forum.opennet.ru

"Первый релиз операционной системы Qubes, использующей Xen дл..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Почему Xen, а не KVM"	+2 +/–
Сообщение от Аноним (-), 03-Сен-12, 21:18
Читайте http://qubes-os.org/files/doc/arch-spec-0.3.pdf почему выбрали Xen, а не KVM. Глава "Xen vs. KVM security architecture comparison", там очень много и подробно расписано. Если кратко - то KVM не полноценный гипервизор слишком завязанный на ядре Linux, по сути VM в KVM является процессом в пользовательском окружении корневой системы. Вывод: "We believe that the Xen hypervisor architecture better suits the needs of our project. Xen hypervisor is very small comparing to Linux kernel, which makes it substantially easier to audit for security problems. Xen allows to move most of the “world-facing” code out of Dom0, including the I/O emulator, networking code and many drivers, leaving very slim interface between other VMs and Dom0. Xenʼs support for driver domain is crucial in Qubes OS architecture. KVM relies on the Linux kernel to provide isolation, e.g. for the I/O emulator process, which we believe is not as secure as Xenʼs isolation based on virtualization enforced by thin hypervisor. KVM also doesnʼt support driver domains."
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Первый релиз операционной системы Qubes, использующей Xen дл..., opennews, 03-Сен-12, 17:53 [смотреть все]

Крутая ОС , Аноним, 03-Сен-12, 17:53 (1)
Джоанна Рутковская изобрела VM 370 через 40 лет - , Vkni, 03-Сен-12, 18:02 (2) //
- а оно было тогда с граф интерфейсом , амоним, 03-Сен-12, 18:38 (7) //
  - 40 лет назад оно было БЕЗ граф интерфейса Но сейчас с ним Неумолима поступь пр, Vkni, 03-Сен-12, 18:52 (10) //
    - Чем новая система лучше старой - У новой цветное руководство с TRON-2010, WinPooh, 04-Сен-12, 12:36 (102)
- Btw Xen микроядро Domain ы и OS в них процессы-сервера Вот так пр, Аноним, 04-Сен-12, 01:03 (68)
- Нет , Аноним, 04-Сен-12, 09:22 (90)
эх, видюшка моя не протестирована надо будет попробовать систему, Bolek, 03-Сен-12, 18:10 (4)
для параноиков, компаний и госсектора самое то, alltiptop, 03-Сен-12, 18:19 (5) //
- Ну если в таком виде, то да А вообще, на аналогичной системе, под названием СВМ, Vkni, 04-Сен-12, 13:24 (107)
Как-то подозрительно это всё В протоколе X11 нет никаких разграничений доступа,, Аноним, 03-Сен-12, 19:02 (11) //
- Сам только что хотел сказать то же самое Простенький X11-кейлоггер которому и r, Mirraz, 03-Сен-12, 19:05 (12) //
  - Вы владеете тайным кунг-фу Зачем вам qubes, вперед к взлому хостеров из предост, angra, 03-Сен-12, 19:19 (13)
  - Там есть ряд защит от такого, они сильно патчили X-ы , anonymous, 03-Сен-12, 20:03 (19)
  - Статью не читай Пиши ерунду, Mr. Cake, 03-Сен-12, 22:02 (47) //
    - Они навелосипедили SPICE , ВКПб, 04-Сен-12, 08:21 (82)
  - Для организации вывода в каждом виртуальном окружении для приложений запускается, Аноним, 03-Сен-12, 23:13 (55)
- Нет, там на каждую виртуальную машину свой отдельный X-свервер, а на десктопе ок, Аноним, 03-Сен-12, 19:20 (14) //
  - Ух, ты, хочу так на домашнем компе сделать, чтобы из-под разных пользователей за, anonymous_peer, 03-Сен-12, 19:32 (16) //
    - Так сделайте Только вот отдельный пользователь - сильно менее ядреная защита че, Аноним, 04-Сен-12, 01:08 (70)
    - С правами отдельного пользователя и сейчас можно запускать , Аноним, 04-Сен-12, 09:56 (92)
    - Так запросто 1 Набери в иксах команду xhost чтобы временно разрешить всем , Аскар Сафин, 08-Сен-12, 14:59 (119)
      - Тогда уж xhost localhost, а лучше MIT-куку скопировать Соответственно xhost -loc, Michael Shigorin, 08-Сен-12, 15:57 (120)
        
