https://m.opennet.dev/openforum/vsluhforumID3/117052.html Группа исследователей из Политехнического университета Виргинии (США), компании Qualcomm и Рейнско-Вестфальского технического университета Ахена (Германия) развивает (https://www.ssrg.ece.vt.edu/papers/vee2019.pdf) легковесное ядро HermiTux (https://ssrg-vt.github.io/hermitux/), соответствующее парадигме "unikernel". HermiTux позволяет напрямую запускать приложения поверх гипервизора без дополнительных прослоек, обеспечивая бинарную совместимость с приложениями для Linux на уровне ABI. Код написан на языке Си и распространяется (https://github.com/ssrg-vt/hermitux-kernel) под лицензией BSD. <br><br><br>HermiTux предоставляет минимальное окружение операционной системы со своим ядром, которое потребляет существенно меньше ресурсов, чем при создании окружений на базе штатного ядра Linux, и позволяет очень быстро запускать приложения поверх гипервизора - время загрузки не превышает 0.1 сек. В тестах производительности HermiTux отстал от окружений с обычным ядром Linux примерно на 3%, что обусловлено накладными расхода https://m.opennet.dev/openforum/vsluhforumID3/117052.html#104 Fri, 12 Apr 2019 05:19:58 GMT Походу там остались куски на FORTRAN IV. Компилятор с 1972 года пилят, когда самого Эльбрус-3 ещё в проекте не было.<br> https://m.opennet.dev/openforum/vsluhforumID3/117052.html#103 Wed, 10 Apr 2019 10:24:54 GMT тут их много. у кого-то дуст на мел подменили и вот результат.<br> https://m.opennet.dev/openforum/vsluhforumID3/117052.html#102 Tue, 09 Apr 2019 20:07:07 GMT &gt; изучение пары гигабайт бинарника, возможно шифрованного, написанного на сях по преимуществу, дизассемблером - это мартышкин труд как он есть, неужели не очевидно?<br><br>Порядок такой. Но это не отменяет других мер.<br><br>&gt; ну так посмотрите же в гугле, что она на самом деле "режет", и на чем. И что ее полное название "tool for _partial_ deblobing".<br><br>Да, и она вырезает ME с 5.7МБ до &gt;100КБ. Так бодро, что потом ME вообще никак ни с чем не общается. Даже клоки на плате не может выставить. Очень успешно, надо отметить.<br><br>&gt; у него конечно "прекрасная" документация (то есть вообще никакой, автоизвлекаемый мусор из комментов в коде), но вообще-то при настройке он требовал трех блобов.<br><br>Эмм... Native Ram Init требует блобов? Вы точно ознакомились, перед тем, как писать это, с предметом обсуждения? На втором/третьем поколении он ПОЛНОСТЬЮ закрывает в данный момент вопрос инициализации памяти. И если в 4.3 были ещё ограничения (типа невозможности юзать LPDDR3), то сейчас всё огонь. И да, это не касается четвёртого покол https://m.opennet.dev/openforum/vsluhforumID3/117052.html#101 Tue, 09 Apr 2019 17:43:47 GMT &gt; Безопасность - это комплекс мер. Изучение BIOS'а - одна из них.<br><br>изучение пары гигабайт бинарника, возможно шифрованного, написанного на сях по преимуществу, дизассемблером - это мартышкин труд как он есть, неужели не очевидно?<br><br>&gt; Потому что ME таки режется нонче даже такой штукой, как me_cleaner (см. в гугле)<br><br>ну так посмотрите же в гугле, что она на самом деле "режет", и на чем. И что ее полное название "tool for _partial_ deblobing".<br><br>Сейчас, благодари nsa и родственных им исследователей из рассейской секьюрити конторки, нашедших незадокументированную галочку (ну ок, на самом деле они болтали что сначала нашли то что она отключала, а потом уже расслеповали галочку в гуйне, а мы, конечно, рады верить), можно целиком отключать ту часть ME, которая работает после загрузки (точнее, отключать ту часть которая авторебутила процессор через 30 минут ее неработы) - правда, что при этом происходит с низкими power states - остается под большим вопросом, работает ли в последних интеловских платах - не проверял https://m.opennet.dev/openforum/vsluhforumID3/117052.html#100 Tue, 09 Apr 2019 08:37:47 GMT &gt; оу... у них ТАК все плохо?<br>&gt; (дизассемблирование и построчное изучение современного uefi - это такое, благодатное занятие, <br>&gt; из серии обожаемых буддистами - толку никакого, результат недостижим, но к <br>&gt; просветлению приближает) <br><br>Безопасность - это комплекс мер. Изучение BIOS'а - одна из них. Изолированные сегменты с контролем на границах - ещё одна. А там люди хитрые сидят. Много разных мер придумали...<br><br>&gt; а... тогда понятно.<br>&gt; (для понимания незамутненными личностями- и процессор там pentium4, не иначе. Современный <br>&gt; без ME или его аналогов не проинитить) <br><br>Ну я и понял, что это "незамутнённая личность - незамутнённым личностям". Потому что ME таки режется нонче даже такой штукой, как me_cleaner (см. в гугле). У ребят из coreboot'а это даже опцией идёт при сборке образа.<br><br>В рамках того же coreboot'а есть для intel sandybridge/ivybridge "native ram init", когда блоб intel MSR выкидывается и используется открытая реализация инициализации памяти. Так что при желании даже школьник может себе позв https://m.opennet.dev/openforum/vsluhforumID3/117052.html#99 Tue, 09 Apr 2019 08:13:12 GMT Вот это реально полезный коммент, стоит ожидать что там чет рабочее будет.<br> https://m.opennet.dev/openforum/vsluhforumID3/117052.html#98 Tue, 09 Apr 2019 04:31:15 GMT Никуда они не пробрасываются. Это у приложения и unikernel общая память и возможность обойтись без сисколлов. А сам unikernel крутится в нормальной виртуалке.<br> https://m.opennet.dev/openforum/vsluhforumID3/117052.html#97 Tue, 09 Apr 2019 04:12:59 GMT &gt; Потому что спец. исследование BIOS'а, с его дизассемблированием и построчным изучением<br>&gt; результата,<br><br>оу... у них ТАК все плохо?<br>(дизассемблирование и построчное изучение современного uefi - это такое, благодатное занятие, из серии обожаемых буддистами - толку никакого, результат недостижим, но к просветлению приближает)<br><br>&gt; А мы вообще отгружаем с BIOS'ом, соответствующим 2НДВ МО РФ, и ME там зарезан намертво.<br><br>а... тогда понятно.<br><br>(для понимания незамутненными личностями- и процессор там pentium4, не иначе. Современный без ME или его аналогов не проинитить)<br><br> https://m.opennet.dev/openforum/vsluhforumID3/117052.html#96 Mon, 08 Apr 2019 21:24:55 GMT хр на 64мб - жалкое зрелище. а вот вин2000 на 64мб вполне юзабельна была<br>