Защита железа, что предпочтительнее – VMWare, VirtualBox или QEMU?
Пытаюсь выбрать прослойку между гостевой ОС и железом, наиболее надежно предотвращающую утечку данных о железе в Интернет.
Знаю только наиболее известные особенности этих гипервизоров:
1. VMWare (обычные Workstation, не ESXi) проприетарные, что уже вызывает недоверие к реализации вопросов безопасности (может это трояны). Не ESXi, потому что они не на все железо устанавливается.
2. VirtualBox, после того как продался Ораклу, стал неимоверно глючным, найти стабильную версию – большая удача, и раз он глючный в работе, то скорее всего такой же недоделанный в безопасности.
3. QEMU. Вот о нем затрудняюсь что-либо сказать.
Но надеюсь, сообщество на этих вопросах не один пуд соли сьело, и ему найдется что сказать.
PS. Похожие вопросы уже рассматривались на форуме, но фрагментарно и порознь, поэтому для общего удобства хотелось бы свести их воедино в одной теме. Тем более ситуация с ними вероятно с каждым годом меняется.
комментариев: 271 документов: 0 редакций: 0
Вряд ли для этого нужен гипервизор.
И что же получит VMWare на выходе? Какую инфу они соберут?
Так по задачам все. Посмотрите что Вам нужно и выберите. Версии после 4.3.12.93733 имеют защиту от встраивания сторонних DLL. Вот отсюда смотрите внимательно.
Ну есть поближе родственники.. Эк вас занесло то.
Какой хост, какие гости предполагаются и потом уж искать кандидата
в депутатына пост.комментариев: 110 документов: 17 редакций: 16
Слышал, что одним из способов предотвращения утечки сведений о железе являются гипервизоры.
И если не они, тогда что же?
Затрудняюсь сказать определенно. Но "британские ученые" утверждают что сведения о железе могут прорваться наружу, например, серийный номер процессора, даже планок памяти, мак-адреса. Мне бы этого не хотелось бы.
Эту фразу не понял. Что по задачам? Задача у всех версий VitrualBox одинакова. Или вы имели в виду что-то другое?
В частности, я ориентировался на эту статью.
Тоже не понял. Родственники чего? Вы можете привести примеры получше?
Что до задачи, то к примеру, такая: я гуляю по WiFi-окрестностям.
Возможно, прицеплюсь к какой-то точке слабым паролем/шифрованием, и тогда сведения о моих железяках попадут в чужую сеть.
А возможно и наоборот – какой-то ушлый хакер проникнет через WiFi в мой комп, и хотелось, чтобы кроме среды виртуальной машины, он больше ничего не увидел.
Возможны и другие примеры, но этот наиболее характерный, имхо.
комментариев: 450 документов: 10 редакций: 13
Раз винду в качестве хостовой ОС по понятным причинам выбрасываем сразу, остаётся выбор из VB, QEMU, Xen и KVM. Из них эффективно по ресурсам используют железо и являются гипервизорами только последние два. Есть собираетесь делать инфраструктуру по-серьёзному, на года, с вниканием в суть дела, выбирайте из этих двух, не прогадаете. Настраивать Xen или KVM, возможно, замучаетесь, не для новичков это, количество граблей огромное. Там промышленные решения, плохо задокументированные и не устоявшиеся, от версии к версии многое меняется. Существующие мануалы и wiki-страницы по гипервизорам посвящены каким угодно конкретным задачам, но только не вопросам хардкорной анонимности, поэтому как из предложенных элементов собрать анонимную систему – вам придётся разбираться самостоятельно. Если этот путь страшит, придётся понизить запросы, выбирая из QEMU и VB.
комментариев: 110 документов: 17 редакций: 16
XEN использовал долго и успешно на дедиках. Отказался от него после того, как RH отказалась от него ввиду сложности сопровождения.
И так же, как RH, перешел на QEMU.
Но это все на дедиках, где полноценное железо с наличием Intel VT-x или AMD-V.
В данном же случае у меня старый ноут без какой-либо аппаратной поддержки виртуализации, что сужает круг выбора. Отсюда и затруднения в выборе.
И что вы имеете в виду под "эффективно по ресурсам используют железо"?
Если под скоростью работы гостевых ОС, то эта эффективность меня не интересует, поскольку у меня главная задача совсем другая – максимально отгородить гостевую ОС от железа.
Может есть и другие пути "отгорождения", но я знаю только рассматриваемую виртуализацию.
комментариев: 450 документов: 10 редакций: 13
Да. Если говорить конкретно про паравиртуальный режим, это скорость сети и дисков, для остального паравиртуализацию пока не нарисовали. Что там с видеовыводом – это отдельный больной вопрос, но если не касаться задач просмотра полноэкранного видео, большой проблемы с этим нет.
Есть другие гипотетические способы (например, SELinux), но виртуализация – это самый простой вариант из существующих.
комментариев: 110 документов: 17 редакций: 16
сисек"Кто лучше защищает железо?" так и осталась нераскрытой :(Проц – П4.
комментариев: 450 документов: 10 редакций: 13
Инфа о железе зависит от режима, в котором запускается гостевая ОС. В принципе, юзермодная виртуализация должна защищать лучше, т.к. там эмулируется больше всего разного (qemu, VB), но если правильно настраивать Xen или KVM, там тоже, максимум, что утечёт – тип процессора.
комментариев: 271 документов: 0 редакций: 0
У вас акцент именно на утечку сведений о железе, хотя при использовании гипервизоров могут быть и иные проблемы.
Но выбор в основе делается исходя из разных исходных требований:
– какое железо
– какая хостовая ОС
– какие будут гостевые ОС
– какие задачи предполагается решать.
и т.д.
