Re: Выбор технологии ограничения сетевых приложений.
Ста Деюс -> debian-russian@lists.debian.org @ Thu, 6 Nov 2014 15:23:46 +0700:
>> Чисто с точки зрения изоляции самих систем годится любая. Можно еще
СД> Меня смущает, например, что контейнеры используют одно ядро с основной
СД> ОС, - тогда как, например, ЯВМ уже использует полностью свою установку
СД> ОС. - Т.е., на мой взгляд, Я(дерная)ВМ, более безопасна в случае
СД> проникновения к данным ч/з уязвимость в ядре, -- опять же, не к данным
СД> основной ("домашней") ОС.
Ну, через уязвимость в ядре может пробиться любая виртуальная система -
поскольку любая из них будет в итоге пользоваться услугами ядра.
Причем нынче уже все, включая даже qemu, довольно близко допускают
гостевую систему до процессора. Единственное исключение - это как раз
qemu в режиме эмуляции несовместимой архитектуры. Но работает он при
этом настолько НЕБЫСТРО...
Хотя вариант с KVM или virtualbox представляется более безопасным, чем
LXC.
>> virtualbox-ose, пакет в дистрибутиве есть. Но будет неудобно. В
>> смысле, если речь идет о защите, то для надежности нужно еще и лишить
>> эти две системы возможности общаться через Xserver. А это как раз
>> неудобно.
СД> Да я и не хочу с "рабским" (не свободным) ПО связываться!
Это неудобно вне зависимости от степени свободности ПО. И эта,
VirtualBox is a free x86 virtualization solution allowing a wide range of x86
operating systems such as Windows, DOS, BSD or Linux to run on a Linux system.
У него есть несвободные компоненты, но они как раз для той интеграции,
которая снижает безопасность.
>> Ну и вопрос о необходимых возможностях графики. Тут тоже сетевую
>> систему придется сильно ограничить (полноценный доступ ее к
>> аппаратуре - это не то, к чему ты стремишься), и в результате может
>> не получиться, например, нормально посмотреть видео с ютуба.
СД> Да к этому я как раз и стремлюсь: обрезать изолированной ОС/приложениям
СД> доступ ко всему по-максимуму. Естественно, что про 3М-ускорение речи не
СД> идёт, как и больших вычислительных нагрузок, на изолированное окружение
СД> возлагаться не б/т.
flash-player тогда не ставь ни в какой позе. А то ВНЕЗАПНО окажется,
что на изолированное окружение без спросу возложили большую
вычислительную нагрузку. Проверено, мин есть.
Reply to: