The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В рамках проекта HermiTux развивается unikernel, бинарно совместимый с Linux

07.04.2019 07:22

Группа исследователей из Политехнического университета Виргинии (США), компании Qualcomm и Рейнско-Вестфальского технического университета Ахена (Германия) развивает легковесное ядро HermiTux, соответствующее парадигме "unikernel". HermiTux позволяет напрямую запускать приложения поверх гипервизора без дополнительных прослоек, обеспечивая бинарную совместимость с приложениями для Linux на уровне ABI. Код написан на языке Си и распространяется под лицензией BSD.

HermiTux предоставляет минимальное окружение операционной системы со своим ядром, которое потребляет существенно меньше ресурсов, чем при создании окружений на базе штатного ядра Linux, и позволяет очень быстро запускать приложения поверх гипервизора - время загрузки не превышает 0.1 сек. В тестах производительности HermiTux отстал от окружений с обычным ядром Linux примерно на 3%, что обусловлено накладными расходами на проброс ввода/вывода на сторону хост-системы. Потребление памяти в тестовом окружении составило 9 Мб, что в 10 раз меньше, чем при использовании ядра Linux (потребление Docker составило около 2 Мб за счёт использования общего с хост-окружением ядра без применения полноценной виртуализации).

Возможность запуска немодифицированных приложений, собранных для Linux, осуществляется через поддержку формата ELF, реализацию системных вызовов Linux и эмуляцию виртуальных ФС. На текущем этапе развития HermiTux реализует 83 системных вызова. Всего ядром Linux предоставляется более 350 системных вызовов, но только небольшая часть из них используется в реальных приложениях (для охвата 90% программ из обычных дистрибутивов достаточно реализовать 200 системных вызовов).

Для сокращения задержек в процессе обработки системных вызовов реализован опциональный механизм переопределения (rewrite) обращений к системным вызовам в вызов типовых функций ядра, позволяющий обойтись без выполнения достаточно ресурсоёмкой инструкции syscall (так как в HermiTux используется общее адресное пространство нет смысла в использовании вызова syscall). Для статически связанных приложений возможна замена в исполняемом файле инструкций syscall на вызовы функций. Для динамически связанных приложений замена осуществляется на уровне стандартной библиотеки.

Кроме того, подготовлены инструменты для анализа системных вызовов, задействованных в исполняемых файлах, которые позволяют собрать минимальный образ HermiTux, включающий лишь код, необходимый для обработки только используемых в приложении системных вызовов. С точки зрения обеспечения защиты подобная модульность позволяет вместо фильтрации неиспользуемых системных вызовов (например, через seccomp) полностью исключать их из ядра.

Приложение выполняется в общем адресном пространстве (HermiTux рассчитан на запуск поверх гипервизора одного приложения). Предоставляется базовая поддержка многопоточности (Pthreads Embedded). В качестве файловой системы предлагается MiniFS, в которой файлы размещаются в ОЗУ (ramdisk) и эмулируются некоторые элементы виртуальных ФС (/dev/zero, /proc/cpuinfo и т.п.).

TCP/IP стек основан на наработках проекта LWIP, а в качестве стандартной Си-библиотеки используется модифицированный вариант проекта Musl. HermiTux не требует пересборки приложений и позволяет запускать как скомпилированные исполняемые файлы (статически и динамически связанные), так и приложения на интерпретируемых языках (Python, Lua и т.п.).

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Выпуск MirageOS 3.5, платформы для запуска приложений поверх гипервизора
  3. OpenNews: OSv - новая открытая ОС, нацеленная на выполнение обособленных программ поверх гипервизора
  4. OpenNews: Выпуск libOS, unikernel на языке Rust для запуска приложений поверх гипервизора
  5. OpenNews: Проект Xen представил Unikraft для выполнения приложений поверх гипервизора
  6. OpenNews: Docker поглотил Unikernel, технологию выполнения приложений поверх гипервизора
Лицензия: CC-BY
Тип: Программы
Ключевые слова: unikernel, hermitux
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (95) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 08:33, 07/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +19 +/
    > На текущем этапе развития HermiTux реализует 83 системных вызова. В Всего ядром Linux предоставляется более 350 системных вызовов, но только небольшая часть из них используется в реальных приложениях (для охвата 90% программ из обычных дистрибутивов достаточно реализовать 200

    20% усилий дают 80% результата. Оставшиеся 20% результата порождают 80% проблем.

     
     
  • 2.2, A.Stahl (ok), 08:54, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А иногда наоборот.
    А в других случаях всё совсем не так.
     
     
  • 3.87, Ph0zzy (ok), 13:06, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А сегодня в завтрашний день не все могут смотреть. Вернее, смотреть могут не только лишь все. Мало, кто может это делать.
     
     
  • 4.93, A.Stahl (ok), 18:40, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А сегодня в завтрашний день не все могут смотреть. Вернее, смотреть могут
    > не только лишь все. Мало, кто может это делать.

    Но нет.


     
  • 2.91, Kuromi (ok), 17:12, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вот только окажется что в эти 90% входят всякие тривиальные программы, а то что нужно именно вам будет валиться потому что вот оно-то "редкие" вызовы использует.
     

  • 1.4, Аноним (4), 09:18, 07/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    То, что нужно, срочно зовите Рутковскую!
     
     
  • 2.74, Аноним (74), 09:52, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По виртуалке на каждое приложение, то, что нужно? Сомнительно. У Рутковской более рацианально, по виртуалке на группу приложений.
     
     
  • 3.89, Аноним (89), 15:17, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Она уже ушла из qubesos.
     

  • 1.5, Онаним (?), 09:32, 07/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > под лицензией BSD

    Не нужно, потому что превратится в проприетарь.

     
     
  • 2.86, Аноним (86), 12:30, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Определение практической полезности на основании лицензии. Новое дно пробито.
     
     
  • 3.103, Клыкастый (ok), 13:24, 10/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    тут их много. у кого-то дуст на мел подменили и вот результат.
     

  • 1.6, Аноним (6), 09:42, 07/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > ...общее адресное пространство... рассчитан на запуск... одного приложения

    и на ЭТО у них ушло 9 Мб?!

     
     
  • 2.18, Линус (?), 11:48, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А у вас сколько ушло?
     
     
  • 3.40, Аноним (40), 15:44, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Я не вкурсе как у вас, а у меня под виртуалками Linux северный 16мб оперативки занимает и ещё 4 остаётся для запуска софта
     

  • 1.8, Alen (??), 09:58, 07/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    что только люди не придумывают, чтоб не допиливать контейнеры
     
     
  • 2.9, Drew (??), 10:12, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Контейнеры мертвы.
    Сама идея не пользоваться для изоляции средствами, предоставляемыми CPU искаропки, выглядит несколько... э-э-э-э-э... странно.
     
     
  • 3.19, Линус (?), 11:51, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Контейнеры помимо изоляции предоставляют окружение, которое одинаково везде - независимо от дистрибутива, ОС и железа.
    Изоляция средствами CPU это круто, но решает только часть задач, которые нужно решать локальному пользователю.
    Контейнеры - они для удобного распространения.
     
     
  • 4.32, Онаним (?), 14:10, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Контейнеры помимо изоляции предоставляют окружение, которое одинаково везде - независимо
    > от дистрибутива, ОС

    Бред сивой кобылы. Когда сможете запустить готовый контейнер с линухом в винде _без_ виртуализации и модификаций - приходите. У ядра стабильного ABI также нет - окружение внутри контейнера далеко не независимо.

     
     
  • 5.43, Аноним (43), 15:51, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    wsl не тащит?
     
     
  • 6.76, Аноним (74), 10:37, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В WSL уже есть поддержка cgroup?
     
  • 5.50, ананим.orig (?), 17:10, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Бред сивой кобылы. Когда сможете запустить готовый контейнер с линухом в винде _без_ виртуализации и модификаций - приходите.

    На опеннете новый шериф?

    Зыж
    Кто бросил грязный вантуз на стол?

     
  • 5.60, Michael Shigorin (ok), 20:16, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > ОС

    .

     
  • 5.68, пох (?), 22:12, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    пусть сперва на арме свой ix86й контейнер запустит, под тем же самым линyпсом по... текст свёрнут, показать
     
     
  • 6.72, Michael Shigorin (ok), 23:45, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > пусть сперва на арме свой ix86й контейнер запустит,
    > под тем же самым линyпсом под которым собирался,
    > но чур без эмуляции...впрочем, хрен с ней, поржем.

    Ну мы запускали что-то вроде клиента 1C и скайпа, помнится, на Marvell Dove средней дохлости в составе первых Cubox -- спасибо тем же ребятам, которые делали когда-то бинарную трансляцию в МЦСТ, а затем сделали ещё и ExaGear.  Так, чисто ради факта ;-)

     
  • 6.84, имя (?), 11:48, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > потому что пилили поддержку - _докера_, а не линyпсного ведра - естественно, ничего кроме специального freebsd-only контейнера внутри запустить было невозможно

    kldload linux64 отменили уже?

     
  • 3.54, EnemyOfDemocracy (?), 18:01, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что там фкаропку CPU пихают, наглядно продемонстрировали смузилюбы из интеля. КОРЕ7 ОПАСНОСТЕ!
     
  • 2.10, Онаним (?), 10:23, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Всё просто. Механизм контейнеров слишком сложен и завязан на слишком много других сложных механизмов, чтобы быть безопасным.
     
     
  • 3.27, jOKer (ok), 13:10, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это была цитата из дневника неосилятора?) Шутка.
    А если серьезно: приведите хоть один "слишком сложный механизм" используемый именно в контейнерах?
     
     
  • 4.31, Онаним (?), 14:07, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А если серьезно: приведите хоть один "слишком сложный механизм" используемый именно в
    > контейнерах?

    Так, по ходу набежали путающие юзерспейс часть контейнеризации и собственно реализацию таковой в ядре.

     
     
  • 5.61, Michael Shigorin (ok), 20:17, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну расскажите нам, как гипервизоры проще.  Даже без учёта тех транзисторов, которые под ними должны тоже быть каждый на своём месте, а не как у интела.
     
     
  • 6.69, пох (?), 22:20, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Миша, загугли ядро гипервизора - полагаю, удивишься Гипервизор довольно прими... текст свёрнут, показать
     
  • 4.34, Онаним (?), 14:13, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Это была цитата из дневника неосилятора?) Шутка.
    > А если серьезно: приведите хоть один "слишком сложный механизм" используемый именно в
    > контейнерах?

    cgroups. Для начала. Особенно network cgroups, в которых багов просто немеряно.

     
  • 4.57, имя (?), 18:14, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А если серьезно: приведите хоть один "слишком сложный механизм" используемый именно в контейнерах?

    User namespaces. Его поддрежка потребовала огромной кучи правок, размазанных ровным слоем по всему коду ядра, из-за чего увеличилась сложность кода ядра и аудита правок, да и CVE повылезали со временем. Причём ядро продолжают уродовать до сих пор: поддержку userns во fuse пилили года два, вмержили только к 4.18. Каждый раз, когда я смотрю на эти патчи, пропадает всякое желание пользоваться контейнерами. Уж лучше с уязвимостями в эмуляторах VGA-карт иметь дело.

     
     
  • 5.62, Michael Shigorin (ok), 20:18, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот это да, CONFIG_USERNS стараюсь держать выключенным.
     
  • 3.28, Отражение луны (ok), 13:26, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Забавно именно то, что сама по себе контейнеризация наоборот проста как валенок, что и делает её надежной и используемой повсеместно.
     
     
  • 4.30, Онаним (?), 14:06, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Проста с чьей точки зрения? Посмотрите объём кода LXC / OpenVZ и количество багов - удивитесь.
     
     
  • 5.52, Отражение луны (ok), 17:13, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    О чем ты? Кода в LXC довольно мало, особенно учитывая что проект написан на с. Багов еще меньше, относительно величины проекта и его назначения.
     
     
  • 6.70, пох (?), 22:22, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    2Онаним: с кем вы спорите - он даже посмотреть не знает куда.
    Видимо, в исходник бинаря lxc смотрит.

    > Багов еще меньше, относительно величины проекта и его назначения.

    назначение: бесполезное ненужно. Багов при этом, можно считать, вообще нет.

     
  • 3.77, Аноним (74), 10:40, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Механизм контейнеров слишком сложен и завязан на слишком много других сложных механизмов

    Ну уж не сложнее, чем полная виртуализация.

     
     
  • 4.82, пох (?), 11:30, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    сложнее. Удивительно что есть люди, которым это неочевидно.

     

  • 1.11, Аноним (11), 10:36, 07/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > бинарно совместимое с Linux ядро
    > BSD

    Закат opensource начинается.

     
     
  • 2.13, Аноним (13), 10:49, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то не бинарно-совместимое (дрова не запустишь), во-вторых ELF используется и на бздях, а в-третьих на бздях можно запускать проги от линукса.
     
     
  • 3.15, Аноним (11), 10:53, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > дрова не запустишь

    Это пока
    > на бздях можно запускать проги от линукса

    Скорость и качество линуксулятора там оставляют желать лучшего. А тут всего 3% падения производительности обещают.

     
     
  • 4.23, Crazy Alex (ok), 12:25, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    и четверть системных вызовов
     
     
  • 5.85, пох (?), 12:07, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну так им и не гома в вяленом запускать - для того, для чего оно нужно, видимо, хватит

     
  • 2.29, jOKer (ok), 13:46, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Пропирасты столько раз уже закатывали его, что я уже запарился считать.
     
     
  • 3.36, Аноним (36), 15:15, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В своих влажных мечтах, потому что их закаты ничем результативным в результате не заканчивались.
     
     
  • 4.53, Результат (?), 17:46, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я думаю, что в результате они смогут добиться довольно результативных результатов.
     

  • 1.12, Аноним (13), 10:46, 07/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    >Потребление памяти в тестовом окружении составило 9 Мб, что в 10 раз меньше, чем при использовании ядра Linux

    Дожили. Одно ядро Linux подребляет больше, чем вся XP, со всеми её процессами.

     
     
  • 2.14, Аноним (11), 10:51, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ubuntu 18.04 Server x86_64, htop показывает 55 МБ.
    А XP x64 потребляет все же больше. Но ему можно, у него ж GUi.
     
     
  • 3.20, Аноним Анонимович Анонимов (?), 11:51, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Классическая тема оформления ХР «сжирала» 8 метров ОЗУ.
     
     
  • 4.21, Ordu (ok), 12:02, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я видел XP у друга на 64Mb, я был потрясён тогда, как он вообще терпит этот тормозной кошмар. У меня было 128Mb, и я не использовал XP: хоть она была вполне юзабельна на 128Mb, но своп перегревался. Я не знаю, что там и сколько "сжирало", но мне было без разницы. На 256Mb она уже работала вполне пристойно.
     
     
  • 5.25, FSA (??), 12:34, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > На 256Mb она уже работала вполне пристойно.

    Но всё меняется, когда приходит ОН! Встречайте!!! Антивирус. Установив антивирус на Windows XP на компьютер с гигабайтом оперативки узнай как работала Windows XP на компьютере с 64МБ памяти :)

     
     
  • 6.42, Аноним (40), 15:50, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Нормально он работал если это был не анал 6 касперского, а нод32 2.7
     
  • 5.35, Аноним (13), 15:04, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тем не менее, это работало. Нужно различать минимальные системные требования и рекомендуемую конфигурацию.
     
     
  • 6.41, Ordu (ok), 15:44, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я бы не назвал это "работало". Там, скажем, совершенно невозможно было пользоваться резаком, потому что тот требует определённого уровня реалтаймовости от системы, и XP на 64Mb просто так не умела. Даже если не трогать мышь и клавиатуру, пока идёт запись.

    Я не знаю, как там на 90Mb, на 128Mb это были постоянные раздражающие лаги. Вот ты тупо работаешь с текстовым редактором, сделал Alt-Tab в explorer.exe и интерфейс залип, потому что ядро занято жонглированием страницами памяти, тасуя их в свопе и ОЗУ. Лаги были короче секунды, но это выбешивает донельзя. На 128Mb. Хотя, я думаю, что прожечь болванку он смог бы, несмотря на это, если не делать альт-табов, в процессе прожига.

    Это не работа, это мучение. AFAIR, 128Mb были минимальными требованиями, и это яркий пример тому, почему на минимальные требования пропиетари не следует смотреть -- это не требования, это маркетинговый буллшит.

     
     
  • 7.44, aaa (??), 15:52, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    поставили бы себе SCSI-резак, например Sony, и было бы Вам счастье.
     
     
  • 8.48, Ordu (ok), 16:17, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    128Mb и scsi резак Если бы мне было это надо, настолько, что я бы решил потрати... текст свёрнут, показать
     
  • 8.56, Аноним84701 (ok), 18:11, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Всего-то 300 за дешевый SCSI-резак в 2001, при цене за ОЗУ 128 MB 40 если н... текст свёрнут, показать
     
  • 7.55, EnemyOfDemocracy (?), 18:07, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А вот если полазить по реестру и по некоторым другим местам и покрутить параметры, то на 128 мб XP работает совершенно нормально, безо всяких лагов и писать диск можно параллельно с просмотром тв (не онлайн) и работой в ворде. Но "квалифицированные потребители" думать не приучены, им это слишком сложно, это же традиции советского образования!
     
     
  • 8.58, Ordu (ok), 18:35, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Конечно Делать мне больше нечего, как ползать в реестре Мне винда не вcpaлась ... текст свёрнут, показать
     
     
  • 9.64, Michael Shigorin (ok), 20:24, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага - Эх, ностальгия мне в руки первым попался WGS Linux Pro из какой-то п... текст свёрнут, показать
     
  • 8.59, Аноним84701 (ok), 20:14, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В смысле, увлекательная игра угадай по названию и самой подветке назначение оче... текст свёрнут, показать
     
     
  • 9.75, Аноним (75), 10:33, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Достаточно было ненyжные службы повыключать, и ХРюша легко вгонялась в 80-90Мб ... текст свёрнут, показать
     
  • 5.67, Анонис (?), 20:56, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >но своп

    Неосилятор не сумел поставить водяное охлаждение на своп

     
  • 3.78, Аноним (74), 10:44, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Ubuntu 18.04 Server x86_64, htop показывает 55 МБ.

    И это ж не одно только ядро Linux.

     
  • 2.37, Аноним (36), 15:16, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Что курил? Делись. XP с темой Luna потребляет 128Мб памяти на старте. А потом может и ещё разрастись. С класической чуть поменьше, но явно не меньше 32Мб.
     
     
  • 3.47, Аноним (13), 16:15, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    128 мегов - это ВСЯ оперативка в моём старом компе. И пользоваться было можно. Минимальные требования вообще 64 мега.
     
     
  • 4.96, Аноним (96), 00:24, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    хр на 64мб - жалкое зрелище. а вот вин2000 на 64мб вполне юзабельна была
     

  • 1.16, Аноним (13), 10:55, 07/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не совсем понятен смысл. Ядро линукса может зарезать сисколлы. Эксплоитам уровня ядра придётся эксплуатировать уязвимость в оставшихся сисколлах. Которые HermiTux любезно пробрасывает.
     
     
  • 2.22, Аноним (22), 12:19, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Смысл - использовать на сервере не-линукс, и при этом не отказываться от программ, которые существуют только для него.
     
     
  • 3.24, Crazy Alex (ok), 12:27, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вообще-то смысл - запускать тонну настоящих виртуалок с полноценной изоляцией, при этом минимизируя потребление памяти.
     
     
  • 4.33, Аноним (13), 14:11, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И каков смысл запускать настоящие виртуалки, если сисколлы пробрасываются?
     
     
  • 5.98, Crazy Alex (ok), 07:31, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Никуда они не пробрасываются. Это у приложения и unikernel общая память и возможность обойтись без сисколлов. А сам unikernel крутится в нормальной виртуалке.
     
  • 2.26, Биарей Гиесс и Котт (?), 12:48, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ребятки, мы живем в мире после spectre и spoiler. Сняв, голову по волосам не плачут.
     
     
  • 3.38, Аноним (36), 15:18, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ты хотел сказать во время? Уязвимости как были так и остались. Ещё как минимум UEFI всякие есть и прочая проприетарщина, которая неизвестно чем занимается ещё.
     
     
  • 4.45, Аноним (40), 15:55, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Uefi известно чем занимается, а вот Intel me вот там тайны. Но забавно что ФСБ норм компы сертифицирует с Intel me, а вот про уровень секретности не скажу потому что не помню, спросите у генерала
     
     
  • 5.81, Аноним (74), 11:06, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тов. генерал, мы Вас ждём. Приоткройте нам. :)
     
  • 5.90, Aliech (ok), 15:20, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что спец. исследование BIOS'а, с его дизассемблированием и построчным изучением результата, с проверкой того, что ты там наизучал товарищами из какого-нибудь Атласа (если речь про ФСБ), никто не отменял.

    А мы вообще отгружаем с BIOS'ом, соответствующим 2НДВ МО РФ, и ME там зарезан намертво.

     
     
  • 6.97, пох (?), 07:12, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Потому что спец. исследование BIOS'а, с его дизассемблированием и построчным изучением
    > результата,

    оу... у них ТАК все плохо?
    (дизассемблирование и построчное изучение современного uefi - это такое, благодатное занятие, из серии обожаемых буддистами - толку никакого, результат недостижим, но к просветлению приближает)

    > А мы вообще отгружаем с BIOS'ом, соответствующим 2НДВ МО РФ, и ME там зарезан намертво.

    а... тогда понятно.

    (для понимания незамутненными личностями- и процессор там pentium4, не иначе. Современный без ME или его аналогов не проинитить)

     
     
  • 7.100, Aliech (ok), 11:37, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Безопасность - это комплекс мер Изучение BIOS а - одна из них Изолированные се... текст свёрнут, показать
     
     
  • 8.101, пох (?), 20:43, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    изучение пары гигабайт бинарника, возможно шифрованного, написанного на сях по п... текст свёрнут, показать
     
     
  • 9.102, Aliech (ok), 23:07, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Порядок такой Но это не отменяет других мер Да, и она вырезает ME с 5 7МБ до ... текст свёрнут, показать
     
  • 4.63, AnonPlus (?), 20:24, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Скажем прямо, домашнему пользователю на Spectre и Meltdown плевать. Или у вас дома крутится сервер, на котором одновременно работает куча пользователей? А в браузерах защиту сделали, перекрыли единственный реальный вектор атаки на хоум-юзеров.
     
     
  • 5.73, Биарей Гиесс и Котт (?), 00:16, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И hermitux ему не нужен.
     
     
  • 6.83, пох (?), 11:32, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И hermitux ему не нужен.

    А он и не будет знать о том, что этот хренотух у него в вумномтелевизоре, вумномхолодильнике и шибковумном замке на входной двери, устроивших вечеринку для грабителей.

     
  • 5.79, Аноним (74), 10:58, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Spoiler софтовым способом заворкарраундить нельзя.

    PS Да и эта фиговая, как бы, защита, что там в браузерах сделали, лично у меня, вызывает сомнение.

     
  • 5.88, Аноним (88), 14:31, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Как раз таки он мало интересен на однопользовательском сервере выделенном под какую-нибудь задачу (nas, шлюз). И то до первого "вторжения". А на домашнем компе есть браузеры и всякая приприетарь, и что хуже - тут ещё вопрос.
     
  • 3.65, Michael Shigorin (ok), 20:35, 07/04/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ну некоторые из нас вообще из однополярного мира дефолт-архитектуры ноги сделали :)
     
     
  • 4.80, Аноним (74), 11:03, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Миша, никто сторонний ещё не щупал, что там внутри Эльбруса наворочено. А то там, может, ещё похлеще проблемы с безопасностью. Словом, security by obscurity.
     
  • 4.92, ыы (?), 17:15, 08/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Миша, когда компилятор в исходнике покажите?
     
     
  • 5.104, ACCA (ok), 08:19, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Походу там остались куски на FORTRAN IV. Компилятор с 1972 года пилят, когда самого Эльбрус-3 ещё в проекте не было.
     

  • 1.94, Аноним (94), 21:15, 08/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Спешу заметить, кода кондукта нет.
     
     
  • 2.99, гыуктфьу (?), 11:13, 09/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вот это реально полезный коммент, стоит ожидать что там чет рабочее будет.
     

  • 1.95, Аноним (95), 00:16, 09/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Политехнического университета Виргинии

    > Virginia Tech

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Fornex
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру