forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

В Systemd реализована поддержка изоляции системных вызовов д..., opennews (ok), 17-Июл-12, (0) [смотреть все]

Может кто-нибудь обьяснит мне, тупому, зачем это надо , Сергей (??), 22:07 , 17-Июл-12, (2) +4 //

Чтобы ограничить возможности в случае успешной атаки на приложение , Аноним (-), 22:18 , 17-Июл-12, (5) +6
У злоумышленника будет меньше прав и возможностей при атаке и использовании уязв, Anonplus (?), 23:20 , 17-Июл-12, (21) +1
Чтобы редхату не баги в софте искать а политики писать Тупиковый путь для майнс, mma (?), 12:12 , 18-Июл-12, (64)

Ну допустим, штука полезная, но почему нельзя было оформить эту фичу в виде отде, Аноним (-), 22:12 , 17-Июл-12, (4) –1 //

Надо протолкнуть systemd RedHat крайне не заинтересован в альтернативах , anonymous (??), 22:26 , 17-Июл-12, (7) +1 //

Конечно Давеча Инго Молнар говорил, что разработчикам ядра надо равняться на од, Аноним (-), 23:08 , 17-Июл-12, (15) +3 //

Ты это говоришь так, будто в ядре специально держат костыли для всех инитов , anonymous (??), 00:13 , 18-Июл-12, (33)

Именно так Причем надо принимать во внимание несколько моментов - Нынешний в у, Игорь (??), 02:19 , 18-Июл-12, (42) +1 //

Теория заговора Форкайте и наслаждайтесь, кто не даёт-то Мандрива, Слес и ещё, SCIF (ok), 05:36 , 18-Июл-12, (49) +1

твои форки никому не нужны ты просто не будешь успевать за апстримом и их новым, Аноним (-), 07:18 , 18-Июл-12, (51) +1
давайте дополним RedHat не брезгует делать vendor lock Но делает это более элег, Аноним (-), 08:07 , 18-Июл-12, (52)

Можно чуть по-подробнее В идеале ссылки на почитать , Viliar (ok), 10:52 , 18-Июл-12, (61)

Думаю, не дождётесь - , Crazy Alex (ok), 15:01 , 18-Июл-12, (67)

Я думаю, прежде чем мы продолжим обсуждение, Вы предоставите пруфлинки на тему з, gns (ok), 19:53 , 18-Июл-12, (81)

я думаю вас не затруднит зайти в RHN и посмотреть на бинарные пакеты с драйверам, Аноним (-), 10:06 , 19-Июл-12, (91)

Если драйвера GPLные, то есть Если проприетарные, то нет Это не совсем то, что , gns (ok), 11:14 , 19-Июл-12, (93)

Уважаемые зажравшиеся москвичи Прошу понять одну вещь Вокруг вас расположено о, Аноним (-), 23:57 , 18-Июл-12, (85)

Какие именно драйверы, вы о чем Исходный код _всех_ драйверов, что идут в ядре R, Stax (ok), 17:35 , 18-Июл-12, (78)

через 2 месяца после того как выложен исходник вы определитесь - или их нету, ил, Аноним (-), 10:08 , 19-Июл-12, (92)

Из перечисленного она более-менее интересна разве что для SLES А в редхате и впр, Michael Shigorin (ok), 03:02 , 19-Июл-12, (87)

Чем, что в монстра протащили очередную галочку Попадет-ли это чудо в RHEL и в ка, myhand (ok), 12:36 , 19-Июл-12, (95)

Ещё одной юзерспейсной ручкой к полезному ядерному механизму, хотя место действи, Michael Shigorin (ok), 12:53 , 19-Июл-12, (96)

Это не теория заговора, а практика борьбы за рынокСистемд не надо форкать Он то, Игорь (??), 08:16 , 19-Июл-12, (89) +1

после 15-ти работы и трех сертификатов соответствия не суметь установить sysvi, agent_007 (ok), 09:49 , 19-Июл-12, (90)

Слушай, Агент, а ты уверен что ты 007 А то по ходу и по стилю тоже канешь на, jOKer (ok), 16:04 , 19-Июл-12, (97)

ну и что мешать он не будет , agent_007 (ok), 16:13 , 19-Июл-12, (98)

А не приходило в голову что если две системы конкурирует, и одну нельзя удалить,, jOKer (ok), 16:17 , 19-Июл-12, (99)

systemd нельзя удалить не потому, что он реально нужен, а из-за неправильной сбо, agent_007 (ok), 16:34 , 19-Июл-12, (100)

gt оверквотинг удален На самом деле это совсем не так Во-первых багрепорты не, jOKer (ok), 16:53 , 19-Июл-12, (101)

на самом деле всё ровно так и есть багрепорты как следует из названия , это со, agent_007 (ok), 17:24 , 19-Июл-12, (102)
Это чистая теория А на практике типичная ситуация так Я, в багрепорте на тре, jOKer (ok), 17:51 , 19-Июл-12, (103)

IMHO лучше бы тогда отпилить systemd-base какой с dir lib systemd system PS r, Michael Shigorin (ok), 18:24 , 19-Июл-12, (105)

лучше, конечно распилить на -base, -libs и, собственно, сам systemd но тогда с, agent_007 (ok), 09:11 , 20-Июл-12, (107)
Думал добавить, но не нашёлся с формулировкой кроме rpm -qa -- спасибо О д, Michael Shigorin (ok), 11:42 , 20-Июл-12, (108)

Кто вам такое сказал А если acpid service будет всеми проигнорирован потому чт, qux (ok), 16:14 , 22-Июл-12, (110)

вы имеете какое-нибудь представление о том, как формируются зависимости rpm паке, agent_007_ (?), 16:38 , 22-Июл-12, (111)
Какое-нибудь имею Если я захочу положить в пакет случайный каталог с какими-то , qux (ok), 16:50 , 22-Июл-12, (112)
случайный каталог - на здоровье каталог, который предоставляется пакетом system, agent_007_ (?), 18:27 , 22-Июл-12, (113) +1
Интересно, не знал Но даже в таком случае не нужно резать все пакеты на два к , qux (ok), 19:11 , 22-Июл-12, (115)
не можно, а нужно и здесь это уже обсудили и даже обсудили почему было предло, agent_007 (ok), 09:03 , 23-Июл-12, (117)
Например, http git altlinux org gears r rpm git p rpm git a blob f scripts fil, Michael Shigorin (ok), 18:35 , 22-Июл-12, (114)
Да, спасибо, уже ткнули Хотя имхо все равно всё не так печально, выше описал , qux (ok), 19:13 , 22-Июл-12, (116)

Достаточно http lists altlinux org pipermail community 2005-May 353112 html , Michael Shigorin (ok), 18:22 , 19-Июл-12, (104) +1

Я на 99 уверен, что там отдельная утилита systemd - это не один монолитный бин, Аноним (-), 22:32 , 17-Июл-12, (8) +4 //

Да, в основе systemd лежит модульная архитектура, и все, что выходит за рамки за, Аноним (-), 23:13 , 17-Июл-12, (16) +5 //

Ну-ну Как и rlimits и еще куча всякого добра А вот в sysv init ради исполь, myhand (ok), 23:27 , 17-Июл-12, (24)

Ага В sysvinit это делается через задницу Достаточно сравнить работу админа, пе, Аноним (-), 23:37 , 17-Июл-12, (28) +3

Для начала непосредственно в sysvinit это не делается Не поверите, все точно , myhand (ok), 00:02 , 18-Июл-12, (32) +1
Это где такое В Debian если контрольная сумма чего-то в etc не совпадает с так, www2 (??), 05:59 , 18-Июл-12, (50)

хых, да и в rpm тоже самое Если программеры не дураки, то все инит скрипты марк, анонимаус (?), 15:56 , 18-Июл-12, (69) +1

Устаревшая информация По ссылке Леннарт и Ко отклонили патч, позволяющий собрат, anonymous (??), 23:31 , 17-Июл-12, (27) –1

Вы, наверное, по аглицки не разумеете, и потому ссылками наугад кидаетесь udev м, Аноним (-), 23:41 , 17-Июл-12, (29) +2

Нельзя , anonymous (??), 23:52 , 17-Июл-12, (31) –3

Можно же Смотри udev-186 ebuild, anoser_anon (?), 06:19 , 19-Июл-12, (88)

Ну так оформляйте, делов-то , develop7 (ok), 22:50 , 17-Июл-12, (10) //

ага, написать фактически замену systemd и только , myhand (ok), 16:19 , 18-Июл-12, (70)

Написать действительно хорошую альтернативу sysvinit Да, довольно непросто Про, myhand (ok), 17:31 , 18-Июл-12, (76)

171 Show me the code 187 8212 тогда и поговорим , develop7 (ok), 18:16 , 18-Июл-12, (80)

Ну вкрутите в sysvinit тогда , develop7 (ok), 17:34 , 18-Июл-12, (77)

Вкрутить как сделано в данном примере, кстати - плохая инженерная практика , myhand (ok), 18:01 , 18-Июл-12, (79)

