1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Qubes OS angeschaut: Abschottung…

warum nicht mit docker statt xen?

  1. Thema

Neues Thema Ansicht wechseln


  1. warum nicht mit docker statt xen?

    Autor: monotek 21.10.14 - 12:54

    imho wär das system dann schlanker, weils keinen virtualisierungs overhead gäbe...

  2. Re: warum nicht mit docker statt xen?

    Autor: RipClaw 21.10.14 - 13:24

    monotek schrieb:
    --------------------------------------------------------------------------------
    > imho wär das system dann schlanker, weils keinen virtualisierungs overhead
    > gäbe...

    Docker ist nicht für Software mit graphischer Oberfläche geeignet soweit ich weiß.

    Zudem wurde das Qubes OS Projekt gestartet lange bevor Docker auf der Bildoberfläche erschienen ist. Daher wurde es wohl nie in Betracht gezogen da sonst alles neu gemacht werden hätte müssen.

  3. Re: warum nicht mit docker statt xen?

    Autor: jaykay2342 21.10.14 - 13:52

    bei den xen vms is mehr isoliert als bei docker. docker war gar nicht dafür gedacht als Sicherheitsbarriere zu dienen das bauen die ja jetzt erst langsam ein wenig ein.

  4. Re: warum nicht mit docker statt xen?

    Autor: monotek 21.10.14 - 16:07

    ja ist mir bekannt, dass das projekt schon etwas älter ist.
    man hätte ja aber inzwischen einen wechsel zu docker trotzdem in betracht ziehen können.

    ich würde die grafische oberfläche auch dem hostsystem überlassen.
    firefox, thunderbird etc könnte man aber durchaus in einem docker container einsperren...

    macht aber wohl wirklich erst sinn, wenn die angekündigten sicherheitsfeatures in docker kommen...

  5. Re: warum nicht mit docker statt xen?

    Autor: drasojem 21.10.14 - 21:42

    Die Entscheidung zu xen wurde damals aufgrund der starken isolierung und des schlanken desings getroffen. Aber vorallem bietet xen die möglichkeit die Netzwerkhardware per vt-d /IOMMU in eine eigene VM zu verschieben und so sicher zu isolieren (denn treiber und firmware der karten können auch bugs haben). Sowei ich weiß kann docker soetwas nicht (ich lasse mich gerne korrigieren).
    Mit dem anstehenden R3 release und dem abstraction layer sollte es aber trotzdem möglich sein Qubes auf Docker zu portieren, da es ab dann unabhängig vom hypervisor entwickelt wird damit jeder den hypervisor nutzen kann den er für am besten hält.

  6. Re: warum nicht mit docker statt xen?

    Autor: gadthrawn 07.12.14 - 16:22

    drasojem schrieb:
    --------------------------------------------------------------------------------
    > Die Entscheidung zu xen wurde damals aufgrund der starken isolierung und
    > des schlanken desings getroffen. Aber vorallem bietet xen die möglichkeit
    > die Netzwerkhardware per vt-d /IOMMU in eine eigene VM zu verschieben und
    > so sicher zu isolieren (denn treiber und firmware der karten können auch
    > bugs haben). Sowei ich weiß kann docker soetwas nicht (ich lasse mich gerne
    > korrigieren).
    > Mit dem anstehenden R3 release und dem abstraction layer sollte es aber
    > trotzdem möglich sein Qubes auf Docker zu portieren, da es ab dann
    > unabhängig vom hypervisor entwickelt wird damit jeder den hypervisor nutzen
    > kann den er für am besten hält.


    Was nutzt es wenn die Firmware alles an dritte Stelle weiterleitet, was einem Muster entspricht?

  7. Re: warum nicht mit docker statt xen?

    Autor: drasojem 09.12.14 - 10:23

    gadthrawn schrieb:
    --------------------------------------------------------------------------------
    > Was nutzt es wenn die Firmware alles an dritte Stelle weiterleitet, was
    > einem Muster entspricht?

    Dagegen hilft nur Verschlüsselung. Das ist ja nichts anderes als irgendein netzwerksniffer. Allerdings können pci geräte per dma das komplette Hostsystem übernehmen. Davor schützt eine Isolierung per vt-d, da dadurch dma nur auf dem Speicherbereich der vm möglich ist.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Informatiker (m/w/d) im Referat "Informationstechnik&qu- ot; der Zentralabteilung
    BfS Bundesamt für Strahlenschutz, Berlin
  2. Senior Software-Entwickler_in (w/m/d)
    Technische Universität Darmstadt, Darmstadt
  3. Technical Consultant ServiceNow (m/w/d)
    operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Dresden, München
  4. Wissenschaftliche*r Mitarbeiter*in (d/m/w) - Institut für Softwaretechnik und Theoretische Informatik/FG
    Technische Universität Berlin, Berlin

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 629,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Lois Lew: Die berühmteste Sekretärin, die IBM je hatte
Lois Lew
Die berühmteste Sekretärin, die IBM je hatte

Lois Lew war Sekretärin bei IBM, als sie die Chance bekam, auf eine große Werbetour zu gehen. Dabei stellte sich heraus: Sie ist ein Gedächtnisgenie.
Ein Porträt von Elke Wittich

  1. Kyndryl IBMs aufgespaltenes Unternehmen bekommt einen neuen Namen
  2. Programmiersprache IBM will mit Cobol in die Linux-Cloud
  3. IBM Deutschland IBM-Beschäftigte wehren sich in Webex gegen Kündigungen

Probleme mit Agilität in Konzernen: Agil sein muss man auch wollen
Probleme mit Agilität in Konzernen
Agil sein muss man auch wollen

Ansätze wie das Spotify-Modell sollen großen Firmen helfen, agil zu werden. Wer aber erwartet, dass man es überstülpen kann und dann ist alles gut, der irrt sich.
Ein Erfahrungsbericht von Marvin Engel


    Aus dem Verlag: Ultra-PC mit 12-Kern-Ryzen und Geforce RTX 3080
    Aus dem Verlag
    Ultra-PC mit 12-Kern-Ryzen und Geforce RTX 3080

    Das neue Topmodell der Golem-Systeme nutzt eine schnelle Ryzen-CPU, dazu eine PCIe-Gen4-SSD von Samsung und eine Geforce RTX 3080.

    1. Aus dem Verlag Performance-PC mit Radeon RX 6700 XT startet
    2. Aus dem Verlag Golem-PC mit Geforce RTX 3060 verfügbar
    3. Aus dem Verlag Golem-PC mit Ryzen 5800X und RX 6900 XT