AntHTML

Вся история с оптоволокном и "Хочется её заменить малой кровью" не очень бьются между собой.

протянули дохлую витую пару на 100 Мбит/сек

Надо выяснить она действительно дохлая или там просто обжаты на коннектор 2 пары, для них 100 Мбит/сек как раз максимум. Возможно просто надо переобжать на все 4 пары в проводе и всё станет значительно лучше.
И да я считаю что оптика в пределах дома безопасно кладётся только за потолками. Либо в кабель-каналах большого формата желательно с скруглёнными углами 90 градусов, иначе есть шанс сломать волокно в процессе укладки и эксплуатации

баня с мансардным этажом

Тоже медью. Только взять уличную. Вариант закопать. Можно как писали выше в ПНД трубе, это капитально и с заделом на будущее.
А можно в металлической гофре с пвх покрытием. Лопатой конечно перешибить можно, но надо постараться.
от грызунов поможет металл, а от внешней среды поможет пвх.

Медь можно сделать самому и не особо углубляясь в материал, а вот с оптикой можно промахнуться. Вон даже специалисты иногда путаются в понятиях. Берите чеки на оптику и т.д. Рассмотрите вариант простого возврата и обмена оборудования у продавца. Может пригодиться

Хочется её заменить малой кровью, но cat5/6 толстенькие и вряд ли их удастся протянуть тем же маршрутом без выламывания чего-нибудь.

Если плинтуса модные, с кабельканалом внутри - просто плинтус подымается и провод перекладывается. Если обычно дерево - в сьемных квартирах, где такие плинтуса обычно не морочатся и шьют прямо к ним.

Медь не хочется тянуть, т.к. кажется, что уже далековато (с учётом укладки ещё внутри)

Длина сегмента 100м. Есть провод с LSZH оболочкой (Low Smoke Zero Halogen) - при горении минимальное количество дыма, отсутствие хлора/фтора. Он дороже, ессно.

Подскажите, во-первых, насколько это в целом реальная затея ?

Если очень захотеть - можно очень залететь :) Все будет упираться в опыт самостоятельной разварки оптики и наличия нужного инструмента (а он куда как недешев). Кроме того, оптика значительно "нежнее" и намного легче повреждается.

Единственный действующий сейчас вариант - это подача жалоб. Но тут с этим все плохо - на тупые вопросы комментариев аля "иди в гугл" может быть 10, а в счетчике жалоб - одна.
В результате всякие васи пупкины, нигилисты и т.п. не учатся задавать нормальные вопросы, так как подобных им просто не учит вероятность того, что их вопрос просто удалят без ответа.

Ну а для решения проблемы воровства ответов, когда спустя несколько часов публикуют перефразированные ответы, аналогичные тем, что уже дали\использования непроверенных ответов из нейросети - это требует действий со стороны администрации.

1. архив с ответами на многие вопросы, не только для новичков.

2. иногда нужна выборка по какому то вопросу, или конкретный опыт специалиста - LLM тут не помощник

В кардридере возможно 2 USB устройства, собственно сам кард ридер и USB порт на лицевой панели кардридера (или другой кардридер для 2го типа карт)
Как уже верно ответили на мат. плате 9 пин это 2 независимых USB
Вам осталось определить, какой из 2х USB отвечает за кардридер и подключить его, довольствуясь только им (без USB на панели, если таковой имеется)
Или распаять 2 USB кабеля и использовать устройство полностью, зависит от конечной цели.

Добавлю свои 5 копеек ко всему выше сказанному. В таких случаях у компов открыт доступ только к VDI серверу( или к белому списку внутреней инфраструктуре). Доступ можно закрыть на местной сетевой инфраструктуре (свич,роутер,фаервол). Так что никакого удаленного доступа у него быть не может. Чтобы провернуть ваш сценарий, ему еще потребуется 4g modem там поставить, если плохо ловит то еще и антену приставить к окну )) так что заменой ssd ничего не будет. Ну а могут ли вирусы с компа переходить в софт тонкого клиента этого мы уже не знаем, это уже другая история...

P.S. Нету одного решения этой проблемы, если вы сделаете то, что вам посоветовали ( я насчитал до 10 советов), то будете защищены от многих проблем, хотя я думаю, что вы и парочку отсюда не сделаете :). Как показывает практика, чем больше надо делать, чтобы защитить сеть/компы, тем меньше это делают.

Сам по себе WORKGROUP не проблема, авторизация же на уровне Horizon/AD. Но локальная учётка без пароля при физическом доступе это дыра: любой может сесть и делать что хочет в самой винде. Минимум — настрой kiosk mode (Assigned Access) или shell replacement, чтобы кроме Horizon Client ничего не запускалось, плюс закрой BIOS паролем и отруби загрузку с USB. Ну и 802.1X на свитчах не помешает, чтобы левый ноут в сетку не воткнули.

делай через подкоп
или через зероблок(если ARM) - https://t.me/routerich/394153/502452
или через антизапрет - https://github.com/GubernievS/AntiZapret-VPN
gpon - используем просто как 2го провайдера. всё настраивается на openWRT

ну а между сетями просто пропиши статическую маршрутизацию, чтоб они не потеряли друг друга. хотя я бы лучше все загнал в одну сеть на openWRT роутер. не вижу смысла подключать часть к ВРТ а часть к GPON

Так что Вариант А

удаленка через лдюбой vpn, либо через p2p типа tailscale \ zerottier(если у тебя их не блочат) или nebula slack

Все ответы касаются только Стахановца.

действительно ли такое возможно.

Это не просто возможно, это целый рынок систем СМП/DLP (часто имеют в качестве компонента)

Как можно это проверить?

Спросить у того, кто за это отвечает. Хорошо спрятанный агент СМП найти практически невозможно - для этого нужно знать все миллионы файлов винды.

Нужно ли для этого удаленное подключение?

Нет. Агент изначально знает, куда ему обращаться.

Отображается ли как-то трансляция?

Нет. Наблюдение вдется постоянно - от момента входа в систему до момента выхода. Впрочем "холостой ход" тоже ловит - от этого недостатка так и не избавились.

Большой ли объем хранилища нужен для такого количества ежедневной слежки?

Зависит от количества сотрудников и глубины хранения. Локальный буфер на сутки обычно. Оценочное (очень приблизительное) значение при 100 чел и глубине хранения полгода - 200G

Хотелось бы знать, правда ли он читает переписки.

В ИБ обычно полагается, что если точно не знаешь ответа, берется худший вариант.

Такая задача решается не пунктами инструкций, которые большинство даже не читает, а правильно настроенными правами и регулярными бэкапами. А удаления документов в СЭД вообще не должно быть, только перевод в "недействительные"/"неотображаемые". Удаляться может, разве что, черновик документа, который никто кроме автора ещё не видел.

В defrag надо смотреть на неперемещаемые файлы, типа C:\swapfile.sys, C:\pagefile.sys и C:\hyperfil.sys. Программа сжатия же вам всё подсказывает, прямо в лоб.

При загрузке с LiveCD/LiveUSB эти файлы можно удалять или даже дефрагментировать, и доступное место под сжатие должно увеличиться.

1. Как учиться кибербезопасности?

Если ты про образование по направлению - ищи специальность "Специалист по информационной безопасности". Если нет - ищи всевозможные роадмапы. Но нужно сразу учесть, что ИБ - это преогромная область, то, что описал Дмитрий в своем ответе - это только малая часть ИБ, причем часть не для нубов - для того, чтобы работать так, как он описал - нужно очень нехилый набор знаний, очень нехилый набор умений и несколько специфичный склад ума и характера.
И совершенно верно же - если ты сейчас не реверсишь какую-нибудь прошивку, не штудируешь CVE, не копаешься в чьих-то исходниках - тебе лучше в ИБ не ходить :)

Почему? Потому что ИБ - это не только пентест и поиск уязвимостей. Это МСЭ и сертификаты. Это всевозможные регламенты и инструкции. Это работа с СМП, DLP и прочими страшно звучащими вещами. Это прокси и файрволлы, сети и все с ними связанное. Ты должен быть админом лучше своих админов и сетевиком лучше своих сетевиков (если конечно все эти люди у вас есть).

И это коненчно же линух, линух, линух - потому что он везде :) Если не циска - значит линух. Но это не значит, что винду знать не надо - наоборот, знать ее надо чтоб от зубов отскакивало.

И немного психологом - ИБ это ведь и про юзеров тоже :)

2. Где искать работу?

Как везде - обьявления, сайты, стажировки. Но сразу вот так вот с улицы попасть в ИБ непросто - потому что типовая служба ИБ в конторе - это "остров абсолюта". На него не действуют правила, потому что они сами их пишут. И соответственно доверие тут должно быть огого.
Но можно попасть в контору, которая специализируется на ИБ, типа Касперского.

