forum.opennet.ru

Составление сообщения

Исходное сообщение

"Руководитель Parallels высказал скептическое отношение к нез..."
Отправлено Samm, 26-Мрт-10 17:29

>> ваш пентиум 4 прекрасно потянет.
>
>Вопрос не в потяент - не потянет, а в оверхеде и итоговом
>"КПД" связки. Железка порезанная взой по свойствам мало отличается от железки
>без взы, что логично. А вот полновесные виртуализаторы некоторые операции изрядно
>тормозят в силу методов своей работы.
Ксен - это паравиртуализация, и оверхед получается не сильно заметный.
>
>> это будет много более секьюрно и функционально чем система построенная на контейнерах.
>
>А обосновать? Так, FYI, немного о секурити: я пытался долбать взовые контейнеры
>сплойтами для ядра - сие не работало нифига, в отличие от
>просто машин. Алсо, из контейнеров нельзя грузить модули ядра.
Что тоже полный фейл кстати )
>ресурсов и гарантии, так что атаки нацеленные на выжирон всех ресурсов
>- тоже пролетают, зиллионы юзверей на вдсках проверили эти механизмы во
>всех позах. Вообще, я что-то не припоминаю сообщений на секурити сайтах
>о взломе опенвзы.
Да не надо ломать собственно vz, скорее устройства и ioctl вызовы native ядра.
>взломать зато вижу 100500 методов подсунуть хацкерам некое подобие "руткита" (невидимые
>ловушки и мониторы активности) заранее. А зачем бы вебсерверу скажем вызывать
>команду ls? Поадминистрячить его можно и с хоста, а вот если
>он сам вдруг вызвал такую команду - хакер, определенно, спалился :).
Какой ls из сервера, вы о чем? Если уж хотите безопасность - тот же php-fpm умеет chroot`ить себя после запуска.
>дележ ресурсов и гарантии, снапшоты, миграцию на ходу на другой хост.
>Не любой полный виртуализатор то таким набором фич похвастает.
Дележ ресурсов в ксене сделан много более позитивно. С безопасностью - в случае, например, уязвимости одного из системных вызовов, которые непосредственно обрабатываются хостом - ваш эксплоит получит доступ в адресное пространство хоста. В случае ксена или квм-а это будет только гость. Как-то так. Кроме того - и в случае потенциального взлома хоста добраться до содержимого контейнера или процессов запущенных в нем будет намного проще. Кстати, мне прекрасно удавалось трапать ядро хоста (!) из контейнера когда я игрался с бриджами внутри оных. Такие дела.

Исходное сообщение
"Руководитель Parallels высказал скептическое отношение к нез..." Отправлено Samm, 26-Мрт-10 17:29
>> ваш пентиум 4 прекрасно потянет. > >Вопрос не в потяент - не потянет, а в оверхеде и итоговом >"КПД" связки. Железка порезанная взой по свойствам мало отличается от железки >без взы, что логично. А вот полновесные виртуализаторы некоторые операции изрядно >тормозят в силу методов своей работы. Ксен - это паравиртуализация, и оверхед получается не сильно заметный. > >> это будет много более секьюрно и функционально чем система построенная на контейнерах. > >А обосновать? Так, FYI, немного о секурити: я пытался долбать взовые контейнеры >сплойтами для ядра - сие не работало нифига, в отличие от >просто машин. Алсо, из контейнеров нельзя грузить модули ядра. Что тоже полный фейл кстати ) >ресурсов и гарантии, так что атаки нацеленные на выжирон всех ресурсов >- тоже пролетают, зиллионы юзверей на вдсках проверили эти механизмы во >всех позах. Вообще, я что-то не припоминаю сообщений на секурити сайтах >о взломе опенвзы. Да не надо ломать собственно vz, скорее устройства и ioctl вызовы native ядра. >взломать зато вижу 100500 методов подсунуть хацкерам некое подобие "руткита" (невидимые >ловушки и мониторы активности) заранее. А зачем бы вебсерверу скажем вызывать >команду ls? Поадминистрячить его можно и с хоста, а вот если >он сам вдруг вызвал такую команду - хакер, определенно, спалился :). Какой ls из сервера, вы о чем? Если уж хотите безопасность - тот же php-fpm умеет chroot`ить себя после запуска. >дележ ресурсов и гарантии, снапшоты, миграцию на ходу на другой хост. >Не любой полный виртуализатор то таким набором фич похвастает. Дележ ресурсов в ксене сделан много более позитивно. С безопасностью - в случае, например, уязвимости одного из системных вызовов, которые непосредственно обрабатываются хостом - ваш эксплоит получит доступ в адресное пространство хоста. В случае ксена или квм-а это будет только гость. Как-то так. Кроме того - и в случае потенциального взлома хоста добраться до содержимого контейнера или процессов запущенных в нем будет намного проще. Кстати, мне прекрасно удавалось трапать ядро хоста (!) из контейнера когда я игрался с бриджами внутри оных. Такие дела.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>> ваш пентиум 4 прекрасно потянет.
>> 
>>Вопрос не в потяент - не потянет, а в оверхеде и итоговом 
>>"КПД" связки. Железка порезанная взой по свойствам мало отличается от железки 
>>без взы, что логично. А вот полновесные виртуализаторы некоторые операции изрядно 
>>тормозят в силу методов своей работы.

> Ксен - это паравиртуализация, и оверхед получается не сильно заметный.
>> 
>>> это будет много более секьюрно и функционально чем система построенная на контейнерах.
>> 
>>А обосновать? Так, FYI, немного о секурити: я пытался долбать взовые контейнеры 
>>сплойтами для ядра - сие не работало нифига, в отличие от 
>>просто машин. Алсо, из контейнеров нельзя грузить модули ядра.

> Что тоже полный фейл кстати ) 
>>ресурсов и гарантии, так что атаки нацеленные на выжирон всех ресурсов 
>>- тоже пролетают, зиллионы юзверей на вдсках проверили эти механизмы во 
>>всех позах. Вообще, я что-то не припоминаю сообщений на секурити сайтах 
>>о взломе опенвзы.

> Да не надо ломать собственно vz, скорее устройства и ioctl вызовы native 
> ядра.
>>взломать зато вижу 100500 методов подсунуть хацкерам некое подобие "руткита" (невидимые 
>>ловушки и мониторы активности) заранее. А зачем бы вебсерверу скажем вызывать 
>>команду ls? Поадминистрячить его можно и с хоста, а вот если 
>>он сам вдруг вызвал такую команду - хакер, определенно, спалился :).

> Какой ls из сервера, вы о чем? Если уж хотите безопасность - 
> тот же php-fpm умеет chroot`ить себя после запуска.
>>дележ ресурсов и гарантии, снапшоты, миграцию на ходу на другой хост.
>>Не любой полный виртуализатор то таким набором фич похвастает.

> Дележ ресурсов в ксене сделан много более позитивно. С безопасностью - в 
> случае, например, уязвимости одного из системных вызовов, которые непосредственно обрабатываются 
> хостом - ваш эксплоит получит доступ в адресное пространство хоста. В 
> случае ксена или квм-а это будет только гость. Как-то так.  
> Кроме того - и в случае потенциального взлома хоста добраться до 
> содержимого контейнера или процессов запущенных в нем будет намного проще. Кстати, 
> мне прекрасно удавалось трапать ядро хоста (!) из контейнера когда я 
> игрался с бриджами внутри оных. Такие дела.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру