OpenForum RSS: Кандидат в релизы дистрибутива Qubes, использующего Xen для ... https://opennet.me/openforum/vsluhforumID3/85699.html Представлен (http://theinvisiblethings.blogspot.com/2012/07/qubes-10-release-candidate-1.html) кандидат в релизы Linux-дистрибутива Qubes (http://qubes-os.org/), реализующего (http://www.opennet.ru/opennews/art.shtml?num=30243) идею строгой изоляции приложений и компонентов ОС с задействованием системы виртуализации Xen. Приложения в Qubes разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач, каждый класс приложений, а также системные сервисы (сетевая подсистема, работа с хранилищем и т.п.), работают в отдельных виртуальных машинах. При этом указанные приложения бесшовно доступны в рамках одного рабочего стола и выделяются для наглядности разным цветом обрамления окна. Каждое окружение имеет доступ на чтение к базовой корневой ФС и локальному хранилищу, не пересекающемуся с хранилищами других окружений, для организации взаимодействия приложений используется специальных сервис.<br>&lt;center&gt;&lt;a href="http://2.bp.blogspot.com/-zJFn81JdryI/UAqu7H9KSHI/AAAAAAAAAJ0/q_vVqkoEDTY/s1600/sna Кандидат в релизы дистрибутива Qubes, использующего Xen для ... (Аноним) https://opennet.me/openforum/vsluhforumID3/85699.html#57 Thu, 26 Jul 2012 10:06:16 GMT &gt; Аж два раза запостила. :)) <br><br>Вас глючит - в этом треде нет повторных постов.<br> Кандидат в релизы дистрибутива Qubes, использующего Xen для ... (коксюзер) https://opennet.me/openforum/vsluhforumID3/85699.html#56 Thu, 26 Jul 2012 05:04:17 GMT &gt;&gt; Разве это нельзя сделать через lxc?<br>&gt; Можно, но уровень изоляции будет хуже чем у "руткитской" и ее дистра. <br>&gt; Понимаешь, человек написавший Blue Pill уже никогда не сможет согласиться на <br>&gt; компромисс. В каком-то роде это правильно. Настоящий спец по безопасности - <br>&gt; истинный параноик в чистом виде.<br><br>Они до сих пор живут с компромиссами в Qubes, поскольку до сих пор не реализован ни один из механизмов защиты гипервизора, предложенных их же командой.<br> Кандидат в релизы дистрибутива Qubes, использующего Xen для ... (коксюзер) https://opennet.me/openforum/vsluhforumID3/85699.html#55 Thu, 26 Jul 2012 04:59:25 GMT &gt;&gt; Да неужели? С каких это пор LXCовый рут потерял право писать любую <br>&gt;&gt; фигню в sysctl хоста, например?<br>&gt; С таких с каких он не является настоящим рутом, очевидно.<br><br>http://www.openwall.com/lists/oss-security/2011/10/26/11<br> Кандидат в релизы дистрибутива Qubes, использующего Xen для ... (коксюзер) https://opennet.me/openforum/vsluhforumID3/85699.html#54 Thu, 26 Jul 2012 04:57:30 GMT &gt;&gt; Новость на опеннете про одно из ядер.<br>&gt; Замечательно. А пруф будет?<br><br>Не будет, потому что из всех запланированных ограничений user namespaces реализована только малая часть.<br> Кандидат в релизы дистрибутива Qubes, использующего Xen для ... (коксюзер) https://opennet.me/openforum/vsluhforumID3/85699.html#53 Thu, 26 Jul 2012 04:55:37 GMT &gt;&gt; Девушка своим антивирусом свой вирус рекламирует? :) Оригинально.<br>&gt; А это не антивирус. Это система ориентированная на высокую культуру быта^W^W безопасность. <br><br>В этой системе авторы сосредоточились на единственной идее изоляции для локализации потенциального вреда в случае взлома изолированных приложений. Для усиления защиты самих приложений не сделано ничего, по сравнению с любым обычным дистрибутивом линукса. То есть, если вас успокаивает мысль, что взломавшие ваш почтовый клиент сольют только вашу почту, Qubes для вас. Если предпочитаете предотвратить взлом, смотрите в сторону Hardened Gentoo, Openwall (ядро с Grsecurity придётся собрать самостоятельно) и Alpine (серверный дистрибутив).<br><br>Кстати, недавняя уязвимость к повышению привилегий в Xen должна расставить все точки над i в случае Qubes для тех, кто ещё сомневался.<br> Кандидат в релизы дистрибутива Qubes, использующего Xen для ... (коксюзер) https://opennet.me/openforum/vsluhforumID3/85699.html#52 Thu, 26 Jul 2012 04:33:30 GMT &gt; Разве это нельзя сделать через lxc? Без: <br><br>LXC по состоянию на сегодняшний день не предназначен и непригоден для безопасной изоляции (хотя бы на уровне Xen).<br> Кандидат в релизы дистрибутива Qubes, использующего Xen для ... (Аноним) https://opennet.me/openforum/vsluhforumID3/85699.html#51 Tue, 24 Jul 2012 12:14:46 GMT &gt; Аж два раза запостила. :)) <br><br>Вас глючит - в этом треде нет повторных постов. <br> Кандидат в релизы дистрибутива Qubes, использующего Xen для ... (Аноним) https://opennet.me/openforum/vsluhforumID3/85699.html#50 Tue, 24 Jul 2012 09:38:28 GMT &gt; чтобы код _имел_ возможность взаимодействия (и создания проблем)<br><br>"В случае аварии - выдерни шнур, выдави стекло" :)<br> Кандидат в релизы дистрибутива Qubes, использующего Xen для ... (Аноним) https://opennet.me/openforum/vsluhforumID3/85699.html#49 Tue, 24 Jul 2012 09:37:36 GMT &gt; Xen с установленным внутри полноценным линуксом будет весить явно больше жабовского рантайма. <br><br>Не обязательно - сильно зависит от линукса и чего туда напихать. Ну и скорость практически равна нативному коду т.к. нативный код и выполняется, проц не вмешивается покуда нет исключительных ситуаций.<br> <br>&gt; А если к нему прикрутить функции IPC, работы с диском и сетью <br>&gt; и прочие фичи, необходимые большинству приложений - возможности вырваться резко возрастут. <br><br>Вы так говорите как будто их там нет или как будто у явы этого нет или это не так. А сеть - что сеть? Вон стоит пачка линуксных хостов с жирным интернетом и кучей ресурсов. Что ж их еще не раздолбали?<br>