id: Гость   вход   регистрация
текущее время 03:29 29/03/2024
Автор темы: grandalexey, тема открыта 03/11/2016 21:01 Печать
Категории: операционные системы
https://www.pgpru.com/Форум/UnixLike/Какбытьсграфическиминтерфейсом
создать
просмотр
ссылки

Подскажите как реализовать и можно ли вообще сделать.


На машине установлен debian и виртуальная машина.


Можно ли настроить дебиан в соответствие с этими вариантами (Или в соответствии с одним из них)?


1.Пользователь должен иметь возможность работать только с ОС запущенной в виртуальной машине и не иметь доступа к выполнению каких-либо действий напрямую в debian.
Идеально было бы – если бы пользователь при загрузке мог выбирать из списка ОС, которая будет запущена в VM.


2.Пользователь после загрузки debian должен иметь возможность работать только с VM – Запуская оттуда ОС (Одну или несколько). Никаких других действий в самом debian выполнять не должен, ни через графический режим, ни через консоль.



 
На страницу: 1, 2 След.
Комментарии
— Гость_ (23/11/2016 15:59)   профиль/связь   <#>
комментариев: 450   документов: 10   редакций: 13

Практически:

Why is nftables not in Debian Jessie?

You can find nftables in jessie-backports :-) At the time of jessie release, the software was not stable.
— Гость_ (24/11/2016 03:45, исправлен 24/11/2016 03:46)   профиль/связь   <#>
комментариев: 450   документов: 10   редакций: 13

/comment95726:


SPICE is another remote-display protocol and QXL is a PV framebuffer which uses the best of the SPICE capabilities.

Номинально есть спайс вместо VNC (через него идёт звук, быстрое видео и даже USB), если в наличии паравиртуальная видеокарта с драйвером qxl. Без qxl вряд ли будет будет сколь-нибудь существенное преимущество по сравнению с VNC. Добавили qxl, по всей видимости, в 4.6. Когда это будет в Debian stable – непонятно, хотя какая-то документация в сети имеется. На fileслайдах о 4.6 об этом же:


Improved SPICE/QXL support

Пишут, в PV-режиме пока не работает вообще, но принципиальных запретов тому вроде как нет.

— grandalexey (25/11/2016 07:10)   профиль/связь   <#>
комментариев: 33   документов: 9   редакций: 7
Пытаюсь понемногу переваривать весь массив информации), который вы на меня обрушили))
Я многих чисто технических деталей не знал.

Есть три инструмента, функционал которых частично перекрывается: iptables, arptables и ebtables. Чтобы написать простейшие правила, надо понимать, как всё это работает на нижнем уровне.

Ну вообще насколько я вижу правила записываются достаточно просто.
Сам их синтаксис прост насколько я могу судить.

Другое дело, что как написать комплексное правило – например запретить прохождения трафика с заданного ip и мака.
Закрывать ip надо в iptables, mac в ebtables – а как их объединить?


на их место пришёл wwwnftables, который объединяет в себе функционал всех {ipt,eb,arp}tables, более PF-подобен и имеет структуру.

PF is a BSD licensed stateful packet filter.
То есть фильтр в BSD системах выполнен лучше, чем в Linux (чем был в Linux до появления nftables)?
Он удобней в использовании?
— Гость_ (26/11/2016 06:40, исправлен 26/11/2016 06:51)   профиль/связь   <#>
комментариев: 450   документов: 10   редакций: 13

Да, и поэтому написать на них что-нибудь существенное – это как писать на асме (та же проблема у фрёвого ipfw). А другая проблема – баги, много багов. Об этом не только Mike Perry писал.



Они работают независимо на разных уровнях OSI. Если пакет проходит ethernet-фильтрацию, дальше он фильтруется через iptables.



Слова лучше/хуже слишком условны. Скажем так, у всего есть преимущества и недостатки – зависит от критериев оценки. Номинально Linux-овый фильтр с учётом iptables-extensions более функционален, но есть экзотика, которая имеется в PF, но отсутствует в iptables. Если брать последние версии PF в OpenBSD, то функционала с запасом хватает практически на все случаи жизни, но в других BSD не всё поддерживается, и там более старые версии PF. В частности, может не получиться фильтровать по MAC-адресам.


Вопросы iptables vs PF ранее на сайте обсуждались здесь и здесь. На nftables я внимательно не смотрел, но в сравнении с PF он мне показался, скорее, полумерой, т.е. по сути – небольшие улучшения поверх стандартного стека с линуксовыми "цепочками", а не смена самого подхода. Мапинг между тем, что делает машина, и тем, что нужно вам, очень сложный. В случае iptables вы работаете компилятором, в случае PF эту работу выполняет машина за вас.



В тысячу раз.

На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3