Ok nu är jag i build 151a. Det ser trevligt ut, och känns... stabilt. Allting är mycket mer polerat nu. Jag var tvungen att sätta tillbaka till svensk keyboard layout (högerklicka på "Keyboard - Eng" ikonen högst upp och välja svenskt).
Det var nån som förrut klagade på att man inte kunde använda GUI för att ställa in saker. Nu funkar allt tydligen läste jag på en blogg - de sa att GUI skulle man skippa förrut och bara konfa via kommandon. Men nu går det att bara köra GUI.
Man kan även installera från CD skivan utan GUI - bara ren text. Då får man inte X11, utan det blir en ren Unix server installation,
Jag hade lite problem förrut, t.ex. hackade ljudet. Men nu funkar det bra. Överhuvudtaget verkar allting funka mycket bättre nu. Jag märker ingen krångel alls längre. Allt funkar klockrent. Ser precis ut som vanliga OSol, man har bara bytt bakgrundsbild. Och alla paket är uppdaterade till build 151.
Mitt nya projekt nu, är maximal säkerhet.
I Solaris 11 så kan man köra virtuella zoner/containers. Mellan varje zon så är det benhårt vattentäta skott. Man byggde dem, bl.a. med tanke på säkerhet och att de skulle dra minimalt med RAM eller CPU. Typiskt 40MB RAM och 100 MB disk och ingen CPU.
I Solaris 11 så är tanken att så fort man ska installera ett större program, så gör man det i zone. Så kan man backuppa dem, skicka dem till andra maskiner, etc. Så slipper man skräpa ned den globala Solaris 11 zonen. Man kan patcha zonerna individuellt och så.
Det jag tänker göra, är att köra VirtualBox i en zon. Däri ska jag installera ett OS, t.ex. Windows eller Linux. Och jag surfar endast från dessa virtuella maskiner. Och jag stänger av nätverkskortet till den globala zonen. Detta betyder att den globala zonen inte går att kommunicera med.
Så jag kan endast komma ut via en zone, som kör VirtualBox. Om nån vill hacka min maskin, så måste han först knäcka virtualiserat Windows / Linux. Sen går han ut via VirtualBox till den lokala zonen. Och då måste han försöka få root access till den lokala zonen. Om han får root access till den lokala zonen, så måste han sen försöka knäcka zonen så han får access till den globala zonen - och si, det går inte eftersom all kommunikation till den globala zonen är avstängd.
Jag kommer att göra lokala zoner read-only. Det betyder att en hacker inte kan byta ut filer. Säg att han knäcker Linux och kommer ut i den lokala zonen och får root access. Där byter han ut "ls" mot en modifierad "ls" trojan som gör nåt sattyg. Men si det går inte - eftersom zonen är read only. Han kan inte byta ut filer alls. Och inte heller komma åt den globala zonen för den har inget nätverkskort.
Vad tror ni om detta? Eftersom det är benhårt vattentäta skott mellan lokala zones (de kommunicerar endast via TCP/IP) och man omöjligt kan komma ut, eller ens observera en annan zon (pga zones säkerhetsmodellen) - så borde detta vara hyfsat säker lösning? Nån som ser nån nackdel?
När jag ska uppgradera den globala zonen så slår jag på nätverkskortet och sen stänger ned access omedelbart efter.
Jag ska installera Solaris 11 på en SSD, med nätverkskabeln utdragen. Installera VB och Linux. Och sen stänga av NIC till globala Solaris 11 zonen och sen sätta i nätverkskabeln.
Då kan ju hackers försöka komma åt min maskin. Lycka till. Sen finns det dessutom andra säkerhetsaspekter i Solaris 11 som man kan slå på. Typ, minimera antalet tjänster som körs, etc - med ett enkelt kommando.
Vad säger ni? Vettigt? Eller finns det nån lucka nånstans? Detta borde bli en toksäker lösning? Och sen ECC + ZFS + crypto. Moahahahaa!!!
EDIT: Och man kan sätta RAM och CPU cap på en lokal zon. Det har hänt tidigare att datorn segat en hel del när en virtuell maskin gått bärsärk och snott allt RAM. Sånt får man räkna med när man kör alfa versioner. Men nu blir det ett minne blott. Jag sätter 0.75 core och 1.5GB RAM cap på en lokal zon. Så kan zon som går bärsärk, inte lägga beslag på alla resurser i den globala zonen. Så datorn är alltid rapp.
