Fórum Root.cz
Hlavní témata => Distribuce => Téma založeno: kefalin 25. 04. 2018, 23:04:37
-
QEMU bezi v rezime "emulacie CPU" a hladam lahku distribuciu, na ktorej pustim broswer a budem pouzivat jednu webovu stranku/aplikaciu.
Fedora LXDE - len pri pravom kliknuti mysou trva 5s kym vybehne kontextove menu. Fakt tam ocakavam len ten broswer. Nieje niekde k stiahnuti image s Gentoo alebo nieco take lite. Dovod ku komplikacii je bezpecnost a napr. moznost pustit QEMU s pravami bezneho uzivatela. Ak nic ine, tak aj ten VirtualBox mi bude dobry.
Vdaka za tipy a rady
-
Fedora LXDW je dobry zaklad, ale emulacia CPU je brutalne pomala. Skusal som v emulovanom qemu bootnut Fedora XFCE Live CD. Masina bootla za desiatky minut, s tym sa neda rozumne pracovat. Nahradenie Oraclackym VirtuallBoxom prinieslo radovo rychlejsi boot a moznost normalnej prace.
-
MX Linux s Openboxem (+LXDE, kdyz to musi byt) nebo IceWM. Sparky Linux, kdyz nevadi rolling release.
-
QEMU bezi v rezime "emulacie CPU"
urcite mas nejaky duvod ze bezi v emulaci a ne v KVM rezimu? nejde jen o neznalost?
-
urcite mas nejaky duvod ze bezi v emulaci a ne v KVM rezimu? nejde jen o neznalost?
Moje ocakavanie bolo, ze tam nic nebezi pod rootom.
Zda sa, ze predstava trosicku normalneho pouzivania je naivna. Sparky aj MX dokazali nabootovat, spustenie Firefoxu trvalo niekolko minut, takze Midori tam ani nebudem skusat davat. Ked som v nich spustil task manager, tak ukazoval ze sam spotrebuje tretinu vykonu. Samozrejme jadro CPU pod hostom bezalo na 100 percent.
Nasiel som aj Gentoo image, nemal ziadne Xko, len prikazova riadka. Tam bolo CPU hosta zaťažene na 4 percenta.
Takze asi VirtualBox alebo spominane KVM.
-
QEMU bezi v rezime "emulacie CPU" a hladam lahku distribuciu, na ktorej pustim broswer a budem pouzivat jednu webovu stranku/aplikaciu.
Fedora LXDE - len pri pravom kliknuti mysou trva 5s kym vybehne kontextove menu. Fakt tam ocakavam len ten broswer. Nieje niekde k stiahnuti image s Gentoo alebo nieco take lite. Dovod ku komplikacii je bezpecnost a napr. moznost pustit QEMU s pravami bezneho uzivatela. Ak nic ine, tak aj ten VirtualBox mi bude dobry.
Vdaka za tipy a rady
Nevím, jakou distribuci, nenáročný byl třeba Debian. Ale možná by spíše stálo za úvahu popřemýšlet o vhodnější konfiguraci QEMU. Pokud mu např. nenastavím, kolik má přiděleno RAM, tak běží poměrně pomalu. Podobně mi zpomalí, pokud nechám příliš málo RAM hostitelskému operačnímu systému.
S VirtualBoxem jsem sice měl dobré zkušenosti, ale prý je to díravé jako cedník. Ale to je už taky starší informace.
-
Fedora LXDE - len pri pravom kliknuti mysou trva 5s kym vybehne kontextove menu.
Tak to ti žádná distribuce nepomůže.
-
QEMU bezi v rezime "emulacie CPU" a hladam lahku distribuciu, na ktorej pustim broswer a budem pouzivat jednu webovu stranku/aplikaciu.
Fedora LXDE - len pri pravom kliknuti mysou trva 5s kym vybehne kontextove menu. Fakt tam ocakavam len ten broswer. Nieje niekde k stiahnuti image s Gentoo alebo nieco take lite. Dovod ku komplikacii je bezpecnost a napr. moznost pustit QEMU s pravami bezneho uzivatela. Ak nic ine, tak aj ten VirtualBox mi bude dobry.
Vdaka za tipy a rady
Rychlost virtualizovaného OS na distribuci hosta ani hostitele moc nezáleží. Zásadní je ale použít KVM, pak se dá ten virtualizovaný OS normálně používat. Pro KVM musí být podpora v CPU, což dnes většinou už je. Pokud je potřeba virtualizovat jinou CPU architekrutu, například ARM, pak nejde KVM použít a je to skutečně dost pomalé. Ale to asi nebude Váš případ.
