The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск Bottlerocket 1.1, дистрибутива на базе изолированных контейнеров

08.05.2021 22:46

Доступен выпуск Linux-дистрибутива Bottlerocket 1.1.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров.

Дистрибутив предоставляет атомарно и автоматически обновляемый неделимый системный образ, включающий ядро Linux и минимальное системное окружение, включающие только компоненты, необходимые для запуска контейнеров. В окружении задействованы системный менеджер systemd, библиотека Glibc, сборочный инструментарий Buildroot, загрузчик GRUB, конфигуратор сети wicked, runtime для изолированных контейнеров containerd, платформа оркестровки контейнеров Kubernetes, аутентификатор aws-iam-authenticator и агент Amazon ECS.

Инструменты для оркестровки контейнеров поставляются в отдельном управляющем контейнере, который включается по умолчанию и управляется через API и AWS SSM Agent. В базовом образе отсутствует командная оболочка, сервер SSH и интерпретируемые языки (например, нет Python или Perl) - средства для администратора и отладочные инструменты вынесены в отдельный служебный контейнер, который по умолчанию отключён.

Ключевым отличием от похожих дистрибутивов, таких как Fedora CoreOS, CentOS/Red Hat Atomic Host является первичная ориентация на предоставление максимальной безопасности в контексте усиления защиты системы от возможных угроз, усложнения эксплуатации уязвимостей в компонентах ОС и повышения изоляции контейнеров. Контейнеры создаются при помощи штатных механизмов ядра Linux - cgroups, пространств имён и seccomp. Для дополнительной изоляции в дистрибутиве применяется SELinux в режиме "enforcing".

Корневой раздел монтируется в режиме только для чтения, а раздел с настройками /etc монтируется в tmpfs и восстанавливает исходное состояние после перезапуска. Прямое изменение файлов в каталоге /etc, таких как /etc/resolv.conf и /etc/containerd/config.toml, не поддерживается - для постоянного сохранения настроек следует использовать API или выносить функциональность в отдельные контейнеры. Для криптографической верификации целостности корневого раздела задействован модуль dm-verity, а в случае выявления попытки модификации данных на уровне блочного устройства система перезагружается.

Большинство системных компонентов написаны на языке Rust, предоставляющем средства для безопасной работы с памятью, позволяющие избежать уязвимостей, вызванных обращением к области памяти после её освобождения, разыменованием нулевых указателей и выходом за границы буфера. При сборке по умолчанию применяются режимы компиляции "--enable-default-pie" и "--enable-default-ssp" для включения рандомизации адресного пространства исполняемых файлов (PIE) и защиты от переполнения стека через подстановку канареечных меток. Для пакетов, написанных на языке C/C++, дополнительно включаются флаги "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" и "-fstack-clash-protection".

В новом выпуске:

  • Предложено два новых варианта дистрибутива aws-k8s-1.20 и vmware-k8s-1.20 c поддержкой Kubernetes 1.20. В данных вариантах, а также в обновлённом варианте aws-ecs-1, задействован новый выпуск ядра Linux 5.10. Режим lockdown по умолчанию переведён в значение "integrity" (блокируются возможности, позволяющие вносить изменения в работающее ядро из пространства пользователя). Прекращена поддержка варианта aws-k8s-1.15 на базе Kubernetes 1.15.
  • Для Amazon ECS реализована поддержка сетевого режима awsvpc, позволяющего выделять отдельные сетевые интерфейсы и внутренние IP-адреса для каждой задачи.
  • Добавлены настройки для управления различными параметрами Kubernetes, включая QPS, лимиты на пулы и возможность подключения к облачным провайдерам, отличным от AWS.
  • В bootstrap-контейнере обеспечено ограничение доступа к данным пользователя при помощи SELinux.
  • Добавлена утилита resize2fs.


