> Я не доверяю разработчикам apt, которые срач устроили в кодовой базе из-за
> своих юниксвейных культов карго.Тогда вы не должны использовать эти инструменты и этот дистр, имхо. В конце концов, репы используют вот такой формат, и возможны всякие разные варианты типа замены атакующим пакета на сервере.
Дефолтные урлы вообще на CDN народ заворачивают, то что там валидное имя некоего субдомена мало что говорит о том кто контролирует тот сервер и что на серевре де факто происходит. Т.е. если CDN-ский кэш файло подменит, это ничему не противоречит. Никакой HTTPS от этого не спасет. Финальная ауторити на тему аутентичности пакета - совпадение подписей и совпадение хэшей скачаного.
> И не доверяю разработчикам дебиан, которые вместо использования нормального
> пакетного менеджера продолжают использовать всякое
Тогда вы тем более не должны использовать этот дистр, потому что чисто технически, в момент инстала пакета, могут быть запущены те или иные скрипты. Под рутом. Для обеспечения инстала этого пакета. Да и сам софт эти же фэйсы упаковали. И если вы им не доверяете, очень странная идея отдавать им контроль над системой для инстала софта и вообще софт от них ставить. Они ж его собирали и если вы не доверяете им... тогда зачем вам САБЖ?!
> единственный вариант защиты которого - это защита в глубине,
Есть битвы которые нельзя выиграть. В частности если вы не доверяете разработчикам, задача не решаема в принципе. Ведь они билдуют вам этот софт, кладут инстал скрипты. Софт может делать не то что вы хотите. Инстал скрипты вообще под рутом пускаются. Если вы не доверяете им - это упс, приехали, ищите другой дистр.
Так что сами билдуйте себе софт, имхо. И наверное в другой формат пакетов. Или что вам там удобно. А то что 70К пакетов канительненько самому - вот это уже ваши проблемы. Зато будет уверенность. Впрочем, без проверки сорцов от и до всегда будет шанс что нечто пойдет не так, если уж параноить.
> TLS от атак со стороны зеркал не защитит. Но хотя-бы от атак со стороны провайдеров
> (включая магистральных) и middleboxов защититься уже критически необходимо.
От этого проверки хэшей есть и подписи. А если это не работает - упс. А оснований доверять рандомному серваку зеркала или их CDN сватаемого по дефолту не сильно больше чем провайдеру, имхо. А вы знаете как и кто админит серваки, что там по факту творится и проч? Нет? А цель, вот, довольно заманчивая, оттуда ж толпа народа пакеты тянет.
Так что единственный реальный плюс от https который я вижу это скрыть инфо о составе пакетов от прова. Взамен однако много точек отказа по части ауторити и сертификатов. В этом плане tor какой - лучше, end to end шифрование до onion есть, да еще и зеркало не будет знать кто это с него тот набор пакетов утянул (если уж никому не доверяем).
> Виртуалки пригодны для работы только тогда, когда у тебя есть память и
> для основной ОС, и для виртуальной.
В случае САБЖА минимальная система так то может быть весьма легкой. К тому же есть такая штука как KSM.
> Когда у тебя памяти даже для основной ос не хватает, то про виртуалки забудь.
Учитявая что минимальный дебиан по минимуму пашет (==инсталлит свои пакеты) на виртуалке с 64 метрами опаративы (!!!) без свопа (!!!) - у вас там не память а какой-то склероз.
> А если ты мне предлагаешь заплатить за новое железо, то ты либо
> за него платишь сам, либо молчишь в тряпочку. Потому что балаболить
> всякий бред каждый может.
Тю, чудик, я мастер минимализма в дебиане. Поэтому я его запускаю даже на совсем хламе, типа нескольких доставшихся мне нашару ARMv5 с 128-256 мегов оперативы и NAND на 256-512 мегов как системный стораж. А чо, дебиан может быть довольно легкий и компактный.
А так еще есть контейнеры и UML если виртуалки не нравятся. При этом опять же можно попробовать собрать систему ... не давая ей реальный доступ в настоящий комп. Если уж мы никому не доверяем и хотим защиту в глубине, самая первая идея это вообще не давать управление вон тому коду на вот этом компе, не так ли? :)
