LINUX.ORG.RU

Рабочее место шифропанка

 ,


20

3

Привет всем! Хочу показать своё домашнее рабочее место, а также место, где хостится бОльшая часть ресурсов http://www.cypherpunks.ru

Главная часть — два компактных сервера от ETegro Technologies. Xeon процессор (чтобы поддерживать ECC память), 16 GB ECC RAM. В каждом из них корзина для 4-х hot-swap SATA дисков, но в серверах только по два диска (2-3 TB) в ZFS зеркале. В одном сервере ещё и 100 GB Kingston SSD для L2ARC кэша. Всё это соединено гигабитной сетью не связанной с Интернетом. Один из серверов выступает в качестве шлюза к Интернету — для него отдельный 100 Mbps коммутатор стоит. Есть ещё какой-то дешёвый WiFi мост, но он не включался уже много месяцев, так как вся связь между компьютерами только по Ethernet. Серверы запитаны от ИБП. К одному из серверов подключён монитор, выводящий кой какой мониторинг.

К этом подключается рабочий ноутбук — Dell Latitude 3470: довольно дешёвый, с вполне сносными характеристиками (Intel i5 на архитектуре SkyLake, 8 GB RAM, 120 GB Kingston SSD). Так как работа за самим ноутбуком (его монитором и клавиатурой) довольно редка, то претензий к качеству экрана, клавиатуры и тачпада нет никаких (любое дерьмо сгодится). Обклеен наклейками: Bradi Cerebri Ectomia, GNU, FSF, EFF, FSFE тематика — с ними работает субъективно получше. К нему подключён USB хаб на четыре порта, но, к сожалению, его не видно за монитором. Full HD 27" Монитор подключается по HDMI (в ноутбуке нет DisplayPort) и крепится на кронштейне с газпатроном — легко сделать повыше/пониже, если хочется работать стоя. Обязательно наличие Beastie — BSD системы без него... я даже не пробовал как они без него работают, ибо сомнения.

Основной элемент без которого я бы вообще не рискнул работать — тактильная механическая клавиатура. Можно поменять серверы и взять какую-нибудь лажу, можно ноутбук 10 летней давности, можно много чего — но без тактильной клавиатуры жизни нет, в принципе, вообще. Так как всё программирование проходит в редакторе, вся почта проходит в редакторе, даже набор формочек в броузере проходит в редакторе... то интерфейс между мной и редактором должен быть первостепенной важности. В данном случае это Filco Majestouch 2 с MX Blue переключателями. Абсолютно никаких к ней нареканий. Справа от неё трэкбол Kensington Expert — 4 больших полноценных кнопки, большой с хорошей инерцией шарик и колесо прокрутки вокруг него.

Работа немыслима без хорошей музыки в ушах. Asus Essence One MkII USB звуковая карта, Beyerdynamic A1 усилитель и Beyerdynamic DT990 Pro наушники — идеально под это подходят. В данный момент ноутбук ещё и заряжает сотовый телефон: OpenPhoenux (GTA4), служащий на ура уже много лет. Всё это размещается на столе Ergostol Duo — его высота может регулироваться электрическим приводом, пуль управления которого рядом с сотовым телефоном. Можно буквально все выходные провести в стоячем положении за ним. Но пришлось приобрести кронштейн для монитора — в сидячем и стоячем положении у него должна быть разная высота.

Что касается ПО, то на всех серверах и ноутбуке или HardenedBSD (в том числе в виртуалках) или FreeBSD. Все файловые системы это только ZFS (ну кроме флешек которые нужно сувать в чуждые ОС). Самое важное и ценное с точки зрения конфиденциальности расположено на зашифрованных GELI разделах: AES-XTS режим, но без явной аутентификации, ибо, так как внутри раздела ZFS, то изменить данные не получится, не нарушив целостности ФС. Трафик между серверами шифруется IPsec-ом, между ноутбуком GoVPN-ом. На шлюзе в качестве firewall: ipfw и ядерный встроенный в него NAT (к сожалению приходится иметь дело с IPv4). Касательно серверного ПО не буду вдаваться в подробности.

