forum.opennet.ru

Составление сообщения

Исходное сообщение

"Руководитель Parallels высказал скептическое отношение к нез..."
Отправлено User294, 26-Мрт-10 13:14

>Много удобнее chroot, спору нет. Но после активной работы с xen меня совершенно
>не тянет на них возвращаться.
Фокус в том что взовые контейнеры по фичам могут запросто поспорить с многими виртуализаторами, а вот по легкости - как раз нечто типа jail. Что делает их достаточно уникальной штукой - можно поиметь кучу удобных плюшек не просирая в производительности и минимально проигрывая в оверхеде.
> ваш пентиум 4 прекрасно потянет.
Вопрос не в потяент - не потянет, а в оверхеде и итоговом "КПД" связки. Железка порезанная взой по свойствам мало отличается от железки без взы, что логично. А вот полновесные виртуализаторы некоторые операции изрядно тормозят в силу методов своей работы.
> это будет много более секьюрно и функционально чем система построенная на контейнерах.
А обосновать? Так, FYI, немного о секурити: я пытался долбать взовые контейнеры сплойтами для ядра - сие не работало нифига, в отличие от просто машин. Алсо, из контейнеров нельзя грузить модули ядра. Так что реально опасные руткиты - пролетают. Контейнеры можно невидимо мониторить с хоста, стопнув к такой-то фене при обнаружении незапланированной активности. При том процессы хоста вообще с контейнера не видны и хаксор понятия не будет иметь что там такое происходит, не сможет убить монитор или стереть его логи, etc. Гага, это к вопросу о безопасности. Есть дележ ресурсов и гарантии, так что атаки нацеленные на выжирон всех ресурсов - тоже пролетают, зиллионы юзверей на вдсках проверили эти механизмы во всех позах. Вообще, я что-то не припоминаю сообщений на секурити сайтах о взломе опенвзы. Как минимум за период который я оной интересуюсь. Более того - я не вижу очевидных и простых методов ее взломать зато вижу 100500 методов подсунуть хацкерам некое подобие "руткита" (невидимые ловушки и мониторы активности) заранее. А зачем бы вебсерверу скажем вызывать команду ls? Поадминистрячить его можно и с хоста, а вот если он сам вдруг вызвал такую команду - хакер, определенно, спалился :). При том - активность в рамках контейнера когда 1 контейнер на сервис - проста и предсказуема, мониторить левую активность намного проще чем в полной копии системы. Что до фич - ну, оно умеет дележ ресурсов и гарантии, снапшоты, миграцию на ходу на другой хост. Не любой полный виртуализатор то таким набором фич похвастает.

Исходное сообщение
"Руководитель Parallels высказал скептическое отношение к нез..." Отправлено User294, 26-Мрт-10 13:14
>Много удобнее chroot, спору нет. Но после активной работы с xen меня совершенно >не тянет на них возвращаться. Фокус в том что взовые контейнеры по фичам могут запросто поспорить с многими виртуализаторами, а вот по легкости - как раз нечто типа jail. Что делает их достаточно уникальной штукой - можно поиметь кучу удобных плюшек не просирая в производительности и минимально проигрывая в оверхеде. > ваш пентиум 4 прекрасно потянет. Вопрос не в потяент - не потянет, а в оверхеде и итоговом "КПД" связки. Железка порезанная взой по свойствам мало отличается от железки без взы, что логично. А вот полновесные виртуализаторы некоторые операции изрядно тормозят в силу методов своей работы. > это будет много более секьюрно и функционально чем система построенная на контейнерах. А обосновать? Так, FYI, немного о секурити: я пытался долбать взовые контейнеры сплойтами для ядра - сие не работало нифига, в отличие от просто машин. Алсо, из контейнеров нельзя грузить модули ядра. Так что реально опасные руткиты - пролетают. Контейнеры можно невидимо мониторить с хоста, стопнув к такой-то фене при обнаружении незапланированной активности. При том процессы хоста вообще с контейнера не видны и хаксор понятия не будет иметь что там такое происходит, не сможет убить монитор или стереть его логи, etc. Гага, это к вопросу о безопасности. Есть дележ ресурсов и гарантии, так что атаки нацеленные на выжирон всех ресурсов - тоже пролетают, зиллионы юзверей на вдсках проверили эти механизмы во всех позах. Вообще, я что-то не припоминаю сообщений на секурити сайтах о взломе опенвзы. Как минимум за период который я оной интересуюсь. Более того - я не вижу очевидных и простых методов ее взломать зато вижу 100500 методов подсунуть хацкерам некое подобие "руткита" (невидимые ловушки и мониторы активности) заранее. А зачем бы вебсерверу скажем вызывать команду ls? Поадминистрячить его можно и с хоста, а вот если он сам вдруг вызвал такую команду - хакер, определенно, спалился :). При том - активность в рамках контейнера когда 1 контейнер на сервис - проста и предсказуема, мониторить левую активность намного проще чем в полной копии системы. Что до фич - ну, оно умеет дележ ресурсов и гарантии, снапшоты, миграцию на ходу на другой хост. Не любой полный виртуализатор то таким набором фич похвастает.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру