https://89.19.215.112/openforum/vsluhforumID3/58203.html Daniel Walsh, работник Red Hat, участвующий в разработке SELinux, рассказал (http://danwalsh.livejournal.com/30565.html) о проекте sVirt (http://selinuxproject.org/page/SVirt), позволяющем использовать SELinux Mandatory Access Control (MAC) политики для усиления изоляции гостевых виртуальных окружений. Система поможет защитить систему в случае обнаружения уязвимости в коде гипервизора и не позволит злоумышленнику повлиять на работу гостевых ОC, даже после взлома управляющей "host" системы.<br><br>URL: http://danwalsh.livejournal.com/30565.html<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=23152<br> https://89.19.215.112/openforum/vsluhforumID3/58203.html#6 Wed, 26 Aug 2009 01:04:05 GMT самый надёжный способ - вырубить ком и разойтись по домам :-D<br><br>уже то, что можно более плотно защитить хост-систему от "гостей" (например на vps, хотя там как-то больше предпочитают что-то на тему опенвз, виртуозо :-D) - это уже большой плюс.<br>зы:<br>кстати, о плюсах и минусах - последние я не ставлю. каждый имеет право на своё мнение (установка миносов к ним точно не оносится :-D), да и польза от сворачиваний по моему сомнительна.<br>вот плюсы иной раз ставлю. по многим причинам - интересные мысли, правильность комментария,.. остроумие :-D<br> https://89.19.215.112/openforum/vsluhforumID3/58203.html#5 Tue, 25 Aug 2009 23:41:42 GMT &gt;а на гипервизоре крутиться только админ с очень прямыми руками. <br><br>Да, но если поимели гипервизор через его баги - значит поимели доступ в ring0 хоста.Или даже в ring -1.При этом на selinux как бы это сказать, немного пофигу - есть прямой доступ к всем ресурсам хоста (а стало быть и виртуалок на нем) влобовую.Можно виртуалкам память вдоль и поперек пропатчить, например отшив selinux в них к такой-то фене или поменяв все что надо вообще не пользуясь средствами Linux :).И что по этому поводу сможет SELinux? Может кто-то внятно объяснить вместо того чтобы тупо ставить минусы? oO<br> https://89.19.215.112/openforum/vsluhforumID3/58203.html#4 Tue, 25 Aug 2009 22:39:38 GMT а что если бен ладен в серверной бомбу заложил? :-D<br><br>логика работы - в виртуалках крутятся ПО для пользователей, с потенциальными рисками.<br>а на гипервизоре крутиться только админ с очень прямыми руками.<br> https://89.19.215.112/openforum/vsluhforumID3/58203.html#3 Tue, 25 Aug 2009 19:55:43 GMT &gt;Я чего-то не понял в этой жизни? <br><br>ыыы причём здесь жизнь?<br> https://89.19.215.112/openforum/vsluhforumID3/58203.html#2 Tue, 25 Aug 2009 17:08:14 GMT Пардон, а если гипервизор поимели (т.е. поимели видимо доступ в ring0 или даже ring -1) - а что тогда помешает при таком уровне доступа просто подпатчить SELinux'а в памяти у виртуалок чтоб не брыкался?Да и сами виртуалки можно крушить как угодно уже.Я чего-то не понял в этой жизни?<br> https://89.19.215.112/openforum/vsluhforumID3/58203.html#1 Tue, 25 Aug 2009 16:47:58 GMT вот это очень круто<br>