On Nov 11, 2014 11:04 AM, "Ста Деюс" <sthu.deus@openmailbox.org> wrote:
>
> Доброго времени суток, George.
>
>
> > Безопасность не бывает дешёвой и удобной. Чем больше умных вещей
> > будет сделано, тем менее удобно оно будет. Второй компьютер, или
> > вторая сессия на компьютере в отдельном namespace без доступа к сети)
> > - самые разумные варианты.
>
> Или, второй ЖМД, да? -- Я понял вас.
>
> > Городить сложную конструкцию из виртуалбоксов, xen'а, kvm'а и т.д.
> > смысла нет, так как не понятно, от кого защищаешься. Компрометация
> > хоста, где это всё крутится, чисто формально, делает виртуалку
> > неактуальной.
>
> Мы рассматриваем что м/о сделать дабы крепко заточить ("в темницу", а не
> "настроить под") Сетевые приложения/службы.
>
> Также, мы понимаем, что полное уничтожение Сети на планете, благословит
> нашу безопасность.
>
> > Если же речь про песочницу для запуска всякой малвари, то да, любой
> > удобный виртуализатор (xen к таким не относится) - virtualbox/kvm.
>
> А почему вы выделили КсЕН здесь? -- Можно немного развернуть ваше
> утверждение?
Он " зен", а не "ксен".
У xen'а гипервизор находится над dom0. Это хорошо с точки зрения теоретиков и плохо с точки зрения практиков. Если в случае qemu/vb виртуализация это одна из функций системы (то есть можно виртуализировать, а можно и нет), то у Зена это " всё или ничего", то есть загрузил зен - получил (пара) виртуализацию для всего, даже для того, что не нужно. Например, для IRQ реального оборудования. Это вызывает кучу несовместимостей (та же нывидия просто из принципа под зеном драйвера не даёт запускать) и необходимость думать о гипервизоре (настройки памяти и т.д.) даже тогда, когда он не нужен. То есть для сервера это ок, для multi-purpose десктопа - нет.
Я на своём десктопе запускаю стим, например, в network namespace с отдельным сетевым интерфейсом от отдельного пользователя - и мне этого достаточно.