Lehká distribuce pro QEMU

mj. Haluzka

Re:lahka distribucia pre QEMU
« Odpověď #15 kdy: 27. 04. 2018, 15:47:56 »
Citace
Pokud je potřeba virtualizovat jinou CPU architekrutu, například ARM, pak nejde KVM použít a je to skutečně dost pomalé. Ale to asi nebude Váš případ.

Ano, to je moj pripad.

Citace
Neni tohle use case pro Qubes OS?

To uz staci aj ten VirtualBox :-) Vy si naozaj myslete, ze ak by som sa rozhodol pre virtualizaciu, ergo nativny beh dalsieho OS, tak by som riesil otazku vykonu.. pri pouzivani webovej aplikacie? Malo by to zmysel? Lebo by to bezalo takmer rovnako ako bez virtualizacie. 

Citace
Snažíte se škrábat pravou rukou za levým uchem.

Ano chcem.

Citace
Když se podíváš do dokumentace Qemu (nebo kde jsem to viděl), tak je tam výstražným písmem napsáno, že Qemu by nemělo být nikdy spouštěno pod rootem.

Vazne? Myslim, ze tak 99 percent sw by sa nemalo pustat pod rootom.

Citace
Vy se místo toho snažíte spustit Qemu bez KVM, tzn. v režimu emulace s obrovským úbytkem výkonu, kdy vám nějaká mini distribuce příliš nepomůže!

Ánooo!!! Ze mini distubucia nepomoze som zistil a tym bola tema vycerpana. Viz: https://forum.root.cz/index.php?topic=18330.msg262609#msg262609 alebo https://forum.root.cz/index.php?topic=18330.msg262707#msg262707

Citace
Takže rozjeďte si Qemu s KVM..

A Vy si precitajte moju otazku: Lahka distribucia pre QEMU v rezime emulacia.

Citace
Pokud se rozhodneš pro Qemu s KVM a v biosu si povolíš VT-x a hodíš sem ukázku konkrétní konfigurace qemu, tak ti tu nějaké tipy zkusíme dát.

Vy si naozaj myslete, ze ak by som sa rozhodol pre virtualizaciu, ergo nativny beh dalsieho OS, tak by som riesil otazku vykonu.. pri pouzivani webovej aplikacie? Malo by to zmysel? Lebo by to bezalo takmer rovnako ako bez virtualizacie. 

Citace
Nechci v tobě vyvolávat paranoické stavy, ale útočník se dokáže i z virtuálky dostat ven do hostitele.  :o

#ňuňuňu <3  cmuk Tak sa dostante von z QEMU procesu, ktory bezi pod obmedzenym uctom, ktory bol osekany SELINUXom a okliesteny firewallom. Mam za to, ze vyskocit z takeho procesu je radovo narocnejsie ako sa dostat z virtualizacie, ktora si vie osahat realny HW.. a vediet sa dostat z vitrualizacie by bol ultra-kruto-husto-prisne strazenym zeroday.

Za mna, mozno sa skusim pohrat s touto instalaciou Gentoo, doplnit tam X a broswer. Alebo kupit TOP CPU. Predstavoval som si nieco taketo, len vytunenejsie :-) https://www.root.cz/clanky/bezpecny-tor-klient-ve-virtualizovanem-prostredi/

 


tt

Re:Lehká distribuce pro QEMU
« Odpověď #16 kdy: 27. 04. 2018, 16:01:50 »
debian s xfce))
resi vse)

LarryLin

Re:lahka distribucia pre QEMU
« Odpověď #17 kdy: 27. 04. 2018, 19:37:26 »
...
Rád bych ti pomohl, ale přiznám se, že tomu pořád nerozumím. Ty chceš jet v režimu emulace, protože:
  • Si myslíš, že to je bezpečnější než v režimu virtualizace?
  • Nebo chceš na X86 CPU spouštět aplikaci/browser pro ARM CPU?
  • Nebo tu emulaci máš protože tvůj CPU nepodporuje virtualizaci, tzn, VT-x?

Re:lahka distribucia pre QEMU
« Odpověď #18 kdy: 27. 04. 2018, 20:40:05 »
...
Rád bych ti pomohl, ale přiznám se, že tomu pořád nerozumím. Ty chceš jet v režimu emulace, protože:
  • Si myslíš, že to je bezpečnější než v režimu virtualizace?
  • Nebo chceš na X86 CPU spouštět aplikaci/browser pro ARM CPU?
  • Nebo tu emulaci máš protože tvůj CPU nepodporuje virtualizaci, tzn, VT-x?

