIO
> 5. to cele vzdalene pres API/CLI
>
> Predstavy o clenskych prispevcich jeste uplne nemam, ale cilim to tak,
> ze jedna deska by znamenala maximalne cca standardni clensky prispevek
> (tj. 300/mes) a budto v tom bude nejakej defaultni Rasp Pi a XYZ GB
> storage, nebo si prinesete svoji desku a budete k tomu pak mit storage o
> ABC GB navic oproti prvni variante.
>
> Kdo jste docetl az sem a koho to zaujalo, prosim?
>
> Ozvete se s feedbackem. Hodil by se lepsi nazev, nez "secure enclave",
> protoze to uz ma hodne dlouho moc jablecny zavan :)
>
> Diky za reakce,
>
> /snajpa
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20180426/4f500811/attachment-0001.html>