On 15.02.2022 21:22, Mirek wrote:

> Obecnie to się robi jednym poleceniem i masz system read-only.

Możesz powiedzieć coś więcej? Wiedziałem, że istnieją metody na
ograniczenie użycia karty pamięci (na wzór rozwiązań stosowanych np. w
OpenWRT) ale gdy szukałem jakichś opisów, to znajdywałem dłuższe
tutoriale. Da się to pod Raspbianem zrobić jednym poleceniem? Jak
wygląda potem kwestia instalacji softu?


> A na maszcie MikroTik i goła transmisja po UDP - no szczyt
> bezpieczeństwa ;)

Ale tutaj nie chodzi o bezpieczeństwo transmisji czy nawet
bezpieczeństwo sieci. Chodzi o bezpieczeństwo tego konkretnego
urządzenia. RasPi to jednak standardowy komputer. Jeśli będziesz miał na
nim przestarzały system albo inny komponent software;owy, to jeśli
atakujący w jakiś sposób się do niego dostanie (chociażby w sytuacji,
gdy uda mu się zinfiltrować twoją sieć) to będzie mógł próbować się do
niego dobrać za pomocą zupełnie standardowych exploitów. W razie sukcesu
stworzy sobie całkiem fajny przyczułek.

A urządzenie na mikrokontrolerze to urządzenie na mikrokontrolerze.
Projektowane do konkretnego celu. Odpala kod, który został wgrany. Nie
instalujesz na nim programów. Tak więc atakujący co najwyżej będzie w
stanie podsłuchać komunikację. Jeśli występuje opcja zdalnej
aktualizacji to istnieje niewielka szansa, że będzie w stanie wgrać
zmodyfikowany firmware, ale to będzie już wymagało od niego znacznie
więcej wysiłku. O wiedzy na temat samego urządzenia nie wspominając.


>> Do mikrokontrolera jeden raz wgrywasz firmware i masz spokój.
>
> Chyba Ty, bo ja zawsze coś poprawiam n razy.

Chodzi mi o to, że w przypadku urządzenia wbudowanego musisz
aktualizować tylko jego firmware. W przypadku komputera musisz
aktualizować wszystko, bo co chwilę będzie się okazywało, że któryś z
komponentów użytych w systemie ma podatność, która może być eksploitowana.
I jasne, obecnie granica też się zaciera, bo biblioteki wchodzące w
skład SDK ESP8266/ESP32 też co jakiś czas warto aktualizować ze względów
bezpieczeństwa.