forum.opennet.ru - "Выпуск Proxmox VE 9.2, дистрибутива для организации работы виртуальных серверов" (63)

"Выпуск Proxmox VE 9.2, дистрибутива для организации работы виртуальных серверов"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск Proxmox VE 9.2, дистрибутива для организации работы виртуальных серверов"	+/–
Сообщение от opennews (ok), 22-Май-26, 11:07
Опубликован релиз Proxmox Virtual Environment 9.2, специализированного Linux-дистрибутива на базе Debian GNU/Linux, нацеленного на развертывание и обслуживание виртуальных серверов с использованием LXC и KVM, и способного выступить в роли замены таких продуктов, как VMware vSphere, Microsoft Hyper-V и Citrix Hypervisor. Размер установочного iso-образа 1.7 ГБ... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65501
Ответить \| Правка \| Cообщить модератору

Оглавление

А запуск LXC с докер образов забили допиливать , бочок (ok), 11:07 , 22-Май-26, (1) –4

Что-то да, в прошлых 2 версиях было много technology preview application contai, Аноним (3), 11:36 , 22-Май-26, (3)

У них ХА и СДН еще не допилен, я думаю они их в первую очередь хотят допилить Но, Аноним (44), 15:51 , 22-Май-26, (44)

Миллиардами Никто это не использует в серьезных дата центрах Это ниша небольши, Аноним (2), 11:22 , 22-Май-26, (2) –1

А что вы лично используете в серьёзных датацентрах , isfdskjdhghg (?), 11:37 , 22-Май-26, (4) +1

Опенстак, Horo45 (?), 12:27 , 22-Май-26, (9) +1

нокакблжд , нах. (?), 15:47 , 22-Май-26, (42)

онтопик не про датацентры, а про сельские заводы, 12yoexpert (ok), 13:32 , 22-Май-26, (14) +1

Дааа А ты много серьезных датацентров видел , жЫр с монитора (?), 11:39 , 22-Май-26, (5) +3
А Аэрофлот - небольшая контора на 10-15 серверов , Ярослав Г. (?), 11:41 , 22-Май-26, (6) +2

То есть вы таки хотите сказать, что у Аэрофлота применяется для виртуализации не, Aliech (ok), 13:04 , 22-Май-26, (13) +1

А что, аэрофлот чужие ВМ крутит, как хостинг какой-то и взлом самих ВМ не являет, жЫр с монитора (?), 14:53 , 22-Май-26, (20)

А что это, безопасность нынче не принято эшелонировать Хватит только мер на сам, Aliech (ok), 14:57 , 22-Май-26, (24)

То есть что такое безопасность вы не в курсе И для чего применяется изоляция пр, жЫр с монитора (?), 15:12 , 22-Май-26, (27)

Они помогают минимизировать последствия для хоста Не защитить от эксплуатации , Aliech (ok), 15:16 , 22-Май-26, (29) –1

То есть пошли пространные размышления Перечислите три постулата информационной , жЫр с монитора (?), 15:18 , 22-Май-26, (31)

Ну да, ну да Оправдывать отсутствие мер по обеспечению безопасности хоста трем, Aliech (ok), 15:40 , 22-Май-26, (36)

По теме, значит, сказать нечего Ты даже загуглить не смог , жЫр с монитора (?), 15:44 , 22-Май-26, (40)

а как по-твоему их поломали, стерев все сервера и все базы Именно что использует, нах. (?), 15:26 , 22-Май-26, (35) +1

А ты прямо со свечкой стоял, знаешь, как их поломали Прям вот взломали виртуалк, жЫр с монитора (?), 18:54 , 22-Май-26, (59) –1

Есть пруфы, что в эрофлоте так всё и сломали Причём из VM было легко вылезти Ти, Анонисссм (?), 15:41 , 22-Май-26, (37)

Это к нах Это он про случившийся взлом писал А проверьте сами Зайдите на хост , Aliech (ok), 15:44 , 22-Май-26, (41)

как бы тебе это объяснить ну в общем куема - это просто враппер для _ядерных_, нах. (?), 15:50 , 22-Май-26, (43)

Ага, а ещё там кроме враппера к системным вызовам есть код, обрабатывающий i o , Aliech (ok), 15:54 , 22-Май-26, (46)

сгорела хата - нехай горит и забор я бы тоже особо напрягаться не стал, если , нах. (?), 16:46 , 22-Май-26, (49)

Интересно Я из большого Ынтерпраза уже ушёл Но очень интересно, как оно там дв, Aliech (ok), 17:06 , 22-Май-26, (50)

Ты как бы немного теплое с мягким опять путаешь Ни Ovirt ни Openstack от этих п, жЫр с монитора (?), 17:37 , 22-Май-26, (51)

OVirt и OpenStack юзают libvirt, там есть отдельный пользователь для запуска ВМ,, Aliech (ok), 17:58 , 22-Май-26, (54)

Ээээ Я даже не знаю, как бы тебе это сказать В общем, в proxmox тоже испо, жЫр с монитора (?), 18:51 , 22-Май-26, (58)

Серьёзно А где в Proxmox libvirt Мне казалось, что это у них один из поводов д, Aliech (ok), 18:55 , 22-Май-26, (60)
Вообще, конечно, телепердача Аншлаг на Опеннет Кексперд, ранее вписывавшийся , Aliech (ok), 19:29 , 22-Май-26, (62)

не вруть, недоговаривають Это речь о нескучном рест-интерфейсике то что и есть, нах. (?), 15:58 , 22-Май-26, (48) +2

ты бы ещё ГазМяс привёл в пример или Сберкассу , 12yoexpert (ok), 13:33 , 22-Май-26, (15) +2

А что, ГазМяс и Сберкасса это не серьезно , жЫр с монитора (?), 14:53 , 22-Май-26, (21)

В серьёзных датацентрах надо разворачивать oVirt - технические задания, рабочие , King_Carlo (ok), 12:09 , 22-Май-26, (8) +2

https www openstack org software , Аноним (10), 12:36 , 22-Май-26, (10) +1

Ни Овирт, ни Опенстек уже в серьезных проектах не применяют на этапе проектирова, жЫр с монитора (?), 14:54 , 22-Май-26, (22) +1

не хотел бы тебя огорчать, но oVirt - на кладбище редхата Пока был живой - в об, нах. (?), 15:51 , 22-Май-26, (45)

Ты даже не представляешь, насколько ты не прав , theDolphin (ok), 12:51 , 22-Май-26, (12)

ты даже не представляешь, насколько он прав, 12yoexpert (ok), 13:35 , 22-Май-26, (16) –1

Я то как раз немного представляю, у нас несколько сотен не соврать тысяч, за ве, theDolphin (ok), 13:42 , 22-Май-26, (17)

И как вы порешали отсутствие изоляции системных вызовов qemu Или у вас такие ма, Aliech (ok), 14:14 , 22-Май-26, (18)

Поясните нужность этой изоляции , жЫр с монитора (?), 14:55 , 22-Май-26, (23)

А бывает ненужная изоляция Любая изоляция нужная, если она не вносит критическо, Aliech (ok), 14:58 , 22-Май-26, (25)

То есть зачем оно нужно и какие накладные расходы - вы не в курсе Что-то слышал, жЫр с монитора (?), 15:07 , 22-Май-26, (26)

Ну так просветите, насколько же падает производительность i o виртуальных машин , Aliech (ok), 15:14 , 22-Май-26, (28) –1

seccomp это НЕ изоляция Марш матчасть учить, чудо , жЫр с монитора (?), 15:17 , 22-Май-26, (30)

О, да ладно Ограничение системных вызовов НЕ ЧАСТЬ изоляции Марш учить мат ча, Aliech (ok), 15:19 , 22-Май-26, (32) –1

Нет Изоляция и ограничение системных вызовов совершенно разные вещи seccomp мо, жЫр с монитора (?), 15:21 , 22-Май-26, (33)
Соломенное чучело , как оно есть Потому что я об seccomp писал лишь как об одн, Aliech (ok), 15:24 , 22-Май-26, (34)
А потом скатился на seccomp Может тебе самому сначала врать перестать, глядишь , жЫр с монитора (?), 15:43 , 22-Май-26, (38)

Ты покажешь тулзу, которой я могу на своим proxmox VM вылезти в host Или она су, Анонисссм (?), 15:44 , 22-Май-26, (39)

У меня тулзы нет Маминых подруг, которые занимаются взятием на приступ виртуало, Aliech (ok), 15:56 , 22-Май-26, (47)

Ты щас хочешь сказать, что проксмокс не закрывает CVE Что ты несешь , жЫр с монитора (?), 17:39 , 22-Май-26, (52)

То есть ты додумал за меня, якобы я что-то хочу сказать, а потом сам же начал на, Aliech (ok), 17:57 , 22-Май-26, (53)

А что ты понимаешь под игнорированием CVE ммм Я тебе щас секрет открою даже а, жЫр с монитора (?), 18:45 , 22-Май-26, (56)

Это у тебя по духу так - слабое оправдание для самостоятельного приписывания о, Aliech (ok), 18:50 , 22-Май-26, (57)

https www proxmox com en products proxmox-datacenter-manager overviewС выходом, ЛетящийГроб (?), 11:44 , 22-Май-26, (7) +1

Ограничение в 30 нод - это ограничение corosync, которому нужна низколатентная с, theDolphin (ok), 12:50 , 22-Май-26, (11)

Для многоядерных камней будет польза https servernews ru 1130635, Аноним (10), 14:36 , 22-Май-26, (19)
Для тех, кто в танке по сетям дам несколько уточнений из оригинального Changelog, Аноним (55), 18:00 , 22-Май-26, (55) +1

По п 3 какие операции ebgp можно и нужно перекладывать с cpu на asic сетевухи Сд, Ширламырла (?), 19:13 , 22-Май-26, (61)
Добрый деньподскажите, можно ли с вами связаться и обсудить вопросы, как с колле, Вопрос (?), 20:14 , 22-Май-26, (63)

Сообщения [Сортировка по времени | RSS]

1. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." –4 +/–

Сообщение от бочок (ok), 22-Май-26, 11:07

А запуск LXC с докер образов забили допиливать?(

Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от Аноним (3), 22-Май-26, 11:36

Что-то да, в прошлых 2 версиях было много technology preview (application containers from suitable OCI images, snapshots on thick LVM with snapshots as volume chains, snapshots as volume chains on Directory/NFS/CIFS, nftables firewall) и никаких апдейтов по ним или выходу в GA в этом релизе

Ответить | Правка | Наверх | Cообщить модератору

44. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от Аноним (44), 22-Май-26, 15:51

У них ХА и СДН еще не допилен, я думаю они их в первую очередь хотят допилить.
Но так то контейнеров хочется нативных, а не держать отдельную виртуалку под них.

Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." –1 +/–

Сообщение от Аноним (2), 22-Май-26, 11:22

>сотнями или даже тысячами виртуальных машин
Миллиардами! Никто это не использует в серьезных дата центрах. Это ниша небольших контор, с серверной максимум на 10-15 сервов

Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +1 +/–

Сообщение от isfdskjdhghg (?), 22-Май-26, 11:37

А что вы лично используете в серьёзных датацентрах?

Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +1 +/–

Сообщение от Horo45 (?), 22-Май-26, 12:27

Опенстак

Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от нах. (?), 22-Май-26, 15:47

нокакблжд?!

Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +1 +/–

Сообщение от 12yoexpert (ok), 22-Май-26, 13:32

онтопик не про датацентры, а про сельские заводы

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +3 +/–

Сообщение от жЫр с монитора (?), 22-Май-26, 11:39

Дааа? А ты много серьезных датацентров видел? )).

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +2 +/–

Сообщение от Ярослав Г. (?), 22-Май-26, 11:41

А Аэрофлот - небольшая контора на 10-15 серверов?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

13. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +1 +/–

Сообщение от Aliech (ok), 22-Май-26, 13:04

То есть вы таки хотите сказать, что у Аэрофлота применяется для виртуализации нечто, в котором qemu запущено от рута, да ещё и без ограничения системных вызовов через seccomp? Что-то, что в случае эксплуатации ошибок, типа CVE-2021-3748, даёт взломщикам полный доступ к серверу? Просто именно таков Proxmox VE ;)

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от жЫр с монитора (?), 22-Май-26, 14:53

А что, аэрофлот чужие ВМ крутит, как хостинг какой-то и взлом самих ВМ не является уже проблемой? Или Аэрофлот не мониторит активность внутри тех ВМ, которые он крутит?

Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от Aliech (ok), 22-Май-26, 14:57

А что это, безопасность нынче не принято эшелонировать? Хватит только мер на самих ВМ? Сгорел сарай, туда и хату?

Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от жЫр с монитора (?), 22-Май-26, 15:12

То есть что такое безопасность вы не в курсе. И для чего применяется изоляция процессов, какие накладные расходы оно вызывает, а так же что такое seccomp вы, видимо, где-то слышали. А уж про то, что изоляция и seccomp поможет от эксплуатации вышеприведенной уязвимости...

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." –1 +/–

Сообщение от Aliech (ok), 22-Май-26, 15:16

Они помогают минимизировать последствия для хоста. Не защитить от эксплуатации. Не надо пытаться придать моим репликам иной смысл.

Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от жЫр с монитора (?), 22-Май-26, 15:18

То есть пошли пространные размышления. Перечислите три постулата информационной безопасности. После этого подумайте.

Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от Aliech (ok), 22-Май-26, 15:40

> То есть пошли пространные размышления. Перечислите три постулата информационной безопасности.
> После этого подумайте.
Ну да, ну да. Оправдывать отсутствие мер по обеспечению безопасности хоста "тремя постулатами" - это мощно. Это - не пространные размышления.
Или вы менеджер Аэрофлота, вот тот самый, который может получить премию за внедрение Proxmox VE (потому что, если бы уже премию получили, то вряд ли бы так переживали)?

Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от жЫр с монитора (?), 22-Май-26, 15:44

По теме, значит, сказать нечего? Ты даже загуглить не смог?

Ответить | Правка | Наверх | Cообщить модератору

35. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +1 +/–

Сообщение от нах. (?), 22-Май-26, 15:26

> То есть вы таки хотите сказать, что у Аэрофлота применяется для виртуализации нечто
а как по-твоему их поломали, стерев все сервера и все базы?
Именно что используется - нечто. И не только для виртуализации, а для всего.
аэрофлот паталогически жадная (и т-пая) контора. Все кто там что-то нормальное строил в начале нулевых - сбежали оттуда еще после 2008го.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

59. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." –1 +/–

Сообщение от жЫр с монитора (?), 22-Май-26, 18:54

А ты прямо со свечкой стоял, знаешь, как их поломали? Прям вот взломали виртуалку, из нее пролезли в хост, получили доступ к кластеру проксмокса, и уже там лапками всё стёрли? Или, может, какой-то сотрудник пролюбил где-то свои пароли, коими и воспользовались, ммм? Трепло.

Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от Анонисссм (?), 22-Май-26, 15:41

Есть пруфы, что в эрофлоте так всё и сломали? Причём из VM было легко вылезти?
Типа, вруть?
While the process initialization requires root privileges to configure host-level resources (like network bridges, storage attachments, and hardware passthrough), Proxmox immediately drops privileges or isolates the execution using Linux security modules.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

41. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от Aliech (ok), 22-Май-26, 15:44

> Есть пруфы, что в эрофлоте так всё и сломали? Причём из VM
> было легко вылезти?
Это к нах. Это он про случившийся взлом писал.
> Типа, вруть?
> While the process initialization requires root privileges to configure host-level resources
> (like network bridges, storage attachments, and hardware passthrough), Proxmox immediately
> drops privileges or isolates the execution using Linux security modules.
А проверьте сами. Зайдите на хост с работающим PVE и посмотрите, от какого пользователя запущены там все qemu (не части обвязки proxmox'а), и есть ли для тех qemu включённая изоляция вызовов. Спойлер: от рута, изоляции нет. Но не верьте на слово. Проверьте сами.

Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от нах. (?), 22-Май-26, 15:50

как бы тебе это объяснить... ну в общем куема - это просто враппер для _ядерных_ вызовов. И тут уж от какого пользователя не запускай... мелкие проблемы в паравиртуализаторе могут тебя лично и не задеть.
интересно, кстати, недельной давности баг с доступом в гипервизор хотя бы в редхатоидах уже исправили или опять индус в отпуске?

Ответить | Правка | Наверх | Cообщить модератору

46. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от Aliech (ok), 22-Май-26, 15:54

> как бы тебе это объяснить... ну в общем куема - это просто
> враппер для _ядерных_ вызовов. И тут уж от какого пользователя не
> запускай... мелкие проблемы в паравиртуализаторе могут тебя лично и не задеть.
> интересно, кстати, недельной давности баг с доступом в гипервизор хотя бы в
> редхатоидах уже исправили или опять индус в отпуске?
Ага, а ещё там кроме враппера к системным вызовам есть код, обрабатывающий i/o. То есть эмулируемые интерфейсы устройств. И вот с этим есть тоже проблемы. См. например USN-8161-1 от Cannonical.
Но к тебе нах., в контексте данной беседы, вообще 0% вопросов. То, что ты поучать начал, - это привычно.
У меня вопросы к тем, кто оправдывает забитый болт на меры по уменьшению последствий инцидентов.

Ответить | Правка | Наверх | Cообщить модератору

49. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от нах. (?), 22-Май-26, 16:46

> У меня вопросы к тем, кто оправдывает забитый болт на меры по уменьшению последствий
> инцидентов.
сгорела хата - нехай горит и забор... я бы тоже особо напрягаться не стал, если бы мне такое всучили.
кстати, мы тут (пока без обещаний оплатить) собрались таки тестировать импортозамещенную виртуализацию. Пока (при очень поверхностном внешнем погляде, еще до установки даже) - выглядит как п-ц. Каковым вероятно и окажется и внутри тоже.
Если чудо вдруг произойдет - непременно проинформирую (мои nda ничуть не запрещают информировать о чудесах)

Ответить | Правка | Наверх | Cообщить модератору

50. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от Aliech (ok), 22-Май-26, 17:06

>> У меня вопросы к тем, кто оправдывает забитый болт на меры по уменьшению последствий
>> инцидентов.
> сгорела хата - нехай горит и забор... я бы тоже особо напрягаться
> не стал, если бы мне такое всучили.
> кстати, мы тут (пока без обещаний оплатить) собрались таки тестировать импортозамещенную
> виртуализацию. Пока (при очень поверхностном внешнем погляде, еще до установки даже)
> - выглядит как п-ц. Каковым вероятно и окажется и внутри тоже.
> Если чудо вдруг произойдет - непременно проинформирую (мои nda ничуть не запрещают
> информировать о чудесах)
Интересно. Я из большого Ынтерпраза уже ушёл. Но очень интересно, как оно там движется. Так что, лично я, буду ждать вестей, если таковые будут.

Ответить | Правка | Наверх | Cообщить модератору

51. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от жЫр с монитора (?), 22-Май-26, 17:37

Ты как бы немного теплое с мягким опять путаешь. Ни Ovirt ни Openstack от этих проблем не помогут. И никакая изоляция опять же не поможет. А запуск каждой виртуалки под отдельным пользователем... Ну городи, городи )

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

54. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от Aliech (ok), 22-Май-26, 17:58

> Ты как бы немного теплое с мягким опять путаешь. Ни Ovirt ни
> Openstack от этих проблем не помогут. И никакая изоляция опять же
> не поможет. А запуск каждой виртуалки под отдельным пользователем... Ну городи,
> городи )
OVirt и OpenStack юзают libvirt, там есть отдельный пользователь для запуска ВМ, и запускается оно только с seccomp.
И лучше так, чем с рутом и абы как.

Ответить | Правка | Наверх | Cообщить модератору

58. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от жЫр с монитора (?), 22-Май-26, 18:51

Ээээ.... Я даже не знаю, как бы тебе это сказать... В общем, в proxmox тоже используется libvirt. И точно тот же KVM. И в том же Openstack из коробки нет никакого seccomp. Как, в общем-то, и в OVirt. И отдельного пользователя для виртуалок... Хотя если ты получил доступ к пользователю от которого работают твои виртуалки - рут на сервере тебе уже нахрен не нужОн. Когда ж вы думать научитесь? А запустить в проксмоксе qemu с нужным флагом и лапками настроить профили тебе в общем-то никто не мешает. Если ты понимаешь, что оно делает и зачем )

Ответить | Правка | Наверх | Cообщить модератору

60. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от Aliech (ok), 22-Май-26, 18:55

> Ээээ.... Я даже не знаю, как бы тебе это сказать... В общем,
> в proxmox тоже используется libvirt. И точно тот же KVM. И
> в том же Openstack из коробки нет никакого seccomp. Как, в
> общем-то, и в OVirt. И отдельного пользователя для виртуалок... Хотя если
> ты получил доступ к пользователю от которого работают твои виртуалки -
> рут на сервере тебе уже нахрен не нужОн. Когда ж вы
> думать научитесь? А запустить в проксмоксе qemu с нужным флагом и
> лапками настроить профили тебе в общем-то никто не мешает. Если ты
> понимаешь, что оно делает и зачем )
Серьёзно. А где в Proxmox libvirt? Мне казалось, что это у них один из поводов для гордости, тот факт, что libvirt не используется для запуска qemu, нет?
А какие опции libvirt'а отключают запуск qemu с '-sandbox' (а это и есть включение seccomp'а)? Потому что libvirt именно так и запускает qemu.
И что-то вот эта часть уже выглядит так, как если бы ты вообще не интересовался, как же оно работает всё...

Ответить | Правка | Наверх | Cообщить модератору

62. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от Aliech (ok), 22-Май-26, 19:29

Вообще, конечно, телепердача "Аншлаг" на Опеннет! Кексперд, ранее вписывавшийся за Proxmox, упрекавший собеседника в том, что он не знает того, сего, пятого-десятого и...
Кексперд тот не знает, из чего на самом деле состоит тот самый Proxmox, а так же совсем не знает, как там запускаются виртуалки. И про то, как выполнена интеграция вызова seccomp'а в qemu тоже не знает. И об том, как оно выглядит в libvirt - тоже не знает. Но очень хочет пояснить за oVirt и OpenStack, которые запускают всё только через libvirt.
Реально. Кроссовер Аншлага и Кривого Зеркала! Спешите видеть!

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

48. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +2 +/–

Сообщение от нах. (?), 22-Май-26, 15:58

> Типа, вруть?
не вруть, недоговаривають. Это речь о нескучном рест-интерфейсике (то что и есть сам проксмоксь) - он вот действительно дроп привилежес и все такое. Выглядит надежно (нетъ)
- ну то есть ты понимаешь, да, что у тебя в сеть торчит нечто работающее от рута потому что хост-левел ресурсес по другому как-то не получается в линуксах настраивать? С этим вот - борются, местами даже и успешно (то есть я не слышал чтобы кого-то именно через вебморду поломали... потому что никто ее разумеется и не высовывает из защищенных сетей)
А с тем что там внутре кевеем коровосинкой с цефом погоняет - с этим бороться бесполезно, только возглавить.
Но на два хоста и третий запасной в колд-стендбае чтоб за электричество не платить - сойдет. С тех пор как вмварь продалась на кладбище - вариантов у тебя особо и нет.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

15. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +2 +/–

Сообщение от 12yoexpert (ok), 22-Май-26, 13:33

ты бы ещё ГазМяс привёл в пример или Сберкассу

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

21. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от жЫр с монитора (?), 22-Май-26, 14:53

А что, ГазМяс и Сберкасса это не серьезно? )

Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +2 +/–

Сообщение от King_Carlo (ok), 22-Май-26, 12:09

В серьёзных датацентрах надо разворачивать oVirt - технические задания, рабочие проекты, внедрение, эксплуатация, бесконечный бюджет! Вот! А этот ваш proxmox любой пионер может развернуть в кластер, куда это годится? Зарабатывать как?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

10. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +1 +/–

Сообщение от Аноним (10), 22-Май-26, 12:36

https://www.openstack.org/software/

Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +1 +/–

Сообщение от жЫр с монитора (?), 22-Май-26, 14:54

Ни Овирт, ни Опенстек уже в серьезных проектах не применяют на этапе проектирования. Только легаси осталось.

Ответить | Правка | Наверх | Cообщить модератору

45. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от нах. (?), 22-Май-26, 15:51

не хотел бы тебя огорчать, но oVirt - на кладбище редхата. Пока был живой - в общем-то разворачивался несложно, только вот что дальше делать - никто не знал, индусы rhbm, как оказалось - тоже.
В сириозных импортозамечательных прожектах ты можешь конечно развернуть z-virt, как патреот, только уволиться задним числом не забудь вовремя.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

12. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от theDolphin (ok), 22-Май-26, 12:51

Ты даже не представляешь, насколько ты не прав )

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

16. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." –1 +/–

Сообщение от 12yoexpert (ok), 22-Май-26, 13:35

ты даже не представляешь, насколько он прав

Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от theDolphin (ok), 22-Май-26, 13:42

Я то как раз немного представляю, у нас несколько сотен (не соврать тысяч, за весь IT компании не скажу) серваков под PVE.

Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от Aliech (ok), 22-Май-26, 14:14

И как вы порешали отсутствие изоляции системных вызовов qemu? Или у вас такие манящие и доступные сервера в проде стоят?

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от жЫр с монитора (?), 22-Май-26, 14:55

Поясните нужность этой изоляции.

Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от Aliech (ok), 22-Май-26, 14:58

А бывает ненужная изоляция? Любая изоляция нужная, если она не вносит критического роста накладных расходов.

Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от жЫр с монитора (?), 22-Май-26, 15:07

То есть зачем оно нужно и какие накладные расходы - вы не в курсе. Что-то слышал и мнение имеет. Ясно-понятно.

Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." –1 +/–

Сообщение от Aliech (ok), 22-Май-26, 15:14

Ну так просветите, насколько же падает производительность i/o виртуальных машин при включённом seccomp на ваших задачах? Или слив с вопроса засчитывать?

Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от жЫр с монитора (?), 22-Май-26, 15:17

seccomp это НЕ изоляция. Марш матчасть учить, чудо.

Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." –1 +/–

Сообщение от Aliech (ok), 22-Май-26, 15:19

О, да ладно. Ограничение системных вызовов НЕ ЧАСТЬ изоляции? Марш учить мат. часть, чудо.

Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от жЫр с монитора (?), 22-Май-26, 15:21

Нет. Изоляция и ограничение системных вызовов совершенно разные вещи. seccomp может быть ОДНИМ ИЗ механизмов обеспечения изоляции. Но сам по себе изоляцией процессов не является. И, строго говоря, сам по себе seccomp никак не изолирует процессы друг от друга.

Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от Aliech (ok), 22-Май-26, 15:24

"Соломенное чучело", как оно есть. Потому что я об seccomp писал лишь как об одной из мер, призванных минимизировать возможный ущерб. Я уже выше просил не придумывать иных смыслов.
Или аргументов нет, и пора перевирать чужие?

Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от жЫр с монитора (?), 22-Май-26, 15:43

А потом скатился на seccomp. Может тебе самому сначала врать перестать, глядишь и фигню нести меньше будешь? Хотя чей та. Иногда и seccomp приводит к трехкратному снижению производительности. Но ты то об этом не знаешь.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

39. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от Анонисссм (?), 22-Май-26, 15:44

>Или у вас такие манящие и доступные сервера в проде стоят
Ты покажешь тулзу, которой я могу на своим proxmox VM вылезти в host? Или она существует в твоем воображении? Или у знакомого сына маминой подруги?

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

47. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от Aliech (ok), 22-Май-26, 15:56

У меня тулзы нет. Маминых подруг, которые занимаются взятием на приступ виртуалок с дальнейшим выходом в хост, - тоже нет. Так что, от того, что у меня нет эксплойтов, ни знакомых с такими эксплойтами, ты, конечно же, можешь спать спокойно, продолжая игнорировать CVE.

Ответить | Правка | Наверх | Cообщить модератору

52. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от жЫр с монитора (?), 22-Май-26, 17:39

Ты щас хочешь сказать, что проксмокс не закрывает CVE? Что ты несешь?

Ответить | Правка | Наверх | Cообщить модератору

53. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от Aliech (ok), 22-Май-26, 17:57

То есть ты додумал за меня, якобы я что-то хочу сказать, а потом сам же начал намекать на глупость придуманных тобой для меня аргументов?) А ты хорош!
Кстати, не Proxmox закрывает CVE. Разработчики Qemu закрывают CVE в проекте Qemu. И вот от момента, когда появляется информация о CVE, до моменте исправления, проходит время. И ещё время проходит до момента, когда свежая версия Qemu таки попадёт в твою инсталяцию Proxmox. И магия сработает как надо (а вот эти временные лаги - это всё ещё "как надо"), только если информация об уязвимости таки сначала дойдёт до разработчиков, прежде чем эксплойт уверенно начнут торговать где надо.

Ответить | Правка | Наверх | Cообщить модератору

56. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от жЫр с монитора (?), 22-Май-26, 18:45

А что ты понимаешь под игнорированием CVE? ммм? Я тебе щас секрет открою: даже админ может большинство из них закрыть по обнаружению. Очень часто достаточно других мероприятий. Ну и обновляются вовремя. А где не обновляются - там и во внешнюю сеть зачастую ничего не торчит и существуют иные меры защиты. Ты же написал так, что по духу можно подумать что использование Proxmox это и есть игнорирование CVE. Вот я и спрашиваю - что ты несешь?

Ответить | Правка | Наверх | Cообщить модератору

57. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от Aliech (ok), 22-Май-26, 18:50

"Это у тебя по духу так" - слабое оправдание для самостоятельного приписывания оппоненту тезисов в споре.
Игнорирование CVE - не принятие превентивных мер уменьшения возможного урона, с учётом уже выявленных проблем с безопасностью кода. Потому что наличие CVE нам показывает и вектор возможной угрозы, и потенциальный урон, который может быть нанесён. CVE пофиксили - хорошо, но надо быть глупцом, чтобы этот опыт не учесть.
Ну или просто ходить за зарплатой, закрывая таски в тикет-системе.

Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +1 +/–

Сообщение от ЛетящийГроб (?), 22-Май-26, 11:44

https://www.proxmox.com/en/products/proxmox-datacenter-manag...
С выходом datacenter-manager пропало ограничение на 30 нод !

Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от theDolphin (ok), 22-Май-26, 12:50

Ограничение в 30 нод - это ограничение corosync, которому нужна низколатентная связь full mesh. И это даже не ограничение, а рекомендация. Я запускал PVE на 50+ серваках выделив бекбон отдельную сеть.
Интересно, как они порешали этот вопрос.

Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от Аноним (10), 22-Май-26, 14:36

>добавлены инструменты для создания, редактирования и удаления собственных моделей виртуальных CPU
Для многоядерных камней будет польза:
https://servernews.ru/1130635

Ответить | Правка | Наверх | Cообщить модератору

55. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +1 +/–

Сообщение от Аноним (55), 22-Май-26, 18:00

Для тех, кто в танке по сетям дам несколько уточнений из оригинального Changelog, чтобы всем стало понятно, что Proxmox развивается в отличие от всякого oVirt и иже с ним.
1. Они пошли правильным путём в первую очередь добавляя и отлаживая eBGP-процесс в SDN!
При большом масштабировании на локации с несколькими датацентрами укладывать один PoD в одну AS с iBGP вы прочитаете это как лучшую практику. На деле у вас проблемы масштабирования iBGP в связке с SDN и зависимость от вендоров коммутаторов, поэтому начинать именно с eBGP - мудрейшее решение.
2. Поддержка IPv6 Underlay для контроллеров EVPN - это ещё одна форма сетевого экстаза.
Фактически это означает, что можно взять Mellanox Spectrum Switch с Cumulus Linux на борту и настроить всё стандартыми настройками да еще и сразу с RDMA QoS! Поймите, обмен соседством через IPv6 Route Advertisement на eBGP-процессе делает конфигурацию и сопровождение конвергентной фабрики тривиальной задачей.
3. FRR! Везде стоит FRR, значит есть тонна физических адаптеров вроде Mellanox и Chelsio, которую львиную долю операций по eBGP переложат на ASIC сетевого адаптера.
Судя по тому как именно идёт сетевое развитие Proxmox, я категорически рекомендую ставить Juniper, Mellanox или Arista в качестве основы сетевой фабрики. Cisco же наоборот будет мешаться под ногами.
А ну и комментатор выше уже написал, что они работают над гиперкластеризацией...
Proxmox не хватает всего-навсего:
- нормального открытого высокоскоростного Storage-решения с поддержкой горизонтального масштабирования (нет это не Ceph)
- конфедеративного L2 внутри SDN, чтобы можно было растянуть VXLAN между парой PoD-ов.
- блочной репликации поверх L3, которая позволит растягивать некоторые кластеры на 2 PoD
- и нормальной реализации NFS, но это уже проблема Linux в целом, потому что нет в нём pNFS-сервера на уровне ядра, такими успехами они скорее на SMB перейдут в своём Linux
- NUMA-aware кластерные планировщики, опять же... поэтому современные редакции OpenStack рекомендуют Kubernetes вместо Corosync/Pacemaker кластеризации
- ни у профили оборудования им надо сертифицировать, чтобы учить сервис-инженеров правильно серваки под Proxmox собирать

Ответить | Правка | Наверх | Cообщить модератору

61. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от Ширламырла (?), 22-Май-26, 19:13

По п.3 какие операции ebgp можно и нужно перекладывать с cpu на asic сетевухи?
Сдается мне что никакие.

Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..." +/–

Сообщение от Вопрос (?), 22-Май-26, 20:14

Добрый день
подскажите, можно ли с вами связаться и обсудить вопросы, как с коллегой?

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	–4 +/–
Сообщение от бочок (ok), 22-Май-26, 11:07
А запуск LXC с докер образов забили допиливать?(
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Аноним (3), 22-Май-26, 11:36
	Что-то да, в прошлых 2 версиях было много technology preview (application containers from suitable OCI images, snapshots on thick LVM with snapshots as volume chains, snapshots as volume chains on Directory/NFS/CIFS, nftables firewall) и никаких апдейтов по ним или выходу в GA в этом релизе
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Аноним (44), 22-Май-26, 15:51
	У них ХА и СДН еще не допилен, я думаю они их в первую очередь хотят допилить. Но так то контейнеров хочется нативных, а не держать отдельную виртуалку под них.
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	–1 +/–
Сообщение от Аноним (2), 22-Май-26, 11:22
>сотнями или даже тысячами виртуальных машин Миллиардами! Никто это не использует в серьезных дата центрах. Это ниша небольших контор, с серверной максимум на 10-15 сервов
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+1 +/–
	Сообщение от isfdskjdhghg (?), 22-Май-26, 11:37
	А что вы лично используете в серьёзных датацентрах?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+1 +/–
	Сообщение от Horo45 (?), 22-Май-26, 12:27
	Опенстак
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от нах. (?), 22-Май-26, 15:47
	нокакблжд?!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+1 +/–
	Сообщение от 12yoexpert (ok), 22-Май-26, 13:32
	онтопик не про датацентры, а про сельские заводы
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	5. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+3 +/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 11:39
	Дааа? А ты много серьезных датацентров видел? )).
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	6. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+2 +/–
	Сообщение от Ярослав Г. (?), 22-Май-26, 11:41
	А Аэрофлот - небольшая контора на 10-15 серверов?
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	13. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+1 +/–
	Сообщение от Aliech (ok), 22-Май-26, 13:04
	То есть вы таки хотите сказать, что у Аэрофлота применяется для виртуализации нечто, в котором qemu запущено от рута, да ещё и без ограничения системных вызовов через seccomp? Что-то, что в случае эксплуатации ошибок, типа CVE-2021-3748, даёт взломщикам полный доступ к серверу? Просто именно таков Proxmox VE ;)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 14:53
	А что, аэрофлот чужие ВМ крутит, как хостинг какой-то и взлом самих ВМ не является уже проблемой? Или Аэрофлот не мониторит активность внутри тех ВМ, которые он крутит?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 22-Май-26, 14:57
	А что это, безопасность нынче не принято эшелонировать? Хватит только мер на самих ВМ? Сгорел сарай, туда и хату?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 15:12
	То есть что такое безопасность вы не в курсе. И для чего применяется изоляция процессов, какие накладные расходы оно вызывает, а так же что такое seccomp вы, видимо, где-то слышали. А уж про то, что изоляция и seccomp поможет от эксплуатации вышеприведенной уязвимости...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	–1 +/–
	Сообщение от Aliech (ok), 22-Май-26, 15:16
	Они помогают минимизировать последствия для хоста. Не защитить от эксплуатации. Не надо пытаться придать моим репликам иной смысл.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 15:18
	То есть пошли пространные размышления. Перечислите три постулата информационной безопасности. После этого подумайте.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 22-Май-26, 15:40
	> То есть пошли пространные размышления. Перечислите три постулата информационной безопасности. > После этого подумайте. Ну да, ну да. Оправдывать отсутствие мер по обеспечению безопасности хоста "тремя постулатами" - это мощно. Это - не пространные размышления. Или вы менеджер Аэрофлота, вот тот самый, который может получить премию за внедрение Proxmox VE (потому что, если бы уже премию получили, то вряд ли бы так переживали)?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 15:44
	По теме, значит, сказать нечего? Ты даже загуглить не смог?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+1 +/–
	Сообщение от нах. (?), 22-Май-26, 15:26
	> То есть вы таки хотите сказать, что у Аэрофлота применяется для виртуализации нечто а как по-твоему их поломали, стерев все сервера и все базы? Именно что используется - нечто. И не только для виртуализации, а для всего. аэрофлот паталогически жадная (и т-пая) контора. Все кто там что-то нормальное строил в начале нулевых - сбежали оттуда еще после 2008го.
	Ответить \| Правка \| К родителю #13 \| Наверх \| Cообщить модератору


	59. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	–1 +/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 18:54
	А ты прямо со свечкой стоял, знаешь, как их поломали? Прям вот взломали виртуалку, из нее пролезли в хост, получили доступ к кластеру проксмокса, и уже там лапками всё стёрли? Или, может, какой-то сотрудник пролюбил где-то свои пароли, коими и воспользовались, ммм? Трепло.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Анонисссм (?), 22-Май-26, 15:41
	Есть пруфы, что в эрофлоте так всё и сломали? Причём из VM было легко вылезти? Типа, вруть? While the process initialization requires root privileges to configure host-level resources (like network bridges, storage attachments, and hardware passthrough), Proxmox immediately drops privileges or isolates the execution using Linux security modules.
	Ответить \| Правка \| К родителю #13 \| Наверх \| Cообщить модератору