Výběr virtualizované distribuce má význam jen tehdy, pokud záleží na rychlosti bootu nebo objemu dat na disku,případně na nějakých speciálních vlastnostech. Tam mohou být rozdíly velké.
-
Nějak se ve vašem dotazu ztrácím. Čo si predstavujete pod takým slovom "emulacie CPU" Kefalin?
Emulace: na procesoru x86 emulujete arm. Dochází k velkému úbytku výkonu.
Virtualizace: na procesoru x86 Haswell virtualizujete x86 Core2Duo. Pokud ji váš procesor podporuje, tak úbytek výkonu je velmi malý.
Podle vašeho dotazu mám dojem, že vám jde o virtualizaci a pouze jste si špatně nastavil Qemu.
Takže jde vám opravdu o emulaci nebo o virtualizaci?
-
Uz som to napisal niekolkokrat. Ocakavanie je, ze QEMU je sw, ktory nebezi pod rootom. VirtualBox/KVM bezi pod rootom. Ubytok vykonu mi bol zrejmi a vyssi level bezpecnosti mi stal za to. Mam DualCore a cakal som, ze to bude apson ako Pentium4.
RAMku som nastavoval na 1GB, tak som skusil na 2,5GB a efekt ten isty. Vzdy to islo len z live z ISO. Mate este nejake tipy na vykon?
Mam dojem, ze samotny Linux by sa dal vytunovat tak aby to bolo pouzitelne, viz Gentoo image, ale prehliadac sam o sebe je sustavne modernizovany sw, ktory si svoju dan na vykone vyberie. Islo mi o pouzivanie webov ako Tinder, facebook a podobne zvedave zmetky, ale so zaujimavym obsahom.
Este mi napadlo skusit v archive vyhrabat najstariu distribuciu s najstarsim prehliadacom, ktory ten web este akceptuje. Alebo Windows XP :-D
-
Pokud jde jen o tohle, tak myslím, že by to šlo upravit, aby root nebyl potřeba. Je potřeba hlavně přístup k /dev/kvm a možná nějaké věci související se síťováním apod.
Ale zamyslel bych se, zda to je opravdu dobrý nápad vzhledem k zamýšleným cílům. Pro běžné desktop použití je libvirt, virtmanager, kvm a qemu dostatečně dobré a snad i dostatečně bezpečné.
Pokud si stále myslíte, že to potřebujete, tak existují distribuce, které to mají vyladěné s cílem maximální bezpečnosti - každá aplikace běží ve vlastním kontejneru (myslím, že jde o kontejnery) apod. Dosažená bezpečnost bude IMHO lepší, než když si budete něco vytvářet sám.
-
Pokud jde jen o tohle, tak myslím, že by to šlo upravit, aby root nebyl potřeba. Je potřeba hlavně přístup k /dev/kvm a možná nějaké věci související se síťováním apod.
Ale zamyslel bych se, zda to je opravdu dobrý nápad vzhledem k zamýšleným cílům. Pro běžné desktop použití je libvirt, virtmanager, kvm a qemu dostatečně dobré a snad i dostatečně bezpečné.
Pokud si stále myslíte, že to potřebujete, tak existují distribuce, které to mají vyladěné s cílem maximální bezpečnosti - každá aplikace běží ve vlastním kontejneru (myslím, že jde o kontejnery) apod. Dosažená bezpečnost bude IMHO lepší, než když si budete něco vytvářet sám.
PS: Jak spustit qemu kvm bez roota se dá najít na netu. Nevypadá to tak složitě.
-
Neni tohle use case pro Qubes OS?
-
Uz som to napisal niekolkokrat. Ocakavanie je, ze QEMU je sw, ktory nebezi pod rootom. VirtualBox/KVM bezi pod rootom.
Snažíte se škrábat pravou rukou za levým uchem. Qemu s nastaveným přepínačem KVM "-enable-kvm", tzn. v režimu virtualizace lze nastavit, aby nejel pod rootem. Mě pod rootem nejede a KVM používám. Rootovská práva potřebuji jen když chci virtuálce přiřadit nějaký hardvare, ale i to lze nastavit, že konkrétní HW povolíte i pro neroota. A kdyby vám to z nějakého důvodu nešlo nebo byste to nemohl nastavit, tak Qemu má přepínač "-runas {user}", který dělá to, že když spustíte Qemu pod rootem, tak sníží práva na konkrétního uživatele. Když se podíváš do dokumentace Qemu (nebo kde jsem to viděl), tak je tam výstražným písmem napsáno, že Qemu by nemělo být nikdy spouštěno pod rootem.
