> Читайте выше.И что я там должен прочитать? Какие-то левые кивки в сторону PC-BSD? Пфф, это как если бы дебианщики какие-нибудь слали меня брать пакеты в линукс минт. Несерьезно.
> Читайте выше.
Вижу какие-то абстрактные мямления про вычислительные задачи. Но что за задачи - упорно скрывается. Извольте уж разъяснить что это за задачи такие или хотя-бы сослаться на место где вы это уже сделали (если я чего-то пропустил). Пока это выглядит как фанатовский булшит где решение пытаются подогнать под ответ.
> Не 5, а как минимум нескольких десятков.
И как это мерялось? Идите вон с openwrt посоревнуйтесь - еще вопрос у кого там десятки мегабайтов лишних окажутся в результате ;). А то этот линух спокойно лезет в 4Мб флешку. Бзди набодаешься до сравнимой степени утрамбовывать. А где там аналоги squashfs? Не вижу.
> Умножь на десяток виртуальных машин/jail'ов
> и скажи "до свидания" своему терабайтному диску.
Вы так говорите, как будто ваши велики местечковой фирмы - единственные на свете. Но увы, жестоко разочарую вас: минимальные образа/темплейты бывают не только для фряхи. Точнее, для фряхи их скорее как раз готовых и не бывает, потому что jail в XXI веке нафиг не упали на фоне более приличных контейнерных систем, а виртуализации в том виде каком ее все хотят - в *BSD можно считать что вообще нет. Есть какие-то потуги, но результата который можно развернуть здесь и сейчас - как обычно...
> А вообще, речь шла не только про сервера - на десктопе, например, куча мусора мне
> не нужна число по эстетическим причинам,
Вот именно поэтому мне нафиг не уперлись исходники какого-нить опенофиса и перекомпилежка всего этого лично. Мне удобнее быстро и без грабель воткнуть бинарный пакет и забыть об этом. А личный аудит исходников опеонфиса - это, конечно, прекрасно, но сколько на это надо человеко-часов?
> на ноуте - по причине нехватки места.
Еще скажите что у вас нормально работает все оборудование ноута. Особенно если это не совсем доисторический чемодан с пылью.
> Про роутер вы сами сказали.
Да, у меня там openwrt живет. Можете с ним посоревноваться на предмет "кто компактнее и функциональнее", если кишка не тонка. Заодно не забудьте похвастать сколько SoC ваша фряха поддерживает.
> аудит некоторой части исходников. Упаковщик же сводит всё это на нет,
Простите, вы каждую программу лично получаете от ее автора? И как это выглядит на практике? Приходит автор и приносит вам на сидюке (флешке, HDD...) заведомо исправную копию программы? Или вы к автору сами ездите? (летаете, плаваете, ...).
> являясь "единой точной отказа" где можно посадить троян,
Теоретически можно. Практически наличие цифровых подписей это дело существенно усложняет как раз. А вот как вы получаете программы "лично от автора", проверив что добрый дядя по пути не завернул DNS, не сменил пару файлов на прозрачном прокси и прочая - мне совсем не очевидно. Объезжать всю планету с винчом чтобы взять у всех авторов заведомо правильную копию мне как-то напряжно, а аудит штуки размером с тот же фрибсдшный кернель или опенофрс - ну удачи, верю-верю что вы целиком проштудировали их. Единолично, конечно же :)
> и не важно насколько чистые исходники было до него. На выходе у него -
> бинарники, которые проверить нельзя.
А исходники размером с кернел фрибзди вы лично перечитаете? И, конечно, сервера не могут хакнуть? (ага, а перевод серверов в оффлайн - это что было?). И програмеров не ломанут. С их то putty.exe и прочими вьюжлстудиями - ну да, верю.
> По этим же причинам он, даже не являясь злонамеренным сам, будет первой целью злоумышленников.
> Примеров это подтверждающих уже была немерено.
А чем серваки фрибсды хуже в этом плане? Или что предлагается? Не качать готовые системы вообще? Окей, тогда самой секурной системой будет LFS - все скачаем сами, лично. И сами все соберем. Правда с таким подходом тоже случаются фэйлы. Например можно почитать про приколы от AcidBitchez, которые известны тем что расхакали нескольких авторов программ. Автор более-менее популярной программы - сам по себе неплохая мишень. Так что и тут счастья нет.
> Какие ещё промежуточные узлы?
Ну как какие, обычные. Вон весь интернет - таковыми является. Вы сюда пишете, а трафф через эн промежуточных роутеров сюда завалился. И если кто из них захочет пропатчить немного этот траффик - в принципе ничто тому не мешает.
> Упаковщик - и всё что было до него - и есть тот "промежуточный узел",
> и там можно впихнуть что угодно где угодно.
Ну с таким подходом - вы уже конечно же получили заведомо правильные исходники всех программ от авторов? Путем личного визита к авторам, разумеется. А то мало ли что в интернете MITMы всякеие подсунут. И уж конечно вы просто обязаны провести бесплатную проверку и дезинфекцию всем авторам софта :)
> Ну вы сами всё сказали. Приятно когда оппонент подтверждает мои слова -
> уже второй раз за пост, кстати.
Ну да, в вашей схеме все проще - вместо анализа проблемы на нее просто забили болт. В случае цифровой подписи крайний известен, если что - его репутации крышка. При скачке пакета/взломе сервака подпись не даст подделать пакет, впарив левизну. А у некоторых вообще никак не проверяется что это такое, откуда взялось, действительно ли это то на что оно претендует, etc. Если парочка файлов по пути креативно запатчится - никто никак это не проверяет. Во замечательно - лечение проблемы методом страуса. Спрятал голову в песок - все, проблемы не видно :).
> Что? Из всего что я видел, порты имеют самый простой и логичный
> синтаксис, так что с ними как раз былинный вин,
Оно и видно, что даже апачи с яхами стали уже факи некоторым показывать. Вин он такой. С putty.exe.
> них всё внутреннее на FreeBSD'шной инфраструктуре обёртывают в порты и проблем
> не знают.
Наверное именно поэтому они перевели кучу всего кроме поиска на линух, ага.
