| 1.1, uis (ok), 21:44, 05/03/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
 Ничего не понял. Это микроядро?
Если пользовательские программы смогут использовать syscall'ы внутри них самих, например для работы и изоляции плагинов, то в этом что-то есть.
| | |
| |
| 2.4, Аноним (-), 22:52, 05/03/2021 [^] [^^] [^^^] [ответить]
| +23 +/– | |
Это куча виртуалок поверх XEN.
Сам по себе XEN можно посчитать за атрофированное микроядро, которое делает только совсем базовый менеджмент ресурсов. Но вообще - это принято называть словом "гипервизор", точнее описывающим конкретику функциональности.
Сам по себе XEN не умеет дрова оборудования. Поэтому ему нужен Linux в dom0, куда будет сбагриваться фактическая работа с железом. И, наверное, он уже не микроядро. Ну а в виртуалках в domU живут юзерские VM, реализующие десктоп и изолированные друг от друга программы.
Я себе нечто сравнимое запилил вообще из qemu и дебиан линухов (RAM сильно меньше жрут), только гипервизором сразу linux, благо kvm встроен в каждый линух, и с пробросом окошек я не заморачивался, решив что четкое видение в каком isolation domain я нахожусь вообще фича.
| | |
| |
| 3.22, Аноним (22), 11:24, 06/03/2021 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Я себе нечто сравнимое запилил вообще из qemu и дебиан
Поделитесь мануалом, плиз.
| | |
| 3.36, Аноним (36), 11:19, 07/03/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Я пользовался Qubes примерно пол-года, потом снес. Было удобно пользоваться отдельными виртуалками для разных VPN: для работы был нужен один, в пиндосии; для вэбсерфинга - поближе, в европах; ну а для всяких местечковых говносайтов чтобы за интернет и коммуналку платить - там VPN был во зло.
Но отрицательные стороны достали окончательно. Во-первых, не задалось сразу на этапе установки - была бага в питонячем скрипте, там куча их. Потом - Fedora. Не люблю редхат с 2003 года. Я, конечно, в виртуалках крутил Debian, но куда денешься от Dom0? Network Manager, опять же. Самый важный крысиный апплет загрузки процессора и свободной памяти абсолютно бесполезен, откуда ему знать про XEN. С нестандартными USB девайсами (занимаюсь эмбедовкой иногда) - танцы с бубном без надежды на успех. В UI багов тоже предостаточно, та же копипаста между виртуалками регулярно затыкалась.
Я пошел другим путем: снес Qubes, поставил Debian, завел несколько юзеров и настроил маршрутизацию через разные VPN по uid. Переключение между иксами по ctrl-alt-f7-f8-f9-etc вообще не напрягает, даже лучше чем куча окон на одном десктопе.
| | |
|
|
| 1.2, Аноним (2), 21:46, 05/03/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Будет как ипхонах: передать данные между двумя изолированными приложениями быстрее через чудое облако за океаном, чем пробить дыру во всех этих огораживаниях.
| | |
| |
| 2.5, Аноним (-), 23:28, 05/03/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
А что, xen не умеет в проброс GPU? Но вообще эти фокусы в high-secure окружении не стоит делать. Даже с IOMMU. А то видите ли вынесет вас гуест DMA - и плевать ему что это виртуалка. Для DMA инициируемого устройством какая нахрен разница, оно адресами хоста в конечном итоге оперирует.
| | |
| |
| |
| 4.10, Аноним (-), 02:50, 06/03/2021 [^] [^^] [^^^] [ответить]
| +/– |
На kvm оно и с амдшными так-то проходит. Но это не очень популярный и протестированный сетап, а сама идея подарить атакующему (или вы изоляцию делали потому что ресурсы некуда девать?) железку с DMA-мастером в комплекте почему-то выглядит как эффективный способ аннулировать результат всей возни глупым действом. Я не понимаю пойнт такого сетапа.
| | |
|
|
|
| 1.6, Аноним (7), 00:30, 06/03/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
>>(GPU NVIDIA и AMD недостаточно хорошо протестированы)
ну вот не нужно трындеть - одно просто хреново с IOMMU работает, а другое с ним вообще не работает.
| | |
| |
| 2.8, Аноним (8), 01:55, 06/03/2021 [^] [^^] [^^^] [ответить]
| +/– |
Под qemu+kvm нет проблем с пробросом красных и зеленых карт. XEN - defective by design!
| | |
| |
| 3.9, Аноним (7), 02:26, 06/03/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Серьезно?
