Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 53
progorodsamara.ru/news/view/samarec-licno-podaril-svou-beskonecnuu-flesku-dmitriu-medvedevu
"У меня не получилось": российской "бесконечной флэшки" больше не будет
Создатель проекта, который подарил флэшку Медведеву, признал, что не всегда принимал правильные решения
Самарский изобретатель, Алексей Чуркин объявил о закрытии стартапа Flashsafe. "Бесконечную флэшку" он пытался вместе со своей командой раскрутить три года, но признал, что не достиг успеха и больше не может соревноваться с облачными платформами крупных IT-гигантов. Свой стартап - флешку, которая предоставляла доступ к зашифрованным обалчным хранилищам данных - самарский предприниматель презентовал и Президенту Владимиру Путину, и председателю Правительства РФ Дмитрию Медведеву.
Момент был упущен, я признаю что сам во всем виноват, нужно было уделять больше внимания команде, быть скромнее, и не принимать не верные кадровые решения, поэтому прошу у всех прощения за свои действия, - написал Алексей Чуркин на странице своего проекта. И рассказал всю историю борьбы за рынок хранения информации.
Теперь Алексей намерен взяться за новые проекты. В течение долгого времени он жил в США, но теперь намерен стать полезным у себя на Родине.
ничего личного - но уже было
Но я не предлагаю стартап и тем более через госструктуры )
Это так, пятничное...
доступ к зашифрованным обалчным хранилищам данных
Интересные хранилища и презентованы верно.
usb-ключ был этой безлим-флэшекой
Ключ тоже алчный с подпиской?
ЗЫ, вроде у героя новости с обалчными хранилищами все сложилось, если не ошибся с тезкой, так что https://habr.com/ru/companies/oleg-bunin/articles/903552/
ничто так не выдавало бывшего freebsd-шника как пути вида /usr/local/bin
если вы зануляете хистори, то все равно спалитесь на заходе по ssh, его историю входов тоже надо занулять
О, это отдельная история, почему есть /bin, /usr/bin и /usr/local/bin, надо будет как-нибудь написать )
та уже нету истории, точнее ушло в аналы истории. если раньше был FHS, то с выходом systemd все развалилось и стандарт стал неактуальным. и не то чтобы в линуксе его сильно соблюдали и ранее
надо будет как-нибудь написать
Вот именно.
Только с поправкой - сейчас как раз на практике сталкиваюсь со случаем, когда это разделение не просто дань традиции, но и может иметь практический смысл: снова у аппаратного сервера ограничение по размеру диска (emmc), и дополнительное дисковое пространство можно примонтировать в usr, но и сохранить специфичный для данного девайса софт в /usr/local
Старинные костыли снова пригодились
Ну почему только freebsd-шника? В старом линуксе вполне себе /usr/local/* популярен был, да и сейчас я его использую (пример с домашнего нано-сервера под дебианом):
$ du -sh /usr/local/*
104K /usr/local/bin
160K /usr/local/etc
4.0K /usr/local/games
4.0K /usr/local/include
160K /usr/local/lib
0 /usr/local/man
4.0K /usr/local/sbin
3.0M /usr/local/share
3.1M /usr/local/src
А против лишней истории ещё полезно в /etc/fstab добавить
tmpfs /var/log tmpfs size=128m,rw,nodev,noexec,nosuid,auto 0 1
В старом линуксе вполне себе /usr/local/*
ух ты. чекнул на бубунте 24, и вправду живое.
А против лишней истории ещё полезно в /etc/fstab добавить
ну тут палка о 2х концах. если у вас ооо с 1.5 человеками и вы занимаетесь этим или льете логи в сием с большой компанией, ИБ и вот это все.
Да я не о том, что оно «живое» (то есть формально существует) в некоем дистрибутиве — а что я его реально использую! В /usr/local/src разворачиваю и собираю софт, которого нет в дистрибутиве (или мне нужна более свежая версия, я сижу на дебиане oldstable и иногда oldoldstable); плюс в /usr/local/[s]bin ложатся всякие специфичные для сайта скрипты.
А про палку о двух концах — вроде как предполагается, что если человек использует загрузочную флешку с монтированием в далёко и под шифром, то тут речь не идёт о логах в SIEM (не говоря уже о корпоративной ИБ).
Если в качестве транспорта используется ссш, то почему просто не использовать ссшфс?
Потому что тут разделение: чтобы получить доступ к данным нужен доступ к серверу (физический или ссш) И доступ к паролю шифрования luks. Одного недостаточно.
Использование sshfs или других видов сетевого монтирования каталогов исключает один из элементов, т.е. получив доступ к серверу получаем и доступ к данным сразу. Что в случае физически неподконтрольного сервера неприемлемо - по условию задачи информация не должна попасть не в те руки (админам сервера тоже нельзя).
Ну и ограничение по каналу связи, так то это может быть не ssh, а что-нибудь другое
Если сервер вам неподконтролен, то админы могут подменить люой бинарник, что поможет им узнать пароль от вашего крипто контейнера.
Как именно?
ISCSI пробрасывает работу на уровне блоков, пароль и шифрование находятся вне этого уровня.
С тем же успехом можно просто прочитать файл образа и вскрыть его. Или не вскрыть...
Да, вы правы. Но тогда возникает вопрос почему нельзя использовать encfs поверх sshfs? Тогда тоже все шифрование происходит на стороне клиента, сервер хранит только зашифрованные данные.
Почему нельзя - можно. Если они дружат друг с другом, почему бы и нет?
в моих условиях мне работа подмаунченого sshfs не понравилась: почему то при первом старте любила подвисать, причем на двух разных хостах. вангую потому что ssh тротлят с известными целями известно кто. при этом вопрос секукрности у меня полностью противоположный: хост доверенный, а клиент нет - т.е. на нем ключевая информация нежелательна
От старого доброго паяльника в известное всем место ничего не поможет
в качестве транспорта используется ссш
кстати не обязательно, существуют и другие способы порты пробросить, можно даже не шибко секурные
ну отформатируй флешку в fat32 и сделай sudo cryptsetup luksFormat --offset 30000 /dev/sdb
неплохо, но ненадежно:
-- флешка остается "в заложниках", т.е. вы уже никак не можете повлиять на ее уничтожение и запретить исследование
-- есть такая штука binwalk:
dd if=/dev/sdb of=to_analyze.img
binwalk to_analyze.img
-----
30000 luksHeader....
А потом ректальный криптоанализ...
Ну и размер ограничен размером флешки минус 30000, минус ОС (или придется читать ее на стационарном компьютере, оставляя логи, историю команд, и т.д.)
Тонкий клиент? RDP/VNC? ❌
Сервер iSCSI ✅
Ничто так не бесит, как задержка реакции интерфейса.
Это файл может тянуться со скоростью 45 кбит/сек, но реакция на кнопки должна быть мгновенной. А не как у тонкого клиента... )
Ничто не бесит, как превознемогание придуманных проблем.
Я начал пользоваться RDP по ISDN связи, мы сидели с кучей банковских работников на одном канале в 128 килобит. В среднем на клиента было 6-8 кбит. Никаких особых тормозов не было. Обслуживал банкоматы по VNC по области. Но это всё лирика, так как задача не в том чтобы удаленно подключаться, а чтобы при появлении маски-шоу мгновенно отключиться от данных. Сделайте кнопку выключения на стуле, если вы встаёте тонкий клиент обесточивается. Вы даже с поднятыми руками это сделать сможете. Плюс это решение универсальное и не требует абсолютно никаких знаний. Так что RDP решает эту проблему универсально и очень просто.
По условию задачи не решает: данные на сервере доступны посторонним. Ещё и заботливо открыты для просмотра.
Ну и тормозной интерфейс бесит, это я уже говорил. Понимаю, у всех свое понятие "тормозной", но rdp бесит даже когда компьютеры в одной сети, через один свич, постоянные задержки прорисовок, это пипец какой-то.
