Расскажите, пожалуйста, про операционную систему Subgraph

Научилась ли Qubes OS к версии 4.0 работать с LXC или так и сидит на Xen?

LXC — контейнеры. Xen — виртуализация. С чего бы Qubes переходить на меньший уровень изоляции, если у них и так все хорошо работает?

У них работает плохо, но они продолжают кушать кактус. Значит Subgraph пошли по более правильному пути.

У них работает плохо

Что?

Он неправ, дыры в xen и процессорах работают хорошо, как и задумано.

1) недоиспользуется память
2) не используется в полной мере файловая система.

Из-за этого всё решительно тормозит.

У контейнеров этих недостатков нет

Subgraph

Помойму оно rip, как и grsec.

Release Date 2017-09-24

оно из альфы даже не вылезло. Учитывая что у них ядро было от grsec. То скорее всего на этом все и закончится.

Хотя на гитхабе какой то движ есть. Вообщем х.з. https://github.com/subgraph/subgraph-os-issues/issues/340

1) недоиспользуется память

Оверхед есть, но проблема давно решена.

2) не используется в полной мере файловая система.

Тут согласен. Но это следствие изоляции.

Я в своем AppVM решил этот вопрос (пробросом с помощью 9p fs), но тем не менее это менее безопасно, чем реализация в Qubes.

У контейнеров этих недостатков нет

А у запуска без контейнеров недостатков ещё меньше, лол.

Изоляция на базе контейнеров использует тоже самое ядро, следовательно достаточно одной уязвимости в ядре, и ты поимел всю систему.

Для изоляции на базе виртуализации нужно LPE + VM Escape + Sandbox Escape. В случае с Qubes все чуть хуже из-за того, что они разрешают sudo без пароля в гостях, но тем не менее оно все равно безопаснее, чем контейнеры.

но мне не нужна безопасность. Мне нужно разделение программ по контейнерам. Чтобы получить подобие NixOS но с сохранением FHS

Возможно, что мне хватит даже chroot

Виртуализация много лучше контейнеров. И в Qubes по безопасности все в разы лучше чем Subgraph, который к тому же не готов. Единственные накладные расходы - память, потребность в которой усмиряетсся правильными настройками окружений. Сейчас у Qubes в своём роде альтернатив нет.

Да и весь мир сейчас пытается идти от контенерам к VM, придумывая прослойки вроде gVisor или Kata. Надежнее это и гибче.

2)

Это фича. Оно разбито на логически разделенные окружения, так что явно понятно что куда имеет доступ. С подходом «одна песочница - одно приложение», где все имеет доступ к разным директориям одной ФС, отследить детали намного сложнее. Для хорошей изоляции это плохо подходит.

Более того, из-за сильной изоляции Qubes работает лучше, чем любой дистрибутив Linux, и чем контейнеры в том плане, что там отдельный софт в своем окружении не тормозит и не приводит к подвисаниям всей системы в целом. А с контейнерами это не редкость.

Не знаю с чего ты решил что в NixOS разделение по контейнерам. Кто вообще распространяет такую глупость? А то что ты хочешь можно сделать через Flatpak.