The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновление ОС Qubes 4.0.4, использующей виртуализацию для изоляции приложений"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление ОС Qubes 4.0.4, использующей виртуализацию для изоляции приложений"  +/
Сообщение от opennews (ok), 05-Мрт-21, 21:44 
Сформировано обновление операционной системы Qubes 4.0.4, реализующей идею использования гипервизора для строгой изоляции приложений и компонентов ОС (каждый класс приложений и системные сервисы  работают в отдельных виртуальных машинах). Для загрузки подготовлен установочный образ размером 4.9 ГБ. Для работы необходима система с 4 Гб ОЗУ и 64-разрядным CPU Intel или AMD с поддержкой технологий VT-x c EPT/AMD-v c RVI и VT-d/AMD IOMMU, желательно наличие GPU Intel (GPU NVIDIA и AMD недостаточно хорошо протестированы)...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=54707

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  –4 +/
Сообщение от uis (ok), 05-Мрт-21, 21:44 
Ничего не понял. Это микроядро?
Если пользовательские программы смогут использовать syscall'ы внутри них самих, например для работы и изоляции плагинов, то в этом что-то есть.
Ответить | Правка | Наверх | Cообщить модератору

4. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +23 +/
Сообщение от Аноним (-), 05-Мрт-21, 22:52 
Это куча виртуалок поверх XEN.

Сам по себе XEN можно посчитать за атрофированное микроядро, которое делает только совсем базовый менеджмент ресурсов. Но вообще - это принято называть словом "гипервизор", точнее описывающим конкретику функциональности.

Сам по себе XEN не умеет дрова оборудования. Поэтому ему нужен Linux в dom0, куда будет сбагриваться фактическая работа с железом. И, наверное, он уже не микроядро. Ну а в виртуалках в domU живут юзерские VM, реализующие десктоп и изолированные друг от друга программы.

Я себе нечто сравнимое запилил вообще из qemu и дебиан линухов (RAM сильно меньше жрут), только гипервизором сразу linux, благо kvm встроен в каждый линух, и с пробросом окошек я не заморачивался, решив что четкое видение в каком isolation domain я нахожусь вообще фича.

Ответить | Правка | Наверх | Cообщить модератору

14. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +5 +/
Сообщение от Леголас (ok), 06-Мрт-21, 05:20 
ради вот таких экскурсов и читаю OpenNET, спасибо
Ответить | Правка | Наверх | Cообщить модератору

34. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +/
Сообщение от Аноним (-), 07-Мрт-21, 00:19 
ыыыыыыыы
Ответить | Правка | Наверх | Cообщить модератору

22. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +3 +/
Сообщение от Аноним (22), 06-Мрт-21, 11:24 
> Я себе нечто сравнимое запилил вообще из qemu и дебиан

Поделитесь мануалом, плиз.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

29. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +/
Сообщение от Аноним (29), 06-Мрт-21, 16:12 
Присоединяюсь к просьбе.
Ответить | Правка | Наверх | Cообщить модератору

36. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +/
Сообщение от Аноним (36), 07-Мрт-21, 11:19 
Я пользовался Qubes примерно пол-года, потом снес. Было удобно пользоваться отдельными виртуалками для разных VPN: для работы был нужен один, в пиндосии; для вэбсерфинга - поближе, в европах; ну а для всяких местечковых говносайтов чтобы за интернет и коммуналку платить - там VPN был во зло.

Но отрицательные стороны достали окончательно. Во-первых, не задалось сразу на этапе установки - была бага в питонячем скрипте, там куча их. Потом - Fedora. Не люблю редхат с 2003 года. Я, конечно, в виртуалках крутил Debian, но куда денешься от Dom0? Network Manager, опять же. Самый важный крысиный апплет загрузки процессора и свободной памяти абсолютно бесполезен, откуда ему знать про XEN. С нестандартными USB девайсами (занимаюсь эмбедовкой иногда) - танцы с бубном без надежды на успех. В UI багов тоже предостаточно, та же копипаста между виртуалками регулярно затыкалась.

