[vpsFree.cz: community-list] Sprava pameti na vpsAdminOS

Pavel Snajdr snajpa at snajpa.net
Fri Aug 14 15:19:40 CEST 2020 

> Jak komu :-) , já to radši zavřu do plnotučného virtuálu a tohle
> všechno se rázem vyřeší samo z principu. I když taky jsem už podlehl a
> spouštím si doma přes LXC popelnici na Steam. :-)

No jestli doma bezis s mitigations=off, tak Ti to muze byt sumak - taky 
tak bezim virtualizovanou workstation. Jinak bych se teda KVM vyhnul 
obrovskym obloukem, kdyz po tom reseni chci (jako vzdycky) vyladeny 
pomer cena/vykon.

> 
>> Jinak v soucasne dobe se kontejnerizaci v jadre venuje jen par 
>> premotivovanych lidi z Canonicalu, kteri ale nepremysli nad vecma 
>> koncepcne, oni jsou na tom jeste hur - pro ne primarne existuji quick 
>> hacky jako defaultni modus operandi, ne ze by jako my "nestihali". 
>> Treba takovy Chris Brauner, jeho prace je vylozene bezkoncepcni 
>> hura-styl - ono to asi s vanilla linuxem jinak nejde.
> 
> Tady bych si teda trochu rejpnul, protože hned to první řešení "prostě
> nebudeme účtovat mapovanou paměť do memcg členů" je přesně takový
> quick hack (a upřímně jsem docela čekal to, co je popsané hned o pár
> řádků níž - že to udělá bordel někde jinde)

Ja to jako rejpnuti nevidim, protoze to, ze to nejspis nebude fungovat, 
jsme cekali vsichni (vc. Aithera, ktery byva vuci mym quickhackum docela 
ve spravnych pripadech skepticky :D).

> 
>> Proto se ujala driv a rozsirila tak moc... ne ze by slo o nejakou 
>> uzasnou security navic nebo tak (nakonec se ukazuje ve svetle Spectre 
>> a podobnych zranitelnosti, ze to borci s tim tvrzenim, ze je fullvirt 
>> bezpecnejsi, dost nabubrele prehaneli).
> 
> To je hodně zavádějící argument, kontejnery na Spectre a podobné trpí
> úplně stejně jako plná virtualizace. Takže pro porovnávání zbývá jen
> to ostatní a tam je na tom plná virtualizace pořád líp.

Tak to sotva. Prvni level flushuje caches - a pak se prepnes na program, 
ktery zase flushuje caches a az ten vybira, ktery ten uzivatelsky 
program, kvuli kterym je ten stroj vubec pusteny, pobezi.

Fullvirt hypervizor nemuze z techhle mitigaci vyjit dobre, protoze je to 
dalsi uroven task switchingu, kde se musi davat bacha, aby neco 
neleakovalo :)

/snajpa

More information about the Community-list mailing list