The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В systemd добавлены новые возможности по изоляции контейнеров"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В systemd добавлены новые возможности по изоляции контейнеров"  +/
Сообщение от opennews (ok) on 04-Июн-14, 22:11 
В целях повышения безопасности сервисов, работающих в контейнерах, в systemd добавлены (https://plus.google.com/+LennartPoetteringTheOneAndOnly/post...) настройки сервисов "ReadOnlySystem" и "ProtectedHome".


Настройка "ReadOnlySystem" примонтирует разделы /usr и /boot для указанного сервиса в режиме "только для чтения". Это позволит убедиться, что сервис не сможет несанкционированно изменять части операционной системы, если такое поведение сервиса заведомо не предполагается.


Настройка "ProtectedHome" примонтирует разделы /home и /run/user в режиме только для чтения или заменит указанные пути на пустую несуществующую директорию. Это позволит добиться того, что указанный сервис не получит  доступа к конфиденциальным пользовательским данным.


Отмечается, что данные настройки будут также применены ко всем долговременно работающим процессам самого systemd. Настройки будут включены в состав будущего выпуска systemd 214.

URL: http://www.phoronix.com/scan.php?page=news_item&px=MTcwOTk
Новость: http://www.opennet.me/opennews/art.shtml?num=39928

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В systemd добавлены новые возможности по изоляции контейнеро..."  +1 +/
Сообщение от Xasd (ok) on 04-Июн-14, 22:11 
поясните, пожалуйста..

если сервис выполняется не от суперпользователя -- то разе он может писать в /usr, /boot, /home ?

а если сервис выполняется от суперпользователя -- то разве есть надёжный способ НЕдопустить процесс до какой-нибо части жёсткого диска?

процесс, работающий от суперпользователя -- всегда же может сделать mount , и всегда может создать необходимый файл блочного устройства?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В systemd добавлены новые возможности по изоляции контейнеро..."  +1 +/
Сообщение от ABATAPA email(ok) on 04-Июн-14, 22:19 
> работающий от суперпользователя -- всегда же может сделать mount

Не всегда.
man capabilities
google://lxc
google://OpenVZ

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "В systemd добавлены новые возможности по изоляции контейнеро..."  –1 +/
Сообщение от Bvz on 04-Июн-14, 23:54 
Ога. т.е. ещё внутрь systemd контейнерную виртуализацию по вашему запихнут? а чо шикарная идея же!
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "В systemd добавлены новые возможности по изоляции контейнеро..."  +2 +/
Сообщение от Аноним (??) on 05-Июн-14, 00:46 
уже давно
systemd-nspawn называется
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

16. "В systemd добавлены новые возможности по изоляции контейнеро..."  –1 +/
Сообщение от Аноним (??) on 05-Июн-14, 12:05 
Вообще-то, бут контейнеров и виртуалок всегда был целью системдэ. И это его жирный плюс, ибо нормальных средств для этого у остальных вообще нет, костылить самому - достало, а вкрячивать энтерпрайзятный управлятор для автозапумка пары вм или контейнеров - жуткий оверкил. И вот тут у системдэ есть жирный плюс.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

18. "В systemd добавлены новые возможности по изоляции контейнеро..."  +/
Сообщение от Какаянахренразница (ok) on 05-Июн-14, 12:25 
Таки сколько плюсов -- один или два? Такое ощущение, что оба плюса за одно и то же. Заодно уточните процент жирности.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

26. "В systemd добавлены новые возможности по изоляции контейнеро..."  –1 +/
Сообщение от Аноним (??) on 05-Июн-14, 18:26 
> Такое ощущение, что оба плюса за одно и то же

Да вы прикалываетесь, не иначе? Если умение запускать то и се считать за 1 плюс при обсуждении запускалок - получается что они все как бы одинаковы. Теоретически как-то так и есть. А практически - "есть нюансы". И нет, виртуальные машины и контейнеры - весьма разные вещи. Из общего у них то что и то и другое реализовано в ядре и, судя по всему, можно будет и то и другое запускать средствами systemd, а остальное будет надстраиваться над оным. Что как раз хорошо, ибо лепить местечковые костыли достало, а энтерпрайзные средства имеют смысл если у вас 100500 виртуалок/контейнеров.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "В systemd добавлены новые возможности по изоляции контейнеро..."  –3 +/
Сообщение от Аноним (??) on 05-Июн-14, 14:16 
Который ты видел только на картинках в интернете, поскольку сам не используешь системд.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

27. "В systemd добавлены новые возможности по изоляции контейнеро..."  +/
Сообщение от Аноним (??) on 05-Июн-14, 18:28 
> Который ты видел только на картинках в интернете, поскольку сам не используешь системд.

Ну так всему свое время: пусть сначала всякие арчеводы и федористы оттестят ;).

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

31. "В systemd добавлены новые возможности по изоляции контейнеро..."  –1 +/
Сообщение от Аноним (??) on 06-Июн-14, 03:11 
лол, runit вот и вся запускалка, че хочешь запускай и как хочешь
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

35. "В systemd добавлены новые возможности по изоляции контейнеро..."  +/
Сообщение от annualslayer (ok) on 06-Июн-14, 10:21 
аноним, боящийся потерять работу из-за системдэ, опять выходит на связь?
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

6. "В systemd добавлены новые возможности по изоляции контейнеро..."  +/
Сообщение от Аноним (??) on 04-Июн-14, 23:26 
почему только /usr и /boot? где логика? бред какой-то...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В systemd добавлены новые возможности по изоляции контейнеро..."  +2 +/
Сообщение от Мимокрокодил on 04-Июн-14, 23:50 
Ну, наверное, потому, что никто не рассказал Леннарту, что линукс начинается с корня
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

28. "В systemd добавлены новые возможности по изоляции контейнеро..."  +/
Сообщение от Аноним (??) on 05-Июн-14, 18:29 
> Ну, наверное, потому, что никто не рассказал Леннарту, что линукс начинается с корня

Редхат снес все бинари в /usr, а остальное симлинки позорные.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "В systemd добавлены новые возможности по изоляции контейнеро..."  +1 +/
Сообщение от Аноним (??) on 04-Июн-14, 23:51 
редхет всё перетащил в /usr, а /boot нужен для добывания ядер
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "В systemd добавлены новые возможности по изоляции контейнеро..."  +/
Сообщение от Anonymus on 05-Июн-14, 01:43 
вау
чего же боле ещё могу я вам сказать
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "В systemd добавлены новые возможности по изоляции контейнеро..."  +1 +/
Сообщение от Классический Анонимус on 05-Июн-14, 06:50 
С одной стороны монопенисуально, даже в Арче этот монстрило не напрягает, работает сам по себе и работает, обновляется без доп телодвижений. С другой стороны, если появится такой же изящный дистриб без systemD, сразу же на него сбегу. :(
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В systemd добавлены новые возможности по изоляции контейнеро..."  –1 +/
Сообщение от burjui (ok) on 05-Июн-14, 10:43 
Взаимоисключающие параграфы. Если работает и не мешает, зачем убегать куда-то? Заразились системдифобией?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "В systemd добавлены новые возможности по изоляции контейнеро..."  –2 +/
Сообщение от Аноним (??) on 05-Июн-14, 12:07 
> Взаимоисключающие параграфы. Если работает и не мешает, зачем убегать куда-то? Заразились
> системдифобией?

Стадный инстинкт - нынче модно ругать поттера ;).

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

22. "В systemd добавлены новые возможности по изоляции контейнеро..."  –1 +/
Сообщение от burjui (ok) on 05-Июн-14, 15:02 
Очень похоже на то. Не буду делать выводов пока, но складывается впечатление, что никто не хочет или не может объяснить, чем же принципиально плох Systemd. Я понимаю негодование Линуса по поводу изменений ради изменений, но почему это должно вызывать у пользователей стойкое желание снести Systemd, если оно работает и не мешает, мне совершенно непонятно.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

24. "В systemd добавлены новые возможности по изоляции контейнеро..."  –2 +/
Сообщение от Аноним (??) on 05-Июн-14, 15:09 
В общем ничего, кроме пложения зоопарков (на время пока все прочие не отомрут) бинарных логов параллельно с обычными (оверхед, а без него неудобно, т к бинарные - шлак). Сам переход был не вполне гладким. Закостенелым адменоюзерам тяжелом менять привычки.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

29. "В systemd добавлены новые возможности по изоляции контейнеро..."  +/
Сообщение от Куяврег on 05-Июн-14, 23:22 
> но почему это должно вызывать у пользователей стойкое желание снести Systemd

видимо, потому что они его не звали, а то, что использовали ранее работало и не мешало. в этом плане очень правильный подход у генты. Хочешь системды? ставь - будет работать. Не хочешь? на тебе openrc родной и любимый.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

33. "В systemd добавлены новые возможности по изоляции контейнеро..."  +/
Сообщение от Классический Анонимус on 06-Июн-14, 05:33 
Взаимоисключающие параграфы - это наличие systemD в Arch-линуксе. Арч максимально простой как валенок дистриб, к которому я пришёл после 10 лет сидения на гентах, дебианах и убунту.

А systemD монструозный мегакомбайн. Для суровоынтырпрайзнутого RHEL может быть и хороший вариант, а в Арчике он что делает?!

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

21. "В systemd добавлены новые возможности по изоляции контейнеро..."  –1 +/
Сообщение от Аноним (??) on 05-Июн-14, 14:18 
А когда он додумается добавить новый ключик FakeProtectedHome и т.д.? Ну это когда используется unionfs и всем кажется что запись в домашник идёт а не деле фиггг.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "В systemd добавлены новые возможности по изоляции контейнеро..."  –1 +/
Сообщение от burjui (ok) on 05-Июн-14, 15:33 
А ты не жди, пока додумается, а напиши ему. Разработчики - не телепаты же. Ну и работать есть, над чем, видимо, раз не сделал ещё. Причин может быть уйма, короче.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру