https://ssl.opennet.dev/openforum/vsluhforumID3/76334.html Увидела свет (http://theinvisiblethings.blogspot.com/2011/04/qubes-beta-1-has-been-released.html) первая бета-версия безопасного пользовательского Linux-дистрибутива Qubes OS (http://qubes-os.org/), разрабатываемого под руководством Джоанны Рутковской, польского специалиста по безопасности, получившей известность благодаря созданию "неуловимого" руткита Blue Pill и разработке метода атаки (http://www.opennet.ru/opennews/art.shtml?num=20853) на механизмы защиты процессоров Intel TXT и Intel System Management Mode (SMM). Высокая устойчивость Qubes OS к взломам достигается за счет использования гипервизора Xen, поверх которого работают несколько виртуальных Linux-машин (доменов), выполняющих строго определенный набор функций.<br><br><br>Домены приложений предназначены для запуска пользовательских программ, сетевой домен ответственен за сетевые коммуникации, в рамках домена хранилища работают драйверы накопителей и зашифрованная корневая файловая система (такое разделение достигается за счет испо...<br><br>URL: http://theinvi https://ssl.opennet.dev/openforum/vsluhforumID3/76334.html#86 Tue, 19 Apr 2011 14:24:57 GMT &gt; как вариант - selinux (при условии, что Вам реально так надо, мне <br>&gt; лично - нет) <br><br>Вообще не вариант - настраивается геморно, а выносится первым же сплойтом прорвавшимся в ядро. Готовых полубоевых образцов, выносящих хваленый selinux - навалом. Для lxc/openvz и то вон типичные сплойты там зачастую не работают, в отличие от. Поэтому я имею наглость полагать что контейнеры будучи проще в настройке и аудите, обеспечивают степень изоляции не хуже а то и лучше. Короче мандатный контроль - это такая бнопня для зануд из унылых бюрократических структур, у которых регламент такой. Я бы не дал зуб что это лучшее решение, но в таких конторах бюрократия и регламент ценится выше здравого смысла и фактической результативности. А мне на регламенты плевать, мне фактический результат роялит.<br><br>&gt; могу дать пример реализации, чтобы не тормозило:<br><br>Мне это не надо - если меня паранойя настолько задолбает, я и сам имхо справлюсь :). И без вас и без джоанн. Правда мне имхо в 99% хватит менее параноидального но более эффектив https://ssl.opennet.dev/openforum/vsluhforumID3/76334.html#85 Tue, 19 Apr 2011 13:58:47 GMT &gt; 1) гипервизор портит кэш <br><br>Его и еще много кто портит. Кроме того, в зависимости от типа виртуализации доступа в настоящий железный кеш может и не быть. Как пример: полный софтварный эмулятор железа типа bochs и подобных - может эмулировать все, включая кеш. Он же и системные часы и прочие тамеры эмулирует, поэтому то что он вам покажет то и будет :). Очевидно, при этом виртуализатор имеет стопроцентный контроль над поведением системы и программ в нем. И всегда может например заставить виртуальный процессор сделать "немного не то", слегка надув операционку и программы. Универсального детекта вообще не получается, не так ли? Полный виртуализатор вы не сможете обнаружить. А если он возжелает к вам применить некую логику - значит "железо себя так повело".<br><br>&gt; 2) занимает память <br>&gt; 3) обрабатывает прерывания<br><br>Опять же, не вижу проблем в случае полного виртуализатора показать вам то что вы хотели видеть, а то что виртуализатор может вклиниться в вашу логику работы - ну простите пожалуйста. Попробуйте так зад https://ssl.opennet.dev/openforum/vsluhforumID3/76334.html#84 Tue, 19 Apr 2011 12:44:02 GMT &gt; Блажен, кто верует.<br><br>Это видимо был могучий технический аргумент :)<br><br> https://ssl.opennet.dev/openforum/vsluhforumID3/76334.html#83 Mon, 18 Apr 2011 23:00:35 GMT Читал про эту ось на сайте журнала "Хакер". Идея проста как дважды два, и также гениальна. В виртуальных окружениях работают специально заточенные под конкретную цель агенты, а с одной из виртуальных машин идёт управление.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/76334.html#81 Sun, 17 Apr 2011 10:06:53 GMT Иога&#769;нн Себастья&#769;н Бах (нем. Johann Seb&#225;stian Bach), википедия так говорит<br> https://ssl.opennet.dev/openforum/vsluhforumID3/76334.html#77 Fri, 15 Apr 2011 22:01:07 GMT это новое слово в руткитостроении, поздравляю.<br><br>не даёт покоя только одно - если чел не знает что такое руткит, то сможет ли он видеть своими глазами, следя за подключениями в реальном времени да через фф, что пакость залезла именно в линух минт?<br> https://ssl.opennet.dev/openforum/vsluhforumID3/76334.html#76 Fri, 15 Apr 2011 17:38:06 GMT &gt; С другой стороны - руткиты под линукс, конечно, бывают. Где-то. В теории. <br><br>Видел действие своими глазами, следя за подключениями в реальном времени. Какая-то пакость залезла в Linux Mint стучалась на сервер Webmoney через процесс Forefox. Сдохла после перезагрузки и, естественно, чистки кэша файерфокса. Но если бы я во время того сеанса вздумал поработать с вэбманамы через веб-морду, то мой пароль наверняка ушуршал бы моментально. Такие дела. Так что Linux - увы, не панацея.<br><br><br> https://ssl.opennet.dev/openforum/vsluhforumID3/76334.html#75 Fri, 15 Apr 2011 10:42:18 GMT Очень интересный проект. Интересно, насколько сложно его освоить с пользовательской стороны?<br> https://ssl.opennet.dev/openforum/vsluhforumID3/76334.html#73 Fri, 15 Apr 2011 09:57:07 GMT &gt; по сети через ssh - проблем с HD видео никаких нету<br><br>А попробуйте на localhost.<br><br>&gt; как бы у меня такие идеи возникали давно, вот только восьмиядерного компа <br>&gt; с 32 гигами оперативки у меня нету... :) <br><br>У меня есть (правда, 36Gb), но очень сильно не уверен, что даже с mdadm ... --write-mostly получится адекватная картинка.<br><br>Кто-то с год или два тому анонсировал ФС, которая жила в памяти, но порой синкалась на постоянный носитель -- а, вот: http://lwn.net/Articles/273030/ -- но оно not there yet, if ever.<br><br>&gt; PS: как нибудь соберу и выложу скрипт для сборки таких систем.<br><br>Ну как-нибудь напишете новость, а мы почитаем да порадуемся.<br><br>Только любое толковое обобщение требует не только хотя бы раз (а лучше надцать) сделать, а и понимать, как и кому это может быть ещё полезно, и не занимать позицию "я один дартаньян": при такой и от очень хорошо сделанного обобщения может пользы в итоге выйти ровно как от того самого единственного частного случая у автора...<br>