  1. Главная ссылка к новости (https://github.com/bottlerocke...)
  2. OpenNews: Спецслужбы Франции опубликовали защищённый дистрибутив CLIP OS
  3. OpenNews: Проект dahliaOS развивает дистрибутив на базе технологий Linux и Fuchsia
  4. OpenNews: Доступен монолитный дистрибутив Ubuntu Core 20
  5. OpenNews: Четвёртый тестовый выпуск ОС Subgraph
  6. OpenNews: Релиз ОС Qubes 4.0, использующей виртуализацию для изоляции приложений
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/55109-bottlerocket
Ключевые слова: bottlerocket, amazon
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (83) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Dzen Python (ok), 23:03, 08/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    О-о-ох.
    Ехал контейнер в контейнере через атомарный образ
    Видит контейнер в контейнере контейнер
    Сунул контейнер запрос в контейнер
    Контейнер контейнер контейнер контейнер
     
     
  • 2.76, Аноним (76), 08:08, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Когда компьютеры в Россию только начали завозить, примерно такие же частушки про них складывали.
    Все будет через "компутэры", ха-ха-ха.
    Ты сильный "программист"? - Да! - Иди грузи ящики! (Смех в зале)

    ... примерно из той же "оперы" анекдоды про "новых русских" (если кто помнит еще).
    ... покупать жидкое мыло, полезное для кожи, за 300р., когда можно купить кусок за 20р. Ха-ха-ха - зачем нужна шелковистая кожа, когда з/п месяцами задерживают!
    ... и вообще, репертуар поздних Петросяна и Задорного.

    Т.е. понятно что это будет примерно так. Только кому-то это кажется смешным.

     
     
  • 3.86, KMF (?), 03:13, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всё понятно, только причём тут "новые русские"? Если память не подводит, они были поводом для насмешек из-за своей быдловатости, тупости, и безвкусицы; персонажи, которые всякими, зачастую - нелегальными и нечестными способами разбогатели?
     
     
  • 4.91, Аноним (76), 08:20, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Типичное все понятно, только , только отсутствие абстрактного мышления чуть ... большой текст свёрнут, показать
     
     
  • 5.96, KMF (?), 13:33, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ставить диагноз по комментарию, это тоже как бы наводит на мысль

    Вы слышали о таком понятии как "нувориш"? Вы приравнили "новых русских" к теми, кто умел зарабатывать деньги,  углубитесь в тему-то хоть. У меня один дядька в 90ых неплохо крутился, развозил продукты по региону, деньги зарабатывал коробками, но "новым русским" он не был

     
  • 2.77, Аноним (76), 08:13, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ник-то какой! "Dzen Python"!
    Да он же Дзен врурил! Он же реально в теме!
    Он же хеллоуворлд на Питоне смог!

    ... очень приятно, Царь! (С)

     

  • 1.4, Аноним (4), 23:45, 08/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –10 +/
    Забудте про производительность.
     
     
  • 2.5, Аноним (5), 23:59, 08/05/2021 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Почему? Там же нет никакой виртуализации, только namespaces и cgroups.
    Тормозит примерно как chroot или jail (то есть, никак).
     
     
  • 3.84, Анончик (?), 19:44, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    с каких пор изоляция на уровне cgroups стала бесплатной?
    Естественно что она меньше потребляет ресурсов чем kvm/xen/Hyper-v но она не бесплатна.
    Что там с изоляцией сетевой подсистемы?
     
     
  • 4.85, Аноним (5), 22:21, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    С каких пор механизм ограничения потребления ресурсов стал механизмом изоляции?

    А так да, если для контейнера проц, память и blkio через cgroups ограничить, то для контейнера они будут ограничены, вот так неожиданность!

     
     
  • 5.100, Аноним (-), 14:02, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > С каких пор механизм ограничения потребления ресурсов стал механизмом изоляции?

    То виндовое (или таки бсдшное? или оба?!) ламо не в курсе и потому путает.

    А что до изоляции namespaces, то оверхед от нее наверное в теории есть, но на практике он маргинальный и к тому же половину этого ядро и раньше умело по другим поводам, с этим своим clone() и проч.

     
     
  • 6.103, Аноним (103), 14:34, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> С каких пор механизм ограничения потребления ресурсов стал механизмом изоляции?
    > То виндовое (или таки бсдшное? или оба?!) ламо не в курсе и потому путает.

    А точно ламо он, а не надувающие щечки пингвинятки и прочие 294-е?
    https://www.kernel.org/doc/Documentation/cgroup-v1/devices.txt
    ---
    > An entry is added using devices.allow, and removed using
    > devices.deny.  For instance
    >
    > echo 'c 1:3 mr' > /sys/fs/cgroup/1/devices.allow
    > allows cgroup 1 to read and mknod the device usually known as /dev/null.

     
  • 2.78, Аноним (76), 10:18, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    вброс наугад, не в теме даже, авось кого зацепит
     
  • 2.93, Аноним (93), 11:34, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не про опроизводительность, а про оперативу. Ну вот пусть Амазон сам свою жрущую поделку юзает и клиентам втюхивает.
     

  • 1.7, Аноним (7), 00:04, 09/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Мелко и пошло" (c)
    надо что-то вроде (Function aaS):
    std::atomic++ в одном контейнере
    std::atomic-- в другом контейнере
     
     
  • 2.42, Аноним (5), 13:15, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уже придумали. Называется "микросервисная архитектура". Именно так - каждое приложение выполняет только одну функцию и имеет стандартный API.

    Но это для хипстоты, конечно. Трушные программисты создают мегакомбайны все-в-одном и живут припеваючи.

     
     
  • 3.44, AnonymPatient (?), 14:39, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Уже придумали. Называется "микросервисная архитектура"

    Коллега говорил про функции на уровне ЯП => больше простора для сольдирования(монетизации)

     
     
  • 4.46, Аноним (5), 17:35, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Реализовать функцию для связи с другим контейнером... и поместить ее в другой контейнер? А это идея, надо предложить в C++22
     
     
  • 5.101, Аноним (-), 14:04, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Реализовать функцию для связи с другим контейнером... и поместить ее в другой
    > контейнер? А это идея, надо предложить в C++22

    Вы изобрели IPC в 2021 году? Все круто, но немного опоздали :)

     

  • 1.12, GrandProgrammer (ok), 06:38, 09/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Для банковских серверов подойдёт. Анониму такая оркестровка микросервисов будет оверхедом.
     
     
  • 2.23, YetAnotherOnanym (ok), 08:53, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Угу.
    > в случае выявления попытки модификации данных на уровне блочного устройства система перезагружается

    Самое то для ответственного продакшона. Клиенты, чьи деньги с одного счёта ушли, а на другой не пришли, будут безумно счастливы те несколько дней, пока отдел автоматизации банка будет разбираться и разглядывать под лупой каждую оборванную транзакцию (вместе с тётенькой из финансовых), прежде чем её вручную откатить.

     
     
  • 3.38, Аноним (5), 12:29, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как показывает пример одного желтого банка - stateless микросервисы с масштабированием на лету вполне пригодны для банковских задач, если у программистов руки не из ягодиц, конечно.
     
  • 2.33, Аноним (5), 12:19, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Анониму такая оркестровка микросервисов будет оверхедом.

    Если анониму нужно в киберпанк поиграть - да.
    А если хочется запилить стартап по продаже булочек с минимальным гемором - почему нет? AWS+кубик - quick, easy, fun! Дороговато, правда, но это уже проблема инвесторов.

     
  • 2.48, Мертвец (?), 18:01, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В банковской сфере скорее "зайдет" шкаф с кондовой до усрчки IBM i (впрочем, AIX тоже сойдет), чем кубер-кластер, размазанный в чужом облаке. Не говоря уже об ответственности облакодержателя за доступность ресурсов и сохранность данных.

    К счастью, в [со]ответственных госрегуляторах процент сыроедов/смузихлебов небольшой, и за слишком фривольную работу процессинга, можно лишиться лицензии.

     
     
  • 3.57, Аноним (57), 21:27, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Как же вы ошибаетесь.
    Микросервисов у нас уже очень много. У коллег из тоже госбанков - также.

    Везде молодые энергичные новые пытаются на микросервисных палках и говне БДхи размазывать.

    Руководство просто не понимает, в чем оверхед собсна, поэтому выкидываем кучу бабла на железо.

