> про это концептуалы почему-то тактично молчат в тряпочку, делая вид что они святоши и их баги не касаются, что попахивает лицемериемБаги делают все люди, это наша сущность, кто меньше кто больше... Но хотел сделать акцент на другом, XEN сложен, ибо Линукс изначально для виртуализации не был спроэктирован, следовательно из-за сложности ошибок будет больше! Кроме того он не спроэктирован с учётом безопасности, в угоду быстроте и упрощению.
> И если сравнивать например безопасность машины где форум, почтарь, DNS и все остальное висело на 1 машине, сломали форум...
Для изоляции сервисов в Юникс применяют технологию chroot. Сегодня есть укреплённые её варианты https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity... помещающие процес в изоляционную тюрму. И для безопасной изоляции процесов рекомендуется использовать их.
>> Использовать виртуалки можно НО НЕ КАК СРЕДСТВО БЕЗОПАСНОСТИ.
> В том числе и как средство безопасности.
Нет! Только как удобное средство хостинга. Критичные данные с помощью виртуалок охранять не стоит.
> И у Тео вообще нет никаких решений. Он просто сидит в своем деревянном сортире и рассказывает нам про то что наш унитаз неправильный.
Ты считаешь что твой Линукс правильный в плане безопасности? :)
установи и запусти paxtest(http://pax.grsecurity.net/), checksec(http://tk-blog.blogspot.ru/search/label/checksec.sh), hardening-check(https://wiki.debian.org/Hardening), scanelf(http://hardened.gentoo.org/pax-utils.xml)
Могу поспорить что твой "правильный унитаз" даже элементарное выделение памяти не контролирует по ГЛАВНОМУ правилу безопасности: ВСЁ ЧТО ИСПОЛНЯЕТСЯ НЕ ДОЛЖНО ИЗМЕНЯТСЯ, А ВСЁ ЧТО ИЗМЕНЯЕТСЯ НЕ ДОЛЖНО ИСПОЛНЯТСЯ! По этому любой баг при проверки длины -> переполнение буфера -> взлом... пример: https://www.linux.org.ru/news/security/9162177?cid=9170049
Так вот в Линукс ядре возможности:
CONFIG_PAX_KERNEXEC=y
PAX_MEMORY_UDEREF=y
PAX_USERCOPY=y
CONFIG_GRKERNSEC_KERN_LOCKOUT=y
были реализованы в значительной мере благодаря Тео.
Также все ssl, ssh и почти все правильные вещи по безопасности в Линукс тоже работа Тео!
Вот так вот, не лицемерь больше ;)