The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от opennews (ok) on 23-Июл-12, 13:54 
Представлен (http://theinvisiblethings.blogspot.com/2012/07/qubes-10-rele...) кандидат в релизы Linux-дистрибутива Qubes (http://qubes-os.org/), реализующего (http://www.opennet.me/opennews/art.shtml?num=30243) идею строгой изоляции приложений и компонентов ОС с задействованием системы виртуализации Xen. Приложения в Qubes разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач, каждый класс приложений, а также системные сервисы (сетевая подсистема, работа с хранилищем и т.п.), работают в отдельных виртуальных машинах. При этом указанные приложения бесшовно  доступны в рамках одного рабочего стола и выделяются для наглядности разным цветом обрамления окна. Каждое окружение имеет доступ на чтение к базовой корневой ФС и локальному хранилищу, не пересекающемуся с хранилищами других окружений, для организации взаимодействия приложений используется специальных сервис.
<center><a href="http://2.bp.blogspot.com/-zJFn81JdryI/UAqu7H9KSHI/AAAAAAAAAJ... src="http://www.opennet.me/opennews/pics_base/0_1343036494.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></a></center>

Представленная версия является последним тестовым выпуском перед финальным релизом Qubes 1.0, который ожидается в течение нескольких недель. Для загрузки доступен (http://wiki.qubes-os.org/trac/wiki/InstallationGuide) установочный образ, размером 1.5 Гб. Для работы Qubes необходима (http://wiki.qubes-os.org/trac/wiki/HCL) система с 4 Гб ОЗУ, 64-разрядным CPU Intel или AMD, желательно с поддержкой технологий VT-d или AMD IOMMU. Из графических карт в полной мере поддерживается только Intel GPU, при использовании NVIDIA наблюдаются проблемы, а работа карт AMD/ATI не протестирована.


По сравнению с третьей бета-версией в Qubes 1.0-RC1 отмечаются следующие улучшения:

-  Значительно улучшенный конфигуратор Qubes Manager, позволяющий настраивать и управлять работой большинства подсистем  Qubes через простой GUI-интерфейс;
-  Содержимое виртуальных машин генерируется на основе шаблона, построенного на пакетной базе Fedora 17. В качестве ядра Linux задействована версия 3.2.7-pvops с улучшенной поддержкой оборудования и управления питанием;
-  Почищены и переработны инструменты командной строки, как для Dom0, так и для виртуальных машин;
-  Переработано меню, добавлены новые пиктограммы, по которым, например, легче отличить бразуер для работы с платёжными системами от браузера для обычной навигации по сайтам;
-  Поддержка yum-прокси для ускорения распространения обновлений внутри виртуальных машин без предоставления доступа к HTTP в данных окружениях;
-  Поддержка возможности запуска выбранных виртуальных машин в полноэкранном режиме.

URL: http://theinvisiblethings.blogspot.com/2012/07/qubes-10-rele...
Новость: http://www.opennet.me/opennews/art.shtml?num=34391

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от бедный буратино (ok) on 23-Июл-12, 13:54 
Разве это нельзя сделать через lxc? Без:

> необходима система с 4 Гб ОЗУ, 64-разрядным CPU Intel или AMD, желательно с поддержкой технологий VT-d или AMD IOMMU.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +2 +/
Сообщение от Ph0zzy (ok) on 23-Июл-12, 14:10 
Про голубую пилюлю Рутковской слашал? вот этот дистрибутив разрабатывается как имющий к ней имунитет.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от бедный буратино (ok) on 23-Июл-12, 14:53 
Девушка своим антивирусом свой вирус рекламирует? :) Оригинально.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

31. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 23-Июл-12, 21:54 
> Девушка своим антивирусом свой вирус рекламирует? :) Оригинально.

А это не антивирус. Это система ориентированная на высокую культуру быта^W^W безопасность.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

53. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от коксюзер on 26-Июл-12, 08:55 
>> Девушка своим антивирусом свой вирус рекламирует? :) Оригинально.
> А это не антивирус. Это система ориентированная на высокую культуру быта^W^W безопасность.

В этой системе авторы сосредоточились на единственной идее изоляции для локализации потенциального вреда в случае взлома изолированных приложений. Для усиления защиты самих приложений не сделано ничего, по сравнению с любым обычным дистрибутивом линукса. То есть, если вас успокаивает мысль, что взломавшие ваш почтовый клиент сольют только вашу почту, Qubes для вас. Если предпочитаете предотвратить взлом, смотрите в сторону Hardened Gentoo, Openwall (ядро с Grsecurity придётся собрать самостоятельно) и Alpine (серверный дистрибутив).

Кстати, недавняя уязвимость к повышению привилегий в Xen должна расставить все точки над i в случае Qubes для тех, кто ещё сомневался.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

9. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 23-Июл-12, 15:28 
Этого можно добиться и без ксенокостылей
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

13. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 23-Июл-12, 17:31 
> Этого можно добиться и без ксенокостылей

Опенвзкостылями?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 23-Июл-12, 17:31 
> Разве это нельзя сделать через lxc? Без:

Нельзя. По словам самих разработчиков LXC, он совершенно не готов для серьезного использования, т.к. рут из контейнера имеет полные полномочия на хосте.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

21. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  –2 +/
Сообщение от Аноним (??) on 23-Июл-12, 17:52 
> рут из контейнера имеет полные полномочия на хосте.

Вас обманули. Или вы из какой-то криокамеры выползли. Там уже немало времени как реализован fake root, если что. Который на host - конь в пальто.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

24. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 23-Июл-12, 20:00 
> Вас обманули. Или вы из какой-то криокамеры выползли. Там уже немало времени как реализован fake root, если что. Который на host - конь в пальто.

Его с 2009 года собираются реализовать, но так и не осилили.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

28. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 23-Июл-12, 21:43 
> Его с 2009 года собираются реализовать, но так и не осилили.

Вообще-то осилили, уже энное время как.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

34. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 23-Июл-12, 23:27 
> Вообще-то осилили, уже энное время как.

Пруф?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

38. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 23-Июл-12, 23:37 
> Пруф?

Новость на опеннете про одно из ядер.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

40. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 23-Июл-12, 23:54 
> Новость на опеннете про одно из ядер.

Замечательно. А пруф будет?

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

54. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от коксюзер on 26-Июл-12, 08:57 
>> Новость на опеннете про одно из ядер.
> Замечательно. А пруф будет?

Не будет, потому что из всех запланированных ограничений user namespaces реализована только малая часть.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

37. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 23-Июл-12, 23:34 
> Вас обманули. Или вы из какой-то криокамеры выползли. Там уже немало времени как реализован fake root, если что. Который на host - конь в пальто.

Да неужели? С каких это пор LXCовый рут потерял право писать любую фигню в sysctl хоста, например?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

47. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 24-Июл-12, 13:24 
> Да неужели? С каких это пор LXCовый рут потерял право писать любую
> фигню в sysctl хоста, например?

С таких с каких он не является настоящим рутом, очевидно.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

55. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от коксюзер on 26-Июл-12, 08:59 
>> Да неужели? С каких это пор LXCовый рут потерял право писать любую
>> фигню в sysctl хоста, например?
> С таких с каких он не является настоящим рутом, очевидно.

http://www.openwall.com/lists/oss-security/2011/10/26/11

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

16. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +7 +/
Сообщение от Аноним (??) on 23-Июл-12, 17:39 
>  Разве это нельзя сделать через lxc?

Можно, но уровень изоляции будет хуже чем у "руткитской" и ее дистра. Понимаешь, человек написавший Blue Pill уже никогда не сможет согласиться на компромисс. В каком-то роде это правильно. Настоящий спец по безопасности - истинный параноик в чистом виде.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

45. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +2 +/
Сообщение от Аноним (??) on 24-Июл-12, 07:38 
> Настоящий спец по безопасности - истинный параноик в чистом виде.

Люто, бешенно, неистово плюсую.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

56. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от коксюзер on 26-Июл-12, 09:04 
>>  Разве это нельзя сделать через lxc?
> Можно, но уровень изоляции будет хуже чем у "руткитской" и ее дистра.
> Понимаешь, человек написавший Blue Pill уже никогда не сможет согласиться на
> компромисс. В каком-то роде это правильно. Настоящий спец по безопасности -
> истинный параноик в чистом виде.

Они до сих пор живут с компромиссами в Qubes, поскольку до сих пор не реализован ни один из механизмов защиты гипервизора, предложенных их же командой.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

52. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от коксюзер on 26-Июл-12, 08:33 
> Разве это нельзя сделать через lxc? Без:

LXC по состоянию на сегодняшний день не предназначен и непригоден для безопасной изоляции (хотя бы на уровне Xen).

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от meequz (ok) on 23-Июл-12, 14:20 
Интересно, интегрируют ли в финальный релиз seccomp filter.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +2 +/
Сообщение от Аноним (??) on 23-Июл-12, 17:45 
> Интересно, интегрируют ли в финальный релиз seccomp filter.

Да, в каждой виртуалке надо еще вынос каждого процесса в свой LXC контейнер настроить а там дополнительно придушить половину доступа через selinux, yama, seccomp_filter и прочая, не забыв подхачить половину сисколов через LD_PRELOAD. Разумеется не забыв заменить половину системных утилит на какие-нибудь лулзы.

И главное - не забыть посмотреть на офигевшую морду хакера который долго не будет понимать что же это за фигня такая странная.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Anonim (??) on 23-Июл-12, 14:58 
Представляю как взломщик офигеет попав в систему ))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +4 +/
Сообщение от бедный буратино (ok) on 23-Июл-12, 15:05 
Там для взломщика, наверное, своя отдельная система. Где заботливо развешаны цветочки в терминале, красивый коврик, и можно даже в angband поиграть. :) Можно даже особо такую поддельную виртуалку не защищать, просто ресурсы залимитировать.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

18. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +4 +/
Сообщение от Аноним (??) on 23-Июл-12, 17:46 
> даже особо такую поддельную виртуалку не защищать, просто ресурсы залимитировать.

Ну взломшик скорее всего отправит кучу спама или хакнет кого-то. А пилюли - тебе, ибо с твоего айпи :)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Михрютка on 23-Июл-12, 15:11 
>We do not provide OpenGL virtualization for AppVMs.
>However, Qubes allows for use of accelerated graphics (OpenGL) in Dom0’s Window Manager, so all the fancy desktop effects should still work under Qubes.

опаньки. что ж там запускать, кроме браузера и офиса?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +4 +/
Сообщение от Аноним (??) on 23-Июл-12, 17:34 
>>We do not provide OpenGL virtualization for AppVMs.
>>However, Qubes allows for use of accelerated graphics (OpenGL) in Dom0’s Window Manager, so all the fancy desktop effects should still work under Qubes.
> опаньки. что ж там запускать, кроме браузера и офиса?

А что, вам нужен высокий уровень безопасности, чтобы играть в игры? Боитесь, что L4D сопрет ваши сейвы из крайзиса?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

33. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Михрютка on 23-Июл-12, 22:55 
>>>We do not provide OpenGL virtualization for AppVMs.
>>>However, Qubes allows for use of accelerated graphics (OpenGL) in Dom0’s Window Manager, so all the fancy desktop effects should still work under Qubes.
>> опаньки. что ж там запускать, кроме браузера и офиса?
> А что, вам нужен высокий уровень безопасности, чтобы играть в игры? Боитесь,
> что L4D сопрет ваши сейвы из крайзиса?

в душе ниипу что такое L4D. Может, L3D? И это, неужели же ж OpenGL под линуксом нигде, кроме игр, не используют? А то мне в соседних тредах рассказывали про всякие кады, блендеры-шмендеры...

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

36. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 23-Июл-12, 23:31 
> А то мне в соседних тредах рассказывали про всякие кады, блендеры-шмендеры...

Их лучше запускать под виндой, так безопаснее.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

19. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +1 +/
Сообщение от Аноним (??) on 23-Июл-12, 17:47 
> опаньки. что ж там запускать, кроме браузера и офиса?

Ну не гамезы же. Вообще, тем кому крутая секурити нужна - гамезы как-то ни к чему особо.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  –1 +/
Сообщение от Аноним (??) on 23-Июл-12, 15:14 
>каждый класс приложений, а также системные сервисы (сетевая подсистема, работа с хранилищем и т.п.), работают в отдельных виртуальных машинах.

Вот что бывает, когда на кухне установлен компьютер.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 23-Июл-12, 20:05 
>>каждый класс приложений, а также системные сервисы (сетевая подсистема, работа с хранилищем и т.п.), работают в отдельных виртуальных машинах.
> Вот что бывает, когда на кухне установлен компьютер.

Да-да. Пожалуйста, срочно перестаньте писать комменты на форумах. Вместо этого лучше готовьте борщ, а то муж скоро с работы придет.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

29. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 23-Июл-12, 21:51 
> Вот что бывает, когда на кухне установлен компьютер.

Да, всякие овощи пишут на форумы :(. Вот вы например.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

32. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 23-Июл-12, 22:48 
Аж два раза запостила. :))
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

51. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 24-Июл-12, 16:14 
> Аж два раза запостила. :))

Вас глючит - в этом треде нет повторных постов.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

57. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 26-Июл-12, 14:06 
> Аж два раза запостила. :))

Вас глючит - в этом треде нет повторных постов.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

10. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  –4 +/
Сообщение от matrix (??) on 23-Июл-12, 15:43 
Это вообще нафига,и кто будет этим пользоваться?
Костыль на костыле.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  –4 +/
Сообщение от ыгчч email on 23-Июл-12, 18:26 
> Это вообще нафига,и кто будет этим пользоваться?

Три с половиной параноика.

> Костыль на костыле.

Лучшая безопасность это когда вообще нихрена не работает.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

42. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 23-Июл-12, 23:57 
> Лучшая безопасность это когда вообще нихрена не работает.

Шindoшs - самая безопасная ОС!

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

11. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от lucentcode (ok) on 23-Июл-12, 17:31 
Почему Xen? Чем им KVM не угодил? Он же лучше?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +1 +/
Сообщение от Аноним (??) on 23-Июл-12, 17:33 
> Почему Xen? Чем им KVM не угодил? Он же лучше?

Рутковская как-то писала подробную объясниловку, что KVM очень дырявый и небезопасный по сравнению с Xen.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 23-Июл-12, 17:49 
> Почему Xen? Чем им KVM не угодил? Он же лучше?

А тут все просто: xen меньше по размеру и стало быть в нем багов теоретически поменьше. Для истинного, элитного параноика в плане безопасности и это - тоже аргумент. Технически вполне валидный, в принципе.

Понимаете, это попытка создать high-security окружение. В нем подходы ко всему и вся - довольно своеобразные.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

43. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от saNdro on 24-Июл-12, 01:07 
Что, выносной гипервизор уже стал меньше ядерного модуля? Или вы к KVM приплюсовываете всё остальное ядро? Тогда уж и к ксину тоже будте любезны. Или вы его можете уже без дом0 запускать? Этакого сферического ксена в оперативке?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

44. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 24-Июл-12, 04:52 
Да. Да. Нет. Можем.

Ты бы погуглил вначале про что вообще идет речь, прежде чем распускать нубские слюни.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

48. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 24-Июл-12, 13:35 
> Что, выносной гипервизор уже стал меньше ядерного модуля? Или вы к KVM
> приплюсовываете всё остальное ядро?

Это не я приписываю а руткитска. В конечном итоге арбитраж ресурсов в xen осуществляет все-таки мелкий гипервизор. А в kvm - linux ядро. Первый мельче, так что и багов в нем ожидается меньше.

> Или вы его можете уже без дом0 запускать?

