Re: Выбор технологии ограничения сетевых приложений.

To: debian-russian@lists.debian.org
Subject: Re: Выбор технологии ограничения сетевых приложений.
From: Artem Chuprina <ran@ran.pp.ru>
Date: Thu, 06 Nov 2014 15:36:07 +0300
Message-id: <[🔎] 877fz8qzew.fsf@wizzle.ran.pp.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 20141106152346.77d1271f@STNset> ("Ста Деюс"'s message of "Thu, 6 Nov 2014 15:23:46 +0700")
References: <[🔎] 20141105201053.620be408@STNset> <[🔎] 87oaslrc4r.fsf@wizzle.ran.pp.ru> <[🔎] 20141106152346.77d1271f@STNset>

Ста Деюс -> debian-russian@lists.debian.org  @ Thu, 6 Nov 2014 15:23:46 +0700:

 >> Чисто с точки зрения изоляции самих систем годится любая.  Можно еще

 СД> Меня смущает, например, что контейнеры используют одно ядро с основной
 СД> ОС, - тогда как, например, ЯВМ уже использует полностью свою установку
 СД> ОС. - Т.е., на мой взгляд, Я(дерная)ВМ, более безопасна в случае
 СД> проникновения к данным ч/з уязвимость в ядре, -- опять же, не к данным
 СД> основной ("домашней") ОС.

Ну, через уязвимость в ядре может пробиться любая виртуальная система -
поскольку любая из них будет в итоге пользоваться услугами ядра.

Причем нынче уже все, включая даже qemu, довольно близко допускают
гостевую систему до процессора.  Единственное исключение - это как раз
qemu в режиме эмуляции несовместимой архитектуры.  Но работает он при
этом настолько НЕБЫСТРО...

Хотя вариант с KVM или virtualbox представляется более безопасным, чем
LXC.

 >> virtualbox-ose, пакет в дистрибутиве есть.  Но будет неудобно.  В
 >> смысле, если речь идет о защите, то для надежности нужно еще и лишить
 >> эти две системы возможности общаться через Xserver.  А это как раз
 >> неудобно.

 СД> Да я и не хочу с "рабским" (не свободным) ПО связываться!

Это неудобно вне зависимости от степени свободности ПО.  И эта, 

 VirtualBox is a free x86 virtualization solution allowing a wide range of x86
 operating systems such as Windows, DOS, BSD or Linux to run on a Linux system. 

У него есть несвободные компоненты, но они как раз для той интеграции,
которая снижает безопасность.

 >> Ну и вопрос о необходимых возможностях графики.  Тут тоже сетевую
 >> систему придется сильно ограничить (полноценный доступ ее к
 >> аппаратуре - это не то, к чему ты стремишься), и в результате может
 >> не получиться, например, нормально посмотреть видео с ютуба.

 СД> Да к этому я как раз и стремлюсь: обрезать изолированной ОС/приложениям
 СД> доступ ко всему по-максимуму. Естественно, что про 3М-ускорение речи не
 СД> идёт, как и больших вычислительных нагрузок, на изолированное окружение
 СД> возлагаться не б/т.

flash-player тогда не ставь ни в какой позе.  А то ВНЕЗАПНО окажется,
что на изолированное окружение без спросу возложили большую
вычислительную нагрузку.  Проверено, мин есть.

Reply to:

Follow-Ups:
- Re: Выбор технологии ограничения сетевых приложений.
  - From: Ста Деюс <sthu.deus@openmailbox.org>

References:
- Выбор технологии ограничения сетевых приложений.
  - From: Ста Деюс <sthu.deus@openmailbox.org>
- Re: Выбор технологии ограничения сетевых приложений.
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: Выбор технологии ограничения сетевых приложений.
  - From: Ста Деюс <sthu.deus@openmailbox.org>

Prev by Date: Re: Выбор технологии ограничения сетевых приложений.
Next by Date: Re: Выбор технологии ограничения сетевых приложений.
Previous by thread: Re: Выбор технологии ограничения сетевых приложений.
Next by thread: Re: Выбор технологии ограничения сетевых приложений.
Index(es):
- Date
- Thread