| 1.1, Аноним (1), 11:20, 23/08/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +15 +/– |
Короче говоря, пора уже привыкнуть к тому, что виртуализация не есть изоляция.
| | |
| |
| 2.2, mumu (ok), 11:26, 23/08/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Да. Думаю практически у всех (за редким исключением) вся безопасность построена на том, что нельзя выйти из контейнера в хостовую систему.
А сейчас уже приходится делать чуть ли не по отдельному датацентру на каждую DMZ. Это капец как накладно и мало кто такое может потянуть.
| | |
| |
| 3.7, Аноним (7), 12:11, 23/08/2019 [^] [^^] [^^^] [ответить]
| +9 +/– |
по этому нужно виртуалку запускать в виртуалке. что бы ломателю не скучно было
| | |
| |
| 4.24, Корец (?), 18:39, 23/08/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Я же говорил, что вместо процов надо ставить FPGA! Во-первых, можно будет исправлять любые аппаратные уязвимости, а во-вторых, можно будет реализовать аппаратные контейнеры.
| | |
| |
| 5.26, Hewlett Packard (?), 23:12, 23/08/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
И цены на аккумуляторы упадут еще сильнее, их ведь, если во всей мобильной технике заменить CPU на FPGA, потребуется в десятки раз больше.
| | |
|
|
| 3.8, Тупой погроммист (?), 12:22, 23/08/2019 [^] [^^] [^^^] [ответить]
| +6 +/– |
SLIRP на серверах с виртуалками не используют - он медленный и не может слушать порты (без дополнительной настройки). Он для тех, кому лень настроить бридж (домашние пользователи) или нет возможности настроить систему из под рута (CI). Вообщем, тут мимо.
P.S. Redhat-овский buildah & podman (рекламируемый как "более безопасный docker"), кстати, тоже по-дефолту SLIRP для контейнеров использует.
| | |
| |
| 4.14, mumu (ok), 13:18, 23/08/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Где одно там и другое. Тут важен сам факт такой возможности и что это не что-то там заоблачное. Уязвимость в vmxnet3 многих заставила пересмотреть всю архитектуру ИБ и наплодить буферных зон там, где их раньше не было.
Когда все топили за виртуализацию году в 2006-м вообще никто предположить не мог (ну или я один такой наивный был), что выход из гостевой VM физически возможен. Это казалось святым граалем в плане изоляции недоверенных сред.
| | |
| |
| 5.15, пох. (?), 13:38, 23/08/2019 [^] [^^] [^^^] [ответить]
| +/– | |
один. Мы и в 2008м физически разделяли закрытые и открытые сервисы - не просто не смешивая их на соседних виртуалках, а вообще в разных стойках и на разном сетевом оборудовании (да, никаких "грязных" вланов на том же свитче, на котором крутятся внутренние сервисы)
> Это казалось святым граалем в плане изоляции недоверенных сред.
ну надеюсь теперь-то поняли, что это просто еще один презерватив, надетый на свечку?
| | |
| |
| 6.17, mumu (ok), 14:32, 23/08/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
С SDN и всякой гиперконвергентностью всё стало гораздо запутанней. Не буду же я отдельный Cisco ACI под разные среды поднимать. Ладно, суёшь в целые отдельные тенанты. А потом такой радостно читаешь ньюз на опеннете: "Выход за границы tenant-а"...
И зачем нужен vmware NSX, если всё железными коммутами отбивать. Тут приходится идти на компромиссы.
| | |
| |
| 7.18, пох. (?), 14:38, 23/08/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> А потом такой радостно читаешь ньюз на опеннете: "Выход за границы tenant-а"...
ну вот по этой причине - презервативов на свечке должно быть поболее одного.
(причем при большом желании все равно поимеют, так или иначе)
| | |
| 7.25, mickvav (?), 19:14, 23/08/2019 [^] [^^] [^^^] [ответить]
| +/– |
Imho, тут так - виртуалки - неплохой способ отделить незлонамеренных бакланов друг от друга. Не более.
| | |
| |
| 8.27, пох. (?), 09:19, 24/08/2019 [^] [^^] [^^^] [ответить] | +1 +/– | днем-то он мирный абрикос, а ночью - дикий урюк поломали очередной врот-пресс... текст свёрнут, показать | | |
|
| 7.31, G0Dzilla (ok), 13:12, 25/08/2019 [^] [^^] [^^^] [ответить]
| –3 +/– |
 Вы на полном серьезе считаете вмтварь виртуализацией? Мне страшно за вас.
| | |
|
|
|
|
|
| 2.3, leap42 (ok), 11:33, 23/08/2019 [^] [^^] [^^^] [ответить]
| +/– |
 так это давно понятно, поэтому связка из libvirt+qemu+kvm легко и приятно подхватывает SELinux или AppArmor. буквально надо 2 строчки в конфиге поправить для суровой изоляции.
| | |
| 2.6, Аноним (6), 11:45, 23/08/2019 [^] [^^] [^^^] [ответить]
| +4 +/– |
Вполне себе изоляция с определенным степенем надежности.
Одна серьезная уязвимость в qemu в раз полгода - лучше, нежели поддержка зоопарка вроде бы изолированных серверов с потенциальными аппаратными уязвимостям, которые пофиксятся только апдейтом железа.
| | |
| |
| 3.29, Аноним (-), 20:17, 24/08/2019 [^] [^^] [^^^] [ответить]
| +/– |
Дыры в qemu не отменяют аппаратных дыр.
Виртуализация не решает никаких проблем безопасности, только создаёт дополнительные.
Другой вопрос, что иногда без виртуализации прикладные проблемы решать неудобно. Поэтому приходится мириться с дополнительными потенциальными проблемами в безопасности.
| | |
|
| 2.10, Leo90 (?), 12:29, 23/08/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
ага, как не пытаются просто закрыть глаза и писать свой г-код без оглядки на безопастноить, да и вобще, без оглядки, все никак не получится..
| | |
|
| 1.5, Аноним (5), 11:44, 23/08/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
> Из-за ошибки в функции ip_reass(),
А вот называли бы функции менее ругательно -- и ошибки поди не допустили бы:)
| | |
| |
| 2.9, пох. (?), 12:22, 23/08/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
наоборот - так она прошла бы sjw контроль, и была бы и в убунте тоже
| | |
|
| 1.11, Аноним (11), 13:05, 23/08/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Нет бесплатного сыра. Дешево, в адекекватные сроки (не 10 лет), безопасно. Выберете что-то одно.
| | |
| |
| 2.13, Аноним (13), 13:15, 23/08/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
Бесплатный сыр ЕСТЬ — в нетоварной экономике, например в opensource.
| | |
| |
| 3.22, OpenEcho (?), 16:53, 23/08/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>например в opensource
Где все более менее крупные проекты живут за счет вливаний от большого бизнеса, а как известно, - кто девушку поит, то ее и танцует
| | |
| |
| 4.28, пох. (?), 09:23, 24/08/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
а некрупные выживают на donate и тааакой рекламе, с которой уже даже гугель борется, потому что она позорит его бизнес.
А о "нетоварной экономике" рассказывают только те, кто бесплатный сыр потом жрет с лопаты, не слишком брезгуя.
| | |
| |
| 5.30, Аноним (-), 22:00, 24/08/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> потому что она позорит его бизнес.
Ну вот, как говорят мудрые люди, и на старуху найдется проруха.
| | |
|
|
|
|
| 1.19, анонн (ok), 15:02, 23/08/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > но остаётся неисправленной в Debian, Arch Linux и FreeBSD
# ipfw list|head
00100 reass ip from any to any in
Удачи проэксплуатировать.
| | |
| 1.20, Дон Ягон (ok), 15:11, 23/08/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Не могу не вспомнить прекрасное:
"You are absolutely deluded, if not stupid, if you think that a
worldwide collection of software engineers who can't write operating
systems or applications without security holes, can then turn around
and suddenly write virtualization layers without security holes."
(https://marc.info/?l=openbsd-misc&m=119318909016582)
| | |
|