Vy se místo toho snažíte spustit Qemu bez KVM, tzn. v režimu emulace s obrovským úbytkem výkonu, kdy vám nějaká mini distribuce příliš nepomůže!
Takže rozjeďte si Qemu s KVM bez potřeby roota a jako distribuci si vyberte, takovou na kterou jste zvyklý s nějakým minimalistickým DE (xfce, i3 ...) záleží co nabízí ta distribuce.
Mate este nejake tipy na vykon?
Pokud se rozhodneš pro Qemu s KVM a v biosu si povolíš VT-x a hodíš sem ukázku konkrétní konfigurace qemu, tak ti tu nějaké tipy zkusíme dát.
Este mi napadlo skusit v archive vyhrabat najstariu distribuciu s najstarsim prehliadacom, ktory ten web este akceptuje. Alebo Windows XP :-D
S nejstarším prohlížečem? A tomu na Slovensku říkáte bezpečnost? :) Ale jako vtip to beru ;) Nechci v tobě vyvolávat paranoické stavy, ale útočník se dokáže i z virtuálky dostat ven do hostitele. :o
-
Tak jsem se právě kouknul a při použití virtmanagera beží qemu pod uživatelem libvirt-qemu. Takže tazatel asi řeší neexistující problém.
-
Pokud je potřeba virtualizovat jinou CPU architekrutu, například ARM, pak nejde KVM použít a je to skutečně dost pomalé. Ale to asi nebude Váš případ.
Ano, to je moj pripad.
Neni tohle use case pro Qubes OS?
To uz staci aj ten VirtualBox :-) Vy si naozaj myslete, ze ak by som sa rozhodol pre virtualizaciu, ergo nativny beh dalsieho OS, tak by som riesil otazku vykonu.. pri pouzivani webovej aplikacie? Malo by to zmysel? Lebo by to bezalo takmer rovnako ako bez virtualizacie.
Snažíte se škrábat pravou rukou za levým uchem.
Ano chcem.
Když se podíváš do dokumentace Qemu (nebo kde jsem to viděl), tak je tam výstražným písmem napsáno, že Qemu by nemělo být nikdy spouštěno pod rootem.
Vazne? Myslim, ze tak 99 percent sw by sa nemalo pustat pod rootom.
Vy se místo toho snažíte spustit Qemu bez KVM, tzn. v režimu emulace s obrovským úbytkem výkonu, kdy vám nějaká mini distribuce příliš nepomůže!
Ánooo!!! Ze mini distubucia nepomoze som zistil a tym bola tema vycerpana. Viz: https://forum.root.cz/index.php?topic=18330.msg262609#msg262609 alebo https://forum.root.cz/index.php?topic=18330.msg262707#msg262707
Takže rozjeďte si Qemu s KVM..
A Vy si precitajte moju otazku: Lahka distribucia pre QEMU v rezime emulacia.
Pokud se rozhodneš pro Qemu s KVM a v biosu si povolíš VT-x a hodíš sem ukázku konkrétní konfigurace qemu, tak ti tu nějaké tipy zkusíme dát.
Vy si naozaj myslete, ze ak by som sa rozhodol pre virtualizaciu, ergo nativny beh dalsieho OS, tak by som riesil otazku vykonu.. pri pouzivani webovej aplikacie? Malo by to zmysel? Lebo by to bezalo takmer rovnako ako bez virtualizacie.
Nechci v tobě vyvolávat paranoické stavy, ale útočník se dokáže i z virtuálky dostat ven do hostitele. :o
#ňuňuňu <3 cmuk Tak sa dostante von z QEMU procesu, ktory bezi pod obmedzenym uctom, ktory bol osekany SELINUXom a okliesteny firewallom. Mam za to, ze vyskocit z takeho procesu je radovo narocnejsie ako sa dostat z virtualizacie, ktora si vie osahat realny HW.. a vediet sa dostat z vitrualizacie by bol ultra-kruto-husto-prisne strazenym zeroday.
Za mna, mozno sa skusim pohrat s touto instalaciou Gentoo, doplnit tam X a broswer. Alebo kupit TOP CPU. Predstavoval som si nieco taketo, len vytunenejsie :-) https://www.root.cz/clanky/bezpecny-tor-klient-ve-virtualizovanem-prostredi/
-
debian s xfce))
resi vse)
-
...
