Котэ

Если кому меня скушно читать, потому что я пишу все больше о железках или брюзжу на все подряд, то вот вам, для разнообразия, жывтоне:



(Долли (слева) и Марта (справа), фото mosomedve)

Пяни + жърчик == вздрыжни эффект!

Ну я давно (и неоднократно) писал, что виртулизация, как мы ее знаем на x86, практически не в состоянии обеспечить дополнительный уровень безопасности, о котором стоило бы вообще говорить (за другие архитектуры не поручусь, не исключено, что ими просто серьезно не занимались и дела обстоят не лучше). Соответственно, необходимы дополнительные средства, желательно на уровне операционной системы. А под linux, как мы знаем, есть SELinux, реализующий много интересных дополнительных механизмов. Кому как, мне для firewall'а был бы удобнее механизм менее гибкий, но более прямолинейный, например Systrace, в OpenBSD он встроенный, но для приложений общего назначения, конечно, лучше подойдет именно нечто вроде SELinux. Я хотел бы обратить внимание на проект sVirt, о котором я прочитал в блоге Андрея Маркелова. (В этом блоге вообще много интересного про безопасность вообще и SELinux в частности) Упомянутый sVirt - это oVirt+SELinux, то есть как раз то, что хотелось бы видеть. Конечно, есть очевидная проблема: если безопасность хост-системы и гостевой системы обеспечивается одним и тем же механизмом, в случае обнаружения серьезной уязвимости в SELinux нам делается плохо сразу и окончательно и опять нам виртуализация не поможет ничем. Но тем не менее, проект интересный и еще интереснее было бы подумать, какие дополнительные возможности по организации безопасной архитектуры может предоставить такая связка.