Virtual 3d

[vitus_wagner]

Технология виртуализации 3d-графики мало помалу пробивает себе путь.

Мы уже имеем Linux 4.4 (сегодня)
QEMU 2.5 rc0 (позавера)
и поддержку VirGL в Mesa (пока только в транке, не отрелизено).
Не хватает еще guest-драйвера для Windows, чтобы пускать 3d игры в kvm.

Я, правда еще не совсем понял, нужно ли для использования virtio-virgl драйвера в KVM иметь ядро 4.4 на хосте или драйвер в ядре нужен только в guest. Но, полагаю, что к тому времени как у меня дойдут руки с ним поиграться, появятся более-менее вменяемые howto по настройке.

Comments

[amarao-san.livejournal.com]

Ну, я бы частично с этим согласился, если бы часть приложений не исполняли бы постронний неизвестно кем написанный код (ака браузер с JS'ом). Реалии таковы, что мы это позволяем, а значит, не должно быть ситуации, чтобы приложение "под скринсейвером" могло читать ввод пароля в скринсейвере.

[vitus_wagner]

На уровне приложений это не разграничивается. Потому что пароль, дающий доступ к нашему банковскому счету мы вводим все равно в том же приложении - в браузере, при заходе на сайт интернет-банка.

Приложения просто абсолютно нелогичная единица разграничения полномочий.

Security Zones в интернет-эксплорере - и то куда более логичная система.

[amarao-san.livejournal.com]

Ну, чисто теоретически, я хотел бы (хотя бы на уровне приложений) разрешать/запрещать перехват ввода/вывода других приложений.

У меня steam работает в network namespace от пользователя steam. И всё хорошо - но каждая игрушка имеет доступ к всем X'ам. И меня это напрягает.

[vitus_wagner]

Ну если ты считаешь, что стим вообще имеет право существовать на твоей машине, можешь не париться и ставить Windows 10.

[amarao-san.livejournal.com]

Я вполне спокойно отношусь к тому, что у меня запущены приложения с пониженными правами. Ровно так же ты допускаешь существование на своей машине приложений, запускаемых посторонними пользователями или даже тобой, но "без рута".

Разделение полномочий и изоляция контекстов - совершенно well-established процедура. Даже в самом наи-libre linux'е очень доверенные и свободные процессы всё равно не могут ковыряться в памяти ядра.

[tzirechnoy.livejournal.com]

Над этим, конечно, надо работать -- но по факту правильно заметили, что оно и в винде в большынстве случаев неработает.

[tzirechnoy.livejournal.com]

А вообще, конечно, скринсэйвер в многопользовательской ОС должэн вызывать экран выбора пользовательской сэссии с возможностью запустить новую... Потому рутовый экран, конечно, аналог *dm.

[vitus_wagner]

Ну вообще-то в gdm это уже сто лет как есть.
Проблема в том что перехват пароля к джире или клиент-банку вводимого в соседнем окне браузера - ничуть не лучше перехвата пароля к системе.

[amarao-san.livejournal.com]

С другой стороны меня lightdm'овский лок страшно бесит, потому что после лока компьютера все мои процессы оказываются приостановлены (включая ssh'и, которые начинают отвалиться по таймаутам).

[tzirechnoy.livejournal.com]

А почему процэссы оказываются приостановлены?

[amarao-san.livejournal.com]

Гипервизор решил, что на этом отведённое время для Шахеризады закончилось. Или пользователь на соседний десктоп переключился. Или модный композитный менеджер решил, что пользователь отпустил alt-tab и рисовать превьюшку больше не нужно.