kalaclista personal instance

LinuxのAppArmorについて調べていた

イントラネット・ローカルネットに侵入される前提で物事を考えた時、侵入者がランサムウェアで攻撃しようと思うと、何かしらの実行アプリケーションをネットワーク内に設置する必要があるはずで、その場合、防衛手段は「任意のアプリケーションを実行できる」と言う環境を構築しない、と言う事に限られる

そしてこの 「任意のアプリケーションを実行できる」環境を構築しない と言う事を実現しようとする場合、ファイルシステムに noexec を付けるだけではだめで、スクリプトをコマンドから実行できる bash や perl といった物も含めて禁止する必要がある（ noexec を付けていてもスクリプトは $ bash ./script.sh で実行できるため）

しかし現実として 任意のスクリプトすら実行できない環境 っていうのは、それこそワンバイナリだけが存在するコンテナイメージぐらいでしか用意できないので、日常利用する環境として整備するのは現実的ではない

となると VMレベルで隔離するしかないんだけど、GUIアプリケーションやファイルシステムも含めてすべてをVM化する事は汎用的なOSでは非常に困難だし、それを一から構築するもの非現実なので、結果としてQubes OSを使え、って言う話になる

まぁQubes OSは使った事が無いんで、この解釈で合ってるかどうかは明言できないけど、私としては基本的にはこういった解釈になった感じですね、まぁ侵入されないのが一番なんだけど……

https://www.qubes-os.org/

ランサムウェアの攻撃力を極力下げるにはどうしたら良いか、みたいなことを考えていたら、最終的にはすべてにおいてQubes OSを使え！と言う感じになった

Qubes OSの世界観って信頼レベルで動作環境をVMで分ける、という感じなんだけど、確かにこれだとランサムウェアに侵入されても悪さできる範囲が限られるから、不適切な信頼レベルの分けかたをしていない限り、外部からの攻撃には強そう

https://www.qubes-os.org/

libvirtを使ってspice+virtio-gpuでOpenGLによる3d Accelerationを有効にするとBIOS画面からGlitchするんだけど、何が原因なんだろ……

今週、非常にやる気がでなかったのでプログラミングの類いをほぼ何もやっていない

うーん、ChromeOS Flexをqemu+kvm（libvirt）で動かせないかと色々試してたけど、やっぱり boot loop して起動せんな……

極まれに boot loop しない時もあるんだけど、まれにしか遭遇しないのがなんとも

Linux でアクセシビリティ確認のために音声読み上げ環境を作れないかなーと思って調べてるんだけど、どうにも Windows 用しか引っ掛かってこない……

ちなみにケノン一台はだいたい Meta Quest 3 とだいたい似たような値段帯です

ケノン、本当は一週間置きにコツコツやんないと抑毛効果がないっぽいんだけど、その時々のメンタル不調で普通に一ヶ月ぐらい間が空くので、本当に買って良かったのかという疑念はある、あれ高かったし……

今日は余所事やってサボったけど、明日からまたケノンを使って毛焼きするか