[Golem] Creare un server domestico per erogare principalmente Home Assistant ma anche un router firewall con OpnSense inserendo queste distro in macchine virtuali con proxmox

Dario Faggioli raistlin@linux.it
Ven 8 Apr 2022 13:59:16 CEST


On Thu, 2022-04-07 at 17:03 +0000, Tom wrote:
>  Carissimi, 
>  Caro Dario, buonasera, 
>
Ciao di nuovo!

>  innanzitutto ti ringrazio molto per la tua risposta, purtroppo io
> sono di Bari per cui sarà difficile incontrarsi di persona, ma mai
> dire mai :) 
>
Ok, allora continuiamo qui. :-)

>  E' stato molto interessante il tuo intervento al linux day di
> quest'anno soprattutto l'aspetto connesso alla sicurezza informatica
> quando si è parlato di criptare i dati all'interno della macchina
> virtuale,
>
Grazie.

>  Ho acquistato questo Mini PC
> https://www.amazon.it/dp/B089Y3MJQQ/?tag=h07b2-21 
>   (*Beelink U59 Mini PC Windows 10 con Jasper N5095 Processore (fino
> a 2,9 GHz) Mini Computer Desktop supporto 8GB DDR4 + 256GB M.2
> SSD/Dual HDMI/WiFi 5/ BT4.0/ LAN/ 4K*) per cui ti volevo chiedere
> innanzitutto se come hardware puo essere adeguato per quello che
> voglio fare e poi dei consigli per installare proxmox, creare delle
> macchine virtuali (non ne ho mai creata una) per accogliere Home
> Assistant e OpnSense nelle vm e su come configurare proxmox 
>
Allora, di HomeAssistant e OpenSense non so molto, ma vedo che almeno
sul secondo qualcuno che ne sa c'e`, e ha gia` risposto. :-D

Riguardo l'adeguatezza del MiniPC, non sto capendo quanti processori
ha. Trovo informazioni del tipo 4C/4T, che non capisco se significa che
ha 4 cores e non ha l'hyperthreading, o se ha 4 cores, ognuno con 4
threads (che e` una configurazione che esiste, ma mi sembra strano che
la abbia lui).

La virtualizzazione la supporta, quindi le VM funzionerebbero. Il
carico di lavoro piu` impegnativo, penso sia quello della registrazione
e processing del video per la sorveglianza. Non ho idea se possa
reggere, soprattutto insieme ad altri carichi di lavoro.

Sicuramente la virtualizzazione garantisce un maggior isolamento,
quindi sono particolarmente indicate quando non ci del software che ci
deve girare dentro. Per cose di cui invece ci possiamo fidare di piu`,
puoi provare ad usare anche i container. Tanto le due tecnologie
possono convivere, ed e` possibile avere un ambiente misto... E ci sono
anche, ormai, un buon numero di soluzioni che provano ad integrarle, in
vari modi e livelli.

Infine, per proxmox. Mai usato neppure quello, pero` proxmox e`, di
fatto, una GUI. La soluzione di virtualizzazione sarebbe KVM, verso cui
proxmox ti fa da interfaccia.

Tra l'altro puo` darsi che proxmox stesso gestisca cose miste VM e
container, ma come dicevo, non ne ho esperienza diretta, quindi magari
sto dicendo cavolate.

> e se anche su proxmox vale il discorso che si puó criptare la
> memoria, cosi che tutto quello che avviene nella vm sia criptato
>
Per cifrare la memoria serve supporto sia software che hardware. KVM lo
puo` fare (dipende dalla versione del kernel, ma questo non e` un
problema). Per quanto riguarda l'hardware, lo possono fare i processori
AMD EPYC. EPYC1 (detti anche Zen1) va abbastanza bene, EPYC2/Zen2
meglio (e EPYC3 ancora meglio, ma per quello ancora non c'e` neppure il
software!).

Il tuo non e` un AMD EPYC, quindi niente. Intel ha la sua tecnologia di
cifrazione, che si chiama TDX, ma e` leggermente diversa da quella che
ho raccontato al LinuxDay, e anche in questo caso, il supporto software
e` indietro.

>  e quindi anche se un malintenzionato dovesse entrare nella lan e
> "sniffare"i pacchetti non potrebbe leggere nulla. 
>
Se entrano nella LAN e sniffano i pacchetti, "basta" che il traffico di
rete sia cifrato e sei comunque (relativamente) tranquillo. Di contro,
se l'attaccante e` software/dispositivo di domotica malevolo che in
qualche modo gira dentro la VM che ha la memoria cifrata, la cifratura
non serve a niente, perche` quello e` gia` dentro.

Se l'attaccante e` un IoT malevolo o bacato, che (verosimilmente) sta
nella LAN, e se riesce a compromettere il server in cui girano le VM,
allora si, se le VM hanno la memoria cifrata, non riuscira` a vedere
quello he le VM stesse stanno facendo, se non ce l'hanno, invece ci
riuscira`.

Credo pero` che sia un tipo di minaccia abbastanza improbabile e/o non
quella su cui mi concentrerei di piu`. Spesso gli IoT malevoli o bacati
o cercano di associarsi (loro stessi o altri dispositivi nella LAN che
magari riescono a compromettere) ad attivita` varie tipo mining o
botnet, oppure, se ti vogliono spiare, magari provano ad craccarti un
Alexa o un Chromcast, che sono dispositivi standard e dai quali magari
ti vedono e ti ascoltano... Pero` va detto che anche la sicurezza, alla
fin fine, non e` il mio campo. :-)

Vediamo se magari in lista c'e` qualcun altro che si diletta con la
domotica, e magari puo` portare un contributo piu` interessante. :-)

Ciao
-- 
Dario Faggioli, Ph.D
http://about.me/dario.faggioli
Virtualization Software Engineer
SUSE Labs, SUSE https://www.suse.com/
-------------------------------------------------------------------
<<This happens because _I_ choose it to happen!>> (Raistlin Majere)
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  833 bytes
Descrizione: This is a digitally signed message part
URL:         <http://lists.linux.it/pipermail/golem/attachments/20220408/82c7a54b/attachment.sig>


Maggiori informazioni sulla lista golem