| 1.1, аноним (?), 19:56, 02/06/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Это нужно добавлять в убунты и другие дистрибутивы. Отдельная ОС "для безопасности" это бред.
| | |
| |
| 2.2, bircoph (?), 20:05, 02/06/2010 [^] [^^] [^^^] [ответить]
| +3 +/– |
Вы вряд ли пожелаете использовать эту ОС для безопасности для обычной работы: такая безопасность (как по виртуалке на каждое приложение) очень сильно ударит по быстродействию и ресурсопотреблению системы. А вот для специальных задач, где безопасность действительно важна и ради неё можно идти на большие жертвы -- это самое то.
| | |
| |
| 3.4, JL2001 (ok), 20:27, 02/06/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Вы вряд ли пожелаете использовать эту ОС для безопасности для обычной работы:
>такая безопасность (как по виртуалке на каждое приложение) очень сильно ударит
>по быстродействию и ресурсопотреблению системы. А вот для специальных задач, где
>безопасность действительно важна и ради неё можно идти на большие жертвы
>-- это самое то.
это всё надо делать отдельным метапакетом который можно при необходимости установить
а отдельный дистриб - плохо, и так разведено дистрибов на каждое дупло по затычке
| | |
| |
| 4.7, User294 (ok), 21:12, 02/06/2010 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>это всё надо делать отдельным метапакетом
Фигу вам - если думать о параноидальной секурности, надо думать от и до. Одним метапакетом там врядли отделаешься. Ну разве что если он полоси заменит :)
| | |
| |
| 5.10, аноним (?), 21:58, 02/06/2010 [^] [^^] [^^^] [ответить]
| +/– |
Т.е. если не делать это отдельной осью, то что, окружения будут изолированные как-то не до конца, или приложения будут как-то не до конца в них помещаться?
| | |
| |
| 6.20, Сергей Митрофанович (?), 01:02, 03/06/2010 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Т.е. если не делать это отдельной осью, то что, окружения будут изолированные как-то не до конца, или приложения будут как-то не до конца в них помещаться?
Нет, просто организация всей системы после установки такого метапакета изменится так, что проще новый дистрибутив сочинить. Там же ведь не просто есть песочница. Там все разнесено по песочницам.
| | |
|
|
|
| 3.5, аноним (?), 21:03, 02/06/2010 [^] [^^] [^^^] [ответить]
| –5 +/– | |
> Вы вряд ли пожелаете использовать эту ОС для безопасности для обычной работы: такая безопасность (как по виртуалке на каждое приложение) очень сильно ударит по быстродействию и ресурсопотреблению системы.
Я уж как-нибудь сам разберусь что мне важнее и в каком случае. А вот систему менять если понадобилась фича - это действительно идиотизм.
| | |
| |
| 4.12, ig0r (??), 22:02, 02/06/2010 [^] [^^] [^^^] [ответить]
| +5 +/– |
сообщите немедленно о своём решении разработчикам, а то они зря стараются вам угодить.
| | |
|
|
| 2.6, User294 (ok), 21:11, 02/06/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
Это ОС для ультрапараноидальных юзеров :) там довольно большой оверхед по памяти (как бы независимые копии операционок живут) но зато и изоляция частей системы на высоте.
| | |
| |
| 3.11, аноним (?), 21:59, 02/06/2010 [^] [^^] [^^^] [ответить]
| –3 +/– |
Спасибо, КО. Проблема в том, что "ОС ради фичи" обречена на гниение. Фичу надо либо добавлять в mainstream дистрибутивы, либо выкидывать, потому что свой дистрибутив руткитска явно поддежривать не будет, и ни на что кроме демонстрации фичи он не годится.
| | |
| |
| 4.35, User294 (ok), 21:54, 03/06/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>Спасибо, КО. Проблема в том, что "ОС ради фичи" обречена на гниение.
Фича очень нишевая и кому надо - ее оценят, имхо. Это скорее исследовательский проект и демонстрация возможностей виртулизации чем нечто нужное значительному проценту юзеров на десктопе. А вот какиенить ультрапараноидальные ынтерпрайзники или секурити-конторы всех мастей могут пожалуй фишку и оценить. Гниение? Ха. А такой штуке и ни к чему быть майнстримом. Вы же не ездите на работу на танке, правда? Хоть он и действительно круто бронирован, да. Тем не менее, танки почему-то пользуются спросом. Хоть и нишевым.
| | |
|
|
| 2.40, PereresusNeVlezaetBuggy (ok), 22:51, 03/06/2010 [^] [^^] [^^^] [ответить]
| +/– |
 > Это нужно добавлять в убунты и другие дистрибутивы. Отдельная ОС "для безопасности" это бред.
Вот когда этот дистрибутив оформится во что-то цельное, когда будут выявлены хотя бы основные подводные камни, тогда и можно будет думать об интеграции фич в другие дистрибутивы. А пока для всех будет лучше, если оно будет развиваться само по себе.
Если не согласны, расскажите об этом ещё и разработчикам Linux-ядра, которые каждый свой репозиторий держит. ;)
| | |
|
| 1.3, mma (?), 20:08, 02/06/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>за эту секунду проделывается ряд операций: создается и запускается новое виртуальное окружение, выполняется копирование нужного файла в это окружение и запуск соответствующего приложения.
Оптимистично:)
| | |
| 1.8, iZEN (ok), 21:23, 02/06/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
Платформа для организации изолированных окружений уже есть — называется Solaris Zones.
А с приходом в FreeBSD ZFSv18 (ZFS snapshot holds) и ZFSv21 (deduplication) в Jail появится возможность моментального создания вложенных изолированных рабочих окружений с минимальным оверхедом на занимаемое дисковое пространство.
| | |
| |
| 2.29, аноним (?), 13:35, 03/06/2010 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Платформа для организации изолированных окружений уже есть — называется Solaris Zones.
И какие же киллер-фичи есть в Solaris Zones, что надо срочно бросить Xen и переделывать Qubes под Solaris?
>в Jail
>изолированных рабочих окружений
Изоляция в джейлах слабовата. Заюзал дырку в ядре и пошел гулять по системе.
Разница между jail/openvz/lxc и zones/xen/kvm - примерно как между фанерной дверкой со шпингалетом и тяжелой стальной дверью с хорошим замком.
| | |
| |
| 3.33, jSnake (??), 17:40, 03/06/2010 [^] [^^] [^^^] [ответить]
| +/– |
 Вы путаете.
Аналог Xen в Solaris - это Logical Domains (LDOM). Это действительно очень похожие вещи (что неудивительно, ибо построено на основе Xen).
А зона - это полностью изолированная на уровне ядра ось(Solaris или RHEL/CentOS в случае brandz), которая в совокупности с Solaris Containers и Solaris Project даёт просто фантастические возможности для виртуализации и динамического распределения ресурсов. Солярка, по сути, это набор зон без всяких гипервизоров и виртуальных машин, со своими консолями/сетевыми интерфейсами. Прибавьте серверные спарковские домены и сетевую виртуализацию Crossbow - получите представление о той великолепной оси, которую сейчас будут превращать в коврик для бд оракла((
Иначе говоря, поднять на одном ноуте сетку из нескольких машин безо всяких виртуалок - легко.
P.S. Не хочу никого обижать, но ничего лучше Solaris 10 пока никто не придумал (в т.ч. AIX/HP-UX).
| | |
| |
| 4.42, аноним (?), 03:46, 04/06/2010 [^] [^^] [^^^] [ответить]
| +/– |
Приятно читать олдфага. Тем не менее соплярис умер, и "поднять на одном ноуте сетку из нескольких машин безо всяких виртуалок" можно легко и на Linux, и на FreeBSD.
| | |
| |
| 5.44, Anon Y Mous (?), 13:35, 04/06/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> Тем не менее соплярис умер
Ога, однако в проплаченном HP исследовании опрашиваемые почему-то поставили Solaris на первое место как Unix-систему, которую они выбирают для критичных приложений, впереди HP-UX. Некрофилы? Или еще один "провидец"?
| | |
|
|
| 3.43, аноним (?), 03:49, 04/06/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Разница между jail/openvz/lxc и zones/xen/kvm - примерно как между фанерной дверкой со
>шпингалетом и тяжелой стальной дверью с хорошим замком.
Ну это вы зря, kvm и zones место в левой части. Нормальная изоляция только у xen.
| | |
|
|
| |
| 2.36, User294 (ok), 21:56, 03/06/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>Жанка переквалифицировалась? С венды на линукс перешла...
Что логично - инновации теперь будут здесь. А MS теперь будет только вешать лапшу на уши да барыжить файловыми системами 15-летней давности.
| | |
|
| 1.15, Аноним (-), 22:42, 02/06/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Я с первой новости в себя прийти не мог, а тут ещё напомнили. Чего ей freebsd jail не угодили?
По сабжу: одноразовые окружения - хорошо. :)
| | |
| |
| 2.17, sHaggY_caT (ok), 00:03, 03/06/2010 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>Чего ей freebsd jail не угодили?
Они вообще далеки от практического использования, по сравнению с OpenVZ, PVC, Solaris Zones, и, скоро, LXC.
По сабжу Вашего вопроса, КО подсказывает, что в контейнерах не полная изоляция, в сравнении с виртуализацией.
Каждый сервис в контейнер, особенно с нормальными лимитами на cpu, память, и диск (жалко, что в OVZ i/o влияние сервисов друг на друга не очень хорошо лимитируется, но зато в остальных контейнерах оно вообще никак не ограничивается), это достаточно реальный вариант, в сабже же рассматривается что-то параноидальное, которое поможет от гипотетического ядерного эсплойта, который в истории тех же VZ-ядер в начале двухтысячных, когда они только-только вышли (и сделали Jails не актуальным), все-таки был.
| | |
| |
| 3.19, Аноним (-), 01:01, 03/06/2010 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> Они вообще далеки от практического использования, по сравнению с OpenVZ, PVC, Solaris Zones, и, скоро, LXC.
о том что вы знатный трололо на тему виртуализации мы все уже знаем. Спасибо, мы уже все это слышали.
А по сабжу: блин, так это еще один Денис Попов! Она случайно не из Нижнего Тагила?
| | |
| |
| 4.23, sHaggY_caT (ok), 01:33, 03/06/2010 [^] [^^] [^^^] [ответить]
| +/– |
>> Они вообще далеки от практического использования, по сравнению с OpenVZ, PVC, Solaris Zones, и, скоро, LXC.
>
>о том что вы знатный трололо на тему виртуализации мы все уже
>знаем. Спасибо, мы уже все это слышали.
>
>А по сабжу: блин, так это еще один Денис Попов! Она случайно
>не из Нижнего Тагила?
Кстати, так как народ, читающий новости не регулярно просматривает остальной форум, решила запостить ссылку:
http://www.opennet.me/openforum/vsluhforumID1/89052.html
Интересующимся просьба ответить.
| | |
|
| 3.24, аноним (?), 01:49, 03/06/2010 [^] [^^] [^^^] [ответить]
| –3 +/– | |
Как знал что главная борчиха с jail'ами всего opennet'а влезет.
> Они вообще далеки от практического использования, по сравнению с OpenVZ, PVC, Solaris Zones, и, скоро, LXC.
Они гораздо ближе к практическому использованию чем весь этот мусор.
> По сабжу Вашего вопроса, КО подсказывает, что в контейнерах не полная изоляция, в сравнении с виртуализацией.
И? Может вам для запуска фаирфокса с порнушным сайтом еще и air gap нужен?
У меня во FreeBSD описанные изолированные окружения работают уже лет как пять, и отдельной системы не требуют.
| | |
| |
| 4.27, аноним (?), 13:28, 03/06/2010 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Всегда умиляли юные фанбои вроде вас, у которых хватило интеллектуального потенциала осилить только одно решение. А все остальные решения вы поливаете фекалиями вслепую, из-за ваших комплексов. Ведь если вам было лень что-то осилить, значит, это что-то - мусор по определению.
>Они гораздо ближе к практическому использованию чем весь этот мусор.
"Мой ваз-шестерка гораздо ближе к практическому применению, чем весь этот мусор вроде лексусов и бмв!!!1"
>У меня во FreeBSD описанные изолированные окружения работают уже лет как пять, и отдельной системы не требуют.
"Езжу на своей шестерку уже пять лет, и совершенно не понимаю, зачем нужны другие машины. Правда, она уже проржавела и ломается часто^W^W^W^W^W^W^W"
Чисто для справки поясню, что виртуализация на уровне ОС (jails, openvz, lxc) по сути своей является защитой "от честных людей". Захотят - сломают, дыры в таких контейнерах находят регулярно.