Потому что там ограничения на уровне целых сервисов, а не бинариков Вполне логи, h31 (ok), 22:52 , 17-Июл-12, (11) +2
эм секомп фильтры существуют отдельно надо используй где угодно, новость о том ч, кевин (?), 23:00 , 17-Июл-12, (12)
Можно Но этого пока никто не сделал Впрочем, наличие встроенной поддержки secco, Аноним (-), 23:06 , 17-Июл-12, (14) +4 //

теперь попытаемся подумать Если apache запускается из systemd - все есть, а есл, Аноним (-), 08:13 , 18-Июл-12, (53) //

Глупенький Ты хоть раз попробуй руками запустить Защита это далеко не самое стр, Аноним (-), 09:49 , 18-Июл-12, (58)
Ты даже в несвоей винде службы руками не запускаеш, Аноним (-), 09:52 , 18-Июл-12, (59)

Она и не имеет никакого отношения к systemd , filosofem (ok), 23:17 , 17-Июл-12, (19) –1 //

Тем не менее, пока она поддерживается только в systemd , Аноним (-), 23:23 , 17-Июл-12, (23) //

Ну так правильно, редхат, ынтерпрайз, безопасность, selinux, теперь вот это А б, Аноним (-), 23:29 , 17-Июл-12, (26) –2
Для галочки поддержка есть Срач на эту тему начать можно Полезность без поддер, masha (ok), 00:27 , 18-Июл-12, (36)
1 Это не поддержка, а деревянная запускалка В чем ее смысл если есть SELinux и, filosofem (ok), 00:56 , 18-Июл-12, (40)

Уже есть Те же АппАрмор и СЕЛинукс Но т у сабжу уровень пониже, этим он лучше , openclocker (ok), 09:12 , 18-Июл-12, (56)

Вообще насчет технологий безопасности в systemd можно почитать http 0pointer d, Аноним (-), 23:16 , 17-Июл-12, (18) +1 //

без сомнений и, к сожалению, без иронии - второе вы почитайте, что тут ретрогра, свищ (?), 00:31 , 18-Июл-12, (37) +4 //

any feature that is sold with and systemd can use this fox Xyz , is a misfe, myhand (ok), 16:24 , 18-Июл-12, (71)

Просто оно не так сильно нужно, как некоторые тут кричат При этом требует неких, Crazy Alex (ok), 05:25 , 18-Июл-12, (48)

Кто бы что ни говорил про Поттеринга, а штука-то годная и нужная , Anonplus (?), 23:22 , 17-Июл-12, (22) +11 //

без всякого зазрения утверждаю, поттеринг - замечательный инженер, свищ (?), 00:39 , 18-Июл-12, (38) +1 //

Как инженер - не очень, но идеи у него правильные , Аноним (-), 09:20 , 18-Июл-12, (57) +1 //

В чем Вот скажите-ка мне, кто мешает вам, таким красивым и умным, имея сорцы яд, Аноним (-), 17:08 , 18-Июл-12, (74)

Это просто прекрасно , iZEN (ok), 23:41 , 17-Июл-12, (30) +2 //

У тебя ж геморроя нет Это же прекрасно , Аноним (-), 17:08 , 18-Июл-12, (75) +2

Timeo Danaos et dona ferentesЭто не говоря уже о склонности к комбайностроению и, jOKer (ok), 04:24 , 18-Июл-12, (47) +1
Я вот чего не пойму В общем виде seccomp filter разработан для прикладных прогр, Anoynymous (?), 10:25 , 18-Июл-12, (60) //

Ну, очевидный ответ - потому что прикладные програмисты не торопятся использоват, Crazy Alex (ok), 12:38 , 18-Июл-12, (65) //

Так вот надо менять стиль написания программ, а не тянуть вещь, предназначенную , Kibab (ok), 12:25 , 20-Июл-12, (109)

Зато вброс годный Каменты читал 95 фанбоев как обычно не поняли о чем речь и , filosofem (ok), 14:45 , 18-Июл-12, (66) //

Кстати, подумалось - селинуксообразный стиль для seccomp внешнее конфигурирован, Crazy Alex (ok), 15:08 , 18-Июл-12, (68) //

Об чем и спич В Юниксах это существовало сто лет назад И кто изобретатель вело, Аноним (-), 21:36 , 18-Июл-12, (84) +1

Итак, Леннарт извратился и затащил фичу, которая изначально проектировалась для , Kibab (ok), 01:09 , 19-Июл-12, (86)
Помнится, в те старые добрые времена , когда SELinux была волне, ходили такие р, vi (?), 19:08 , 19-Июл-12, (106)

Сообщения [Сортировка по времени | RSS]

18. "В Systemd реализована поддержка изоляции системных вызовов д..." +1 +/–

Сообщение от Аноним (-), 17-Июл-12, 23:16

Вообще насчет технологий безопасности в systemd можно почитать http://0pointer.de/blog/projects/security.html
Что характерно, практически все описанные там технологии основаны на уникальных фичах ядра Linux, но никто, кроме systemd и LXC, их не использует. То ли портируемость превыше безопасности, то ли просто "крутые Linux-программисты" про них никогда не слышали.

Ответить | Правка | Наверх | Cообщить модератору

37. "В Systemd реализована поддержка изоляции системных вызовов д..." +4 +/–

Сообщение от свищ (?), 18-Июл-12, 00:31

> Вообще насчет технологий безопасности в systemd можно почитать http://0pointer.de/blog/projects/security.html
> Что характерно, практически все описанные там технологии основаны на уникальных фичах ядра
> Linux, но никто, кроме systemd и LXC, их не использует. То
> ли портируемость превыше безопасности, то ли просто "крутые Linux-программисты" про них
> никогда не слышали.
без сомнений и, к сожалению, без иронии - второе. вы почитайте, что тут ретрограды всея локалхостов пишут, в дискуссиях при попытках обратить внимание на суть проблем, их аргументация переводится на уровень "у вас руки кривые", что считают мощнейшим из доводов, и, как и полагается прямым как рельса индивидумам, в глупости своей честны и фанатично непоколебимы

Ответить | Правка | Наверх | Cообщить модератору

71. "В Systemd реализована поддержка изоляции системных вызовов д..." +/–

Сообщение от myhand (ok), 18-Июл-12, 16:24

any feature that is sold with ".. and systemd can use this fox Xyz", is a *misfeature* in my opinion. (c) тот самый ретроград, по сравнению с которым ты ничто.
PS: А вообще, в lkml довольно негативное отношение к systemd. "Фанаты" - редхетовцы, да и те плюются.

Ответить | Правка | Наверх | Cообщить модератору

48. "В Systemd реализована поддержка изоляции системных вызовов д..." +/–

Сообщение от Crazy Alex (ok), 18-Июл-12, 05:25

Просто оно не так сильно нужно, как некоторые тут кричат. При этом требует неких (иногда, как с настройкой selinux - больших) усилий.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

18. "В Systemd реализована поддержка изоляции системных вызовов д..."	+1 +/–
Сообщение от Аноним (-), 17-Июл-12, 23:16
Вообще насчет технологий безопасности в systemd можно почитать http://0pointer.de/blog/projects/security.html Что характерно, практически все описанные там технологии основаны на уникальных фичах ядра Linux, но никто, кроме systemd и LXC, их не использует. То ли портируемость превыше безопасности, то ли просто "крутые Linux-программисты" про них никогда не слышали.
Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "В Systemd реализована поддержка изоляции системных вызовов д..."	+4 +/–
	Сообщение от свищ (?), 18-Июл-12, 00:31
	> Вообще насчет технологий безопасности в systemd можно почитать http://0pointer.de/blog/projects/security.html > Что характерно, практически все описанные там технологии основаны на уникальных фичах ядра > Linux, но никто, кроме systemd и LXC, их не использует. То > ли портируемость превыше безопасности, то ли просто "крутые Linux-программисты" про них > никогда не слышали. без сомнений и, к сожалению, без иронии - второе. вы почитайте, что тут ретрограды всея локалхостов пишут, в дискуссиях при попытках обратить внимание на суть проблем, их аргументация переводится на уровень "у вас руки кривые", что считают мощнейшим из доводов, и, как и полагается прямым как рельса индивидумам, в глупости своей честны и фанатично непоколебимы
	Ответить \| Правка \| Наверх \| Cообщить модератору


	71. "В Systemd реализована поддержка изоляции системных вызовов д..."	+/–
	Сообщение от myhand (ok), 18-Июл-12, 16:24
	any feature that is sold with ".. and systemd can use this fox Xyz", is a misfeature in my opinion. (c) тот самый ретроград, по сравнению с которым ты ничто. PS: А вообще, в lkml довольно негативное отношение к systemd. "Фанаты" - редхетовцы, да и те плюются.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "В Systemd реализована поддержка изоляции системных вызовов д..."	+/–
	Сообщение от Crazy Alex (ok), 18-Июл-12, 05:25
	Просто оно не так сильно нужно, как некоторые тут кричат. При этом требует неких (иногда, как с настройкой selinux - больших) усилий.
	Ответить \| Правка \| К родителю #18 \| Наверх \| Cообщить модератору