Тут важнее кто и как разруливает арбитраж и кого и как надо хакать чтобы обойти лимиты. Ну и сколько какого кода где.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

23. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Aceler (ok) on 23-Июл-12, 19:48 
Интересно попробовать такой подход с другой точки зрения — с точки зрения написания Абсолютно Переносимых Приложений — т.е. приложений, которые будут работать в любой ОС и любой среде, предоставившей Xen-виртуализацию.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 23-Июл-12, 20:03 
> Интересно попробовать такой подход с другой точки зрения — с точки зрения
> написания Абсолютно Переносимых Приложений — т.е. приложений, которые будут работать
> в любой ОС и любой среде, предоставившей Xen-виртуализацию.

Такой подход уже давно реализован, причем неоднократно. Самая известная реализация - Java.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от СуперАноним on 23-Июл-12, 20:53 
iZEN, добрый вечер!
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

30. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 23-Июл-12, 21:53 
> Такой подход уже давно реализован, причем неоднократно. Самая известная реализация - Java.

Обойти песочницу "отдельная система в гипервизоре" сложнее чем "виртуальная машина + рантайм-переросток". Вы сравните размер xen и явы с ее рантаймами. И поймете во сколько раз чаще в яве будет хрень вида "краплет может вылезти из песочницы и выполнить в системе любые действия с правами текущего юзера".


Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

35. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 23-Июл-12, 23:30 
> Обойти песочницу "отдельная система в гипервизоре" сложнее чем "виртуальная машина + рантайм-переросток".
> Вы сравните размер xen и явы с ее рантаймами. И поймете
> во сколько раз чаще в яве будет хрень вида "краплет может
> вылезти из песочницы и выполнить в системе любые действия с правами
> текущего юзера".

Xen с установленным внутри полноценным линуксом будет весить явно больше жабовского рантайма.
А если к нему прикрутить функции IPC, работы с диском и сетью и прочие фичи, необходимые большинству приложений - возможности вырваться резко возрастут.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

49. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 24-Июл-12, 13:37 
> Xen с установленным внутри полноценным линуксом будет весить явно больше жабовского рантайма.

Не обязательно - сильно зависит от линукса и чего туда напихать. Ну и скорость практически равна нативному коду т.к. нативный код и выполняется, проц не вмешивается покуда нет исключительных ситуаций.

> А если к нему прикрутить функции IPC, работы с диском и сетью
> и прочие фичи, необходимые большинству приложений - возможности вырваться резко возрастут.

Вы так говорите как будто их там нет или как будто у явы этого нет или это не так. А сеть - что сеть? Вон стоит пачка линуксных хостов с жирным интернетом и кучей ресурсов. Что ж их еще не раздолбали?

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

39. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Aceler (ok) on 23-Июл-12, 23:45 
>> Интересно попробовать такой подход с другой точки зрения — с точки зрения
>> написания Абсолютно Переносимых Приложений — т.е. приложений, которые будут работать
>> в любой ОС и любой среде, предоставившей Xen-виртуализацию.
> Такой подход уже давно реализован, причем неоднократно. Самая известная реализация - Java.

Спасибо, кэп. Но тут неуправляемый код. И куда меньше проблем с взаимодействием за пределами VM.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

41. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 23-Июл-12, 23:56 
> Спасибо, кэп. Но тут неуправляемый код. И куда меньше проблем с взаимодействием за пределами VM.

Рутковская приложила значительные усилия, чтобы код _имел_ возможность взаимодействия (и создания проблем) за пределами VM. И, очевидно, будет работать в этом направлении и дальше. Потому что в 99% полностью изолированная программа - бесполезна.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

50. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от Аноним (??) on 24-Июл-12, 13:38 
> чтобы код _имел_ возможность взаимодействия (и создания проблем)

"В случае аварии - выдерни шнур, выдави стекло" :)

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

46. "Кандидат в релизы дистрибутива Qubes, использующего Xen для ..."  +/
Сообщение от TS email(ok) on 24-Июл-12, 13:10 
Мммм... АПИ/АБИ все равно какое то нужно, не реализовывать же все заново в каждой программе?
А частные случаи уже есть - например http://erlangonxen.org/
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру