Виртуализация процесса

0

1

Главная цель - виртуализовать программу под линуксом, чтобы уязвимости этой программы не смогли навредить системе. Виртуалбокс и прочие «тяжелые» решения не подходят, т.к. ну не запускать же по одному полному дистрибутиву для каждой программы. Есть предложения?

←	как соотносится pthread_clockgettime(thread) и rdtsc?

Стандартная реализация работы с текстом в стиле less

→

Есть предложения?

Есть

vvn_black ★★★★★
(24.08.22 17:38:11 MSK)

Что за программа? И почему нельзя дистрибутив запускать для неё?

hateyoufeel ★★★★★
(24.08.22 18:27:05 MSK)

qubes

etwrq ★★★★★
(24.08.22 19:14:23 MSK)

Ответ на: комментарий от vvn_black 24.08.22 17:38:11 MSK

Спасибо за ссылку на гугл.

Yarosvet
(24.08.22 23:15:38 MSK) автор топика

Ответ на: комментарий от hateyoufeel 24.08.22 18:27:05 MSK

Программа (программЫ) совершенно неважно какие, но постоянно грузить ЦЕЛЫЙ огромный дистрибутивище чтоб фоном работала какая-то программа, это бред.

Yarosvet
(24.08.22 23:16:53 MSK) автор топика

Ответ на: комментарий от Yarosvet 24.08.22 23:16:53 MSK

Почему бред?

vbr ★★★
(24.08.22 23:18:19 MSK)

Ответ на: комментарий от etwrq 24.08.22 19:14:23 MSK

Qubes, это идеал, но мне придется переустановить ос. Сейчас стоит дебиан и я им полностью доволен, я хочу просто сделать виртуализацию процесса на уже установленном дебиане.

Yarosvet
(24.08.22 23:18:21 MSK) автор топика

Ответ на: комментарий от vbr 24.08.22 23:18:19 MSK

Потому что ресурсы компа небесконечны, и могут пригодиться где-то еще во время работы.

Yarosvet
(24.08.22 23:19:13 MSK) автор топика

Ответ на: комментарий от Yarosvet 24.08.22 23:19:13 MSK

Может ты переоцениваешь затраты ресурсов на «целый огромный дистрибутивище»? Это пара десятков мегабайтов оперативной памяти и несколько десятков мегабайтов образа.

vbr ★★★
(24.08.22 23:20:52 MSK)

Ответ на: комментарий от Yarosvet 24.08.22 23:16:53 MSK

но постоянно грузить ЦЕЛЫЙ огромный дистрибутивище чтоб фоном работала какая-то программа, это бред

Выше уже посоветовали Qubes OS у которой каждое приложение в своей виртуальной машине, так что не бред, а мейнстрим в части изоляции приложений.

vvn_black ★★★★★
(24.08.22 23:21:07 MSK)

Ответ на: комментарий от Yarosvet 24.08.22 23:15:38 MSK

Спасибо за ссылку на гугл.

Ну так, надеюсь, что хотя бы первую страницу выдачи просмотреть получилось? А там контейнеры-контейнеры-контейнеры и немного песочниц в виде чрута и т.п.

vvn_black ★★★★★
(24.08.22 23:25:20 MSK)

https://www.dropbox.com/s/m3npxf3nvywforf/ww.png?dl=0

qyght
(24.08.22 23:52:56 MSK)

Полностью изолировать нельзя. Можно засунуть в контейнер cgroups+namespaces и ограничить функциональность через seccomp.

ttnl ★★★★★
(25.08.22 00:23:19 MSK)

Докер?

upcFrost ★★★★★
(25.08.22 16:30:43 MSK)

Ответ на: комментарий от upcFrost 25.08.22 16:30:43 MSK

Докер не предназначен для того, чтобы изолировать вредоносный код. Лучше его не использовать для этой цели.

vbr ★★★
(25.08.22 17:35:10 MSK)

Ответ на: комментарий от Yarosvet 24.08.22 23:19:13 MSK

так тебе прожорливость проги ограничить или защитить систему от вероятных вредоносных воздействий онного програмного продукта ??
чотчееее и конкретнеееее желания расписывай.

pfg ★★★★★
(25.08.22 17:42:24 MSK)

Ответ на: комментарий от vbr 25.08.22 17:35:10 MSK

ТС сказал «уязвимости», а не «вредоносный». Выскочить из контейнера конечно можно, но если он запущен не от рута и максимально голый типа distroless - это будет довольно проблематично

upcFrost ★★★★★
(25.08.22 17:47:59 MSK)

если

чтобы уязвимости этой программы не смогли навредить системе

можно просто apparmor использовать, selinux еще есть. делать для этого виртуализацию вручную так себе затея.

spring
(25.08.22 17:51:13 MSK)

Ответ на: комментарий от upcFrost 25.08.22 17:47:59 MSK

Уязвимости подразумевают то, что хакер уже контролирует часть системы, поэтому уязвимый сервис можно смело считать вредоносным.

На мой взгляд изоляция контейнеров гарантирует лишь то, что какие-то случайные баги не повредят соседям. Вот помню в каком-то пакете в postinstall-скрипт засунули rm -rf /. apt upgrade и системы нет. Вот для предотвращения таких проблем изоляция контейнеров годится.

Ну в целом, конечно, и в гипервизорах уязвимости находят, даже ноутбук в сейфе нельзя считать 100% защищённым. Но в целом от специалистов в ИБ не раз утверждалось, что контейнеры не годятся, как надёжная защита от вредоносного кода. Слишком большая зона для атаки. Слишком много уязвимостей находят.

vbr ★★★
(25.08.22 20:59:44 MSK)

Kata Containers

olelookoe ★★★
(25.08.22 21:36:21 MSK)

Ответ на: комментарий от olelookoe 25.08.22 21:36:21 MSK

Kata Containers, кажется это именно то что нужно, но как его установить? У меня дебиан. По инструкциям с гитхаба не получилось, репозитории не живые. Скомпилить тоже не получается

Yarosvet
(27.08.22 09:27:12 MSK) автор топика

Ответ на: комментарий от Yarosvet 24.08.22 23:16:53 MSK

постоянно грузить ЦЕЛЫЙ огромный дистрибутивище чтоб фоном работала какая-то программа, это бред.

Это у тебя машинки с z/OS или SunFire не было, вот ты и думаешь что это что-то плохое. А всю эту экономию на спичках нищие хипсторы-стартаперы придумали.

slackwarrior ★★★★★
(29.08.22 11:16:39 MSK)
Последнее исправление: slackwarrior 29.08.22 11:43:48 MSK (всего исправлений: 1)

←	как соотносится pthread_clockgettime(thread) и rdtsc?

Development

Стандартная реализация работы с текстом в стиле less

→

Похожие темы