После двух лет разработки Йоанна Рутковская (http://ru.wikipedia.org/wiki/%D0%A0%D1%8... (Joanna Rutkowska) представила (http://theinvisiblethings.blogspot.ru/2014/09/announcing-qub... второй значительный выпуск операционной системы Qubes (https://wiki.qubes-os.org), реализующей идею строгой изоляции приложений и компонентов ОС с задействованием системы виртуализации Xen. Для загрузки доступен (https://wiki.qubes-os.org/wiki/QubesDownloads) установочный образ, размером 3 Гб. Для работы Qubes необходима (https://wiki.qubes-os.org/wiki/HCL) система с 4 Гб ОЗУ, 64-разрядным CPU Intel или AMD, желательно с поддержкой технологий VT-x/AMD-v и VT-d/AMD IOMMU. Из графических карт в полной мере поддерживается только карты Intel, при использовании NVIDIA наблюдаются проблемы, а работа карт AMD/ATI не протестирована.
<center><a href="https://wiki.qubes-os.org/raw-attachment/wiki/QubesScreensho... src="https://www.opennet.ru/opennews/pics_base/0_1411760611.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>Приложения в Qubes разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач, каждый класс приложений, а также системные сервисы (сетевая подсистема, работа с хранилищем и т.п.), работают в отдельных виртуальных машинах. При этом указанные приложения бесшовно доступны в рамках одного рабочего стола и выделяются для наглядности разным цветом обрамления окна. Каждое окружение имеет доступ на чтение к базовой корневой ФС и локальному хранилищу, не пересекающемуся с хранилищами других окружений, для организации взаимодействия приложений используется специальный сервис.
<center> <a href="http://qubes-os.org/files/doc/arch-spec-0.3.pdf"><... src="https://www.opennet.ru/opennews/pics_base/33010_1328554572.pn... style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border="0"></a></center>
В качестве основы для формирования виртуальных окружений использована пакетная база Fedora 20 (обновление до Fedora 21 планируется в выпуске 2.1), для установки доступны четыре варианта ядра Linux (3.12, 3.11, 3.9 и 3.7). Пользовательская оболочка построена на основе KDE. Когда пользователь запускает из меню KDE приложение, это приложение стартует в определенной виртуальной машине. Содержание виртуальных окружений определяется набором шаблонов. В каждом виртуальном окружении приложения запускается отдельный X-сервер, упрощённый оконный менеджер и видеодрайвер-заглушка, транслирующий вывод в управляющее окружение в композитном режиме. Подробнее с особенностями системы можно познакомиться в анонсе (https://www.opennet.ru/opennews/art.shtml?num=34732) первого выпуска Qubes.<center><a href="http://qubes-os.org/files/doc/arch-spec-0.3.pdf"><... src="https://www.opennet.ru/opennews/pics_base/0_1346694388.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border="0"></a></center>
Особенности нового выпуска:- Подготовлено расширение Windows AppVM, позволяющее запускать в изолированном режиме приложения для платформы Windows. Для обеспечения полной интеграции Windows-окружений с Qubes предлагается специальный проприетарный инструментарий и набор драйверов для Windows, позволяющий работать с Windows-программами как с другими приложениями рабочего стола Qubes. Например, обеспечена работа единого буфера обмена, организован доступ к внешним файлам, произведена интеграция с сетевой подсистемой.
<center><a href="https://wiki.qubes-os.org/raw-attachment/wiki/QubesScreensho... src="https://www.opennet.ru/opennews/pics_base/0_1411760641.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
- Поддержка полностью виртуализированных AppVM, в которых могут быть запущены произвольные немодифицированные ОС, для запуска которых применяется режим HVM (режим полной аппаратной виртуализации, не требующий установки паравиртуальных драйверов). Создание полностью виртуализированных AppVM производится (http://wiki.qubes-os.org/trac/wiki/HvmCreate) по аналогии с установкой системы в обычную виртуальную машину;
- Возможность использования пользовательской оболочки Xfce 4.10 в качестве альтернативы базовой оболочке KDE;
<center><a href="https://wiki.qubes-os.org/raw-attachment/wiki/QubesScreensho... src="https://www.opennet.ru/opennews/pics_base/0_1411760733.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
- Поддержка безопасного доступа выбранных AppVMs к звуковой подсистеме;- Централизованные средства контроля доступа к буферу обмена;
- Поддержка TorVM (http://wiki.qubes-os.org/trac/wiki/UserDoc/TorVM), построенной на базе NetVM прослойки, в которой весь трафик принудительно перенаправляется через анонимайзер Tor;
- Возможность использования PVUSB для упрощения доступа к USB-устройствам из виртуальных окружений;
- Обновлены компоненты графического стека в Dom0, обеспечена поддержка новых GPU;
- Поддержка загрузки полных шаблонов окружений через репозитории templates-itl и templates-community, которые позиционируются в качестве AppStore-каталогов виртуальных машин;
- Реализован работающих в отдельной виртуальной машине конвертер PDF.URL: http://theinvisiblethings.blogspot.com/2014/09/announcing-qu...
Новость: https://www.opennet.ru/opennews/art.shtml?num=40687
Годно, но для десктопа системные требования жирноваты.
Проснись, сейчас мобилы с такими параметрами см. Galaxy Note Edge
Это не повод, чтоб ресурсы, как не в себя жрать и вообще отказываться от оптимизаций. Это касательно обычного софта, лирическое отступление. Понятно, что тут виртуализация и требования оправданы, но всё равно немало.
Нет тут ресурсов. 4Гб рамы, 4 ядра, у меня в 2004 году такой комп был.Сейчас на десткопы по 256Gb RAM ставят, винты в рейдах на 6-8 терабайт.,
по две видюшки, Corei7 как 32-ядерный видится в системе...
Можно мать Tyan/Microstar на 2/4 сокета взять. Иначе я не знаю, нах...я десктоп
на 2 ГГц с 4 гигами оперативки, хром под себя только 1 гиг сжирает.
> Сейчас на десткопы по 256Gb RAM ставят, винты в рейдах на 6-8
> терабайт.,Да, 10Гбит адаптер и все это в 19" шкаф. "А вот этот холодильник, воющий как пылесос - мой десктоп" :)
>> Сейчас на десткопы по 256Gb RAM ставят, винты в рейдах на 6-8
>> терабайт.,
> Да, 10Гбит адаптер и все это в 19" шкаф.SSI EEB 12x13" форм-фактор ящика называется.
> "А вот этот холодильник, воющий как пылесос - мой десктоп"
Тут чтоб не выло http://www.zalman.com/global/product/Product_Read.php?Idx=183
> Тут чтоб не выло ... Zalman RESERATORбестолковая неэффективная оверпрайснутая херня
Насколько я помню, в 2004 на рынке были только двухъядерные или с виртуальным вторым ядром (Hyper Threading). А спустя год или два после 2х физических ядер появились квадро.
Хреново ты помнишь, AMD opteron 165, двух ядерный, и прикинь мать с двумя сокетами,
и аппаратная NUMA, и память двух канальная 128-битная ECC., и RAID 5 на PCI-X шине,
Ulta320 SCSI, и два винта на 15000 оборотов!Вы чибурапшки, на 10 лет отстали! :D
> и аппаратная NUMA, и память двух канальная 128-битная ECC.,А прикинь, сейчас у AMD можно ECC память даже на десктопные мамки ставить. Дешево и сердито - контроллер памяти как минимум в FX поддерживает ECC.
> и RAID 5 на PCI-X шине, Ulta320 SCSI, и два винта на 15000 оборотов!
А все-равно SSD быстрее по IOPSам и seek у них близок к нулю.
Десять лет назад были SSD ?
> Хреново ты помнишь, AMD opteron 165, двух ядерный, и прикинь мать с двумя сокетами,Облажался ты по полной:
1. AMD Opteron 165 не поддерживает работу в двухпроцессорных системах (по крайней мере официально);
2. Анонсирован он быль лишь в августе 2005-ого;
3. Первым двухъядерным процом AMD, который умел работать в двухсокетной конфигурации, был Opteron 265 (270, 275), и это всё равно был 2005-ый год (март).
https://en.wikipedia.org/wiki/List_of_AMD_Opteron_microproce...P.S. Я конечно понимаю, что википедия не является абсолютно точным источником, но изволь сам погуглить, если не веришь информации оттуда. Всяко к ней у меня больше доверия, чем к твоим "высказываниям".
>Сейчас на десткопы по 256Gb RAM ставят, винты в рейдах на 6-8 терабайт.,по две видюшки, Corei7 как 32-ядерный видится в системе...Фантазер. Павлин, ты с какой планеты?
>>Сейчас на десткопы по 256Gb RAM ставят, винты в рейдах на 6-8 терабайт.,по две видюшки, Corei7 как 32-ядерный видится в системе...
> Фантазер. Павлин, ты с какой планеты?Земля, Москва.
На, считай http://www.tyan.com/Motherboards_S8812_S8812WGM3NR
4 дырки, по 16 ядер.
И о ужос, Up to 512GB РАМы умеет...
А ещё SAS на 6.0Gb (врут конечно, 3.6 максимум)
> А ещё SAS на 6.0Gb (врут конечно, 3.6 максимум)Мамка серверная. И с двумя видяхами тебя будет ждать определенный облом - посмотри на слоты PCI-E, да?
А потом, после всего этого кластерфака за кучу денег ты обнаружишь небольшой бэкдор в прошивке BMC. Нуачо, Supermicro вон уже поймали...
>Земля, Москва.Вы там совсем оборзели! Ставить дома конфигурацию, которую не в каждой серверной более мелких городов встретишь... Зажрались, чо. И все-таки фантазер!)
Server Motherboards?
К чему вся это фаллометрия?
Точно. Зачем строить/ремонтировать дороги, если в продаже есть рамные внедорожники, вроде Discovery 4, за 3 млн. рублей. Ты совсем дурачок?
pavlinux, извините, но Вы зажрались. Основательно.
Я сейчас работаю на Lenovo B590, у меня 2 ядра на 2ггц, плюс 4 гига рамы.
А 5 лет тому назад у меня был одноядерный Celeron 900мгц и 256 метров рамы.
С вашей колокольни, конечно, "не нужно", но люди вокруг ведут куда более умеренный образ жизни.
Ну а что ты хотел от полной виртуализации, где каждая программа по сути со своей системой, а изоляция полная, но в результате взаимодействие через не очень быстрые абстрактные интерфейсы aka виртуальное оборудование? Зато уровень изоляции довольно приличный.
Проснись, TDP у мобил не тот.
Киловаттный БП в десктопе тебе ни на что не намекает?
> Киловаттный БП в десктопе тебе ни на что не намекает?Чаще всего, намекает на невежество и отсутствие малейших знаний электротехники и электроники. "4е ядра, 4е гига, 1киловат" ага
Действительно, дураки...
Киловаттный БП...В то время, как твой мобил ТРОЕ СУТОК от пиписюльной батарейки гигафлопс развивает!!!
Ты умён!
Этот ад вообще не для десктопа.
Этот ад, как раз создаётся для десктопа.
Это чож получается, даже всякие Gentoo-hardened - не торт?
> Это чож получается, даже всякие Gentoo-hardened - не торт?Это получается что укрепление системы - одно, а разделение на изолированные области - другое.
Изоляция реализуема и в hardened
> Изоляция реализуема и в hardenedЧитать труды Рутковски не судьба?
Конкретизируй или брысь.
Концлагерь какой-то а не операционка :D
Круто. Так и должно быть, я считаю. Кто-нибудь пробовал, пользоваться можно? Обычно 4 ГБ RAM для комфортной работы 64-битных систем всё же маловато, не подтормаживает?
Вот шо ты херню-то порешь, а? Или у тебя макбук ейр ни на что не годится, и ты его автоматически приравниваешь ко всем 64-битным системам сразу?
У меня эйр с 4Гб и хватает. Хейтеры такие хейтеры, везде своей заразной слюной побрызгать стремятся
4гб там хватает только чтобы мышью по доку елозить, врать будешь вантузятникам
> Вот шо ты херню-то порешь, а? Или у тебя макбук ейр ни
> на что не годится, и ты его автоматически приравниваешь ко всем
> 64-битным системам сразу?Винде 4 гб уже тесновато
Потому-что в Vista и Windows 7 идиотская система кэширования, когда из 3GiB, 1.5GiB под кэш, а когда нужна память, то, освобождать, то, он освобождает, только начинаются адские тормоза в виде фризов, т.к. хреного он память отдает.
Не ври, у меня на ноуте 4 гига и Суся 64 бита. Хватает, даже Огнелису и Виртуалбоксу поработать, с параллельным просмотром аниме в VLC.
> Не ври, у меня на ноуте 4 гига и Суся 64 бита.Извини, но 4 гига для работы с кучей виртуалок - таки душновато.
Для такого — само собой. Собираюсь добить до восьми, и для системы вкорячить SSD на 64 гига, но это ближе к новому году. Чтоб всё летало. )
я работал с тремя виртуалками и нетбинсом на атоме с тремя гб оперативки, а у тебя просто гомнощель или вовсе венда вместо десктопа, оттуда и тормоза
И как дела с совместимостью с различными приложениями.
Всё работает кроме opengl, который не работает by design
ОС посвящена неосиляторству SELinux?
Судя по всему, ты и сам особо не осилил SELinux.
> Судя по всему, ты и сам особо не осилил SELinux.Это гогно руткиты первым небрежным пинком вышвыривают, дабы под ногами не путался.
А что забавно, осталось моддержку os-x приложений добавить и получим ОС которая нативно жрет все популярные приложения для любой платформы.
> А что забавно, осталось моддержку os-x приложений добавить и получим ОС которая
> нативно жрет все популярные приложения для любой платформы.примерно так, да.
Интересная история о том, как одна баба слепила из того что уже давно есть рабочую операционку, которую фанбои, хипстеры и индусы никак не родят из жалкого, глючного системдоса.
по клике на картинку notfound - https://wiki.qubes-os.org/files/doc/arch-spec-0.3.pdf
НЕЛЬЗЯ ИСПОЛЬЗОВАТЬ ТЕКУЩИЕ СИСТЕМЫ ВИРТУАЛИЗАЦИИ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОЙ ИЗОЛЯЦИИ!Виртуализация не гарантирует безопасной изоляции!!! https://www.opennet.ru/openforum/vsluhforumID3/99188.html#25
Для гарантирования безопасной изоляции процессов надо использовать совсем другие средства: https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity...
По поводу этого скриншота: https://www.opennet.ru/opennews/pics_base/0_1411760733.pngГлаза болеть будут, если в одной половине экрана код темными буквами на радикально черном фоне, а во второй - яркие белые окна.
Между прочим, это достаточно серьезная проблема системы. Если одну программу открывает одна операцонка, другую другая, получается, что в цветовом оформлении графического интерфейса никогда не будет никакой связи. Нужно как-то синхронизировать приложения между собой. Может, потребуется разработать некую схему взаимодействия, специальную софтину, которая позволит программам знать о цветовом оформлении друг друга заранее... Интересная идея.