        ну, предполагалось же как можно проще, а не 171 как правильно 187 , arisu, 08-Сен-12, 16:37 (121)
  - через симлесс моуд , Аноним, 03-Сен-12, 19:40 (17)
  - Т е воспроизведение видео жутко тормозит, а об OpenGL можно вообще забыть , Аноним, 03-Сен-12, 19:49 (18) //
    - ну так это ж система для параноиков, а не для геймеров и любителей смотреть виде, Нанобот, 03-Сен-12, 20:34 (23)
      - А также про Gnome3 и Unity, Mirraz, 03-Сен-12, 21:45 (42)
    - IOMMU Radeon или VT-d Intel в руки и можешь даже в крузиз гонять , ВКПб, 04-Сен-12, 08:23 (84)
- Там по сути только оконный менеджер один на всех, всё остальное в кажной виртуал, Аноним, 03-Сен-12, 19:25 (15) //
  - много ОЗУ оно требует из-за xen а Если бы это был котя бы kvm, потребление стал, Аноним, 03-Сен-12, 20:54 (28) //
    - Читайте http qubes-os org files doc arch-spec-0 3 pdf почему выбрали Xen, а не , Аноним, 03-Сен-12, 21:18 (33)
      - Там же можно почитать про GUI Глава 5 3 Qubes GUI architecture, Mirraz, 03-Сен-12, 21:24 (36)
      - XEN это тоже ядро как и линкс Dom0 это просто привелегированный, паравиртаулизи, Аноним, 04-Сен-12, 02:00 (73)
        
        ты абсолютно не понимаешь, то такое xen, зачем он такой, какой есть, как он рабо, Аноним, 04-Сен-12, 07:36 (77)
        Вы берётесь рассуждать не понимая что такое Xen Для начала http xen org files, Аноним, 04-Сен-12, 10:09 (95)
        
        А теперь попробуйте описать чем CPU scheduling, memory pratitioning, controling , Аноним, 04-Сен-12, 12:56 (104)
    - - на порядки , ха-ха, наверно путаете с Virtuoso OpenVZ, да и там от силы один , MVK, 03-Сен-12, 22:55 (52)
      - В KVM это появилось раньше KSM, transparent huge tables Qubes требует не тольк, Аноним, 04-Сен-12, 02:04 (74)
Надеюсь, Qubes Manager попадёт в апстрим проекта KDE, чтобы подобную систему мож, Аноним, 03-Сен-12, 20:34 (22) //
- Надеюсь, как раз не попадет или в худшем случае, будет опционален и по-умолчанию, an., 04-Сен-12, 10:49 (96)
думал, что до такого идиотизма не доживу Интересно, рутковская знает о существо, Аноним, 03-Сен-12, 20:50 (26) //
- Контейнеры работают поверх одного ядра, поэтому не защищены от ошибок и дыр в яд, Аноним, 03-Сен-12, 21:08 (30) //
  - А в гипервизоре, конечно, дырок нет , Mirraz, 03-Сен-12, 21:13 (32) //
    - Размер кода гипервизора примерно 0 001 от кода ядра , Аноним, 03-Сен-12, 21:20 (34)
      - и он, конечно же, крутится не ядром , Аноним, 03-Сен-12, 21:29 (37)
        
        В том то и дело, что НЕТ , Аноним, 03-Сен-12, 21:54 (44)
        
        в том то и дело, что да учите мат часть, Аноним, 03-Сен-12, 23:47 (58)
        
        Сами учите, даже подскажу где - http qubes-os org files doc arch-spec-0 3 pdfK, Аноним, 04-Сен-12, 00:00 (60)
        
        Xen до ядра запускается Из-за этого куча проблем с драйверами выскакивает , ВКПб, 04-Сен-12, 08:25 (85)
      - А на сколько порядков сложнее писать код для гипервизора, чем для ядра ОС , Аноним, 04-Сен-12, 12:46 (103)
  - Кто-то ведь все равно должен иметь всю функциональность вместе, для работы польз, qux, 05-Сен-12, 19:12 (117)
чем эта херомантия лучше злобно настроенного strict policy selinux , анонимм, 03-Сен-12, 21:11 (31) //
- тем же чем selinux лучше стандартных прав доступа , Аноним, 03-Сен-12, 21:23 (35)
- Сюрприз, но selinux ничем не помогает против уязвимостей и ошибок, он лишь не да, Аноним, 03-Сен-12, 21:30 (38) //
  - Сюрприз, но Qubes OS ничем не помогает против уязвимостей и ошибок, он лишь не д, Mirraz, 03-Сен-12, 21:35 (39) //
    - Если сломают защищённый SELinux Firefox то получат доступ ко всем файлам пользов, Аноним, 03-Сен-12, 22:00 (46)
      - неткак и Qubesкак и для SELinux, Mirraz, 03-Сен-12, 22:55 (51)
        
        вы не правы нет нет , Аноним, 03-Сен-12, 23:37 (56)
        SELinux выступает в роли фильтра, то что разрешено - остаётся открытым и доступн, Аноним, 04-Сен-12, 00:07 (61)
      - точно так же ff можно запустить просто под другим пользователем, Аноним, 03-Сен-12, 23:47 (57)
        