А вот ломануть гипервизор уже на порядок сложнее, и это для этого обычно необходимо (но не достаточно) иметь рута в гостевой системе.
| | |
| |
| 5.28, oops (??), 13:33, 03/06/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
изначально, речь и гипервизоре не шла. Вам об одном, вы о другом.
| | |
| |
| 6.30, аноним (?), 13:37, 03/06/2010 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>изначально, речь и гипервизоре не шла. Вам об одном, вы о другом.
Речь шла о том, что некий юный писатель постов осилил только одно решение для изоляции и теперь высокомерно поплевывает на другие =)
| | |
|
| 5.32, аноним (?), 17:22, 03/06/2010 [^] [^^] [^^^] [ответить]
| +/– |
Я смотрю мое, "юного фанбоя", высказывание, вас, юного фанбоя, сильно зацепило. Но дискутировать с вами не о чем, вы банально не понимаете о чем идет речь.
| | |
|
|
|
| 2.37, User294 (ok), 22:00, 03/06/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>Чего ей freebsd jail не угодили?
Тем что у нее там как я понимаю все куда как лучше изолировано и в стопицот раз параноидальнее, а хоть и с диким оверхедом за это. Зато и правда выглядит довольно бронированным. А так - она завернула идею делать сие на KVM, чтобы не зависеть от надежности довольно большого ядра а только от маленького гипервизора, который проаудитить на дыры явно реалисичнее. Бздотные jail в этом плане ничем таким не лучше KVM, даже хуже - KVM по идее полную виртуализацию может, а jail ... ну у бздунов вообще с виртуализацией все не ахтецки, мягко говоря. А хотя-бы сетевой стек оно уже умеет виртуализовать? Это допилили наконец?
| | |
|
| |
| 2.18, sHaggY_caT (ok), 00:04, 03/06/2010 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>а SELinux это не то же самое только красивее и уже работает?
на хост-системе SELinux с политиками на виртуалки + виртуализация + контейнеры в виртуалках, еще параноидальнее :)
И, кстати, тоже реально уже сейчас :)
| | |
| 2.38, User294 (ok), 22:03, 03/06/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>а SELinux это не то же самое только красивее и уже работает?
Нет, это не то же самое. Почему-то сплойты залетев в систему этот ваш селинукс вырубают одной левой (тут вон примеры сплойтов повышения привилегий были, как раз с воркэраундом отшивающим ваш селинукс куда подальше). В случае параноидальной системы Рутковской ломать придется уже мелкий гипервизор, который вообще из системы не виден, что как-то уныло и геморройно и дыр в нем не так уж и много скорее всего. В итоге система Руткитской ;) выглядит довольно параноидально и трудноломаемо, в отличие от "просто системы с SELinux".
| | |
|
| 1.25, Sashker (?), 12:01, 03/06/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Любому юзеру "специальное" открывание подозрительного файла в отдельном окружении очень быстро надоест. В общем, городится очередной огород...
| | |
| |
| 2.34, Crazy Alex (??), 21:24, 03/06/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
А много "подозрительных файлов" открывает "любой юзер"? В принципе, параноить в линуксе с его зоопарком насчет того, что вас могут хакнуть через дыру в рендерере - э как-то слишком, но идея "быстро создать виртуалку и что-то конкретное указанное извне в ней запустить" хороша, хотелось бы иметь такое в мэйнстриме. Именно чтобы не долго/нудно конфигурить окружение, а моментально создать...
| | |
| 2.39, User294 (ok), 22:04, 03/06/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Любому юзеру "специальное" открывание подозрительного файла в отдельном окружении очень
>быстро надоест.
Разумеется. А вот скажем посмотреть на "возможно вирус" в таком окружении - ничего так :)
| | |
| 2.41, PereresusNeVlezaetBuggy (ok), 22:56, 03/06/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Любому юзеру "специальное" открывание подозрительного файла в отдельном окружении очень быстро надоест.
>В общем, городится очередной огород...
А умный админ сделает так, чтобы по дефолту все потенциально опасные файлы открывались в disposable зонах. Если чо надо — копирование и вставка вроде как работают, а больше ничего для просмотра тех же пэдээфок и не надо. Так что идея действительно интересная. Жаль, systrace так и не придумали как пофиксить, можно было бы без лишней виртуализации обойтись, думаю…
| | |
|
|