Я пошел другим путем: снес Qubes, поставил Debian, завел несколько юзеров и настроил маршрутизацию через разные VPN по uid. Переключение между иксами по ctrl-alt-f7-f8-f9-etc вообще не напрягает, даже лучше чем куча окон на одном десктопе.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

2. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  –1 +/
Сообщение от Аноним (2), 05-Мрт-21, 21:46 
Будет как ипхонах: передать данные между двумя изолированными приложениями быстрее через чудое облако за океаном, чем пробить дыру во всех этих огораживаниях.
Ответить | Правка | Наверх | Cообщить модератору

3. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +/
Сообщение от Аноним (3), 05-Мрт-21, 22:42 
GPU по-прежнему не доступен. Значит - бесполезно.
Ответить | Правка | Наверх | Cообщить модератору

5. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +2 +/
Сообщение от Аноним (-), 05-Мрт-21, 23:28 
А что, xen не умеет в проброс GPU? Но вообще эти фокусы в high-secure окружении не стоит делать. Даже с IOMMU. А то видите ли вынесет вас гуест DMA - и плевать ему что это виртуалка. Для DMA инициируемого устройством какая нахрен разница, оно адресами хоста в конечном итоге оперирует.
Ответить | Правка | Наверх | Cообщить модератору

7. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +1 +/
Сообщение от Аноним (7), 06-Мрт-21, 00:31 
и почему-то с интеловыми эти фокусы проходят...
Ответить | Правка | Наверх | Cообщить модератору

10. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +/
Сообщение от Аноним (-), 06-Мрт-21, 02:50 
На kvm оно и с амдшными так-то проходит. Но это не очень популярный и протестированный сетап, а сама идея подарить атакующему (или вы изоляцию делали потому что ресурсы некуда девать?) железку с DMA-мастером в комплекте почему-то выглядит как эффективный способ аннулировать результат всей возни глупым действом. Я не понимаю пойнт такого сетапа.
Ответить | Правка | Наверх | Cообщить модератору

6. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +2 +/
Сообщение от Аноним (7), 06-Мрт-21, 00:30 
>>(GPU NVIDIA и AMD недостаточно хорошо протестированы)

ну вот не нужно трындеть - одно просто хреново с IOMMU работает, а другое с ним вообще не работает.

Ответить | Правка | Наверх | Cообщить модератору

8. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +/
Сообщение от Аноним (8), 06-Мрт-21, 01:55 
Под qemu+kvm нет проблем с пробросом красных и зеленых карт. XEN - defective by design!
Ответить | Правка | Наверх | Cообщить модератору

9. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +2 +/
Сообщение от Аноним (7), 06-Мрт-21, 02:26 
Серьезно?
Давай пробрось Ryzen 7 4800H & GeForce GTX 1650 Ti
Какую версию ядра для этого будеш выбирать?
Ответить | Правка | Наверх | Cообщить модератору

20. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +2 +/
Сообщение от валяйте (?), 06-Мрт-21, 10:48 
Сделано, пробросил
Ответить | Правка | Наверх | Cообщить модератору

21. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +1 +/
Сообщение от Аноним (7), 06-Мрт-21, 10:56 
ага, на словах...
Ответить | Правка | Наверх | Cообщить модератору

27. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +/
Сообщение от Аноним (-), 06-Мрт-21, 12:45 
Лежа на спине
Ответить | Правка | Наверх | Cообщить модератору

37. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +/
Сообщение от Аноним (37), 09-Мрт-21, 11:15 
Проблема не в видяшке и тем более не в ядре, а в ушлепанском чипсете под твою затычку сокета.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

11. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +/
Сообщение от Аноним (-), 06-Мрт-21, 02:54 
Не гони, я пробрасывал amdgpu в kvm'ную виртуалку. Правда стоит сказать что у меня их было несколько, так что я детачнул 1 от pci и отдал это в VM, и ессно это не системный GPU был. И как таковое оно работало даже. Правда меня там вывод на экран вообще не колыхал, это gpgpu compute, конечно. Зачем мне выхлоп VM на вон том DVI? Хоть он наверное и есть теоретически, я не проверял :)
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

13. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +/
Сообщение от Псевдоним (??), 06-Мрт-21, 03:12 
Можно и с одной GPU провернуть.
Ответить | Правка | Наверх | Cообщить модератору

18. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +2 +/
Сообщение от Аноним (-), 06-Мрт-21, 08:59 
Если речь про честный проброс PCI устройства я не понимаю как это должно выглядеть. Для этого надо у хардварной системы железку отобрать (а как она тогда на экран что-то покажет?) и заново реинициализировать из гуеста. И я не уверен что такой фортель хорошо работает.

Я то отдавал "uninitialized" (secondary GPUs) - линь при этом бухтит нечто типа GPU is not posted, posting now - после чего это реинит с ноля, с переключением VGA -> native, вгрузкой фирмвар и проч. Можно ли так сделать без полного ресета железки дважды - без понятия.