Время отклика, критическое для восприятия - 200мс, если больше то нужно продумывать интерфейс так, чтобы это было органично и незаметно, в фоне. Графические окна к этому не относятся
По условию задачи не решает: данные на сервере доступны посторонним. Ещё и заботливо открыты для просмотра.
Это каким таким образом?
Ну и тормозной интерфейс бесит, это я уже говорил
Да плевать что там вас бесит ))))) это не является условием задачи.
но rdp бесит даже когда компьютеры в одной сети, через один свич, постоянные задержки прорисовок, это пипец какой-то.
Ну зная вашу специфическую "любовь" к странным аппаратным решениям могу сказать что вы просто не умеете готовить RDP. Он очень быстрый даже на килобитных сетях, что уж говорить про 100-мегабитную или гигабитную сеть.
Время отклика, критическое для восприятия - 200мс, если больше то нужно продумывать интерфейс так, чтобы это было органично и незаметно, в фоне. Графические окна к этому не относятся
Это не ваша тема, вы никогда не работали с RDP профессионально и я ваше мнение не беру в расчёт. Какая-то голимая субъективщина. В локалке RDP работает так что если развернуть окно на весь экран заметить что вы работаете на другой машине будет весьма проблематично. Видео с ютуба можно смотреть, да, fps будет низковат, но rdp и не для этого создан. А интерфейс рисуется в лёт, там же оптимизации для пересылки интерфейса.
вы никогда не работали с RDP профессионально и я ваше мнение не беру в расчёт. Какая-то голимая субъективщина
Who care?
Это моя задача и моё ее решение )
Нравится RDP - устанавливайте и наслаждайтесь, мне-то что?
На мой субьективный взгляд - очень тормозное поведение интерфейса, для кого-то другого - вполне приемлемо, а для вас так и вообще очень быстро.
Это каким таким образом?
Подумайте.
Who care?
Ну когда человек пишет о том, в чем он не разбирается, это как минимум должно волновать его самого.
Это моя задача и моё ее решение )
Вы написали о задаче и её решении публично. После этого вашу задачу могут решать другие и другими способами, вы на это повлиять не можете. Ваше решение сложнее RDP, тем более у вас абсолютно никак не учитывается случай когда вашим устройством завладел посторонний. Пустили газ в комнату, ваш чел уснул, всё, и данные и настройки всё будет у вошедшего.
Нравится RDP - устанавливайте и наслаждайтесь, мне-то что?
Вам - ничего, я вашего мнения даже не спрашиваю, оно мне не требуется.
На мой субьективный взгляд - очень тормозное поведение интерфейса
То есть KDE крутить с iSCSI диска за 200 км это "не тормозно", а RDP - это тормозно? Вы понимаете что RDP - это специализированный протокол именно оптимизированный для передачи интерфейса по каналам связи? Всё администрирование винды с 90-х и до сегодня висит на этом протоколе. А лет 15 как (может и больше) он же используется для работы с виртуальными ОС средствами гипервизора. Там вообще нет никаких тормозов при адекватных каналах связи и там не требуется гигабит. Например я на работе одновременно открывал до сотни RDP сессий (настройка и тестирование компьютерных классов в универе, 56 классов по 16 машин) и никаких тормозов абсолютно, работает так же как на локальной машине. Вы просто не понимаете что это и как оно работает, но мнение имеете. Смешной вы.
Люди почти 30 лет сидят в RDP сессиях и работу свою выполняют, а у нонейма в интернете это оказывается тормозно XD
А какие оптимизации у вашего хоста для подключенного iSCSI диска для такого рода использования? KDE поймёт что она работает через медленное соединение? Она будет кешировать интерфейс в ОЗУ? А если у вас связь 128 килобит, а сама KDE 200 мегов весит, для запуска сколько времени потребуется? Считали? Это не тормозно вы считаете? Обычный HDD это 1 гигабит, сегодня работа с обычного HDD считается достаточно тормозной, используют SSD, а вы хотите через интернет в 100 мегабит, то есть в 10 раз медленнее работать. Вы в своем уме?
Подумайте.