     
     
  • 4.59, Аноним (5), 21:32, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как правило, ребята от бизнеса уже наелись чудесными мастерами, которые всю бизнес-логику делают на хранимках в оракле, а потом все это при росте нагрузки смасштабировать нельзя, и все жизненно важные банковские сервисы говорят "кря".
     
     
  • 5.72, Аноним (72), 07:56, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    что такое "рост нагрузки"? Много данных стало и запросы исполняются медленно? Или много запросов идет от микросервисов? Во-втором случае хранимки ни при чем. В первом - лечится тоже очевидно не "машстабированием" на уровне микросервисов
     
     
  • 6.81, Аноним (5), 11:20, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Много данных стало и запросы исполняются медленно?
    > В первом - лечится тоже очевидно не "машстабированием" на уровне микросервисов

    Очевидно, вы никогда не занимались ярусным шардированием-агрегированием данных в РСУБД.
    Очень сильно развивает условный рефлекс "адепты хранимок разносят заразу, такого увидишь - прибей его сразу".

    > Или много запросов идет от микросервисов? Во-втором случае хранимки ни при чем.

    Ну да, вы же не в курсе, что в микросервисной архитектуре у большинства сервисов есть свои БД, причем не обязательно реляционные. Или просто не понимаете, какая связь между разделением данных по разным БД и снижением числа запросов к отдельно взятой БД.

     
     
  • 7.87, Аноним (72), 07:22, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    речь шла про банк вроде? Какая там такая нагрузка, что надо снижать количество запросов? Мы писали данные с нескольких тысяч датчиков в базу и не надо было снижать. А у вас в банке - надо лол.

    При чем тут шардинг и хранимки? Хранимки - это просто логика. Представь себе их можно вызывать даже для другого инстанса базы, на другом IP. Вопрос - нафига бизнес-логику тащить с клиента, если только ты не имеешь в PL/SQL конечно.

    Что касается микросервисной архитектуры и отдельных БД - эту глупость даже комментировать тяжело, микросерфисы - это не Коран, а всего лишь инструмент и архитектур микросервисных - множество. Одна база - целостность данных. Много баз - ни о какой целостности говорить не приходится, все делается на убогих клиентах, написанных убогими программистами

     
  • 3.58, Аноним (5), 21:29, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Бизнес есть бизнес, тащить на себе кондовые трехтонные шкафы гораздо дороже, чем кубик.
    Конечно же, не у дяди в облаке, а на своих серваках.
     

  • 1.13, Аноним (13), 06:41, 09/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    systemd, SELinux (не говоря уже про монолитное ядро)- спасибо, нет.
     
     
  • 2.14, Аноним (14), 06:52, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Воу, полегче. На что пересесть предлагаете, так чтобы без MAC и монолитного ядра?
     
     
  • 3.20, Аноним (13), 08:22, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Я не то чтобы предлагаю, сам ищу варианты. Пока гипервизор Xen(микроядро) с виртуалками Parrot Home (дебиановский AppArmor), колхоз на тему Qubes OS. Есть свои минусы, а в свете скурвливания Debian - хочется чегой-то посекьюрнее, без такого прокладывания под RedHat с завязкой на systemd. Вот думу думаю и Bottlerocket как-то не привлекает.
     
     
  • 4.21, Аноним (21), 08:33, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А я из KVM сделал, просто виртуалки с дебианами, без всякой хайпоты. Так оно тяжелее конечно, зато и изоляция крепче (и кто сказал что контейнеров внутрях нет).

    Что до дебиана - вариантов лучше как-то особо и не заметно вроде. Эти достаточно стабильные, предсказуемые и не слишком интрузивные. Хотя для совсем олдскульщиков какая-нибудь слака наверное, но в олдскуле так то и виртуализация не полагается, там вообще первый же рутовый эксплойт по канону имеет вас от и до :P

     
     
  • 5.24, Аноним (13), 08:57, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    KVM/QEMU тоже рассматривал (Аллах с потерей % произв-ти), но, поскольку я тот ещё параноик - меня смутило то, что к KVM плотно приложились RedHat, опять же SELinux и, главное - KVM же кусок ядра Linux. А Xen- с отдельным микроядрышком и разрабатывается Linux Foundation всё-таки, что изрядно успокоило мою паранойю.
     