На ноутбуке в качестве оконного менеджера — DWM. Терминал — st. Шрифты — Inconsolata LGC. Почти всё автоматически запускается под Tmux — несколько буферов обмена, scrollback буфер с большой историей и возможностью поиска, табы, скриптование. БОльшую часть времени провожу в Vim редакторе. Почта читается в Mutt. В качестве IRC клиента — irssi, Jabber/XMPP — Bitlbee, Tox — Toxic. RSS/Atom новости сыпятся в почту через rss2email Python программу, хотя когда-то очень любит Newsbeuter. Музыка слушается Cmus-ом. На одном из серверов мультимедиа библиотека, доступ к которой идёт через NFS. На одном из серверов запущен почтовый — почта сыпется не в mailbox, а в NNCP который сохраняется в своём буфере исходящих сообщений письма для ноутбука. Когда он подключается к серверам, то забирает/отправляет всё что накопилось. Если нужно сбросить на серверы бэкапы или какие-то данные для хранения, то, опять же, все они отправляются в NNCP набор утилит чтобы fire-and-forget-ом пересылать большие объёмы данных когда появляется связанность машин.

>>> Просмотр (1296x774, 144 Kb)



Проверено: JB ()
Последнее исправление: cetjs2 (всего исправлений: 2)

Всё это соединено гигабитной сетью не связанной с Интернетом.
Трафик между серверами шифруется IPsec-ом, между ноутбуком GoVPN-ом

А кабели в фольгу завернуты?

Deleted
()

st не заточен под dwm. После ресайза приглашение посреди экрана. По поводу фольги уже писали. Ну, если бубна нет, а чёрт есть...

masterdilly
()
Ответ на: комментарий от stargrave

датчик полей («жучков»).

Ну а ковер, ковер то продезинфицирован от жучков?!

Oxdeadbeef ★★★
()

Скажи на чем ты зарабатываешь, если можешь позволить себе потратить только на комфорт (44 + 11 + 30 + 39)т.р. (я про аудиосистему и стол)?

vedro
()

Можно поменять серверы и взять какую-нибудь лажу, можно ноутбук 10 летней давности, можно много чего — но без тактильной клавиатуры жизни нет, в принципе, вообще.

Вааах, два чая этому гражданину.

Deleted
()

Хороший, годный пост. Только один вопрос: а почему не OpenBSD-то? (Предрекаю отсутствие нормальной ФС и шифрования оной, как более очевидный вариант.)

сыпется

Увы, «сыплется».

commagray ★★★★★
()
Ответ на: комментарий от anonymous_sama

За трекболл +

Ничего необычного, просто им удобнее стоя. А так...

masterdilly
()

Asus Essence One MkII USB звуковая карта, Beyerdynamic A1 усилитель

Чем обусловлен именно этот выбор?

Трафик между серверами шифруется IPsec-ом, между ноутбуком GoVPN-ом

Внутри локальной сети? Зачем?

Касательно серверного ПО не буду вдаваться в подробности.

Хех, security by obscurity. А ещё шифропанки.

intelfx ★★★★★
()

математика: её нельзя подкупить, она не может обмануть или предать, у неё нет руководящей компании – это единственное на что можно положиться в этом мире и доверять, в отличии от людей

Эт точно.

Люди вообще большие скоты, за небольшим исключением.

Математическую логику ещё полезно бывает знать для того, чтобы выявить сеть стукачей в ближнем кругу, усиленно притворяющихся «товарищами майорами».

Могу даже научить, как это делать эффектно и эффективно.

Deleted
()

Мой ковёр, кстати, моль почикала.

Хочу его восстановить, ибо он мне дорог как память о том лучшем, которое уже никогда не случится.

Книжная полка есть. Выброшу её к чертям вместе с книгами, которые жить мешают, ибо научили плохому - уважать людей и иметь в межрёберном пространстве совесть.

Deleted
()
Ответ на: комментарий от Bruce_Lee

Работает. Если электричества нет, то орёт. Сильнее если заряд вот вот на исходе.

stargrave
() автор топика
Ответ на: комментарий от masterdilly

Родные средства виртуализации. Зачем что-то другое? Это работает на ура.

stargrave
() автор топика
Ответ на: комментарий от commagray

Думал, хотел, но нет ZFS. Без него жить не хочу. Шифрование там вроде как есть в softraid (XTS режим), но могу ошибаться. OpenBSD очень уважаю, но HardenedBSD имеет почти все фичи (и даже больше) касающиеся securing.

stargrave
() автор топика
Ответ на: комментарий от intelfx

Asus Essence — просто попробовал в магазине и полностью устроил как DAC. Усилитель встроенный мне там не нужен. Просто так вышло.