У меня дурацкая привычка с детства, я сначала думаю - а потом говорю/пишу. Если вы не знаете как работает RDP и почему оно как минимум такое же по надежности как и ваше решение, то не позорьтесь и не пишите ерунды.
PS: и зачем стирать вашу "флешку" если вы якобы сделали безопасное подключение?
Способов как обезопасить RDP только административными методами могу вам придумать с десяток. Быстрая скорость работы, почти полная защита от маски-шоу. Узким местом будет туннель VPN, если его взломают на стороне провайдера, то будет плохо.
Вы опять спорите с теми тезисами, которые сами и придумали.
Для того чтобы сказать "мне не нравится скорость работы rdp" не требуется разбираться в тонкостях работы rdp, достаточно видеть как это работает и испытывать дискомфорт от жутких тормозов. При этом для кого-то - "даже быстро".
Ваша идея с усыпляющий газом прекрасна - вот только если чел уснул перед незаблокированным экраном - какая уже разница, какое там было техническое решение? Он уснул.
Непонятно, зачем крутить kde с диска. Потому что зачем именно kde, и во-вторых уже один раз загруженное находится в памяти и не требует его загружать снова. Ну, если это не какойто программный монстр с автоподкачкой.
Вы говорите что 30 лет в классах компьютеры настраиваете - это больше говорит о вашей работе и объясняет ваш характер, но совершенно не обьясняет, почему мне должно нравиться, как rdp работает с интерфейсом.
Вы охотно упихиваете "kde" в 128 килобит - что ж, упихайте туда же и rdp. Это будет кровь из глаз - хотя опять же, некоторым даже быстро.
Более того, я такое даже вживую видел: если слышали когда-нибудь про "модемы для витой пары" с интерфейсом rs232 на 115200, с дальностью до 10 км. Я с этим работал когда-то. Не думаю, что 128 сильно быстрее 115. Но там и удаленный диск подключать будет весело.
И самое главное - вы начинаете спорить даже не поняв о чем написано. Ещё раз: сервер не безопасен - это условие. Если у вас там находится что-то не для всех - то хоть там rdp, хоть там kde, диск уже в руках людей, которые могут изучать его побитово, подменять бинарники, внедрять кейлогеры и всячески развлекаться. Способ вашего подключения к интерфейсу тут не имеет никакой роли.
Кроме случая, когда зашифрованный диск расшифровывается не на этом сервере - и это как раз iscsi. У них только шифрованные блоки.
Но вы не разобрались, вы сразу решили что вариант студента плохой, а ваш правильный )
Для того чтобы сказать "мне не нравится скорость работы rdp" не требуется разбираться в тонкостях работы rdp, достаточно видеть как это работает и испытывать дискомфорт от жутких тормозов
Никаких тормозов просто не существует, если у вас тормозит RDP то iSCSI там так же будет работать в час по чайной ложке, потому что ВНИМАНИЕ! и там и там скорость доступа будет зависеть от скорости в сети. Только если RDP будет оперировать обновлением сегментов экрана, то для нормальной работы iSCSI вам нужна будет такая ширина канала чтобы пропихнуть в него сами данные. То есть при работе например с файлом в 1 гигабайт, вам придется этот гиги ворочать туда-сюда, а по RDP вам всё равно какого размера данные.
Ваша идея с усыпляющий газом прекрасна - вот только если чел уснул перед незаблокированным экраном - какая уже разница, какое там было техническое решение? Он уснул.
То есть по основной теме вам сказать нечего будем ломиться в отвлеченные? Я вам могу накидать 100500 идей, со всеми будет превознемогать? Вы бы тему статьи сначала забороли.
Непонятно, зачем крутить kde с диска
Это вы у себя спросите, не я же это предлагаю делать, цитирую:
Теперь на флешку можно устанавливать что угодно: DE, Гном или Кеды, хранить гигабайты документов и так далее
и во-вторых уже один раз загруженное находится в памяти и не требует его загружать снова
У вас терабайт ОЗУ? Вы так страдаете от тормознутости RDP но готовы ждать пока у вас весь терабайт прогрузится в ОЗУ из интернета? Ну на вашей любимой скорости в 100 мегабит, так тяжело доставшиеся вам в вашей глуши, вы терабайт будете скачивать сутки.
