https://opennet.me/openforum/vsluhforumID3/136314.html Компания Varnish Software, разрабатывающая системы для построения сетей доставки и кэширования контента, представила открытый проект TinyKVM, развивающий инструментарий для изоляции выполнения отдельных процессов при помощи гипервизора KVM. Целью проекта заявлено создание самой быстрой системы sandbox-изоляции отдельных процессов, использующей аппаратную виртуализацию. Код проекта написан на языках C и С++, и распространяется под лицензией GPLv3...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62898<br> https://opennet.me/openforum/vsluhforumID3/136314.html#148 Fri, 21 Mar 2025 12:40:10 GMT Ваш вопрос понятен, но будьте справедливы - в новости указано "ограничение потребления памяти", что можно сделать и через cgroups, а не "гарантия доступности физической памяти", что действительно проще сделать виртуалкой. Кстати, и не факт, что с KVM это сработает - если в Hyper-V физическая память на виртуалку нарезается сразу, то насчёт KVM я не уверен.<br><br>Так что простого решения нет, только mlock + инициализация.<br>Ну oom_score_adj.<br> https://opennet.me/openforum/vsluhforumID3/136314.html#147 Fri, 21 Mar 2025 11:29:29 GMT &gt;Внезапно, page fault, который происходит при записи в неотмапленную страницу, обрабатывается тоже ОС<br><br>Вот есть какой-то цикл на псевдокоде.<br>int * arr = malloc(big_size * sizeof(int));<br>for (size_t i = 0; i &lt; big_size; i++) {<br> arr[i] = 0;<br>}<br>Вот на arr[i] = 0; памяти ещё хватало, а вот на arr[i++] = 0 - уже нет. Как сообщить об этом процессу, чтобы он мог это обработать, и самое главное, почему он должено обрабатывать эту ситуацию, а не int * arr = malloc(big_size * sizeof(int))?<br> https://opennet.me/openforum/vsluhforumID3/136314.html#146 Fri, 21 Mar 2025 09:58:39 GMT &gt; Какие варианты кроме убийства процесса с возможной порчей файлов вы можете предложить? <br>&gt; Надеюсь, вы знаете, что даже запись в массив может привести к <br>&gt; выделению новых страниц в физической памяти?<br><br>Ну так RTFM<br><br>ps ax -o pid,user,args,vsz,rss,uss<br><br>Внезапно, page fault, который происходит при записи в неотмапленную страницу, обрабатывается тоже ОС, а не какими-нибудь волшебными феями.<br> https://opennet.me/openforum/vsluhforumID3/136314.html#145 Fri, 21 Mar 2025 09:34:29 GMT Вы точно уверены, что там так и было написано - "панацея от всего"?<br>Речь о совершенно обратном, что если напихивать в kvm фишки для интеграции виртуализованного процесса в хост ОС (а их будут напихивать, потому что hello world это одно, а нормальный процесс со всеми доступами к fs, ipc и т.д. это уже совсем другое), от защиты, которую даёт виртуализация не останется ничего.<br> https://opennet.me/openforum/vsluhforumID3/136314.html#144 Fri, 21 Mar 2025 06:42:01 GMT Какие варианты кроме убийства процесса с возможной порчей файлов вы можете предложить? Надеюсь, вы знаете, что даже запись в массив может привести к выделению новых страниц в физической памяти?<br> https://opennet.me/openforum/vsluhforumID3/136314.html#143 Thu, 20 Mar 2025 19:57:48 GMT &gt; Одно адресное пространство на всех? А вы точно уверены насчёт того, кто <br>&gt; именно в 1989?<br><br>Ну а кто из нас в начале треда пишет про то, что защищённый режим &#8212; панацея от всего, забывая о других видах уязвимостей?<br> https://opennet.me/openforum/vsluhforumID3/136314.html#142 Thu, 20 Mar 2025 15:39:45 GMT Одно адресное пространство на всех? А вы точно уверены насчёт того, кто именно в 1989?<br> https://opennet.me/openforum/vsluhforumID3/136314.html#141 Thu, 20 Mar 2025 15:36:16 GMT Что именно рассказать? Что ОС "забыла" сколько страниц на физическую память отмапила?<br> https://opennet.me/openforum/vsluhforumID3/136314.html#140 Wed, 19 Mar 2025 15:24:07 GMT Окей, окей, лишнего написал. Конечно же интересует именно что skvm/tkvm.<br>