forum.opennet.ru - "Представлен TinyKVM для виртуализации на уровне отдельных процессов" (50)

"Представлен TinyKVM для виртуализации на уровне отдельных процессов"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Представлен TinyKVM для виртуализации на уровне отдельных процессов"	+/–
Сообщение от opennews (?), 17-Мрт-25, 13:17
Компания Varnish Software, разрабатывающая системы для построения сетей доставки и кэширования контента, представила открытый проект TinyKVM, развивающий инструментарий для изоляции выполнения отдельных процессов при помощи гипервизора KVM. Целью проекта заявлено создание самой быстрой системы sandbox-изоляции отдельных процессов, использующей аппаратную виртуализацию. Код проекта написан на языках C и С++, и распространяется под лицензией GPLv3... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62898
Ответить \| Правка \| Cообщить модератору

Оглавление

Не понимаю зачем это нужно когда обычные процессы со своим адресным пространство, X512 (?), 13:17 , 17-Мрт-25, (1) +13

Программы все еще работают слишком быстро Надо срочно обвязать в новую прослойк, Аноним (4), 13:22 , 17-Мрт-25, (4) +20
А мне это видится, как замена тормознутой и ужасной JVM Если в вебе уже есть Web, myster (ok), 13:55 , 17-Мрт-25, (8) –3

не понял, почему это замена Яве это же просто ещё одна система виртуализации, sena (ok), 14:56 , 17-Мрт-25, (25) +1

Обе технологии - VM заточенные под процесс JVM через JNI позволяет запускать про, myster (ok), 15:25 , 17-Мрт-25, (38) –2

у коровы и яишницы тоже есть сходство, Аноним (49), 16:24 , 17-Мрт-25, (49) +1

нет, ты что, у коровы и яичницы гораздо меньше сходства , myster (ok), 17:13 , 17-Мрт-25, (52)

Java через JNI запускает любой код за пределами VM Код на C или C или ассембл, Антон (??), 18:34 , 17-Мрт-25, (67) +1

То есть мвхнуть рукой и начать играть в компьютерные игры Нет, такой вариант пл, Аноним (-), 00:57 , 18-Мрт-25, (92)

Нет, KVM обеспечивает лучшую изоляцию KVM минимально вмешивается в работу нагру, Анонизмус (?), 14:21 , 17-Мрт-25, (10) +2

Непонятно, зачем изолировать отдельный процесс Можно конкретный пример из обычн, sena (ok), 14:57 , 17-Мрт-25, (26) +2

системы для построения сетей доставки и кэширования контента - для этого и пил, Incorporated (?), 15:09 , 17-Мрт-25, (32)

Какие вы неграмотные вещи пишете Cgroups и namespaces вообще не имеют никаких , Аноним (33), 15:15 , 17-Мрт-25, (33) +6

Дополню, при трансляции виртуального адреса в физический в виртуальной машине сн, Wwwww (-), 19:15 , 17-Мрт-25, (73)
И правда , Анон12345 (?), 19:22 , 17-Мрт-25, (76)

Накладые расходы как раз много меньше , anonymous (??), 19:20 , 17-Мрт-25, (75)

там же написано всякие ограничения, можешь заморозить восстановить состояния в, Аноним (11), 14:23 , 17-Мрт-25, (11)

То есть это будет конкурент для flatpak и snap , sena (ok), 14:59 , 17-Мрт-25, (28) –1
Они Erlang изобрели , Аноньимъ (ok), 20:33 , 17-Мрт-25, (83)

Твои проблемы, если не понимаешь Такого ответа ещё было Пользуйся , Соль земли (?), 16:22 , 17-Мрт-25, (47) –1

Сперва всю изоляцию с сегментной адресацией и тремя уровнями привилегий загнали , HyC (?), 13:41 , 17-Мрт-25, (5) +6

От первого ушли вприпрыжку и без сожаления Забавно было бы посмотреть как надо , mma (?), 19:18 , 17-Мрт-25, (74)

Интересно, как они собираются зарабатывать с такой-то лицензией Жду новостей вы, Аноним (-), 13:51 , 17-Мрт-25, (7) –2

Тоже про c и c в самом начале новости так подумал и увидел твой коммент Тут п, Онанимус (?), 14:24 , 17-Мрт-25, (13) –3
Как и многогие другие комерсы - двойным лицензированием Они собственники этого , Аноним (16), 14:31 , 17-Мрт-25, (16)

Ну тогда это следовало бы отразить в новости А то слегка вводит в заблуждение ps, Аноним (-), 14:51 , 17-Мрт-25, (23)

При помощи двойного лицензирования и эксплуатируя тот факт, что в системах доста, Аноним (54), 17:23 , 17-Мрт-25, (54)

SaaS-овец т е владелец сети доставки вообще может взять хоть прям под GPL , Аноним (93), 01:10 , 18-Мрт-25, (93)

Зарабатывать с сетей доставки и с кода для сетей доставки - разные вещи А что ва, ананим.orig (?), 17:31 , 17-Мрт-25, (56)

не очень понятно, зачем оно нужно, если всякий мутный бинарный софт, который хот, onanim (?), 14:37 , 17-Мрт-25, (20) –1

Тут ответ, хоть и про другую систему и технологию пишутhttps www qubes-os org , myster (ok), 15:40 , 17-Мрт-25, (40)

кольца защиты и страничная трансляция это всегда делали Дак что именно сабж пре, Аноним (51), 17:10 , 17-Мрт-25, (51)

Удобный и доступный интерфейс для всего этого Это куда важнее языка реализации , Аноним (54), 17:27 , 17-Мрт-25, (55) –1

Ура, Товарищи То что я более 10 лет назад сформулировал как нужно сделать - с, Аноним (29), 15:01 , 17-Мрт-25, (29) –5

Сформулировал, а потом 10 лет лежал на диване в ожидании Бока не намял , Аноним (37), 15:25 , 17-Мрт-25, (37) +9

Он не мял бока и с телевизором разговривал, а разговаривал с Ним и формулировал , Аноним (41), 15:43 , 17-Мрт-25, (41) +2

Как радостно, что есть люди, способные это понять, и в то же время как грустно, , Аноним (-), 20:16 , 17-Мрт-25, (78)

Просто системное программирование - не мой профиль Но ежу понятно - для сандбок, Аноним (53), 17:21 , 17-Мрт-25, (53)

Надо понимать, что процессы внутри этой ВМ не смогут писать логи - IO отсутствуе, Аноним (30), 15:01 , 17-Мрт-25, (30)

Можно писать логи в сокет, видимо , Аноним (33), 15:17 , 17-Мрт-25, (35)
логи не повышают безопасность особенно когда их никто не читает, Аноним (37), 15:26 , 17-Мрт-25, (39) +3

Настоящее икспертное мнение Почитай в википедии про SIEM, Аноним (30), 16:12 , 17-Мрт-25, (44) –2

Логи сами себя на анализируют SIEM - это уже не логи , Аноним (49), 16:23 , 17-Мрт-25, (48)

На сишке песочница Это же как бэкдор в firewall , Аноним (31), 15:02 , 17-Мрт-25, (31) –4
Я почитал блог и глянул исходник Это не песочница Это просто stepping stone для, Аноним (29), 15:21 , 17-Мрт-25, (36)
Это считается мало , YetAnotherOnanym (ok), 18:43 , 17-Мрт-25, (68)
Зачем это в реальной жизни , Ivan7 (ok), 18:44 , 17-Мрт-25, (69) +1

вот тоже ничего не понял Вы можете взять обычную программу Linux, кото, qwertKI (ok), 21:54 , 17-Мрт-25, (88) +1

как это обычно работает, если в проект контрибьютили сторонние люди они не имею, 12yoexpert (ok), 21:16 , 17-Мрт-25, (85)

Они подписали передачу имущественных прав перед тем, как их коммит приняли и ник, Аноним (54), 00:53 , 18-Мрт-25, (91)

Сообщения [Сортировка по времени | RSS]

1. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +13 +/–

Сообщение от X512 (?), 17-Мрт-25, 13:17

Не понимаю зачем это нужно когда обычные процессы со своим адресным пространством и потоками -- это по сути и есть мини виртуальные машины.

Ответить | Правка | Наверх | Cообщить модератору

4. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +20 +/–

Сообщение от Аноним (4), 17-Мрт-25, 13:22

Программы все еще работают слишком быстро. Надо срочно обвязать в новую прослойку.

Ответить | Правка | Наверх | Cообщить модератору

8. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." –3 +/–

Сообщение от myster (ok), 17-Мрт-25, 13:55

А мне это видится, как замена тормознутой и ужасной JVM.
Если в вебе уже есть WebAssembly, то это для бека неплохая замена Джаве.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

25. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +1 +/–

Сообщение от sena (ok), 17-Мрт-25, 14:56

не понял, почему это замена Яве? это же просто ещё одна система виртуализации

Ответить | Правка | Наверх | Cообщить модератору

38. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." –2 +/–

Сообщение от myster (ok), 17-Мрт-25, 15:25

Обе технологии - VM заточенные под процесс.
JVM через JNI позволяет запускать программы внутри свой VM на других языках, а не только Java-программы. Так что сходство у технологий есть.

Ответить | Правка | Наверх | Cообщить модератору

49. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +1 +/–

Сообщение от Аноним (49), 17-Мрт-25, 16:24

у коровы и яишницы тоже есть сходство

Ответить | Правка | Наверх | Cообщить модератору

52. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от myster (ok), 17-Мрт-25, 17:13

нет, ты что, у коровы и яичницы гораздо меньше сходства.

Ответить | Правка | Наверх | Cообщить модератору

67. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +1 +/–

Сообщение от Антон (??), 17-Мрт-25, 18:34

Java через JNI запускает любой код за пределами VM.
Код на C или C++ или ассемблере может вмешаться и в память приложений.
И нарушить работу самой Java машины, деинсталлировать еë, и поставить Doom.

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

92. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от Аноним (-), 18-Мрт-25, 00:57

То есть мвхнуть рукой и начать играть в компьютерные игры? Нет, такой вариант плох, проходил. Впустую потрачено ценное жизненное время, а раз впустую значит в минус. Как минимум в минус, а с учётом какие бывают игры это ещё и вредно как просмотр фильмов ужасов.

Ответить | Правка | Наверх | Cообщить модератору

10. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +2 +/–

Сообщение от Анонизмус (?), 17-Мрт-25, 14:21

Нет, KVM обеспечивает лучшую изоляцию. KVM минимально вмешивается в работу нагрузки и он построен на хардварных методах виртуализации, поддерживает шифрование памяти, лучше производительность для сложных нагрузок. Namespaces и cgroups же это полностью программная виртуализация, больше накладные расходы, и отсюда же большая уязвимость. Ну и самое главное неправильно настроенные контейнеры могут стать огромной дырой в безопасности, с KVM практически не возможно ошибиться из-за большей простоты.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

26. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +2 +/–

Сообщение от sena (ok), 17-Мрт-25, 14:57

Непонятно, зачем изолировать отдельный процесс. Можно конкретный пример из обычной жизни, но толкьо без экзотики.

Ответить | Правка | Наверх | Cообщить модератору

32. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от Incorporated (?), 17-Мрт-25, 15:09

"системы для построения сетей доставки и кэширования контента" - для этого и пилят. DRM?

Ответить | Правка | Наверх | Cообщить модератору

33. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +6 +/–

Сообщение от Аноним (33), 17-Мрт-25, 15:15

Какие вы неграмотные вещи пишете...
Cgroups и namespaces вообще не имеют никаких накладных расходов, это просто ещё один int в таблице процессов.
И виртуализацией они тоже не являются ни в каком виде.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

73. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от Wwwww (-), 17-Мрт-25, 19:15

Дополню, при трансляции виртуального адреса в физический в виртуальной машине сначала адрес транслируется через 4-ре таблицы в виртуальной машине, а затем полученный адрес транслируется снова через 4-ре таблицы, но уже на хосте. Рост накладных расходов не просто в два раза, а в разы. Конечно в CPU есть ITLB1, DTLB1 и т.п. для кеширования адреса к которому часто обращаются, но чем больше виртуалок тем бестрее кеш "выедается" и всё это всё больше и больше тормозит.

Ответить | Правка | Наверх | Cообщить модератору

76. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от Анон12345 (?), 17-Мрт-25, 19:22

> Cgroups и namespaces вообще не имеют никаких накладных расходов, это просто ещё один int в таблице процессов.
И правда:
> Какие вы неграмотные вещи пишете...

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

75. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от anonymous (??), 17-Мрт-25, 19:20

Накладые расходы как раз много меньше.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

11. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от Аноним (11), 17-Мрт-25, 14:23

там же написано. всякие ограничения, можешь заморозить\восстановить состояния. в целом нужно для запуска приложений, которым не доверяешь.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

28. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." –1 +/–

Сообщение от sena (ok), 17-Мрт-25, 14:59

> в целом нужно для запуска приложений, которым не доверяешь.
То есть это будет конкурент для flatpak и snap?

Ответить | Правка | Наверх | Cообщить модератору

83. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от Аноньимъ (ok), 17-Мрт-25, 20:33

Они Erlang изобрели?

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

47. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." –1 +/–

Сообщение от Соль земли (?), 17-Мрт-25, 16:22

Твои проблемы, если не понимаешь. Такого ответа ещё было. Пользуйся.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

5. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +6 +/–

Сообщение от HyC (?), 17-Мрт-25, 13:41

Сперва всю изоляцию с сегментной адресацией и тремя уровнями привилегий загнали в плоское адресное пространство и два уровня привилегий, поделив это друг от друга только страничным механизмом, героически сделали этот горбыль легаси, теперь стали изобретать этот велосипед обратно.

Ответить | Правка | Наверх | Cообщить модератору

74. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от mma (?), 17-Мрт-25, 19:18

>Сперва всю изоляцию с сегментной адресацией и тремя уровнями привилегий
От первого ушли вприпрыжку и без сожаления. Забавно было бы посмотреть как надо изгаляться на 16Гб с сегментной адресацией.
А последним и так не пользовались, слишком высоки накладные расходы, хотябы на переключение контекстов.

Ответить | Правка | Наверх | Cообщить модератору

7. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." –2 +/–

Сообщение от Аноним (-), 17-Мрт-25, 13:51

> разрабатывающая системы для построения сетей доставки и кэширования контента
Интересно, как они собираются зарабатывать с такой-то лицензией.
> Код проекта написан на языках C и С++
Жду новостей "выполнение кода за пределами гостевой системы из-за выхода за пределы буфера"))

Ответить | Правка | Наверх | Cообщить модератору

13. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." –3 +/–

Сообщение от Онанимус (?), 17-Мрт-25, 14:24

Тоже про c и c++ в самом начале новости так подумал и увидел твой коммент. Тут почти каждая первая новость про уязвимость связана с переполнением буфера.

Ответить | Правка | Наверх | Cообщить модератору

16. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от Аноним (16), 17-Мрт-25, 14:31

Как и многогие другие комерсы - двойным лицензированием. Они собственники этого кода, поэтому так могут.
"Licensing
TinyKVM and VMOD-TinyKVM are released under a dual licensing model:
Open Source License: GPL‑3.0 (see LICENSE).
Commercial License: Available under terms controlled by Varnish Software."

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

23. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от Аноним (-), 17-Мрт-25, 14:51

Ну тогда это следовало бы отразить в новости)
А то слегка вводит в заблуждение.
ps отправил запрос на изменение новости

Ответить | Правка | Наверх | Cообщить модератору

54. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от Аноним (54), 17-Мрт-25, 17:23

> Интересно, как они собираются зарабатывать с такой-то лицензией.
При помощи двойного лицензирования и эксплуатируя тот факт, что в системах доставки контента софт —наименее сложная и интересная часть. Нет, софт конечно нужен, и как видишь иногда даже приходится самому что-то создавать под свои нужды, но это досадная необходимость, а не ядро бизнеса.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

93. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от Аноним (93), 18-Мрт-25, 01:10

>> Интересно, как они собираются зарабатывать с такой-то лицензией.
> При помощи двойного лицензирования
SaaS-овец (т.е. владелец "сети доставки") вообще может взять хоть прям "под GPL" - он же бинарник все равно только на своих мощностях крутить будет, т.е. сорцы и доработки никому "отдавать" не обязан.

Ответить | Правка | Наверх | Cообщить модератору

56. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от ананим.orig (?), 17-Мрт-25, 17:31

>> разрабатывающая системы для построения сетей доставки и кэширования контента
> Интересно, как они собираются зарабатывать с такой-то лицензией.
Зарабатывать с сетей доставки и с кода для сетей доставки - разные вещи.
>> Код проекта написан на языках C и С++
> Жду новостей "выполнение кода за пределами гостевой системы из-за выхода за пределы буфера"))
А что вам ещё остаётся то?
kvm то давно в ведре.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

20. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." –1 +/–

Сообщение от onanim (?), 17-Мрт-25, 14:37

> TinyKVM runs static Linux ELF programs.
не очень понятно, зачем оно нужно, если всякий мутный бинарный софт, который хотелось бы запустить в виртуалке для безопасности основной системы, поставляется в виде динамических программ, или в виде AppImage или flatpak, не очень мутный софт с доступными исходниками задолбаешься конпелять статично, а для оставшихся трёх с половиной софтин на Go, которые можно сконпелировать статично, никакая виртуалка нафиг не нужна.

Ответить | Правка | Наверх | Cообщить модератору

40. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от myster (ok), 17-Мрт-25, 15:40

Тут ответ, хоть и про другую систему и технологию пишут
https://www.qubes-os.org/faq/#why-is-os-security-important
Идея в том, чтобы ОС не была коммунальной квартирой, а была изолированной, для программ.
Что касается статических и динамических программ, думаю это не проблема, просто для TinyKVM нужны будут базовые образы, содержащие в себе нужные библиотеки, как в образах контейнеров.

Ответить | Правка | Наверх | Cообщить модератору

51. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от Аноним (51), 17-Мрт-25, 17:10

> чтобы ОС не была коммунальной квартирой, а была изолированной, для программ.
кольца защиты и страничная трансляция это всегда делали. Дак что именно сабж предложил?

Ответить | Правка | Наверх | Cообщить модератору

55. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." –1 +/–

Сообщение от Аноним (54), 17-Мрт-25, 17:27

> что именно сабж предложил?
Удобный и доступный интерфейс для всего этого. Это куда важнее языка реализации и использованных технологий.

Ответить | Правка | Наверх | Cообщить модератору

29. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." –5 +/–

Сообщение от Аноним (29), 17-Мрт-25, 15:01

Ура, Товарищи! То что я более 10 лет назад сформулировал как "нужно сделать" - сделали (вообще-то сделали раньше, но QEMU для юзерспейса вообще не создавался как песочница).

Ответить | Правка | Наверх | Cообщить модератору

37. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +9 +/–

Сообщение от Аноним (37), 17-Мрт-25, 15:25

Сформулировал, а потом 10 лет лежал на диване в ожидании? Бока не намял?

Ответить | Правка | Наверх | Cообщить модератору

41. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +2 +/–

Сообщение от Аноним (41), 17-Мрт-25, 15:43

Он не мял бока и с телевизором разговривал, а разговаривал с Ним и формулировал то, что жалкие людишки сделают через 100, 1000 и даже 1_000_000 лет. Такой вот он скромный и незаметный прыщ-труженик.

Ответить | Правка | Наверх | Cообщить модератору

78. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от Аноним (-), 17-Мрт-25, 20:16

Как радостно, что есть люди, способные это понять, и в то же время как грустно, что понял именно ты и что теперь тебя придётся убрать...

Ответить | Правка | Наверх | Cообщить модератору

53. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от Аноним (53), 17-Мрт-25, 17:21

Просто системное программирование - не мой профиль. Но ежу понятно - для сандбоксинга надо:
1. порвать любую прямую связь программы с ОС
2. в непрямую связь вставить агрессивный фильтр
Пока у нас сисколлы обрабатываются ядром напрямую это невозможно. Всегда может оказаться возможность поломать ядро через манипуляцию структурами данных в сисколлах.
Отсюда простой вывод: с появлением аппаратной виртуализации ring 2,3 изжили себя. Ограничения на инструкции? Зачем, если можно каждой программе по своему ring 0 выдать. Ограничения на доступ к памяти? Зачем, если можно каждому процессу всё полностью своё адресное пространство выдать.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

30. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от Аноним (30), 17-Мрт-25, 15:01

>В самой виртуальной машине не используются какие-либо драйверы, ввод/вывод и виртуальные устройства.
Надо понимать, что процессы внутри этой ВМ не смогут писать логи - IO отсутствует.
Это решение для повышения безопасности? Я не ослышался?

Ответить | Правка | Наверх | Cообщить модератору

35. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от Аноним (33), 17-Мрт-25, 15:17

Можно писать логи в сокет, видимо.

Ответить | Правка | Наверх | Cообщить модератору

39. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +3 +/–

Сообщение от Аноним (37), 17-Мрт-25, 15:26

логи не повышают безопасность. особенно когда их никто не читает

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

44. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." –2 +/–

Сообщение от Аноним (30), 17-Мрт-25, 16:12

>логи не повышают безопасность
Настоящее икспертное мнение.
>особенно когда их никто не читает
Почитай в википедии про SIEM

Ответить | Правка | Наверх | Cообщить модератору

48. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от Аноним (49), 17-Мрт-25, 16:23

Логи сами себя на анализируют. SIEM - это уже не логи.

Ответить | Правка | Наверх | Cообщить модератору

31. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." –4 +/–

Сообщение от Аноним (31), 17-Мрт-25, 15:02

На сишке песочница? Это же как бэкдор в firewall.

Ответить | Правка | Наверх | Cообщить модератору

36. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от Аноним (29), 17-Мрт-25, 15:21

Я почитал блог и глянул исходник.
Это не песочница. Это просто stepping stone для TEE, смысл простой: засовывается любая обычная ELF-программа в TEE без всякого геморроя с анклавами, и их API - это всё на себя берёт TinyKVM. Просто на данном этапе TEE не реализовано.
Фильтра IO нет никакого. Это не для безопасности хоста от вредоносных приложений делалось. Это делается для "защиты" приложений от хостера. В кавычках - потому что держится такая "защита" на честном слове. Надо будет поломать очередной силк - просто придут к Intel - и аттестация будет подделана для конкретной физической машины - той, что у хостера стоит), когда быдло будет продолжать отведывать DеRьMа и наслаждаться им.
Для безопасности от хостера - только гомоморфная криптография.

Ответить | Правка | Наверх | Cообщить модератору

68. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от YetAnotherOnanym (ok), 17-Мрт-25, 18:43

> Накладные расходы на вызов каждого системного вызова составляют около 2 микросекунд
Это считается мало?

Ответить | Правка | Наверх | Cообщить модератору

69. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +1 +/–

Сообщение от Ivan7 (ok), 17-Мрт-25, 18:44

Зачем это в реальной жизни???

Ответить | Правка | Наверх | Cообщить модератору

88. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +1 +/–

Сообщение от qwertKI (ok), 17-Мрт-25, 21:54

... вот тоже ничего не понял ... " Вы можете взять обычную программу Linux, которую вы только что создали в своем терминале, и запустить ее в TinyKVM. " ... зачем ... зачем мне все это ... моей машиной управляет комп с линукс на борту , в моем телефоне линукс ( виртуализация на линукс ОС) на работе у меня ноут с Ubuntu , дома комп с Ubuntu ... меня все устраивает ... это куда ... может нужно научиться делать правильный выбор в начале ... ??? ... можно добавить SmartTV + Android Box и конечно же стиралка ... ... TinyKVM остался без работы ... и потом в терминале я могу наваять на скорую руку скрипт ... к чему из выше описанного его прикручивать ?

Ответить | Правка | Наверх | Cообщить модератору

85. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от 12yoexpert (ok), 17-Мрт-25, 21:16

> для не готовых выполнять требования GPLv3 предоставляется коммерческая лицензия
как это обычно работает, если в проект контрибьютили сторонние люди? они не имеют права на часть прибыли от продаж коммерческой лицензии?

Ответить | Правка | Наверх | Cообщить модератору

91. "Представлен TinyKVM для виртуализации на уровне отдельных пр..." +/–

Сообщение от Аноним (54), 18-Мрт-25, 00:53

Они подписали передачу имущественных прав перед тем, как их коммит приняли и никаких прав на прибыль не имеют.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+13 +/–
Сообщение от X512 (?), 17-Мрт-25, 13:17
Не понимаю зачем это нужно когда обычные процессы со своим адресным пространством и потоками -- это по сути и есть мини виртуальные машины.
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+20 +/–
	Сообщение от Аноним (4), 17-Мрт-25, 13:22
	Программы все еще работают слишком быстро. Надо срочно обвязать в новую прослойку.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	–3 +/–
	Сообщение от myster (ok), 17-Мрт-25, 13:55
	А мне это видится, как замена тормознутой и ужасной JVM. Если в вебе уже есть WebAssembly, то это для бека неплохая замена Джаве.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	25. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+1 +/–
	Сообщение от sena (ok), 17-Мрт-25, 14:56
	не понял, почему это замена Яве? это же просто ещё одна система виртуализации
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	–2 +/–
	Сообщение от myster (ok), 17-Мрт-25, 15:25
	Обе технологии - VM заточенные под процесс. JVM через JNI позволяет запускать программы внутри свой VM на других языках, а не только Java-программы. Так что сходство у технологий есть.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+1 +/–
	Сообщение от Аноним (49), 17-Мрт-25, 16:24
	у коровы и яишницы тоже есть сходство
	Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+/–
	Сообщение от myster (ok), 17-Мрт-25, 17:13
	нет, ты что, у коровы и яичницы гораздо меньше сходства.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	67. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+1 +/–
	Сообщение от Антон (??), 17-Мрт-25, 18:34
	Java через JNI запускает любой код за пределами VM. Код на C или C++ или ассемблере может вмешаться и в память приложений. И нарушить работу самой Java машины, деинсталлировать еë, и поставить Doom.
	Ответить \| Правка \| К родителю #38 \| Наверх \| Cообщить модератору


