Bonjour à tous,
J'aimerai pouvoir utiliser sur un même ordinateur différents systèmes d'exploitation isolés en eux, dans le but que si un système est compromis, les autres restent sains. J'utilise actuellement Fedora avec un i5, qui supporte les instructions VT, et un disque de 1TB. Je penses à deux possibilités :
--> Un multiboot, partitionnement GPT, un GRUB qui renvoie vers les différents OS.
Avantage(s) :
- performances maximales (pas de virtualisation)
Inconvénients :
- les systèmes peuvent accéder aux partitions des autres OS (ou alors il faut chiffrer toutes les partitions)
- Utilisation d'un seul système à la fois
--> Virtualisation avec un hyperviseur de type 2, probablement KVM qui est bien intégré à Fedora.
Avantages :
- isolation complète, le système n'a pas accès au matériel de la machine hôte ni aux autres partitions
- plusieurs systèmes d'exploitation peuvent fonctionner simultanément
- possibilité de revenir facilement à un état antérieur avec les snapshots
Inconvénients :
- perte de performances à cause de la virtualisation, cependant faible avec l'utilisation d'Intel VT ?
Qu'en pensez-vous ?
# KVM
Posté par Marotte ⛧ . Évalué à 2.
Moi je partirais sur la virtualisation. C'est beaucoup plus souple qu'un multiboot.
Par contre je n'ai aucune idée de l'ampleur des pertes de performances.
# rack
Posté par dest . Évalué à 4.
Si tu arrives à accepter que le multiboot n'est pas la mort, alors je pense qu'il te faudrait 2 disques avec chacun un OS et tu mets le disque dans un rack.
Quand tu voudras changer d'OS, tu échangeras le disque du rack.
# virtualisation
Posté par NeoX . Évalué à 2.
kvm + guest drivers
virtualbox + guest additions
voir juste des conteneurs si ton OS principal est linux et des machines à isoler aussi
les conteneurs peuvent etre lxc, openvz, vserver
questions perfs, avec les guest drivers ou les guests tools je n'ai pas de probleme particulier.
seule restriction, les jeux en 3D dans un windows virtuels.
[^] # Re: virtualisation
Posté par Florent . Évalué à 0.
Oui tous les OS sont des Linux, Fedora pour l'hôte, et Fedora, Archlinux et Debian pour les invités.
Je pense que je vais me tourner vers la virtualisation, plus souple et mieux isolé.
"A computer is like air conditioning – it becomes useless when you open Windows", Linus Torvalds
[^] # Re: virtualisation
Posté par NeoX . Évalué à 3.
vu que les OS vont etre differents, je te recommande KVM ou Virtualbox qui simule completement un PC.
c'est un peu plus "gourmand" que les simples conteneurs, mais ca permet de simuler vraiment ce que tu veux en nombre de carte reseau, de disque dur, etc
[^] # Re: virtualisation
Posté par Florent . Évalué à -1.
Je vais tester KVM dans les prochains jours, je pense aussi que c'est la solution la plus adaptée. le but n'est pas de faire du jeu donc pas de problème de performances.
Concernant la sécurité, tu as déjà entendu parler de logiciels capables d'accéder au système hôte à travers KVM ?
"A computer is like air conditioning – it becomes useless when you open Windows", Linus Torvalds
[^] # Re: virtualisation
Posté par NeoX . Évalué à 3.
je ne me suis jamais posé la question,
tu veux parler d'acces non souhaité, ou d'acceder à des fichiers de la machine principale depuis les KVM ?
[^] # Re: virtualisation
Posté par Florent . Évalué à 0.
Je veux dire un trojan qui arriverait à accéder au système de fichiers voire aux processus de la machine hôte.
"A computer is like air conditioning – it becomes useless when you open Windows", Linus Torvalds
[^] # Re: virtualisation
Posté par NeoX . Évalué à 4.
en virtualisation KVM, j'ose esperer que les choses sont bien fait, ta machine virtuelle parlant uniquement au noyau linux de ta machine hote via un module.
en virtualisation virtualbox, j'aimgine que c'est similaire vu qu'a l'installation il installe un module vboxdriver
mais là peut-etre qu'il faudrait faire un audit pour analyser tout ca.
une idée pour le KVM serait d'avoir un simple utilisateur par KVM sur la machine hote par exemple.
apres les attaques peuvent se faire comme d'hab, au travers du reseau car ce n'est pas la virtualisation qui va te proteger, mais la config des services,les parefeux, etc
# Ca existe déjà tout prêt
Posté par AgentSteel (site web personnel) . Évalué à 3.
et en plus c'est à base de Fedora :)
Qubes OS
http://qubes-os.org/trac/wiki
[^] # Re: Ca existe déjà tout prêt
Posté par briaeros007 . Évalué à 2.
par contre j'ai pas l'impression que qubes puisse être utilisé pour regarder des vidéos /o\ (pas de GPU passthrough donc pas de XV ou équivalent je pense)
[^] # Re: Ca existe déjà tout prêt
Posté par NeoX . Évalué à 2.
depuis quand on ne peut pas regarder de video dans une machine virtuelle ?
[^] # Re: Ca existe déjà tout prêt
Posté par briaeros007 . Évalué à 2.
Parce que les pilotes d'affichage des VMs ne sont pas adapté à cela (et donc, j'ai l'impression de me répéter, pas de XV ou équivalent).
De même pour un jeu. Je te souhaite bonne chance pour faire tourner le dernier jeu opengl à la mode dans une VM Xen.
[^] # Re: Ca existe déjà tout prêt
Posté par NeoX . Évalué à 3.
l'absence d'acces à l'acceleration materielle n'interdit pas de lire une video, juste que cela sera fait alors de maniere logicielle et ce sera gourmand sur l'usage CPU.
par contre, oui, les acces 3D dans les jeux sont fortement compromis, sauf à avoir les pilotes qui vont bien pour les hotes.
ca existe pour kvm, virtualbox, j'ose esperer que cela existe pour xen.
[^] # Re: Ca existe déjà tout prêt
Posté par AgentSteel (site web personnel) . Évalué à 0.
à tester
http://wiki.xen.org/wiki/Xen_VGA_Passthrough
http://wiki.xen.org/wiki/Xen_VGA_Passthrough_Tested_Adapters
[^] # Re: Ca existe déjà tout prêt
Posté par NeoX . Évalué à 2.
interessant faut que je me penches sur l'histoire de MMBAR pour passer la GT460 en Quadro ;)
[^] # Re: Ca existe déjà tout prêt
Posté par Kerro . Évalué à 2.
Ça fonctionne également avec Qemu/KVM. Il faut que le processeur et la carte-mère gèrent VT-d
http://www.linux-kvm.org/page/How_to_assign_devices_with_VT-d_in_KVM
Je n'ai pas testé avec une carte graphique.
Avec une carte "multi-usb" ça fonctionne bien.
[^] # Re: Ca existe déjà tout prêt
Posté par Florent . Évalué à 0.
Intéressant, ça se rapproche beaucoup de mon idée. Merci !
"A computer is like air conditioning – it becomes useless when you open Windows", Linus Torvalds
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.