Сформировано обновление операционной системы Qubes 4.0.4, реализующей идею использования гипервизора для строгой изоляции приложений и компонентов ОС (каждый класс приложений и системные сервисы работают в отдельных виртуальных машинах). Для загрузки подготовлен установочный образ размером 4.9 ГБ. Для работы необходима система с 4 Гб ОЗУ и 64-разрядным CPU Intel или AMD с поддержкой технологий VT-x c EPT/AMD-v c RVI и VT-d/AMD IOMMU, желательно наличие GPU Intel (GPU NVIDIA и AMD недостаточно хорошо протестированы)...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=54707
Ничего не понял. Это микроядро?
Если пользовательские программы смогут использовать syscall'ы внутри них самих, например для работы и изоляции плагинов, то в этом что-то есть.
Это куча виртуалок поверх XEN.Сам по себе XEN можно посчитать за атрофированное микроядро, которое делает только совсем базовый менеджмент ресурсов. Но вообще - это принято называть словом "гипервизор", точнее описывающим конкретику функциональности.
Сам по себе XEN не умеет дрова оборудования. Поэтому ему нужен Linux в dom0, куда будет сбагриваться фактическая работа с железом. И, наверное, он уже не микроядро. Ну а в виртуалках в domU живут юзерские VM, реализующие десктоп и изолированные друг от друга программы.
Я себе нечто сравнимое запилил вообще из qemu и дебиан линухов (RAM сильно меньше жрут), только гипервизором сразу linux, благо kvm встроен в каждый линух, и с пробросом окошек я не заморачивался, решив что четкое видение в каком isolation domain я нахожусь вообще фича.
ради вот таких экскурсов и читаю OpenNET, спасибо
ыыыыыыыы
> Я себе нечто сравнимое запилил вообще из qemu и дебианПоделитесь мануалом, плиз.
Присоединяюсь к просьбе.
Я пользовался Qubes примерно пол-года, потом снес. Было удобно пользоваться отдельными виртуалками для разных VPN: для работы был нужен один, в пиндосии; для вэбсерфинга - поближе, в европах; ну а для всяких местечковых говносайтов чтобы за интернет и коммуналку платить - там VPN был во зло.Но отрицательные стороны достали окончательно. Во-первых, не задалось сразу на этапе установки - была бага в питонячем скрипте, там куча их. Потом - Fedora. Не люблю редхат с 2003 года. Я, конечно, в виртуалках крутил Debian, но куда денешься от Dom0? Network Manager, опять же. Самый важный крысиный апплет загрузки процессора и свободной памяти абсолютно бесполезен, откуда ему знать про XEN. С нестандартными USB девайсами (занимаюсь эмбедовкой иногда) - танцы с бубном без надежды на успех. В UI багов тоже предостаточно, та же копипаста между виртуалками регулярно затыкалась.
Я пошел другим путем: снес Qubes, поставил Debian, завел несколько юзеров и настроил маршрутизацию через разные VPN по uid. Переключение между иксами по ctrl-alt-f7-f8-f9-etc вообще не напрягает, даже лучше чем куча окон на одном десктопе.
Будет как ипхонах: передать данные между двумя изолированными приложениями быстрее через чудое облако за океаном, чем пробить дыру во всех этих огораживаниях.
GPU по-прежнему не доступен. Значит - бесполезно.
А что, xen не умеет в проброс GPU? Но вообще эти фокусы в high-secure окружении не стоит делать. Даже с IOMMU. А то видите ли вынесет вас гуест DMA - и плевать ему что это виртуалка. Для DMA инициируемого устройством какая нахрен разница, оно адресами хоста в конечном итоге оперирует.
и почему-то с интеловыми эти фокусы проходят...
На kvm оно и с амдшными так-то проходит. Но это не очень популярный и протестированный сетап, а сама идея подарить атакующему (или вы изоляцию делали потому что ресурсы некуда девать?) железку с DMA-мастером в комплекте почему-то выглядит как эффективный способ аннулировать результат всей возни глупым действом. Я не понимаю пойнт такого сетапа.
>>(GPU NVIDIA и AMD недостаточно хорошо протестированы)ну вот не нужно трындеть - одно просто хреново с IOMMU работает, а другое с ним вообще не работает.
Под qemu+kvm нет проблем с пробросом красных и зеленых карт. XEN - defective by design!
Серьезно?
Давай пробрось Ryzen 7 4800H & GeForce GTX 1650 Ti
Какую версию ядра для этого будеш выбирать?
Сделано, пробросил
ага, на словах...
Лежа на спине
Проблема не в видяшке и тем более не в ядре, а в ушлепанском чипсете под твою затычку сокета.
Не гони, я пробрасывал amdgpu в kvm'ную виртуалку. Правда стоит сказать что у меня их было несколько, так что я детачнул 1 от pci и отдал это в VM, и ессно это не системный GPU был. И как таковое оно работало даже. Правда меня там вывод на экран вообще не колыхал, это gpgpu compute, конечно. Зачем мне выхлоп VM на вон том DVI? Хоть он наверное и есть теоретически, я не проверял :)
Можно и с одной GPU провернуть.
Если речь про честный проброс PCI устройства я не понимаю как это должно выглядеть. Для этого надо у хардварной системы железку отобрать (а как она тогда на экран что-то покажет?) и заново реинициализировать из гуеста. И я не уверен что такой фортель хорошо работает.Я то отдавал "uninitialized" (secondary GPUs) - линь при этом бухтит нечто типа GPU is not posted, posting now - после чего это реинит с ноля, с переключением VGA -> native, вгрузкой фирмвар и проч. Можно ли так сделать без полного ресета железки дважды - без понятия.
У интеля есть какие-то пробросы команд в GPU, чтоли. Специфичные для них. Безопасность этого мне неизвестна - GPU изначально не делали с учетом многоюзерности и тем более виртуализации, насколько это все не может поиметь хост - большой вопрос, учитывая что изначально GPU как бы DMA-master на хосте. И если у амд в более-менее новых GPU (GCN и новее) появилось что-то типа paging на стороне GPU и соответственно какое-то подобие 3-го MMU - paging на стороне GPU он как-то делает и какие-то энфорсы прав страниц GPU VM умеет, как и детект GPU VM page fault. Такой наверное даже реально уже на несколько юзеров/программ относительно секурно поделить по типу того как системный проц. А вот интель как-то сильно проще и кмк они так вообще не могут на уровне железа. Но их вообще хайп интересует больше безопасности. И не факт что юзеры чего-то типа сабжа хотели вот такое отношение к делу.
если есть две - то одну можно и отобрать.
вопрос еще в том как эту отобранную между виртуалками поделить?
у меня на GPU драйверах IOMMU даже не поднималось для проброса, какие только опции ядра и модулей не пробовал подставлять.
Про ябывдулистую Рутковскую ничего не написали:(
Kurva power!!!
Она хороша. Красивая и умная, да еще в low level шарит. Офигенное сочетание, так то.
"По словам Йоанны, они вместе с Александром занимаются изучением угроз и консультационными проектами, однако Александр немного больше времени уделяет программистской работе, а сама Рутковская сосредоточена непосредственно на бизнес-задачах."Она, кстати, приезжала к нему в гости. Но. С подружкой. Так что закатайте губу. ;)
А она уже давно как ушла из проекта в другой.
Порнозвезды на Главном?
Руткитовская
4.0.4 — выпуск должен быть максимально хорош.
Да там ничего особенного, обычная минорщина, где есть только обновление компонентов до свежих. Ждем 4.1
4.0.1 тестил, так и не смог выйти в инет, чтобы обновиться. Хорошее огораживание: все фреймы пропадали в неизвестном направлении. Похоже какая-то заморочка с сетевой картой и её работой в iommu режиме. Надо потестить обновление.
Это не для инета
Очень великая секурность
Вот когда полноценно ГПУ проброс будет, тогда и подумаем....
> Вот когда полноценно ГПУ проброс будет, тогда и подумаем....Штуки такого плана - не решения для ублажения хомячков. А безопасность это деяние нагибает солидно.