| |
| 2.3, НоНейм (?), 22:41, 10/03/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Мне одному её фамилия постоянно ассоциируется с "руткит"?
| | |
| |
| 3.28, Andrey Mitrofanov (?), 09:56, 11/03/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Мне одному её фамилия постоянно ассоциируется с "руткит"?
Правильный псевдлним! И имя "Иоан", и женщина. Тролит на 89ом уровне одним ником. [/]
| | |
|
| 2.5, Анонимо (?), 23:21, 10/03/2016 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Obscurity is not security.
Тогда SSL/GNUPG/TLS - тоже не секурити, т.к. шифрование основано на ограниченности вычислительных мощностей.
| | |
| 2.8, solardiz (ok), 23:47, 10/03/2016 [^] [^^] [^^^] [ответить]
| +6 +/– |
 Во-первых, не в тему. Во-вторых, ошибочно:
Есть такая вещь как OPSEC - https://en.wikipedia.org/wiki/Operations_security - например, рассказав здесь о конфигурации одного из своих лаптопов, я чуть-чуть повысил риск направленных атак. Для меня это осознанный риск. Если бы опубликовал выдачу dmesg со всеми серийными номерами и т.п., повысил бы еще чуть-чуть.
Выражение security through obscurity имеет своё негативное значение, но правильно употребляется лишь в некоторых контекстах (особенно в отношении дизайна криптографических алгоритмов).
| | |
| |
| 3.35, Аноним (-), 14:43, 11/03/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Хорошее, правильное мышление. Если известно кто ты и ожидается что атака тебя ведет к чему-то ценному, можно ожидать усиленных, адресных атак. Выполняемых с пониманием кого атакуем и чего хочется достичь.
p.s. firejail таки сильно юзабельнее сабжа, хоть и менее прочный.
| | |
|
|
| 1.6, solardiz (ok), 23:24, 10/03/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +18 +/– | |
Недавно тестировал один из 3.1-rc на двух недорогих лаптопах - ASUS K501LB i3-5010U, 8 GB (положительно) и ASUS X551MA N3530, 4 GB (отрицательно, выглядит поправимо напильником, но в любом случае на 4 GB будет тесно). Для загрузки с LiveUSB, и там и там требовалось отключить поддержку USB 3.0 (XHCI) в BIOS setup - известный разработчикам Qubes баг, просто нет драйвера XHCI внутри образа initramfs. Пока не знаю исправили ли его в релизе. Эта проблема затрагивает (затрагивала?) только live-систему. В установленной системе такой проблемы нет, с USB 3.0 работает нормально.
На K501LB подхватилось всё железо - из коробки работают в том числе такие вещи как suspend (просыпается нормально) и регулировка подсветки клавиатуры, не говоря уже о более важных (на удивление старые/проверенные WiFi Atheros AR5B22-SB, Ethernet Realtek RTL8168/8111, HDMI-выход, звук, яркость экрана). Дискретная графика (NVIDIA 940M) работает с драйвером nouveau до тех пор пока не пытаешься запустить что-нибудь с 3D - тогда виснет. После blacklist'а nouveau, работает с Intel'овой и уже не виснет, но дает где-то 5 FPS для процесса (например, Firefox с blend4web), запущенного внутри одной из VM'ок. Тормозов 2D графики не ощущается - субъективно, работает как и в системе без виртуализации - прокрутка плавная и т.д.
