AVION пишет:NFS после нашего бута доступен на запись, неважно какой версии и шифрован или нет.
Если мы в процессе походов по сети ловим где-нибудь Drive By - NFS не поможет, троянец уже в системе и пишет на уже расшифрованный раздел.
А поможет только рид-онли монтирование, а лучше загрузка с сидюка ( если ещё есть сидюки у кого-то 
)
Кстати, Тэйлз с загрузкой с флэшки тоже не панацея - монтируем флэшку на запись в другой директории и правим, что хотим, включая патчи ядра.
Тогда вариант такой: берём librewrt роутер на MIPS с usb портом и флешкой/ssd в нём. Загрузка компа/ноута (желательно открытого железа) через PXE/NFS, шифрованный раздел, grsecurity-ядро. Всё маунтится в ридонли, соединяется в aufs (как в Tails). Можно и сам Tails проапгрейдить. Таким образом заражать носитель невозможно, его просто нет. Загрузка по iPXE
Роутер даёт инет только по внутреннему сокс порту с паролем. Прямого доступа нигде нет. DH***** отключен. На своём компе тору и прочему указываем сокс порт роутера. В системе тоже прямого доступа нет, если что-то инжектится, то не cможет сконнектиться. Всё построить на сокс портах, и подключаться через них или tsocks.
DNS
DNS все только торовские или opennic
$ sudo su
# apt-get remove resolvconf #(или yum)
# echo "DNSPort 127.0.0.2:53" >> /etc/tor/torrc && service tor restart
# echo "nameserver 127.0.0.2" > /etc/resolv.conf
# chmod 444 /etc/resolv.conf
AVION пишет:Про Лемоту - спасибо за инфу
Вопрос только в доверии к этому производителю. Как всегда, впрочем. Если доверяете - есть смысл переплатить за железо. Даже четырех ядерный МИПС на 1Ггц будет по факту в два-три раза медленнее атомов интеловских, не говоря уже о современных процах. Не критично, но очень грустно.
Я не думаю, что 4 x 1000 Mhz mips медленнее атома. одноядерный - да
Тут есть интересная инфа: https://en.wikipedia.org/wiki/Loongson#Loongson_3B
Оказывается, уже есть 6-core и 8-core, и вроде как продаются. Даже бенчмарк один есть (https://openbenchmarking.org/result/1404098-SO-3B1W2703307)
По поводу x86
The Loongson 3 adds over 200 new instructions over Loongson 2. Their addition has the specific benefit of speeding up intel x86 *****U emulation at a cost of 5% of the total die area. The new instructions help with emulation performance, for example QEMU (the only known example). The new instructions prevent the overhead of executing x86/CISC-style instructions in the MIPS pipeline impacting performance too much. With added improvements in QEMU from ICT, Loongson-3 achieves an average of 70% the performance of executing native binaries when running x86 binaries from nine benchmarks.[14]
AVION пишет:По дистрибам - под МИПС меньше пакетов собирается, они хуже поддерживаются и позже попадают в репы. Если задача только в торговле ПАВ ( как у многих тут ) то это не так страшно.
Если нужны свежие билды метасплоита или ещё чего - лучше пользоваться 86.
Под мипс есть компиляторы, и портируют в случаях, когда что-то не собирается или оптимизируют.
Вот некоторые дистры, которые поддерживают и собирают для MIPS
Android[18][19]
Arch Linux (In development)[20][21][22][23][24]
CLFS MIPS 32/64-bit, Multilib[25]
Debian 6.0[26][27] and 7.0 (Wheezy),[28] specifically their mipsel port
Fedora n32, work in progress[29]
Gentoo Linux n32, specifically their mipsel port[30]
gNewSense[31]
Loonux
Mandriva Linux[citation needed]
NixOS n32
Parabola GNU/Linux-libre, specifically their mips64el port[32]
Red Flag Linux[33]
UTUTO, work in progress[citation needed]
XianGe Linux n32
да и замутить контейнер с x86 не сложно, тем более на 8 cores
AVION пишет:Linux+vpn > Virtual box>Whonix и всё норм.
можно также включить VPN на Whonix
А ничего, что малварь инжектится и в любую виртуалку, включая винду?
)