Трафик шифруется чтобы иметь аутентификацию между компьютерами. WiFi смотрит в этот LAN. Powerline адаптер (по электрической сети подключается другая комната квартире) тоже смотрит в общий коммутатор.

Про серверное ПО просто не хотел нагромождать статью. Если интересно, то конкретика есть тут: http://www.stargrave.org/Ware.html

stargrave
() автор топика
Ответ на: комментарий от eR

Ковёр чтобы было мягко и приятно ногам. Не для тепла. Просто работая стоя, целые часы проводить на твёрдой поверхности — не очень.

stargrave
() автор топика

А можно краткий бриф, о чем лай на сайте? А то читать портянки не контрастного текста разной степени связности желания нет, да и выглядит это все как параноидальный админ локалхоста.

Deleted
()
Ответ на: комментарий от Deleted

А, тогда вопрос снимается. Но возникает другой. С сертификатом надо что-то делать. Сейчас там сертификат от CAcert, а им больше не доверяют.

TeopeTuK ★★★★
()

Beyerdynamic DT990 Pro наушники

это разве не DT990 Edition? у меня Pro, выглядят по другому. и клавиатура почти такая же, только mx brown tkl :)

waker ★★★★★
()
Ответ на: комментарий от stargrave

Во-первых, раз уж назвались шифропанками, то надо соответствовать.

Во вторых, HTTPS полезен в любом случае. Хотя бы для того, чтобы чужой трафик не внедряли в ваши странички (а провайдеры уже повадились рекламу добавлять).

TeopeTuK ★★★★
()
Ответ на: комментарий от waker

Одна и та же модель DT990 (Pro) выглядит по разному — разные годы производства. Это у меня уже второй Pro — старый тоже выглядел по другому.

А возможно ещё потому-что это у меня 600 Ом модель.

stargrave
() автор топика
Ответ на: комментарий от TeopeTuK

Раз я шифропанк, то я должен понимать что PKI это лажа не работающая в глобальных масштабах. И, будучи шифропанком, я обязан это донести до людей — у них должно остаться понимание того что TLS это не панацея и вообще стрёмная штука.

Нужна безопасность — ходите хотя бы на .onion. И хорошая аутентификация и конфиденциальность.

stargrave
() автор топика
Ответ на: комментарий от stargrave

а, ок, понятно. я недавно покупал, последняя модель у меня.

и нет, текущая 600 Ом выглядит так же как 250.

waker ★★★★★
()
Ответ на: комментарий от stargrave

Certification authority (CAcert в твоем случае) играет роль нотариуса, то есть заверяет, что твой сертификат именно твой. Тебе вообще неважно, доверяешь ты CAcert или нет, так как сертификат твой, ты его сам генерировал. А вот все остальные смотрят на подпись, и если нотариус скомпрометирован, то откуда им знать, это твой сертификат или чей-то еще с твоим именем? Поэтому не вполне правильно говорить я доверяю CAcert. Подписывать сертификат нужно у того, кому доверяют посетители твоего ресурса, а не ты лично.

TeopeTuK ★★★★
()
Ответ на: комментарий от TeopeTuK

Тогда у меня вопрос почему они не доверяют CAcert? Будет ли разумный комментарий? CAcert скомпрометирован? Или ответом будет потому-что Google мне так в моём броузере зашил? Кто-то осознанно сказал своей системе что он не доверяет CAcert? Могу поспорить что нет: люди просто автоматом участвуют в политической игре производителей броузеров и ОС, но не надо мне говорить что именно сами люди сделали выбор не доверять CAcert.

stargrave
() автор топика
Ответ на: комментарий от stargrave

Еси открыто несколько окон, то он поднимает приглашение на уровень, соразмерный верхнему окну. Получается, фича с переключением по mod+enter в ноль. Увы, для работы не годится.

masterdilly
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.