То есть решение ваше мягко говоря нифига не универсальное и терабайт вы ляпнули просто так, так ведь? И кеды никто на такой диск ставить не будет просто так. Аааа, вы придумали систему для работы с двумя текстовыми файлами по 20 байт каждый? Ну тогда да - отличное решение.
Вы говорите что 30 лет в классах компьютеры настраиваете
Нигде я такое не говорю фантазёр вы наш.
это больше говорит о вашей работе
Аааа, не могу по теме ничего внятного сказать - примусь перемывать кости собеседника? Отличный ход, вот он как раз о вас всё и говорит что нужно.
но совершенно не обьясняет, почему мне должно нравиться, как rdp работает с интерфейсом.
А кто хоть где-то упоминает что-то о том что RDP вам должно нравиться? Это просто протокол, вы или пользуетесь понимая зачем это вам или не пользуетесь. Выбирать вам. Только писать чушь про его тормознутость без понимания его работы - это вот немножечко бред.
Вы охотно упихиваете "kde" в 128 килобит - что ж, упихайте туда же и rdp. Это будет кровь из глаз - хотя опять же, некоторым даже быстро.
2006 год, ADSL 64 кбит, 4 рабочих места, Windows 2000 Pro, по 16 килобит на клиента. Работают с банковским ПО даже побыстрее чем у себ локально, так как работают на сервере. Чтобы не тормозило RDP достаточно чтобы пинг был стабильный меньше 200 мс. У нас в основном 30-50 мс был. При работе в 1000-2000 мс был лаг, не ТОРМОЗА, а лаг, когда вы нажимаете сейчас, а результат видите через 1-2 секунды. Такой же лаг например у вас будет от работы с SQL сервером 1С, ИБСО, РБС, особенно если вы клиент большой системы, например Золотая Корона.
Более того, я такое даже вживую видел: если слышали когда-нибудь про "модемы для витой пары" с интерфейсом rs232 на 115200, с дальностью до 10 км. Я с этим работал когда-то. Не думаю, что 128 сильно быстрее 115. Но там и удаленный диск подключать будет весело.
у вас в целом специфичные взгляды на скорости, то вы диски по USB к коробочке подключаете и вам там скорости не нужны, то тут вам всё тормозит и диски у вас на 115 весёлые. У нас вот на заводе по медной паре через внутреннюю АТС работали модемы для удаленных цехов всего на 1.5 км, скорость 128К, мы этих товарищей и в домен ввели и к общей папке завода подключили и печатали они файлики сразу в "управление" чтобы им принтер не ставить. И, о боже, у них при этом и интернет работал. А чуть позже мы к этим трём рабочим местам подключили еще и кладовщицу, а она по RDP сидела в 1C и, о ужас, нормально работала. Фантастика. Вот сяду в машину времени, улечу в 2013 год и расскажу им про кровь в глазах.
Ещё раз: сервер не безопасен - это условие
И в какой части поста об этом написано? Я вот читаю и вижу только что локально ничего не должно храниться, но удаленная сессия этому условию удовлетворяет.
Еще у вас написано - "выдернуть флешку", это действие, которое нужно явно проработать, чтобы не получилось как с тем "уснул". Для ситуации с RDP достаточно отключить питание от тонкого клиента. Вы же пишете про какие-то окна, пользователей, Ctrl+C - зачем это? Ведь можно просто выключить комп.
Если у вас там находится что-то не для всех - то хоть там rdp, хоть там kde, диск уже в руках людей, которые могут изучать его побитово, подменять бинарники, внедрять кейлогеры и всячески развлекаться. Способ вашего подключения к интерфейсу тут не имеет никакой роли.
Вот здрасте. Как наличие в руках тонкого клиента компрометирует данные? Никак. Это просто пустая коробка. У них есть CF карта на котором мини-линукс и который только и умеет что запрашивать у вас имя сервера для подключения. Вы можете его хоть побайтово хоть побитово рассматривать вам ничего это не даст.