В печально известные ковидные времена, когда понадобилось СРОЧНО за два дня усадить всех на удалёнку но при этом имея зоопарк операционных систем, причем некоторые не имели даже админских прав на своём же домашнем компе, выходом оказался ICMP Knocking
Три правила в файерволе Микротика и простейший БАТник, пингующий нестандартными пакетами сервер перед RDP подключением

Никак не засудить. Провайдерт обязан пропускать трафик через ТСПУ, которым управляет Роскомнадзор. Сам провайдер не знает, что там происходит, что блокируется, что пропускается.
Это всё равно, что подать в суд на таксиста, который не довёз вас до дома из-за знака "кирпич", ну и на ГАИ заодно.

"Надо заново придумать некий смысл бытия
На...фига?" (С) Агата Кристи "Два корабля"

Когда нам понадобилась отдельная сеть для управления и бэкапов между хостами - мы взяли и ее сделали :) Вот реально - в каждом хосте быда свободная сетевуха, где не было - закупили, закупили свитч - и вывели на него все хосты, сервер бэкапов, резервный сервер (стоит в другом краю корпуса, а корпус у нас длиной 200 метров :)) и общую сеть.

Отдельная сеть - это отдельный носитель, прям на уровне физики.

И, кстати, вам отдельную сеть от чего? От общей сети?

вайфай был на отдельных физических картах

Актуально ли вообще воткнуть несколько вайфай-карт что бы увеличить пропускную способность в сумме

Нет. Это так не работает. Эфир один на всех. А два приёмо-передатчика рядом тупо будет мешать друг-другу и глушить. Плюс найти карту с поддержкой режима точки доступа и работающей в нужной вам ОС — это тот ещё квест. Дешевле классический роутер поставить и кабелем подключить. Если площадь квартиры большая — более двух комнат, толстые стены или у вас частный дом, то для вай-фая вам надо меш систему из нескольких точек, подключённых кабелем к локалке.

В первую очередь из-за тонкого места если много устройств (сеть), то есть я надеюсь что фактическое нахождение всего в одном устройстве не будет упираться в предел сетки меж роутером и NAS как у меня сейчас.

Собирайте тогда себе сразу 10 Гб сеть на меди, если всё рядом, или на оптике, если расстояние между узлами больше нескольких метров. Оптику вполне можно взять Б/У стандартные SPF+ многомодовые модули и моток такого же волокна со скалывателем или готовые патч-корды со всем вместе. Одномодовые менее распространённые и всё несколько дороже может встать.

Насколько такая схема вообще достойна жизни или лучше не мудрить, а купить отдельно нормальный вайфай-роутер и отдельно NAS готовый?

Сам роутер — топ OPNSense или pfSense на маленькой железке с парой портов (1 или 10ГБ) и плюс стандартный тупой свитч для локалки. Для NAS топ — XigmaNAS и TrueNAS, на фряхе и дебиане соответственно. Готовые NAS — так себе решение и никакой гибкости. Оптимальное решение: одна железка — одна функция. Т.е., отдельно NAS, отдельно роутер, отдельно вай-фай, отдельно умный дом, отдельно лаборатория для поиграться, отдельно рабочая станция. Если очень хочется всё же в одну железку всё запихнуть, то вам нужно будет туда ставить взрослый гипервизор типа Xen, Proxmox и иже с ними. И все разные функции разносить в разные машины, причём для некоторых надо будет пробрасывать железо целиком в машины. Например для роутера пробрасывать сетевую карту с парой портов или два карты по одному порту. Для NAS — диски (ну, так-то есть варианты и без проброса, конечно). В общем случае с ролью роутера или простой NAS с парой или четвёркой дисков вполне справится сборка на базе MiniITX платы со встроенным процессором. Учтите, что для нормальной работы NAS вам надо 1 ГБ оперативной памяти на каждый ТБ хранилища. Если у вас NAS на десятки и сотни ТБ с пачкой дисков — вам уже нужен взрослый серверный процессор с поддержкой ECC памяти и сама ECC память в обязаловке (иначе велик риск накопления ошибок со временем).

Нужна ли в такой сборке видеокарта или хватит просто работать с этим по SSH?

Если вам нужна ВМ для работы в ней с графикой — то да, ставите видеокарту и пробрасываете её в машину и работаете. Если не нужна — то и ставить не нужно.

как вообще первоначально систему поставить, у серверных материнок хотя бы консольный порт есть

Например, поставить видюху на время установки ОС, а потом убрать или просто поставить ОС по сети.

Но при попытке понять значит ли это что пакет ssh инкапсулируется в tcp-пакет

Разумеется значит. А пакет TCP инкапсулируется в пакет IP. А пакет IP инкапсулируется в пакет Ethernet (или другой среды передачи) И уже этот пакет передается по сети.

Все в полном соответствии с моделью ISO/OSI. В случае ssh даже ISO6 задействуется, который обычно пропускают.