Rád bych ti pomohl, ale přiznám se, že tomu pořád nerozumím. Ty chceš jet v režimu emulace, protože:
- Si myslíš, že to je bezpečnější než v režimu virtualizace?
- Nebo chceš na X86 CPU spouštět aplikaci/browser pro ARM CPU?
- Nebo tu emulaci máš protože tvůj CPU nepodporuje virtualizaci, tzn, VT-x?
-
...
Rád bych ti pomohl, ale přiznám se, že tomu pořád nerozumím. Ty chceš jet v režimu emulace, protože:
- Si myslíš, že to je bezpečnější než v režimu virtualizace?
- Nebo chceš na X86 CPU spouštět aplikaci/browser pro ARM CPU?
- Nebo tu emulaci máš protože tvůj CPU nepodporuje virtualizaci, tzn, VT-x?
Asi si myslí, že to je bezpečnější než v režimu virtualizace. Aby mělo cenu tohle řešit, musel by mít tazatel extra požadavky na bezpečnost ale to by se zase asi takhle neptal. Podle mě nejsou ty požadavky a představy s nimi spojené úplně zdravé, ale samozřejmě se mohu mýlit :)
-
Asi si myslí, že to je bezpečnější než v režimu virtualizace....
Taky mám ten dojem, ale na otázku "Pokud je potřeba virtualizovat jinou CPU architekrutu, například ARM..." odpověděl "Ano, to je moj pripad.". Takže su z toho volaký zmetěný.
-
Nebylo by nejlepší přečíst si něco o KVM hardeningu a podle toho se zařídít, než se dobrovolně trápit s emulováním CPU? Osobně si nemyslím, že by použití KVM výrazně zvyšovalo bezpečnostní riziko, např. VENOM útok by v QEMU běžícím v režimu emulace CPU funoval taky.
-
Ja by som vsetky tie virtualizacie, KVMka a VT-x zakazala. Potom su diskutujuci volaaky zmateny a stale mi podsuvaju riesenia, ktore poznam a su mi jasne ich vyhody.
VENOM útok by v QEMU běžícím v režimu emulace CPU funoval taky.
Sorry, ale ten kto ma na stroji kus kodu, ktory nepotrebuje (v tomto pripade disketova mechanika), tak si zasluzi problémy. Napr. vo VirtualBoxe, ktory pouzivam, mam vypnutu zvukovu kartu, seriovy aj paralerny port a teraz som zapochyboval aj o potrebnosti CD mechanike :-D Ale priznam sa, ze som si myslel ze tento utok bol mozny len pod VMware. Neplanoval som mapovat realne zariadenia ku QEMU.
Asi si myslí, že to je bezpečnější než v režimu virtualizace. Aby mělo cenu tohle řešit, musel by mít tazatel extra požadavky na bezpečnost ale to by se zase asi takhle neptal. Podle mě nejsou ty požadavky a představy s nimi spojené úplně zdravé, ale samozřejmě se mohu mýlit :)
Takto nejako. Chcel som nieco skusit, nevyslo, ak by som mal poziadavku na prikazovu riadku a nie broswer, tak by sa to dalo pouzit. A hej, obcas som kandidat na alobalovu capicu.
- Si myslíš, že to je bezpečnější než v režimu virtualizace?
Ano
- Nebo chceš na X86 CPU spouštět aplikaci/browser pro ARM CPU?
Nie, na emulovanej architekture nezalezi, nech je to X86, MIPS, dierne stitky, whatever..
- Nebo tu emulaci máš protože tvůj CPU nepodporuje virtualizaci, tzn, VT-x?
Podporuje.
Taky postreh, tu je naznacene, ze ak zapisuje do RAMky grafickej karty, tak je to o dost pomalsie. Mozno to ma zmysel :-)
https://stackoverflow.com/questions/5450229/qemu-vs-qemu-kvm-some-performance-measurements
Inde som nasiel odhady, ze je QEMU pomale ako 1/10 vykonu hosta. A mam ale dojem, ze citat si dokumentaciu QEMU je uzitocnejsie ako sa tu vypytovat.
Este nejake trollo otazky?
-
- Si myslíš, že to je bezpečnější než v režimu virtualizace?
Ano
Ok, takže pokud tu bezpečnost řešíš až takto, tak za mě tato rada:
- zanořená virtualizace (nikoliv emulace) s kontejnerem. Bude to rychlejší než emulace. A pokud ti taková bezpečnost nestačí, tak s tebou již nechci mít nic společného, protože jsi zřejmě tajný agent, který by mě dostal do problémů. :)
Este nejake trollo otazky?