У интеля есть какие-то пробросы команд в GPU, чтоли. Специфичные для них. Безопасность этого мне неизвестна - GPU изначально не делали с учетом многоюзерности и тем более виртуализации, насколько это все не может поиметь хост - большой вопрос, учитывая что изначально GPU как бы DMA-master на хосте. И если у амд в более-менее новых GPU (GCN и новее) появилось что-то типа paging на стороне GPU и соответственно какое-то подобие 3-го MMU  - paging на стороне GPU он как-то делает и какие-то энфорсы прав страниц GPU VM умеет, как и детект GPU VM page fault. Такой наверное даже реально уже на несколько юзеров/программ относительно секурно поделить по типу того как системный проц. А вот интель как-то сильно проще и кмк они так вообще не могут на уровне железа. Но их вообще хайп интересует больше безопасности. И не факт что юзеры чего-то типа сабжа хотели вот такое отношение к делу.

Ответить | Правка | Наверх | Cообщить модератору

32. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +1 +/
Сообщение от Аноним (7), 06-Мрт-21, 21:49 
если есть две - то одну можно и отобрать.
вопрос еще в том как эту отобранную между виртуалками поделить?
Ответить | Правка | Наверх | Cообщить модератору

31. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +1 +/
Сообщение от Аноним (7), 06-Мрт-21, 20:37 
у меня на GPU драйверах IOMMU даже не поднималось для проброса, какие только опции ядра и модулей не пробовал подставлять.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

12. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +/
Сообщение от НеАнонимemail (?), 06-Мрт-21, 03:07 
Про ябывдулистую Рутковскую ничего не написали:(
Ответить | Правка | Наверх | Cообщить модератору

16. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +/
Сообщение от Chromiumemail (ok), 06-Мрт-21, 07:36 
Kurva power!!!
Ответить | Правка | Наверх | Cообщить модератору

19. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +1 +/
Сообщение от Аноним (-), 06-Мрт-21, 09:08 
Она хороша. Красивая и умная, да еще в low level шарит. Офигенное сочетание, так то.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

28. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +/
Сообщение от n00by (ok), 06-Мрт-21, 14:38 
"По словам Йоанны, они вместе с Александром занимаются изучением угроз и консультационными проектами, однако Александр немного больше времени уделяет программистской работе, а сама Рутковская сосредоточена непосредственно на бизнес-задачах."

Она, кстати, приезжала к нему в гости. Но. С подружкой. Так что закатайте губу. ;)

Ответить | Правка | Наверх | Cообщить модератору

23. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +1 +/
Сообщение от Аноним (-), 06-Мрт-21, 12:33 
А она уже давно как ушла из проекта в другой.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

25. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  –2 +/
Сообщение от Аноним (-), 06-Мрт-21, 12:44 
Порнозвезды на Главном?
Ответить | Правка | Наверх | Cообщить модератору

35. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +/
Сообщение от Аноним (35), 07-Мрт-21, 01:28 
Руткитовская
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

15. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +/
Сообщение от Тот_Самый_Анонимус (?), 06-Мрт-21, 07:16 
4.0.4 — выпуск должен быть максимально хорош.
Ответить | Правка | Наверх | Cообщить модератору

24. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +/
Сообщение от Аноним (-), 06-Мрт-21, 12:36 
Да там ничего особенного, обычная минорщина, где есть только обновление компонентов до свежих. Ждем 4.1
Ответить | Правка | Наверх | Cообщить модератору

17. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +/
Сообщение от Аноним (17), 06-Мрт-21, 08:38 
4.0.1 тестил, так и не смог выйти в инет, чтобы обновиться. Хорошее огораживание: все фреймы пропадали в неизвестном направлении. Похоже какая-то заморочка с сетевой картой и её работой в iommu режиме. Надо потестить обновление.
Ответить | Правка | Наверх | Cообщить модератору

26. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +1 +/
Сообщение от Аноним (-), 06-Мрт-21, 12:45 
Это не для инета
Очень великая секурность
Ответить | Правка | Наверх | Cообщить модератору

30. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +/
Сообщение от Аноним (30), 06-Мрт-21, 18:31 
Вот когда полноценно ГПУ проброс будет, тогда и подумаем....
Ответить | Правка | Наверх | Cообщить модератору

33. "Обновление ОС Qubes 4.0.4, использующей виртуализацию для из..."  +/
Сообщение от Аноним (33), 06-Мрт-21, 22:24 
> Вот когда полноценно ГПУ проброс будет, тогда и подумаем....

Штуки такого плана - не решения для ублажения хомячков. А безопасность это деяние нагибает солидно.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру