Tak to zkusím ještě jednou.
Těžko říct, jestli je to nejlepší řešení, ale pro mé účely, postačuje. Přinejmenším se můžeš inspirovat.
VPN:
VPS v Tier 3 datacentru na důvěryhodné infrastruktuře, několik ipv4, rozsah ipv6.
2 dedikovaná jádra, 8GB RAM, nějakej disk.
SW:
Wireguard, iptables, ntopng.
Používám pro skrytí fyzických lokalit všech strojů a jejich propojení, všechny mé soukromé služby běží skrze toto VPS, dokážu dávat wireguard klientům byť natované, tak dedikované IP adresy, pro známé routuju přes jiné adresy než pro sebe/serverové služby, ntopng dovolí sledovat jakoukoli nekalou aktivitu v síti, byť nedokáže zpracovat cca 0,4% provozu(ve špičkách i 700Mbit/s).
Celý mi to řídí jednoduché bashové scripty, co jen iterují mezi variably, které říkají co odkud a kam má být posíláno.
Všechny serverové služby mám v LXD kontejnerech a ZFS, to mi dovoluje mít další jednoduchý script, co dokáže poslat jakýkoli kontejner, na jakýkoli jiný fyzický/virtuální server..
Služba prakticky zaznamená jen zapnutí a vypnutí a během několika sekund, běží na jiném fyzickém stroji.
Správce hesel:
Sám používám keepass soubor, který mám uložený na Nextcloudu.
Samotný Nextcloud má aplikaci Keeweb, co tento soubor umí na klientské straně odemknout a zobrazit.
Na telefonu mám keepass klienta, co tento soubor načítá z Nextcloudu skrze webdav.
Šifrování:
Sám všude používám na úrovni blokových zařízení dm-crypt.
U VPS je jediný vektor útoku a to dumpnout RAM a přečíst klíče, ale i tomu už brzo zabrání AMD SEV.
Na fyzickém stroji mohou jen udělat bypass EL, odvézt si to k sobě a zmrazit RAM.
No a notebook, ten se mi po dvou hodinách spánku sám probudí a hibernuje do zašifrovaného swap oddílu, tudíž vymaže klíče z RAM.
No a ve všech případech, je pravděpodobnější, že některou z mých služeb někdo prostřelí a dostane se do systému bokem.. Stále ale věřím, že mě dokáží ochránit další vrstvy, jako třeba neprivilegované LXD kontejnery. :-)