[Golem] Creare un server domestico per erogare principalmente Home Assistant ma anche un router firewall con OpnSense inserendo queste distro in macchine virtuali con proxmox

Tom agotom@libero.it
Ven 8 Apr 2022 19:58:49 CEST 

Grazie mille caro Dario,
per i tuoi chiarimenti. Da un benchmark https://www.cpubenchmark.net/compare/Intel-Celeron-N5095-vs-Intel-Core-i5-3330/4472vs1475
ho notato che il processore del Mini PC che ho comprato (Intel Celeron N 5095) é di poco inferiore ad un i5 é cosi o mi sbaglio? E leggo che ha 4 core e 4 Threads (però  non so che significa 4 threads)
per  cui spero che almeno 2 macchine virtuali Home Assistant e OpnSense girino, poi si vedrà se riuscirò anche a virtualizzare Motioneye per la videosorveglianza.
A quello che ho letto proxmox supporta sia la creazione di vm che di container, però non ho capito quando bisogna usare l'uno piuttosto che l'altro, forse nel punto dove hai spiegato questo ci deve essere qualche errore di battitura che mi ha fatto perdere i vari passaggi.
Io la lancio lì, sarebbe bello se si organizzasse qualche incontro on line per approfondire argomenti di domotica,virtualizzazione e sicurezza informatica con particolare riferimento a OpnSense e alla creazione,di VLan, tecnologie che vorrei imparare ad usare.
Grazie mille a te Dario e a tutto il gruppo
Buona domenica delle Palme
Tommaso


8 apr 2022 13:59:20 Dario Faggioli <raistlin@linux.it>:

> On Thu, 2022-04-07 at 17:03 +0000, Tom wrote:
>>  Carissimi,
>>  Caro Dario, buonasera,
>> 
> Ciao di nuovo!
> 
>>  innanzitutto ti ringrazio molto per la tua risposta, purtroppo io
>> sono di Bari per cui sarà difficile incontrarsi di persona, ma mai
>> dire mai :)
>> 
> Ok, allora continuiamo qui. :-)
> 
>>  E' stato molto interessante il tuo intervento al linux day di
>> quest'anno soprattutto l'aspetto connesso alla sicurezza informatica
>> quando si è parlato di criptare i dati all'interno della macchina
>> virtuale,
>> 
> Grazie.
> 
>>  Ho acquistato questo Mini PC
>> https://www.amazon.it/dp/B089Y3MJQQ/?tag=h07b2-21
>>   (*Beelink U59 Mini PC Windows 10 con Jasper N5095 Processore (fino
>> a 2,9 GHz) Mini Computer Desktop supporto 8GB DDR4 + 256GB M.2
>> SSD/Dual HDMI/WiFi 5/ BT4.0/ LAN/ 4K*) per cui ti volevo chiedere
>> innanzitutto se come hardware puo essere adeguato per quello che
>> voglio fare e poi dei consigli per installare proxmox, creare delle
>> macchine virtuali (non ne ho mai creata una) per accogliere Home
>> Assistant e OpnSense nelle vm e su come configurare proxmox 
>> 
> Allora, di HomeAssistant e OpenSense non so molto, ma vedo che almeno
> sul secondo qualcuno che ne sa c'e`, e ha gia` risposto. :-D
> 
> Riguardo l'adeguatezza del MiniPC, non sto capendo quanti processori
> ha. Trovo informazioni del tipo 4C/4T, che non capisco se significa che
> ha 4 cores e non ha l'hyperthreading, o se ha 4 cores, ognuno con 4
> threads (che e` una configurazione che esiste, ma mi sembra strano che
> la abbia lui).
> 
> La virtualizzazione la supporta, quindi le VM funzionerebbero. Il
> carico di lavoro piu` impegnativo, penso sia quello della registrazione
> e processing del video per la sorveglianza. Non ho idea se possa
> reggere, soprattutto insieme ad altri carichi di lavoro.
> 
> Sicuramente la virtualizzazione garantisce un maggior isolamento,
> quindi sono particolarmente indicate quando non ci del software che ci
> deve girare dentro. Per cose di cui invece ci possiamo fidare di piu`,
> puoi provare ad usare anche i container. Tanto le due tecnologie
> possono convivere, ed e` possibile avere un ambiente misto... E ci sono
> anche, ormai, un buon numero di soluzioni che provano ad integrarle, in
> vari modi e livelli.
> 
> Infine, per proxmox. Mai usato neppure quello, pero` proxmox e`, di
> fatto, una GUI. La soluzione di virtualizzazione sarebbe KVM, verso cui
> proxmox ti fa da interfaccia.
> 
> Tra l'altro puo` darsi che proxmox stesso gestisca cose miste VM e
> container, ma come dicevo, non ne ho esperienza diretta, quindi magari
> sto dicendo cavolate.
> 
>> e se anche su proxmox vale il discorso che si puó criptare la
>> memoria, cosi che tutto quello che avviene nella vm sia criptato
>> 
> Per cifrare la memoria serve supporto sia software che hardware. KVM lo
> puo` fare (dipende dalla versione del kernel, ma questo non e` un
> problema). Per quanto riguarda l'hardware, lo possono fare i processori
> AMD EPYC. EPYC1 (detti anche Zen1) va abbastanza bene, EPYC2/Zen2
> meglio (e EPYC3 ancora meglio, ma per quello ancora non c'e` neppure il
> software!).
> 
> Il tuo non e` un AMD EPYC, quindi niente. Intel ha la sua tecnologia di
> cifrazione, che si chiama TDX, ma e` leggermente diversa da quella che
> ho raccontato al LinuxDay, e anche in questo caso, il supporto software
> e` indietro.
> 
>> e quindi anche se un malintenzionato dovesse entrare nella lan e
>> "sniffare"i pacchetti non potrebbe leggere nulla.
>> 
> Se entrano nella LAN e sniffano i pacchetti, "basta" che il traffico di
> rete sia cifrato e sei comunque (relativamente) tranquillo. Di contro,
> se l'attaccante e` software/dispositivo di domotica malevolo che in
> qualche modo gira dentro la VM che ha la memoria cifrata, la cifratura
> non serve a niente, perche` quello e` gia` dentro.
> 
> Se l'attaccante e` un IoT malevolo o bacato, che (verosimilmente) sta
> nella LAN, e se riesce a compromettere il server in cui girano le VM,
> allora si, se le VM hanno la memoria cifrata, non riuscira` a vedere
> quello he le VM stesse stanno facendo, se non ce l'hanno, invece ci
> riuscira`.
> 
> Credo pero` che sia un tipo di minaccia abbastanza improbabile e/o non
> quella su cui mi concentrerei di piu`. Spesso gli IoT malevoli o bacati
> o cercano di associarsi (loro stessi o altri dispositivi nella LAN che
> magari riescono a compromettere) ad attivita` varie tipo mining o
> botnet, oppure, se ti vogliono spiare, magari provano ad craccarti un
> Alexa o un Chromcast, che sono dispositivi standard e dai quali magari
> ti vedono e ti ascoltano... Pero` va detto che anche la sicurezza, alla
> fin fine, non e` il mio campo. :-)
> 
> Vediamo se magari in lista c'e` qualcun altro che si diletta con la
> domotica, e magari puo` portare un contributo piu` interessante. :-)
> 
> Ciao
> -- 
> Dario Faggioli, Ph.D
> http://about.me/dario.faggioli
> Virtualization Software Engineer
> SUSE Labs, SUSE https://www.suse.com/
> -------------------------------------------------------------------
> <<This happens because _I_ choose it to happen!>> (Raistlin Majere)

Maggiori informazioni sulla lista golem