	92. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+/–
	Сообщение от Аноним (-), 18-Мрт-25, 00:57
	То есть мвхнуть рукой и начать играть в компьютерные игры? Нет, такой вариант плох, проходил. Впустую потрачено ценное жизненное время, а раз впустую значит в минус. Как минимум в минус, а с учётом какие бывают игры это ещё и вредно как просмотр фильмов ужасов.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+2 +/–
	Сообщение от Анонизмус (?), 17-Мрт-25, 14:21
	Нет, KVM обеспечивает лучшую изоляцию. KVM минимально вмешивается в работу нагрузки и он построен на хардварных методах виртуализации, поддерживает шифрование памяти, лучше производительность для сложных нагрузок. Namespaces и cgroups же это полностью программная виртуализация, больше накладные расходы, и отсюда же большая уязвимость. Ну и самое главное неправильно настроенные контейнеры могут стать огромной дырой в безопасности, с KVM практически не возможно ошибиться из-за большей простоты.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	26. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+2 +/–
	Сообщение от sena (ok), 17-Мрт-25, 14:57
	Непонятно, зачем изолировать отдельный процесс. Можно конкретный пример из обычной жизни, но толкьо без экзотики.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+/–
	Сообщение от Incorporated (?), 17-Мрт-25, 15:09
	"системы для построения сетей доставки и кэширования контента" - для этого и пилят. DRM?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+6 +/–
	Сообщение от Аноним (33), 17-Мрт-25, 15:15
	Какие вы неграмотные вещи пишете... Cgroups и namespaces вообще не имеют никаких накладных расходов, это просто ещё один int в таблице процессов. И виртуализацией они тоже не являются ни в каком виде.
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	73. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+/–
	Сообщение от Wwwww (-), 17-Мрт-25, 19:15
	Дополню, при трансляции виртуального адреса в физический в виртуальной машине сначала адрес транслируется через 4-ре таблицы в виртуальной машине, а затем полученный адрес транслируется снова через 4-ре таблицы, но уже на хосте. Рост накладных расходов не просто в два раза, а в разы. Конечно в CPU есть ITLB1, DTLB1 и т.п. для кеширования адреса к которому часто обращаются, но чем больше виртуалок тем бестрее кеш "выедается" и всё это всё больше и больше тормозит.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	76. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+/–
	Сообщение от Анон12345 (?), 17-Мрт-25, 19:22
	> Cgroups и namespaces вообще не имеют никаких накладных расходов, это просто ещё один int в таблице процессов. И правда: > Какие вы неграмотные вещи пишете...
	Ответить \| Правка \| К родителю #33 \| Наверх \| Cообщить модератору


	75. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+/–
	Сообщение от anonymous (??), 17-Мрт-25, 19:20
	Накладые расходы как раз много меньше.
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	11. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+/–
	Сообщение от Аноним (11), 17-Мрт-25, 14:23
	там же написано. всякие ограничения, можешь заморозить\восстановить состояния. в целом нужно для запуска приложений, которым не доверяешь.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	28. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	–1 +/–
	Сообщение от sena (ok), 17-Мрт-25, 14:59
	> в целом нужно для запуска приложений, которым не доверяешь. То есть это будет конкурент для flatpak и snap?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	83. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+/–
	Сообщение от Аноньимъ (ok), 17-Мрт-25, 20:33
	Они Erlang изобрели?
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	47. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	–1 +/–
	Сообщение от Соль земли (?), 17-Мрт-25, 16:22
	Твои проблемы, если не понимаешь. Такого ответа ещё было. Пользуйся.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

5. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+6 +/–
Сообщение от HyC (?), 17-Мрт-25, 13:41
Сперва всю изоляцию с сегментной адресацией и тремя уровнями привилегий загнали в плоское адресное пространство и два уровня привилегий, поделив это друг от друга только страничным механизмом, героически сделали этот горбыль легаси, теперь стали изобретать этот велосипед обратно.
Ответить \| Правка \| Наверх \| Cообщить модератору


	74. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+/–
	Сообщение от mma (?), 17-Мрт-25, 19:18
	>Сперва всю изоляцию с сегментной адресацией и тремя уровнями привилегий От первого ушли вприпрыжку и без сожаления. Забавно было бы посмотреть как надо изгаляться на 16Гб с сегментной адресацией. А последним и так не пользовались, слишком высоки накладные расходы, хотябы на переключение контекстов.
	Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	–2 +/–
Сообщение от Аноним (-), 17-Мрт-25, 13:51
> разрабатывающая системы для построения сетей доставки и кэширования контента Интересно, как они собираются зарабатывать с такой-то лицензией. > Код проекта написан на языках C и С++ Жду новостей "выполнение кода за пределами гостевой системы из-за выхода за пределы буфера"))
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	–3 +/–
	Сообщение от Онанимус (?), 17-Мрт-25, 14:24
	Тоже про c и c++ в самом начале новости так подумал и увидел твой коммент. Тут почти каждая первая новость про уязвимость связана с переполнением буфера.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+/–
	Сообщение от Аноним (16), 17-Мрт-25, 14:31
	Как и многогие другие комерсы - двойным лицензированием. Они собственники этого кода, поэтому так могут. "Licensing TinyKVM and VMOD-TinyKVM are released under a dual licensing model: Open Source License: GPL‑3.0 (see LICENSE). Commercial License: Available under terms controlled by Varnish Software."
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	23. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+/–
	Сообщение от Аноним (-), 17-Мрт-25, 14:51
	Ну тогда это следовало бы отразить в новости) А то слегка вводит в заблуждение. ps отправил запрос на изменение новости
	Ответить \| Правка \| Наверх \| Cообщить модератору


	54. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+/–
	Сообщение от Аноним (54), 17-Мрт-25, 17:23
	> Интересно, как они собираются зарабатывать с такой-то лицензией. При помощи двойного лицензирования и эксплуатируя тот факт, что в системах доставки контента софт —наименее сложная и интересная часть. Нет, софт конечно нужен, и как видишь иногда даже приходится самому что-то создавать под свои нужды, но это досадная необходимость, а не ядро бизнеса.
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	93. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+/–
	Сообщение от Аноним (93), 18-Мрт-25, 01:10
	>> Интересно, как они собираются зарабатывать с такой-то лицензией. > При помощи двойного лицензирования SaaS-овец (т.е. владелец "сети доставки") вообще может взять хоть прям "под GPL" - он же бинарник все равно только на своих мощностях крутить будет, т.е. сорцы и доработки никому "отдавать" не обязан.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	+/–
	Сообщение от ананим.orig (?), 17-Мрт-25, 17:31
	>> разрабатывающая системы для построения сетей доставки и кэширования контента > Интересно, как они собираются зарабатывать с такой-то лицензией. Зарабатывать с сетей доставки и с кода для сетей доставки - разные вещи. >> Код проекта написан на языках C и С++ > Жду новостей "выполнение кода за пределами гостевой системы из-за выхода за пределы буфера")) А что вам ещё остаётся то? kvm то давно в ведре.
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору

20. "Представлен TinyKVM для виртуализации на уровне отдельных пр..."	–1 +/–
Сообщение от onanim (?), 17-Мрт-25, 14:37
> TinyKVM runs static Linux ELF programs. не очень понятно, зачем оно нужно, если всякий мутный бинарный софт, который хотелось бы запустить в виртуалке для безопасности основной системы, поставляется в виде динамических программ, или в виде AppImage или flatpak, не очень мутный софт с доступными исходниками задолбаешься конпелять статично, а для оставшихся трёх с половиной софтин на Go, которые можно сконпелировать статично, никакая виртуалка нафиг не нужна.
Ответить \| Правка \| Наверх \| Cообщить модератору