А если вы о том что вы садитесь за абсолютно левый ПК и там работаете, то это абсолютно другая задача, только вы об этом не пишете, а если думали об этом написать - то не сумели.
Вы много и обильно пишете, отвечать на каждый пункт лениво, отмечу последнее:
Вот здрасте. Как наличие в руках тонкого клиента компрометирует данные? Никак. Это просто пустая коробка. У них есть CF карта на котором мини-линукс
Вы не умеете читать, сразу спорите.
Конкретно там, на что вы поспешили спорить, речь идет о сервере. Знате, что такое сервер? Это там, где находится физически диск, или в вашем варианте - ОС с RDP.
Вот этот сервер стоит, допустим, у вас на кафедре, вы там админ, со всеми своими админсткими правами, а я не хочу чтобы вы копались в моих файлах.
Но файлы зашифрованы, и расшифровываться на ВАШЕМ сервере не будут.
А на CF-карте действительно только мини-линукс, который всё что умеет - подключать к себе удаленный диск. На нем нет никаких данных.
Где же будут расшифрованные данные? Подумайте.
Это там, где находится физически диск, или в вашем варианте - ОС с RDP.
Предположу что "ОС с RDP" это машина к которой мы подключаемся?
Вот этот сервер стоит, допустим, у вас на кафедре, вы там админ, со всеми своими админсткими правами, а я не хочу чтобы вы копались в моих файлах
У меня никогда не было кафедры, но в качестве умозрительного эксперимента - предположим.
Но файлы зашифрованы, и расшифровываться на ВАШЕМ сервере не будут.
Ок.
И в каком месте вашей статьи/поста у вас такая конструкция с такими условиями описана?
Логически следует из предположения "взять сервер где-то подальше", т.е. не "настроить у себя в бункере за бронированными дверями и уехать подальше самому", а "взять", арендовав удаленно.
Также явным образом указано в одном из моих комментариев, и было угадано другими комментаторами.
Пожалуй, если формировать именно как ТЗ - это надо отдельно оговаривать.
Но на это есть дисклеймер - "сляпано тяп-ляп"
Логически следует из предположения "взять сервер где-то подальше", т.е. не "настроить у себя в бункере за бронированными дверями и уехать подальше самому", а "взять", арендовав удаленно.
Подальше от чего или кого? Арендовать удаленно - это арендовать удаленно, это уже говорит о какой-то конкретной ситуации.
Также явным образом указано в одном из моих комментариев, и было угадано другими комментаторами.
Что мешает исправить пост как это делают все адекватные авторы?
Мы статью читаем или ребусы разгадываем?
Пожалуй, если формировать именно как ТЗ - это надо отдельно оговаривать.
Достаточно первой строкой написать коротко вводные условия.
Но на это есть дисклеймер - "сляпано тяп-ляп"
"сляпано тяп-ляп" - это значит реализовано как-то там лишь бы было, а не то что у вас - вводные тяп-ляп. Вы даже русскими буквами пользоваться не умеете.
У вас пост длинный в самом начале весьма обильно описывает ситуацию где оно может пригодиться. Сейчас у вас уже и ситуация не та и пользоваться вы собрались не так. И только потому что сели в лужу, но отбрехаться нужно.
PS: кстати в винде вам никто не мешает использовать VHDX образ зашифрованный BitLocker, так что никакие шаловливые ручки админа ничего не сделают.
Тонкий клиент? RDP/VNC?
очень зависит от задачи. дистанционное рабочее место можно и черз ssh (+lynx даже ) организовать, но это случай скорее когда хост доверенный. тут же мы рассматриваем случай когда хост недоверенный и там все должно быть зашифровано
Конкретно чел спорит чтобы спорить, это его хобби )
это зависит от задачи указанной автором, цитирую:
ФБР врывается в офис, чтобы изьять у Главного героя флешку с секретными файлами, а он судорожно пытается всё стереть на ней.
А что, если решить задачу иначе?