В разных темах так или иначе уже многое обсуждалось.
По какому принципу вы производили отбор указанных вами представителей?
Таблица гипервизоров и их характеристики
В том числе и о гипервизорах
Обновился Qubes
Whonix предлагает такие варианты.
комментариев: 110 документов: 17 редакций: 16
Разумеется, поэтому предвосхищая подобный ответ, сразу написал:
Но все равно не помогло :)
Которыми пользовался сам, и которые, как говорится, у многих на слуху (Xen уже отбросил, т.к. – см. выше).
Железо попроще, сначала хотел на P4, и тут раз на данный момент освободился Atom.
(кстати, поставил на нем Debian/64, VirtualBox, и начал ставить гостевую Windows XP, и был изумлен – VirtualBox/64 разрешал устанавливать только 32-битную ОС, и неважно, Windows или любая другая. С такой "фичей" еще не сталкивался. Но это так, к слову).
Хостовая ОС – что-нить Дебиановское.
Гостевые ОС – тоже, а также Windows.
Задачи – вылазки в Сеть, используя весь имеющийся ассортимент – браузеры, nmap, traceroute – да что угодно!
PS. О Whonix лучше не вспоминать. Да, поставил его, да, работает. Но только
конченый дкрайне недалекий от безопасности специалист сумел построить его на таком монстре как KDE и повпихивать в дистр кучу офисного хлама.Дистрибутив, который позициционируется как анонимизированный и защищенный от всех сторон должен строиться на самой простой DE (LXDE, XFCE, OpenBox и т.п.), т.е. с минимальным количеством программных строк и без всякой офисной мути – только минимальный набор программ для анонимности.
комментариев: 271 документов: 0 редакций: 0
Наверно потому что эта тема обречена (?).
Так а их видели какой список? Как определить самое лучшее? Почему Мерседес не самая лучшая машина, а если ВАЗ перемещает тело в пространстве за такие деньги, почему не эта самая лучшая?
Кучи не наблюдаю. Может что и проглядел.
Вы какой последний билд видели? Там Applications – Office – Document Viewer, т.е. 1 приложение (!).
Даже LibreOffice отсутствует ).
Ну Tails вообще тогда "отстой". Он же на Gnome и "офисного хлама" там не меньше.
И это только ваше мнение. А придут 10 человек и выскажутся что им надо, вы думаете хоть 1% пожеланий совпадет?
Обречена эта тема..
комментариев: 110 документов: 17 редакций: 16
комментариев: 110 документов: 17 редакций: 16
В том-то и проблема, что наплодили этих виртуалок выше крыши, поди разберись, что из них выбрать. Ситуация с ними схожа с дистрибутивами Linux – на дистроваче их больше 200, а реально используется десяток, от силы два. Вот и я пользуюсь теми, что на слуху у большинства.
Последним Вониксом, которым пользовался, был 9.4. И вот в нем ЛибраОфис и прочая оффисная муть как раз присутсвовала в неисчислимом количестве.
Как в новых версиях, не знаю, но если там по прежнему KDE, то фтопку.
Так-то оно так, хомячкам подавай сразу всё в одном.
Но мы-то, потомственные параноики так не думаем? Для нас каждая вылазка в Интернет это всегда ответственное событие, могущее повлечь за собой известные последствия.
И если ориентироваться на пользователей, которые понимают что такое безопасность, то монстроидальный KDE для них перечеркивает все достоинства Воникса.
По-настоящему анонимный безопасный дистрибутив должен быть как можно меньше и включать только самое необходимое, поэтому и DE должна быть как можно проще.
Ведь каковы задачи анонимщика?
Украл- выпил – в тюрьмуВыскочил в Интернет –стырил что надопосмотрел что нужно, скачал и отключился, а дальше добытый результат можно использовать на обычном десктопе. Поэтому KDE, Офис и пр. плюшки, содержащие множество дыр и вряд ли кем проверяемые на их наличие, на анонимном компьютере просто неуместны.Gnome, кстати, по архитектуре более логичен и менее запутан, чем KDE, хотя конечно, тоже великоват. Но если из него выпилить лишнее, то получится тот самый крохотный LXDE :)
Конечно, еще лучше IceWM и ему подобные, и жаль, что создатели Воникса этого не понимают.
комментариев: 11558 документов: 1036 редакций: 4118
Хуниксом: Whonix — who (ху) + nix (никс).
комментариев: 110 документов: 17 редакций: 16
комментариев: 450 документов: 10 редакций: 13
А как ещё открывать doc-файлы, которые каждый второй сайт лепит в несметном количестве? В принципе, есть сайты, позволяющие просматривать офисные документы онлайн, но не всем и не всегда это удобно.
Кто мешает отключить старт KDE и поставить свой любимый оконный менеджер или иной DE?
И whonix и Qubes рассчитаны на массового нетребовательного пользователя, где "воткнул – и всё работает, как в привычной монструозной среде". Немассовому пользователю не угодишь – такие собирают хуниксы себе сами, сразу оптимизируя их под свой круг задач и требований.
Debian minimal install + немного настроек поверх – вот и весь дистрибутив. Или нечто подобное. Этот минимум – общий знаменатель, всё остальное у параноиков сугубо индивидуально.
Очень индивидуально, не всегда так. Кому-то – наоборот, надо скачивать офисные документы и тут же с ними работать.
Виртуалки и сетевые экраны значительно страхуют от факапов такого софта. Чего так бояться-то? Если ваши запросы так велики – шелл в руки и вперёд, делайте решение сами под свои нужды. Оно того стоит.
Возможно, понимают, но IceWM массового пользователя (домохозяек) не впечатлит так же, как вас – какой-нибудь vim в качестве редактора по умолчанию.