        В Android примерно так и делается для изоляции приложений в сочетании sandbox-из, Аноним, 04-Сен-12, 00:10 (62)
  - От всего этого изоляция помогает примерно так же, как и SE - всё зависит от пра, Аноним, 03-Сен-12, 21:35 (40) //
    - PS Читайте http qubes-os org files doc arch-spec-0 3 pdf, там всё написано, п, Аноним, 03-Сен-12, 22:04 (48)
      - Осталось скрестить Qubes, SELinux и Liberte Linux http www opennet ru opennew, Аноним, 03-Сен-12, 23:59 (59)
      - Где и что там сказано про selinux , anonymousX, 04-Сен-12, 19:54 (114)
        
        Там аргументировано сказано почему выбрана виртуализация и Xen, а не контейнеры , Аноним, 04-Сен-12, 22:10 (115)
  - А если не видно разницы, то зачем платить больше , Mirraz, 03-Сен-12, 21:40 (41)
То же самое можно реализовать через, например, ESXi Поставил Windows для игр, U, Аноним, 03-Сен-12, 21:58 (45) //
- Сейчас немного погонял сие поделие на тестовом стенде AMD Athlon II X2 255, 4 Г, Аноним, 03-Сен-12, 22:49 (50) //
  - Первый релиз операционной системы Qubes, использующей Xen дл..., Sergey722, 04-Сен-12, 09:34 (91) //
    - Тогда зачем упоминать AMD IOMMU Эта технология специфична для платформ AMD, Int, Аноним, 04-Сен-12, 11:24 (97)
- Вы наверное щутки шутите Qubes - ОС для параноиков, а вы проприетарный ESXi в п, Гентушник, 04-Сен-12, 00:21 (64) //
  - Параноикам никто не запрещает самим развернуть инфраструктуру Xen и перечисленны, Аноним, 04-Сен-12, 00:49 (65)
Правила взаимодействия виртуальных окружений уже написаны , анноним, 03-Сен-12, 22:47 (49)
По сути ничего нового Поменяли код ядра линукс, которому не доверяем, на собстве, анноним, 03-Сен-12, 23:01 (53)
единственное что сделано хорошо в этой самодеятельности это картинки к новости , Аноним, 04-Сен-12, 00:11 (63)
Сайт Qubes испытал на себе Slashdot-эффект О юзабельности юзабельна ещё с , Andrew Kolchoogin, 04-Сен-12, 00:54 (66)
Сделали бы не на основе Федоры, а на основе Gentoo Hardened - вот тогда была бы , Аноним, 04-Сен-12, 01:11 (71) //
- ага, http www opennet ru openforum vsluhforumID3 86291 html 59, Аноним, 04-Сен-12, 01:18 (72)
Мдя, на каждое новое поколение железа программеры отвечают несколькими дополните, dalco, 04-Сен-12, 06:20 (75) //
- прув про тормозит или gtfo, Аноним, 04-Сен-12, 07:47 (80) //
  - Месье тот самый программист , dalco, 04-Сен-12, 08:12 (81)
  - Ещё как может тормозить, если совсем не параллелится и сидит на одном ядре Схожи, Michael Shigorin, 04-Сен-12, 17:32 (113) //
    - потому что инженеров почти никогда не слушают, увы 171 а, авось как-нибудь 8, arisu, 05-Сен-12, 09:18 (116)
- Точно, мертвому припарки ни к чему, kurokaze, 04-Сен-12, 10:00 (94)
Сгласен с dalco, зачем дополнительные слои абстракций, виртуализаций, вообще-то , Engineer, 04-Сен-12, 09:59 (93) //
- вызывающе неверная информация , анноним, 04-Сен-12, 13:44 (110)
фэйспалм с размаху опеннет не перестаёт радовать перлами 171 пиривота 187 , arisu, 04-Сен-12, 11:57 (98) //
- Польский - твой нативный язык , anonim, 04-Сен-12, 12:13 (100) //
  - а что, так сложно найти, как правильно передавать это имя и, кстати, да увы, я , arisu, 04-Сен-12, 12:16 (101) //
    - И как же верно , anonim, 04-Сен-12, 13:43 (109)
      - смотря откуда брать если с английского 8212 то Джоанна если не с английског, arisu, 04-Сен-12, 13:53 (111)
- Это вы опозорились, они из Польши, Joanna читается как Йоаннаhttp ru wikipedi, Аноним, 04-Сен-12, 13:38 (108) //
  - а 171 Paris 187 , видимо, следует писать как 171 Парис 187 , arisu, 04-Сен-12, 13:53 (112)
я все же так и не понял проще запускаем XP in VirtualBox, делаем шо надо, отка, AS, 04-Сен-12, 12:13 (99)
Если не считать уязвимости в ядре, то можно сделать проще, на AppArmor, например, Аноним, 04-Сен-12, 12:56 (105)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру