id: Гость   вход   регистрация
текущее время 10:37 29/03/2024
Автор темы: Гость, тема открыта 22/10/2011 19:24 Печать
Категории: софт, анонимность, инфобезопасность, защита сети, tor, спецификации, стандарты, операционные системы
http://www.pgpru.com/Форум/UnixLike/XenИПрофилиАнонимностиприватности
создать
просмотр
ссылки

Xen и профили анонимности/приватности


Кто может что сказать хорошего или гадкого об использовании xen для профилирования?!
Скажем, запускать прозрачно торифицированные юзеры каждого профиля под разными виртуалными ОС в xen, со своими (а не одним) демонами Tor, один из таких профилей отвести для i2p и т.п.?!
Насколько это решение будет безопасным?! Или xen для таких целей слишком дыряв?!


 
Комментарии
— Гость (22/10/2011 21:44)   <#>
Xen неоднократно упоминался в комментариях, на основе него Рутковская сделала вариант для простых пользователей с дополнительными фичами в безопасности: /comment48208, /comment41460, /comment46283, /comment43485, /comment48023, /comment38270, /comment17099. Особых нареканий в форуме на Xen не было. В интернете есть места, где бушуют страсти kvm vs Xen: кто кого? И не следует забывать о том, что виртуалки — не панацея (/comment32246).

запускать прозрачно торифицированные юзеры каждого профиля под разными виртуалными ОС в xen, со своими (а не одним) демонами Tor, один из таких профилей отвести для i2p и т.п.?!

Да, всё это можно сделать и оно будет работать.

Насколько это решение будет безопасным?! Или xen для таких целей слишком дыряв?!

Идеальной безопасности не бывает. Более безопасен только запуск на сторонней, выделенной для таких целей, машине, которая никогда (ни до, ни после) не будет использоваться для каких-то иных целей (чтобы информация о железе не могла утечь).

Мой опыт закончился на том, что после длинной кучи недельных плясок Xen-таки заработал, сеть была как в dom0, так и в domU, но:
  1. Никаким способом не получилось заставить Xen или dom0 менять частоту процессора (а он перегревается).
  2. Всё равно, если работать с графическими приложениями, всё будет выводиться на иксы, запущенные под dom0 (например, через ssh -X). Насколько это безопасно — не знаю, но можно в разные виртуалки ходить через иксы, запущенные на разных дисплеях.
  3. Про проброс pci-устройств из dom0 в domU можно забыть.
  4. Дёшево не получится в виртуалках работать со звуком и микрофоном. Надо как-то перенаправлять звук в dom0, да ещё и так, чтобы вся звуковая система ОС в domU это понимала. Дешевле — загруженное через domU смотреть оффлайново под dom0 из-под юзера, который в сеть ходить (согласно правилам pf) вообще не имеет права. Соответственно, возникает вопрос как сделать так, чтобы какие-то пользователи в dom0 могли иметь прозрачный сетевой доступ к информации из виртуалок domU — ну тут можно навернуть какую-нибудь nfs ии sshfs (теоретически должно работать). Кстати, по озвученным тут причинам работать с VoIP под такими domU вряд ли получится.
  5. Xen не позволит запустить много каких систем, если хардварная виртуализация анально залочена в биосе (без перепрошивки не поменяете). Точнее — запустите только те, кто имеет XEN-ядра. Список не большой — Linux, NetBSD, OpenSolaris и, вроде бы, FreeBSD. Выбор не богат :)
  6. Xen делается для больших хостеров и амазонов, чтобы на его основе делали промышленные (и коммерческие) решения. На рядовых пользователей, тем более десктопы, им наплевать. Документации — кот наплакал. Внятного объяснения, что и как работает, — тоже. По куче команд нет мануалов вообще — есть только command --help, со скудным описанием каждой из опций в 5 слов, и многие из этих опций по непонятным причинам не работают. От версии к версии в Xen есть существенные изменения, а в документации и wiki на этот счёт всё глухо. Если по xm вы ещё худо-бедно нароете какую-то инфу, то с xl, введёным в 4ой ветке, вообще висяк (впрочем, обратная совместимость есть, так что можете продолжать юзать xm).

Довести всё до ума пока времени нету. Хотел бы в будущем доделать и отписаться о граблях тут на форуме.

Суммируя, с Xen'ом лучше, чем без него, но я всё равно не хотел бы доверять, даже dom0, знать свой реальный IP — лучше отдельный комп и там Tor-рутер, а Xen — чисто для "анонимизации железа под разными пользователями". А чтобы не оставлять следов — надо грузиться с LiveCD, и на нём же должен быть и Xen (обсуждалось где-то в районе /comment44983).
— Гость (22/10/2011 21:47)   <#>
И ещё:
  • Виртуалка под Xen по умолчанию будет знать только версию процессора — ничего другого ей из железа напрямую недоступно. Насколько это критично — рассказывать про свой процессор — каждый решает для себя сам.
— Гость (26/05/2013 01:24)   <#>
на дворе 2013. сталкивался в инете с инструкциями по установке на Xen винды (ХР и 7). сам не устанавливал. может кто имеет опыт? и вообще, за полтора года должно было что то поменяться в положительную сторону (?)
— Гость (26/05/2013 03:23)   <#>
Судя по рассказам, дела с полноценной поддержкой звуковой и микрофона обстоят не очень хорошо даже в проприетарных виртуалках типа VMWare с виндой на борту, но, может, я что-то путаю.
— Гость (26/05/2013 11:27)   <#>
В VMWare, имхо, со звуком все нормально, если только не ставится задача прямого использования железа и драйверов к нему (у меня такого опыта нет). Однако интересен все-таки Xen. С первого подхода лично мне не удалось его "оседлать". ) Вариант Рутковской, тоже не "Tails" (в смысле простоты установки и использования), хотя идея очень интересная.
— Гость (26/05/2013 23:55)   <#>
за полтора года должно было что то поменяться в положительную сторону (?)

интересен все-таки Xen.

Документации стало больше (в том числе, на сайте Xen). Какие-то старые баги были пофиксены, а новые добавлены. Среда и впрямь непростая для настройки. Однажды год спустя попытался снова запустить то, что ранее работало, но не смог. Виртуалка запускается, гостевая ОС грузится, а вот подрубиться к ней по сети не могу, чего-то не хватает. Какое-то время поковырялся, потом стало лень и бросил, даже поверхностное чтение всё тех же мануалов не помогло. Конечно, всё могло бы быть восстановлено, вопрос только во времени и усилиях, но это наглядно подтверждает тезис о том, что да, непросто. В Linux должно быть всё попроще, в том числе, с документацией, но глубоко не рылся, читал поверхностно. Про Xen с виндой ничего сказать не могу, раньше она там была только при наличии хардварной поддержки виртуализации, хотя виндодрова под Xen для нативного паравиртуального запуска пилились.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3