Давай пробрось Ryzen 7 4800H & GeForce GTX 1650 Ti
Какую версию ядра для этого будеш выбирать?
| | |
| |
| 4.37, Аноним (37), 11:15, 09/03/2021 [^] [^^] [^^^] [ответить]
| +/– |
Проблема не в видяшке и тем более не в ядре, а в ушлепанском чипсете под твою затычку сокета.
| | |
|
|
| 2.11, Аноним (-), 02:54, 06/03/2021 [^] [^^] [^^^] [ответить]
| +/– |
Не гони, я пробрасывал amdgpu в kvm'ную виртуалку. Правда стоит сказать что у меня их было несколько, так что я детачнул 1 от pci и отдал это в VM, и ессно это не системный GPU был. И как таковое оно работало даже. Правда меня там вывод на экран вообще не колыхал, это gpgpu compute, конечно. Зачем мне выхлоп VM на вон том DVI? Хоть он наверное и есть теоретически, я не проверял :)
| | |
| |
| |
| 4.18, Аноним (-), 08:59, 06/03/2021 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Если речь про честный проброс PCI устройства я не понимаю как это должно выглядеть. Для этого надо у хардварной системы железку отобрать (а как она тогда на экран что-то покажет?) и заново реинициализировать из гуеста. И я не уверен что такой фортель хорошо работает.
Я то отдавал "uninitialized" (secondary GPUs) - линь при этом бухтит нечто типа GPU is not posted, posting now - после чего это реинит с ноля, с переключением VGA -> native, вгрузкой фирмвар и проч. Можно ли так сделать без полного ресета железки дважды - без понятия.
У интеля есть какие-то пробросы команд в GPU, чтоли. Специфичные для них. Безопасность этого мне неизвестна - GPU изначально не делали с учетом многоюзерности и тем более виртуализации, насколько это все не может поиметь хост - большой вопрос, учитывая что изначально GPU как бы DMA-master на хосте. И если у амд в более-менее новых GPU (GCN и новее) появилось что-то типа paging на стороне GPU и соответственно какое-то подобие 3-го MMU - paging на стороне GPU он как-то делает и какие-то энфорсы прав страниц GPU VM умеет, как и детект GPU VM page fault. Такой наверное даже реально уже на несколько юзеров/программ относительно секурно поделить по типу того как системный проц. А вот интель как-то сильно проще и кмк они так вообще не могут на уровне железа. Но их вообще хайп интересует больше безопасности. И не факт что юзеры чего-то типа сабжа хотели вот такое отношение к делу.
| | |
| |
| 5.32, Аноним (7), 21:49, 06/03/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
если есть две - то одну можно и отобрать.
вопрос еще в том как эту отобранную между виртуалками поделить?
| | |
|
|
| 3.31, Аноним (7), 20:37, 06/03/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
у меня на GPU драйверах IOMMU даже не поднималось для проброса, какие только опции ядра и модулей не пробовал подставлять.
| | |
|
|
| |
| 2.19, Аноним (-), 09:08, 06/03/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Она хороша. Красивая и умная, да еще в low level шарит. Офигенное сочетание, так то.
| | |
| |
| 3.28, n00by (ok), 14:38, 06/03/2021 [^] [^^] [^^^] [ответить]
| +/– |
 "По словам Йоанны, они вместе с Александром занимаются изучением угроз и консультационными проектами, однако Александр немного больше времени уделяет программистской работе, а сама Рутковская сосредоточена непосредственно на бизнес-задачах."
Она, кстати, приезжала к нему в гости. Но. С подружкой. Так что закатайте губу. ;)
| | |
|
|
| |
| 2.24, Аноним (-), 12:36, 06/03/2021 [^] [^^] [^^^] [ответить]
| +/– |
Да там ничего особенного, обычная минорщина, где есть только обновление компонентов до свежих. Ждем 4.1
| | |
|
| 1.17, Аноним (17), 08:38, 06/03/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
4.0.1 тестил, так и не смог выйти в инет, чтобы обновиться. Хорошее огораживание: все фреймы пропадали в неизвестном направлении. Похоже какая-то заморочка с сетевой картой и её работой в iommu режиме. Надо потестить обновление.
| | |
| |
| 2.33, Аноним (33), 22:24, 06/03/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Вот когда полноценно ГПУ проброс будет, тогда и подумаем....
Штуки такого плана - не решения для ублажения хомячков. А безопасность это деяние нагибает солидно.
| | |
|
|