Время установки не радует - около 25 минут с быстрой флешки (~30 MB/s) на Samsung 850 EVO SSD (~500 MB/s), добавленный в слот M.2 упомянутого K501LB (судя по top во время установки, думаю на HDD ставилось бы почти столько же, т.к. то и дело тормозит об процессор). Поставленная "по умолчанию" система занимает около 15 GB. Время загрузки системы - около минуты (субъективно). Время старта новой VM - около 12 секунд. Всё это - с шифрованного корневого раздела (надеюсь, используется AES-NI). Процессор в данном K501LB минимальный(?) для этой серии - i3-5010U, это 2-х ядерный Broadwell с HT, но без turbo. В под-варианты того же K501LB чуть подороже ставят i5-5200U, который с turbo, и может дать скорость процентов на 20-30 выше (2.7 GHz vs. 2.1 GHz). Медленное время холодного старта компенсируется быстрым стартом процессов в уже один раз запущенных VM - повторно Firefox в VM стартует почти сразу (меньше секунды?), не говоря уже о чем-то полегче вроде терминала в VM, который стартует моментально. Наверное, работающий suspend здесь окажется полезен.
Если вдруг кто захочет такой лаптоп (под Qubes или еще как), за свою цену (чуть больше 40 тыс. руб. или $550, не считая добавляемого самостоятельно SSD) по-моему он неплох. Думаю, это близко к минимально-разумной конфигурации лаптопа для Qubes. (Дискретная графика лишняя, но подходящих вариантов лаптопов без нее толком нет.) Я не знаю во всех ли вариантах ставят упомянутый Atheros - думаю, это как повезет (в любом случае, этот модуль можно поменять). Вес 1.9 кг (для 15.6" хорошо), зарядник 240 гр включая провод, заряда хватает часа на 3.5. Основные недостатки: плохая матрица (углы обзора, цвета), то и дело включается и слегка шумит один из кулеров без серьезных на то оснований. Лаптопы с 4-ядерными Broadwell'ами обычно имеют и более мощную дискретную графику, что тащит за собой мощный зарядник в 600+ гр и суммарно выходит 2.7+ кг.
| | |
| |
| 2.9, Константавр (ok), 00:38, 11/03/2016 [^] [^^] [^^^] [ответить]
| +/– |
 Ну, то, что для работы Qubes требуется 4 гига памяти и 64-битный проц - эта "шапка" новости, видать завалялась на опеннете с тех пор, когда Qubes только появилась и 4гига - это было ещё круто. С тех пор прошло много лет и теперь простой линукс может тормозить на 4ёх гигах, не то, что обвешенный плюшками.
А вот насчёт карточки Nvidia, она вообще не работает там? Или просто не сильно углублялись в вопрос? Хотя, в такой фарш запихнуть ещё и оптимус, нетривиальная, должно быть, задача.
| | |
| |
| 3.14, solardiz (ok), 02:10, 11/03/2016 [^] [^^] [^^^] [ответить] | +2 +/– | Это всё еще соответствует действительности На 4 GB Qubes можно использовать, но... большой текст свёрнут, показать | | |
| |
| 4.25, Константавр (ok), 09:40, 11/03/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Ну, про память, это сильно зависит от применения, да, ядро само по себе уютно вертится, а вот приложениям частенько не хватает.
А про GPU - прочитал на ихней вике, что OpenGL в виртуалках не предвидится по соображениям безопасности. Ну, собсно, не для того и предназначен дистрибутив.
Спасибо за пространный ответ, Вы сэкономили мне много времени :)
| | |
|
|
| 2.34, Khariton (ok), 13:06, 11/03/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Хороший обзор.
А отдельная виртуализация работает в Кубах? Например VirtualBox, VmWare, KVM, Qemu?
И по поводу 3Д, я понял что все очень плохо. Либо не работает вообще, либо частично и медленно.
А как с аппаратным ускорением при просмотре HD фильмов?
| | |
| |
| 3.48, solardiz (ok), 17:46, 13/03/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А отдельная виртуализация работает в Кубах? Например VirtualBox, VmWare, KVM, Qemu?
Насчет перечисленных не знаю (вернее, QEMU точно сможет работать как минимум в режиме эмуляции, но вопрос наверняка не об этом). Работает полная виртуализация средствами Xen - в частности, так запускают Windows под Qubes:
https://www.qubes-os.org/doc/hvm-create/
https://www.qubes-os.org/doc/windows-appvms/
> И по поводу 3Д, я понял что все очень плохо. Либо не
> работает вообще, либо частично и медленно.
При использовании Intel'овой встроенной графики, всё работает полностью (хотя я мало что тестировал). Но медленно. Вероятно, без задействования (встроенного) GPU.
При этом в dom0 для window manager'а аппаратное ускорение доступно - для всякого там плавного сворачивания/разворачивания окон и т.п.
> А как с аппаратным ускорением при просмотре HD фильмов?
Думаю, так же (плохо). Видео обычного разрешения с YouTube смотрятся без проблем, HD я не пробовал.
Возможен проброс GPU в VM (и тогда должно работать быстро):
https://www.qubes-os.org/doc/user-faq/#can-i-run-applications-like-games-which
Вот кто-то успешно пробросил AMD'шные GPU в Windows 7 в HVM под Qubes:
https://groups.google.com/forum/#!topic/qubes-users/cmPRMOkxkdA
| | |
|
|
| 1.10, Вареник (?), 01:46, 11/03/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Раньше это назвали бы "микрядерной архитектурой" со строгими ограничениями, а теперь - "гипервизор", "виртуализация процессов".
| | |
| |
| 2.12, Анонимо (?), 01:56, 11/03/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
+1
ещё 10 лет назад я ломал копья на опеннете же по поводу перспективности архитектуры микроядра (хотя и приходилось любить линух за функциональность). Радостно, что время таки расставляет всё по местам.
| | |
| |
| 3.16, solardiz (ok), 02:47, 11/03/2016 [^] [^^] [^^^] [ответить]
| +/– |
> ещё 10 лет назад я ломал копья на опеннете же по поводу
> перспективности архитектуры микроядра
10 лет назад, с точки зрения безопасности, микроядро на PC-архитектуре было не нужно. Оно было нужно 20+ лет назад, когда диски и сетевушки работали с PIO, а не с DMA, и оно нужно теперь, когда в процессорах начали появляться IOMMU:
http://theinvisiblethings.blogspot.ru/2010/05/on-formally-verified-microkerne
"Without IOMMU there is no security benefit of having a microkernel vs. having a good-old monolithic kernel. Let me repeat this statement again: there is no point in building a microkernel-based system, if we don't correctly use IOMMU to sandbox all the drivers."
А Qubes всё-таки в основном не о драйверах (хотя и это тоже, для NetVM и не только, при наличии IOMMU), а о VM'ах с приложениями. Поэтому есть смысл использовать Qubes даже на процессорах без IOMMU.
| | |
| |
| 4.17, Анонимо (?), 03:32, 11/03/2016 [^] [^^] [^^^] [ответить] | +/– | Смотрю несколько иначе Разграничить доступность коду только определённой област... большой текст свёрнут, показать | | |
| |
| 5.18, solardiz (ok), 04:37, 11/03/2016 [^] [^^] [^^^] [ответить] | +1 +/– | Да, но не для кода драйверов, либо с точки зрения защиты от классов атак, не при... большой текст свёрнут, показать | | |
| |
| 6.20, Анонимо (?), 07:24, 11/03/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Если же произвольный код уже выполняется, то при доступе такого кода к
> устройству, поддерживающему DMA, и отсутствии IOMMU, через это устройство можно ограничение
> на доступ к определенной области памяти обойти (попросить устройство записать/считать
> куда/откуда хочется).
А вот не совсем...
см. ниже
> По-моему, потенциала там почти нет. Два разных ring 3 процесса (или нити
> в микроядре) могут быть разделены друг от друга не хуже, чем
> будучи на разных кольцах. Раз кольца есть, ими можно пользоваться, но
> и без них было бы почти так же.
Ну, вобщем, да.
> Часть проблемы в том, что то, как к конкретному устройству делать запрос
> об I/O, отличается между устройствами, а значит плохо ложится в такую
> универсальную прослойку - она снова становится "монолитным ядром", содержащим в себе
> кусочки кода, специфичные для драйверов разных устройств.
Счас посмотрел как работает DMA контроллер. Ему в спец. регистр пишется адрес в памяти, куда надо сгружать инфу.
Т.е. где, как и в каком формате в DMA запросе проезжает адрес в памяти - чётко детерминировано. А потому, эта I/O-прослойка будет элементарной.
А чтобы в регистр адреса не писали чего попало - сделать фильтр в I/O-фильтре микроядра, который бы смотрел: есть право доступа у этого драйвера к этой области этой длины или нет (раздачу памяти всё так же контролирует базовая микро-часть).
> P.S. Вижу, кто-то тут "заминусовал" сообщения выше по треду. По-моему, у нас
> нормальная дискуссия по теме, и минусы тут ни к чему, т.к.
> все сообщения являются "сигналом", а не "шумом", несмотря на чуточку разные
> мнения.
Видать сторонники Торвальдса в данном вопросе. Фанаты-маньяки монолита :)
| | |
| |
| 7.38, ОШИБКА Отсутствуют данные в поле Name (?), 15:05, 11/03/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Т.е. где, как и в каком формате в DMA запросе проезжает адрес
> в памяти - чётко детерминировано. А потому, эта I/O-прослойка будет элементарной.
А теперь повтори смотрение на DMA-контроллеры всех архитектур поддерживаемых Linux. Начни с ARM, MIPS и PowerPC, потом поговорим о простоте прослойки. И не забудь узнать кто такой (PCI) bus master и чего может.
> в I/O-фильтре микроядра,
Устройства которые bus master - могут к памяти обращаться сами. Драйвер может попросить свое устройство сделать запрос как надо, анализировать все такие варианты путем анализа всех существующих протоколов драйвер-устройство нереально, придется в фильтр включить все драйверы устройств. Поэтому сделали IOMMU. Как MMU, но не со стороны процессора, а со стороны чипсета, так что обращения bus masters фильтруются железом наподобие того как MMU это делает со стороны процессора.
| | |
| |
| |
| 9.49, Аноним (-), 02:18, 16/03/2016 [^] [^^] [^^^] [ответить] | +/– | Безопаснее всего - не включать Или хотя-бы к сети не подключаться, но там уже в... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 1.11, Kodir (ok), 01:51, 11/03/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Изначально тупая затея. Проблема защиты - далеко не высота забора между процессами, а сам принцип, что приложения генерируют файлы - именно так вирус может спокойно бродить по системам, будь они хоть стократно завёрнуты в контейнеры. Написал док-файл, отослал другу - вот тебе транспорт, дорогой вирус! Бороться с этим нереально, это сам принцип взаимодействия людей.
| | |
| |
| 2.13, Анонимо (?), 01:58, 11/03/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Соц. инженерия конечно, объемлет техническую безопасность (если все будут идиотами - никакие секурити не помогут).
Но при вынесении соц. вопроса за скобки - чем больше преград при той же пользовательской функциональности - тем секурнее.
| | |
| |
| 3.37, Вы забыли заполнить поле Name (?), 14:51, 11/03/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Но при вынесении соц. вопроса за скобки - чем больше преград при
> той же пользовательской функциональности - тем секурнее.
Количество преград не помешало comodohacker захватить аккаунт админа active directory в diginotar, после чего компании осталось только заявить о банкротстве - после этого ВСЕ виндовые машины следует считать скомпрометированными.
| | |
|
| 2.15, solardiz (ok), 02:29, 11/03/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Написал док-файл, отослал другу - вот тебе транспорт, дорогой вирус!
> Бороться с этим нереально, это сам принцип взаимодействия людей.
Разграничивать реально. При правильном использовании Qubes, файл от друга будет получен в Personal VM, и не попадет в Work VM и Banking VM. Еще один подход - переработка таких файлов в безопасное представление во временном Disposable VM:
http://theinvisiblethings.blogspot.ru/2013/02/converting-untrusted-pdfs-into-
| | |
| |
| 3.39, Имя (?), 15:09, 11/03/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Временные контейнеры как-то сильно менее ресурсоемки. Хотя и менее прочны. Зато firejail-ом создаются в любом современном linux на раз-два. Хороший способ укрепить повседневную систему на всякий случай.
| | |
| |
| |
| 5.50, Аноним (-), 03:45, 16/03/2016 [^] [^^] [^^^] [ответить]
| +/– | |
Firejail-ом удобно пользоваться для именно изоляции программ на десктопе.
Пример:
firejail --name=browser --shell=none --net=wlan0 --ip=192.168.120.3/24 firefox
Поместит "firefox" в контейнер с урезанной и readonly системой, пустым home, где только downloads, 3 процесса и 1 пользователь (private namespaces), stateless /var. С отдельной сетью. Сделав временный macvlan на wlan0 с новым IP, создав namespaces, урезав сисколы SECCOMP, собрав виртуальную иерархию фс из настоящей. Сеть увидит новую машину на 192.168.120.3/24. Это 1 короткой командой. Временный /var, сетевой интерфейс и проч при выходе из браузера перестанут существовать.
Для пользователя это временная сверхлегкая виртуалка из частей хоста. Как cubeos, только легкое, но менее прочное. На самом деле это и голый системд может, firejail интересен готовыми профилями и тем что сам делает типовые операции. Они сделали контейнеры правильно.
| | |
|
|
|
|
| 1.21, DmA (??), 08:40, 11/03/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
>VT-d/AMD IOMMU
Щаз, одни материнские платы чего стоят с поддержкой этой технологии.., не говоря уж о процессорах.Да и памяти там сильно желательно хотя бы 16 ГБ ОЗУ.Лучше 32. Да никто не спорит,что 32 лучше,чем 16 :)
| | |
| 1.22, Sunderland93 (ok), 08:50, 11/03/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Извиняюсь за оффтоп. Подскажите, как сделать чтобы окна раскрашивались в цвета приложения, как на последнем скрине?
| | |
| |
| 2.24, Идиот (?), 09:20, 11/03/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
Это индикатор AppVM в котором запущен процесс. Тоесть чисто qubes'овская штука, и то что там случайно совпали цвета - это совпадение.
| | |
|
| 1.23, DmA (??), 08:52, 11/03/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Чего люди не придумают,лишь бы не писать правила для SeLinux :)
| | |
| |
| 2.26, Онаним (?), 09:43, 11/03/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Как с помощю SeLinux заблокировать доступ в Интернет для определённой программы? Если она нативная? Если она на Java?
| | |
| 2.40, Аноним (-), 15:11, 11/03/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Чего люди не придумают,лишь бы не писать правила для SeLinux :)
вот firejail придумали - тот же результат, только за 2 минуты времени, не говоря уж о том что selinux отключает любой уважающий себя эксплойт первым же делом.
| | |
| |
| 3.43, Анонимо (?), 16:15, 11/03/2016 [^] [^^] [^^^] [ответить]
| +/– |
> вот firejail придумали - тот же результат, только за 2 минуты времени,
> не говоря уж о том что selinux отключает любой уважающий себя
> эксплойт первым же делом.
Спасибо за ссылку. Действительно, вполне годная реализация seccomp'а
| | |
|
|
| |
| 2.46, solardiz (ok), 20:45, 12/03/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Персистентность планируется?
В Qubes есть как постоянные, так и временные VM. Показанные на большинстве скриншотов как раз постоянные. Т.е., например, я поставил Adobe Flash в Untrusted VM, и теперь он там просто есть.
| | |
|
| 1.44, Аноним (-), 18:49, 11/03/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Изоляция приложений, какой она не должна быть. Вместо того чтобы сделать хотя бы как в ведроиде.
| | |
|
