Виртуализация аки Qubes


Воззываю к коллективному разуму опытных анонимусов. Как, каким образом, кто пробовал и какие мнения. Самостоятельная изоляция выборочных приложений в декстопной OS. К рассмотрению Debian. Как это реализовать, аки в Qubes. Отдельными виртуалками пускать Thunderbird, TBB, PSI-DEV, Skype(не пинайте, нужОн).
На сколько сложен процесс для не профи, на сколько прожорливее становится система, на сколько актуальнее с точки зрения безопасности и на сколько она при подобном подходе возрастает.
Просьба делиться своим практическим и теоретическим опытом.
Спасибо.

Комментарии
Гость (31/12/2014 22:57)   
/comment58022[link1]
Гость (01/01/2015 17:21)   
ТС рекомендуется ознакомиться с теорией, т.е. читаем вики, сайт Рутковской и иное.
Зачем изолировать приложения в вирт машинах? В Qubes изолируются направления деятельности (интернет, работа, банк и т.д.).
А насколько становится прожорливее кстати? Как вы сами думаете? Каждой вашей вирт машине нужно будет дисковое пространство и оперативка. Хосту память так же не помешает. Сами приблизительно можете посчитать и накинуть 20% сверху.
— ressa (16/02/2015 21:51, исправлен 25/02/2015 13:34)   

Не стал создавать новую тему, полагаю, что и автор не совсем виртуализацию подразумевал.
Господа, кто-нибудь использовал Docker, в качестве контейнерной изоляции запускаемых приложений?
Как по мне – очень удобно. Кто что скажет по нему из профи-заввсегдатаев?
Еще хороший автоматизатор "рутины" Docker – subuser[link2], имеющий собственный репозиторий[link3] с небольшим, но достаточным набором приложений.
UPD
У Docker косяк с безопасностью, он требует рут там, где он не нужен. Соответственно вполне себе просто может выполнить docker run -v /:/tmp ubuntu rм -rf /tmp/* и снести все нахер в системе. Ну и еще какие-то косяки в нем есть.


Ссылки
[link1] http://www.pgpru.com/comment58022

[link2] https://github.com/subuser-security/subuser

[link3] https://github.com/subuser-security/subuser-default-repository