Proč pořád měníš jména? Taky nějaká souvislost s bezpečností?
-
KVM umi běžet na QEMU. Je to pak transparentní.
-
KVM umi běžet na QEMU. Je to pak transparentní.
Tazatal to ví, ale on KVM nechce, protože Qemu bez KVM, (tzn. v režimu emulace) považuje za bezpečnější.
-
Tomu nerozumím. QEMU pod KVM přece emuluje, proto tam je.
-
Tomu nerozumím. QEMU pod KVM přece emuluje, proto tam je.
Nee. Qemu pod KVM virtualizuje (x86 Skylake > x86 Haswell) = je rychlejší a potřebuješ CPU s VT-x, ale bez KVM nebo bez VT-x pouze emuluje (podobně jako když chceš x86 > arm).
-
A pokud ti taková bezpečnost nestačí, tak s tebou již nechci mít nic společného, protože jsi zřejmě tajný agent, který by mě dostal do problémů. :)
Ale ja sa vydavam za vojaka PTP, nie za 13 rocne dievca.
Proč pořád měníš jména? Taky nějaká souvislost s bezpečností?
Jednoducha pricina, TOR broswer neuklada historiu formularov a ja som tak kreativny.
K veci, Sparky Linux po instalacii, nie live, cez Midori vie prehravat youtube na 240pixelov a cca jedna snimka za sekundu. To nieje zle :-) Uvidime, co spravi SMP.
Zanořená virtualizace (nikoliv emulace) s kontejnerem.
Akoze VirtualBox/KVMom spusteny OS a vnom kontajnery? Mne ide skorej o to, aby instrukcie nevedeli vyvolat neznamu chybu v hw. Nieco ako Spectre/Meltdown/VENOM/IME etc... ale priznavam, ze pre terajsie pouzitie je to ako plamenometom na komara.
-
Nieco ako Spectre/Meltdown
Ty fungují i v emulaci/interpretaci (např. zaJITovaný JavaScript), budou tedy fungovat i v Qemu. Tam navíc při překladu x86→x86 nejspíš neprivilegované instrukce zůstanou as-is, takže to ani nebude potřeba upravovat.
Mimochodem proč je vlastně Qemu bez KVM tak pomalé, a přitom třeba VirtualBox s jeho runtime binárním hookováním chodí na HW bez HW virtualizace relativně rychle?
VENOM
To tuším byla díra v emulovaném driveru a tomu je jedno jestli se to do něj zapisuje z KVM nebo z emulace procesoru.
IME
K tomu se virtuál nedostane.
ale priznavam, ze pre terajsie pouzitie je to ako plamenometom na komara.
Já se hlavně bojím, že člověk, který nedokázal odladit pomalost a musí se ptát na takovéhle věci, udělá nějakou jinou díru hned vedle.
-
Tomu nerozumím. QEMU pod KVM přece emuluje, proto tam je.
Nee. Qemu pod KVM virtualizuje (x86 Skylake > x86 Haswell) = je rychlejší a potřebuješ CPU s VT-x, ale bez KVM nebo bez VT-x pouze emuluje (podobně jako když chceš x86 > arm).
Myslel jsem HVM, ale možná si to pletu se Xen HVM. Je to jako paravirtualizace, ale kde QEMU emuluje hardware.
-
Zanořená virtualizace (nikoliv emulace) s kontejnerem.
Akoze VirtualBox/KVMom spusteny OS a vnom kontajnery? Mne ide skorej o to, aby instrukcie nevedeli vyvolat neznamu chybu v hw. Nieco ako Spectre/Meltdown/VENOM/IME etc... ale priznavam, ze pre terajsie pouzitie je to ako plamenometom na komara.
Ano. Virtualbox bych do toho sice necpal, protože by mně vadilo, že si ho nemohu přizpůsobit, tak jako Qemu, ale to záleží na tobě. Takže bys pustil Qemu s KVM > nainstaloval bys OS > v něm spustil další Qemu s KVM > nainstaloval bys další OS > a v něm spustil kontejner. Virtuálce ve virtuálce se anglicky říká "nested": https://wiki.archlinux.org/index.php/KVM#Nested_virtualization .
Jako bonus budeš mít "dobrý pocit", že takové šílenosti neděláš sám, :) viz. zde rozchození Hyper-V pod Qemu s KVM: https://ladipro.wordpress.com/2017/02/24/running-hyperv-in-kvm-guest/