	41. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 22-Май-26, 15:44
	> Есть пруфы, что в эрофлоте так всё и сломали? Причём из VM > было легко вылезти? Это к нах. Это он про случившийся взлом писал. > Типа, вруть? > While the process initialization requires root privileges to configure host-level resources > (like network bridges, storage attachments, and hardware passthrough), Proxmox immediately > drops privileges or isolates the execution using Linux security modules. А проверьте сами. Зайдите на хост с работающим PVE и посмотрите, от какого пользователя запущены там все qemu (не части обвязки proxmox'а), и есть ли для тех qemu включённая изоляция вызовов. Спойлер: от рута, изоляции нет. Но не верьте на слово. Проверьте сами.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от нах. (?), 22-Май-26, 15:50
	как бы тебе это объяснить... ну в общем куема - это просто враппер для _ядерных_ вызовов. И тут уж от какого пользователя не запускай... мелкие проблемы в паравиртуализаторе могут тебя лично и не задеть. интересно, кстати, недельной давности баг с доступом в гипервизор хотя бы в редхатоидах уже исправили или опять индус в отпуске?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 22-Май-26, 15:54
	> как бы тебе это объяснить... ну в общем куема - это просто > враппер для _ядерных_ вызовов. И тут уж от какого пользователя не > запускай... мелкие проблемы в паравиртуализаторе могут тебя лично и не задеть. > интересно, кстати, недельной давности баг с доступом в гипервизор хотя бы в > редхатоидах уже исправили или опять индус в отпуске? Ага, а ещё там кроме враппера к системным вызовам есть код, обрабатывающий i/o. То есть эмулируемые интерфейсы устройств. И вот с этим есть тоже проблемы. См. например USN-8161-1 от Cannonical. Но к тебе нах., в контексте данной беседы, вообще 0% вопросов. То, что ты поучать начал, - это привычно. У меня вопросы к тем, кто оправдывает забитый болт на меры по уменьшению последствий инцидентов.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от нах. (?), 22-Май-26, 16:46
	> У меня вопросы к тем, кто оправдывает забитый болт на меры по уменьшению последствий > инцидентов. сгорела хата - нехай горит и забор... я бы тоже особо напрягаться не стал, если бы мне такое всучили. кстати, мы тут (пока без обещаний оплатить) собрались таки тестировать импортозамещенную виртуализацию. Пока (при очень поверхностном внешнем погляде, еще до установки даже) - выглядит как п-ц. Каковым вероятно и окажется и внутри тоже. Если чудо вдруг произойдет - непременно проинформирую (мои nda ничуть не запрещают информировать о чудесах)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	50. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 22-Май-26, 17:06
	>> У меня вопросы к тем, кто оправдывает забитый болт на меры по уменьшению последствий >> инцидентов. > сгорела хата - нехай горит и забор... я бы тоже особо напрягаться > не стал, если бы мне такое всучили. > кстати, мы тут (пока без обещаний оплатить) собрались таки тестировать импортозамещенную > виртуализацию. Пока (при очень поверхностном внешнем погляде, еще до установки даже) > - выглядит как п-ц. Каковым вероятно и окажется и внутри тоже. > Если чудо вдруг произойдет - непременно проинформирую (мои nda ничуть не запрещают > информировать о чудесах) Интересно. Я из большого Ынтерпраза уже ушёл. Но очень интересно, как оно там движется. Так что, лично я, буду ждать вестей, если таковые будут.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 17:37
	Ты как бы немного теплое с мягким опять путаешь. Ни Ovirt ни Openstack от этих проблем не помогут. И никакая изоляция опять же не поможет. А запуск каждой виртуалки под отдельным пользователем... Ну городи, городи )
	Ответить \| Правка \| К родителю #46 \| Наверх \| Cообщить модератору


	54. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 22-Май-26, 17:58
	> Ты как бы немного теплое с мягким опять путаешь. Ни Ovirt ни > Openstack от этих проблем не помогут. И никакая изоляция опять же > не поможет. А запуск каждой виртуалки под отдельным пользователем... Ну городи, > городи ) OVirt и OpenStack юзают libvirt, там есть отдельный пользователь для запуска ВМ, и запускается оно только с seccomp. И лучше так, чем с рутом и абы как.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	58. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от жЫр с монитора (?), 22-Май-26, 18:51
	Ээээ.... Я даже не знаю, как бы тебе это сказать... В общем, в proxmox тоже используется libvirt. И точно тот же KVM. И в том же Openstack из коробки нет никакого seccomp. Как, в общем-то, и в OVirt. И отдельного пользователя для виртуалок... Хотя если ты получил доступ к пользователю от которого работают твои виртуалки - рут на сервере тебе уже нахрен не нужОн. Когда ж вы думать научитесь? А запустить в проксмоксе qemu с нужным флагом и лапками настроить профили тебе в общем-то никто не мешает. Если ты понимаешь, что оно делает и зачем )
	Ответить \| Правка \| Наверх \| Cообщить модератору


	60. "Выпуск Proxmox VE 9.2, дистрибутива для организации работы в..."	+/–
	Сообщение от Aliech (ok), 22-Май-26, 18:55
	> Ээээ.... Я даже не знаю, как бы тебе это сказать... В общем, > в proxmox тоже используется libvirt. И точно тот же KVM. И > в том же Openstack из коробки нет никакого seccomp. Как, в > общем-то, и в OVirt. И отдельного пользователя для виртуалок... Хотя если > ты получил доступ к пользователю от которого работают твои виртуалки - > рут на сервере тебе уже нахрен не нужОн. Когда ж вы > думать научитесь? А запустить в проксмоксе qemu с нужным флагом и > лапками настроить профили тебе в общем-то никто не мешает. Если ты > понимаешь, что оно делает и зачем ) Серьёзно. А где в Proxmox libvirt? Мне казалось, что это у них один из поводов для гордости, тот факт, что libvirt не используется для запуска qemu, нет? А какие опции libvirt'а отключают запуск qemu с '-sandbox' (а это и есть включение seccomp'а)? Потому что libvirt именно так и запускает qemu. И что-то вот эта часть уже выглядит так, как если бы ты вообще не интересовался, как же оно работает всё...
	Ответить \| Правка \| Наверх \| Cообщить модератору