(дисклеймер: всё ниженаписанное - сляпано тяп-ляп, в рамках теоретического решения задачи, и непригодно к продакшену)
Итак, у нас с собой некая флешка, с которой можно загрузиться, и что-то там посмотреть. При этом, информация не должна попасть в посторонние руки - даже если кто-то флешку отнимает. Ну, или по крайней мере это не так просто сделать.
Шифрование? Хорошо, но будет больно, и всё равно данные попадут не в те руки.
Удаление данных? "Лицом в пол, руки за голову!" - не успеете.
Значит, данных на флешке быть вообще не должно. Особенно, если данных много, 100500 секретных файлов с картинками.
Но при этом с ними надо работать, как?Для начала нам понадобится удаленный сервер, где-то очень далеко. А на этом сервере - ну возьмем, скажем, терабайт данных, не будем жадничать.
В задаче обозначен УДАЛЕННЫЙ СЕРВЕР, быстрое отключение от данных, чтобы не было "Лицом в пол, руки за голову!" (у автора я этого решения не наблюдаю) и всё. Тем более он ограничивает задачу на 1 Тб данных, а мой вариант вообще не имеет ограничений. Его вариант ограничивает скорость работы приложений и скорость обмена с данными, могут быть высокие требования к железу - с RDP такие ограничения отсутствуют. На сервере у вас может быть хоть кластер из миллиарда RTX 5090 где вы работаете с криптой.
но это случай скорее когда хост доверенный. тут же мы рассматриваем случай когда хост недоверенный и там все должно быть зашифровано
Не вижу я в авторском посте информации про доверенность хоста. Он шифрует диск, но к самим данным доступ сохраняется на период сессии. Помните же что он не решил вопрос с "Лицом в пол, руки за голову!"
Помните же что он не решил вопрос с "Лицом в пол, руки за голову!"
привязать флешку веревочкой к карману, чтобы не потерялась )
"Отойдите от компьютера!" - да, конечно...
А потом начинайте обьяснять, для чего вы сидели за пустым экраном тонкого клиента и тупили в него. Ведь там больше ничего нет, верно?
апосля все умные
Не вижу я в авторском посте информации про доверенность хоста
ок немного притянул, но диск то там шифрованный. риторический вопрос звучит в ключе: какое место привлечет больше внимания, локальное или удаленное, с чего, так сказать, начнут
ну шифрованный, цель-то не дать к нему доступ в первую очередь. автор вон мечется, не знает как оправдаться, на ходу придумывает новые вводные, теперь у него уже и сервер общедоступный, хотя в посте об этом не слова, там просто написано - "Для начала нам понадобится удаленный сервер, где-то очень далеко" - автор почему-то считает, что это обязательно арендный сервер, а я, привыкший работать со "своими" серверами и ЦОД сразу вижу в этом сервер в моём ЦОД далеко от места использования. Раз автор сам явно не указывает на иное, то любое трактование идёт в пользу трактующего.
какое место привлечет больше внимания, локальное или удаленное, с чего, так сказать, начнут
Ну представьте маски-шоу, заходят, руки в верх всем встать и не двигаться. Встали. Стоят выключенные терминалы (тонкие клиенты). Если попросят включить - включаете. Ничего кроме запроса удаленного сервера там нет. Просят ввести - вводите. Подключаетесь к серверу в Германии, там эксельки и ворды всякие. Всё. В реальности и серверы другие и данные. Но перед маски-шоу вы следствию не препятствуете, сотрудничаете, ничего противозаконного не делаете. Дальше что?
Подключаетесь к серверу в Германии, там эксельки и ворды всякие.
замечательно. а на iscsi вообще фотки с котиками :) :) :)
вопрос не в iscsi вовсе. есть задача - есть решение. решение с iscsi на фоне самой задачи это как охота на куропаток метанием брёвен. можно, но нужно ли? минусов у iscsi решения я написал много, можете почитать выше, плюсы? ну наверное если уточнять или менять ТЗ найти плюсы можно и у такого решения (например не ясно что за общедоступное место где вам дадут загружаться со своей флешки, да и еще и без авторизации пустят в интернет).
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Очумелые ручки: терабайт на флешке