Asi si myslí, že to je bezpečnější než v režimu virtualizace. Aby mělo cenu tohle řešit, musel by mít tazatel extra požadavky na bezpečnost ale to by se zase asi takhle neptal. Podle mě nejsou ty požadavky a představy s nimi spojené úplně zdravé, ale samozřejmě se mohu mýlit :)

LarryLin

Re:lahka distribucia pre QEMU
« Odpověď #19 kdy: 27. 04. 2018, 22:15:25 »
Asi si myslí, že to je bezpečnější než v režimu virtualizace....
Taky mám ten dojem, ale na otázku "Pokud je potřeba virtualizovat jinou CPU architekrutu, například ARM..." odpověděl "Ano, to je moj pripad.". Takže su z toho volaký zmetěný.


Neviditelný

Re:Lehká distribuce pro QEMU
« Odpověď #20 kdy: 28. 04. 2018, 10:34:37 »
Nebylo by nejlepší přečíst si něco o KVM hardeningu a podle toho se zařídít, než se dobrovolně trápit s emulováním CPU? Osobně si nemyslím, že by použití KVM výrazně zvyšovalo bezpečnostní riziko, např. VENOM útok by v QEMU běžícím v režimu emulace CPU funoval taky.

Pohlova

Re:Lehká distribuce pro QEMU
« Odpověď #21 kdy: 28. 04. 2018, 14:31:01 »
Ja by som vsetky tie virtualizacie, KVMka a VT-x zakazala. Potom su diskutujuci volaaky zmateny a stale mi podsuvaju riesenia, ktore poznam a su mi jasne ich vyhody.

Citace
VENOM útok by v QEMU běžícím v režimu emulace CPU funoval taky.

Sorry, ale ten kto ma na stroji kus kodu, ktory nepotrebuje (v tomto pripade disketova mechanika), tak si zasluzi problémy. Napr. vo VirtualBoxe, ktory pouzivam, mam vypnutu zvukovu kartu, seriovy aj paralerny port a teraz som zapochyboval aj o potrebnosti CD mechanike :-D Ale priznam sa, ze som si myslel ze tento utok bol mozny len pod VMware. Neplanoval som mapovat realne zariadenia ku QEMU.

Citace
Asi si myslí, že to je bezpečnější než v režimu virtualizace. Aby mělo cenu tohle řešit, musel by mít tazatel extra požadavky na bezpečnost ale to by se zase asi takhle neptal. Podle mě nejsou ty požadavky a představy s nimi spojené úplně zdravé, ale samozřejmě se mohu mýlit :)

Takto nejako. Chcel som nieco skusit, nevyslo, ak by som mal poziadavku na prikazovu riadku a nie broswer, tak by sa to dalo pouzit.  A hej, obcas som kandidat na alobalovu capicu.

Citace
  • Si myslíš, že to je bezpečnější než v režimu virtualizace?
Ano

Citace
  • Nebo chceš na X86 CPU spouštět aplikaci/browser pro ARM CPU?
Nie, na emulovanej architekture nezalezi, nech je to X86, MIPS, dierne stitky, whatever..

Citace
  • Nebo tu emulaci máš protože tvůj CPU nepodporuje virtualizaci, tzn, VT-x?
Podporuje.

Taky postreh, tu je naznacene, ze ak zapisuje do RAMky grafickej karty, tak je to o dost pomalsie. Mozno to ma zmysel :-)
https://stackoverflow.com/questions/5450229/qemu-vs-qemu-kvm-some-performance-measurements

Inde som nasiel odhady, ze je QEMU pomale ako 1/10 vykonu hosta. A mam ale dojem, ze citat si dokumentaciu QEMU je uzitocnejsie ako sa tu vypytovat.

Este nejake trollo otazky?

LarryLin

Re:Lehká distribuce pro QEMU
« Odpověď #22 kdy: 28. 04. 2018, 17:37:10 »
Citace
  • Si myslíš, že to je bezpečnější než v režimu virtualizace?
Ano
Ok, takže pokud tu bezpečnost řešíš až takto, tak za mě tato rada:
- zanořená virtualizace (nikoliv emulace) s kontejnerem. Bude to rychlejší než emulace. A pokud ti taková bezpečnost nestačí, tak s tebou již nechci mít nic společného, protože jsi zřejmě tajný agent, který by mě dostal do problémů. :)

Este nejake trollo otazky?
Proč pořád měníš jména? Taky nějaká souvislost s bezpečností?

jk

Re:Lehká distribuce pro QEMU
« Odpověď #23 kdy: 28. 04. 2018, 23:53:44 »
KVM umi běžet na QEMU. Je to pak transparentní.

LarryLin

Re:Lehká distribuce pro QEMU
« Odpověď #24 kdy: 29. 04. 2018, 10:09:19 »
KVM umi běžet na QEMU. Je to pak transparentní.
Tazatal to ví, ale on KVM nechce, protože Qemu bez KVM, (tzn. v režimu emulace) považuje za bezpečnější.

jk

Re:Lehká distribuce pro QEMU
« Odpověď #25 kdy: 29. 04. 2018, 15:32:35 »
Tomu nerozumím. QEMU pod KVM přece emuluje, proto tam je.

LarryLin

Re:Lehká distribuce pro QEMU
« Odpověď #26 kdy: 29. 04. 2018, 18:40:26 »
Tomu nerozumím. QEMU pod KVM přece emuluje, proto tam je.
Nee. Qemu pod KVM virtualizuje (x86 Skylake > x86 Haswell) = je rychlejší a potřebuješ CPU s VT-x, ale bez KVM nebo bez VT-x pouze emuluje (podobně jako když chceš x86 > arm).

Cerny Baron

Re:Lehká distribuce pro QEMU
« Odpověď #27 kdy: 29. 04. 2018, 19:49:36 »
Citace
A pokud ti taková bezpečnost nestačí, tak s tebou již nechci mít nic společného, protože jsi zřejmě tajný agent, který by mě dostal do problémů. :)

Ale ja sa vydavam za vojaka PTP, nie za 13 rocne dievca.

Citace
Proč pořád měníš jména? Taky nějaká souvislost s bezpečností?

Jednoducha pricina, TOR broswer neuklada historiu formularov a ja som tak kreativny.

K veci, Sparky Linux po instalacii, nie live, cez Midori vie prehravat youtube na 240pixelov a cca jedna snimka za sekundu. To nieje zle :-)  Uvidime, co spravi SMP.

Citace
Zanořená virtualizace (nikoliv emulace) s kontejnerem.

Akoze VirtualBox/KVMom spusteny OS a vnom kontajnery? Mne ide skorej o to, aby instrukcie nevedeli vyvolat neznamu chybu v hw. Nieco ako Spectre/Meltdown/VENOM/IME etc... ale priznavam, ze pre terajsie pouzitie je to ako plamenometom na komara.

Jenda

Re:Lehká distribuce pro QEMU
« Odpověď #28 kdy: 30. 04. 2018, 00:19:27 »
Nieco ako Spectre/Meltdown

Ty fungují i v emulaci/interpretaci (např. zaJITovaný JavaScript), budou tedy fungovat i v Qemu. Tam navíc při překladu x86→x86 nejspíš neprivilegované instrukce zůstanou as-is, takže to ani nebude potřeba upravovat.

Mimochodem proč je vlastně Qemu bez KVM tak pomalé, a přitom třeba VirtualBox s jeho runtime binárním hookováním chodí na HW bez HW virtualizace relativně rychle?

VENOM

To tuším byla díra v emulovaném driveru a tomu je jedno jestli se to do něj zapisuje z KVM nebo z emulace procesoru.

IME

K tomu se virtuál nedostane.

ale priznavam, ze pre terajsie pouzitie je to ako plamenometom na komara.

Já se hlavně bojím, že člověk, který nedokázal odladit pomalost a musí se ptát na takovéhle věci, udělá nějakou jinou díru hned vedle.

jk

Re:Lehká distribuce pro QEMU
« Odpověď #29 kdy: 30. 04. 2018, 10:13:11 »
Tomu nerozumím. QEMU pod KVM přece emuluje, proto tam je.
Nee. Qemu pod KVM virtualizuje (x86 Skylake > x86 Haswell) = je rychlejší a potřebuješ CPU s VT-x, ale bez KVM nebo bez VT-x pouze emuluje (podobně jako když chceš x86 > arm).
Myslel jsem HVM, ale možná si to pletu se Xen HVM. Je to jako paravirtualizace, ale kde QEMU emuluje hardware.