Docker как альтернатива Qubes OS?

Question

[tzsjkjauqktud]

Привет!
Есть QubesOS призванный обезопасить работу с ПО посредством изоляции процессов друг от друга. Могу ли я предпочесть использовать вместо целой ОСи Docker? Естественно, речь идёт о ПО без GUI, потому как графическая оболочка тоже должна изолироваться
вопрос касается безопасности данного предпочтения. Сам кубес, насколько мне известно, очень нестабилен, и как по мне - довольно избыточен в некоторых моментах

Comments

[shurshur]

А в связи с чем вообще вопрос? Qubes - больше эксперимент, чем практически полезная штука. В то время как докер используется много где.

[Uno]

shurshur, сути не отменяет

[Uno]

shurshur, вопрос как раз об этом - можно ли заменить эксперимент на что-то более стабильное и привычное
Скорее автор не так сформулировал и хотел спросить - а такая же в докере глубина изоляции как в кубес, и если да - тогда почему я не могу их взаимозаменить

[shurshur]

Uno, метод изоляции у них разный: Qubes OS работает на полноценных виртуалках, а Docker производит изоляцию в пределах одного запущенного ядра.

Answer 1

[Sanes]

Да ничего там не изолирутся. Это условная изоляция и оверхед. Всё это есть в в ядре линукс. Докер лишь надстройка, как и LXD.
Откройте для себя Namespace, Userspace и Cgroups.

Comments

[Uno]

А в кубес это аппаратная виртуализация безусловно.
Можно подробнее если есть конструктив?)
Та же изоляция процессов, разве нет?)

[Sanes]

Uno, даже аппаратная виртуализация была дырявая. По крайней мере в Xen можно было получить доступ к хосту.

[Sanes]

Uno, редкий любитель докера умеет с ним работать. Пихают всё в один контейнер. Чтобы по-человечески развернуть окружение надо сильно заморочиться. Чтобы в контейнере не было ни единого изменения в файловой системе.

[Uno]

Sanes, по крааайней меееере, даааже. Покажи мне в чем дыр не было это раз, во вторых вопросы от тс остаются открытыми

[Sanes]

Uno,
https://www.opennet.ru/opennews/art.shtml?num=50765

[Sanes]

Uno,
https://xakep.ru/2020/12/03/docker-hub-analisys/

[Sanes]

Uno,
https://www.opennet.ru/opennews/art.shtml?num=51764
Дальше сам найдешь.

[Uno]

Sanes,

Покажи мне в чем дыр не было ...

Не понятно разве что я и сам об этом сказал?

[Sanes]

Uno, я поэтому и говорю, что изоляция условная. К безопасности никак не относится.

[Uno]

Sanes, Речь идет об удобности, привычности использования, врядли тсу впринципе когда то повезет запустить что то что выберется на хост с гостя. Он скорее не так сформулировал. Глянь плз коммент мой последний к самому вопросу - там я позволил себе переформулировать вопрос тса, возможно он это имел ввиду

[tzsjkjauqktud]

Uno, в общем то да, ваша формулировка лучше, но не думал что здесь спецы настолько к формулировкам прикапываются. Если бы я разбирался и знал то таких вопросов не задавал бы логично