     
  • 6.32, Аноним (5), 12:16, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Xen не является полноценным ядром, и практически все основные функции делегирует ядру dom0. Именно поэтому для его поддержки пришлось запихнуть в Linux кучу ксеновского кода.

    > меня смутило то, что к KVM плотно приложились RedHat

    А то, что к Xen приложился Citrix, вас не смущает?

     
     
  • 7.50, Аноним (13), 19:08, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Citrix давно сказали, что Xen не есть их приоритет и делать деньги на этом не планируют, даже проприетарный bare metal XenServer открыли и дали забесплатно. Понятно, что есть подвох - пилится Xen очень постепенно. А вот KVM стал фактически стандартом и развивается бешеными темпами. Так что может и придётся на него перелезать, ибо два остальных главных стандарта HyperV и ESXi те ещё проприетарные blackbox.
     
     
  • 8.66, Аноним (5), 23:53, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что, редхат на KVM или SELinux деньги делает Учитывая ваше недоверие к редхат... текст свёрнут, показать
     
  • 6.67, Аноним (-), 06:43, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    По производительности CPU ram почти как baremetal, io особо не тормозит, qxl или... большой текст свёрнут, показать
     
  • 6.73, Аноним (72), 07:58, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Боишься что RedHat украдут твои данные? Ты в ФСБ что ли работаешь? Что-то логику не могу уловить. Тебе б на Эльбрус перебраться - Intel к CPU "руку приложили"
     
  • 5.53, Мертвец (?), 19:35, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >А я из KVM сделал, просто виртуалки с дебианами

    Условно говоря, "облако" где-то так и работает - клиент получает запрошенное количество виртуалок нужной кофигурации с развернутой ОСЬю. Уже внутри этой ОСи запускаются контейнеры со stateless-софтом.
    Идея этой БутылкоРакеты - уменьшить толщину ОСи в виртуалках, сведя функционал к запуску контейнеров и взаимодействию с оркестратором. Разумеется, вместе с водой выплеснули и ребенка...

     
     
  • 6.60, Аноним (5), 21:36, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В смысле - выплеснули? Решение вполне рабочее, но уж очень нишевое - за пределами амазона этот дистр бесполезен.
     
  • 6.98, Аноним (-), 13:58, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо Кэп Как ты понимаешь, идея была частично сперта у энетрерпайзников, час... большой текст свёрнут, показать
     
  • 4.34, YetAnotherOnanym (ok), 12:21, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://projectacrn.org - легковесный реалтаймовый гипервизор от интел.
    Есть ещё какой-то гипервизор от сименса, но там вм гвоздями прибивается к ядру процессора, соотв. число вм ограничено числом ядер физического процессора.
     
     
  • 5.41, Аноним (5), 13:09, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ох, они хотят чтобы даже на холодильнике была запущена пачка виртуальных машин ... большой текст свёрнут, показать
     
  • 5.68, Аноним (-), 06:45, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > https://projectacrn.org - легковесный реалтаймовый гипервизор от интел.

    А management engine они туда встроили? Какой же интел без management engine? :)

     
  • 5.74, Аноним (72), 08:01, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это не годится - Intel руку приложило". И Сименс не годится - "Сименс руку приложили". Анону надо чего-нибудь православненького, судя по всему лол - к Линуксу США "руку приложили" опять же...
     
     
  • 6.83, Аноним (13), 19:14, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо вот тут. К Linux руку швед руку приложил. Финский швед. :)
     
     
  • 7.88, Аноним (72), 07:24, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ну это совсем плохо, учитывая какие там гей-парады ходють
     
  • 7.99, Аноним (-), 13:59, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Не надо вот тут. К Linux руку швед руку приложил. Финский швед. :)

    ...получивший американское гражданство, а потому заодно еще и американец :)

     
  • 4.36, Аноним (5), 12:24, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > в свете скурвливания Debian - хочется чегой-то посекьюрнее, без такого прокладывания под RedHat с завязкой на systemd

    Тогда варианта всего два - Hyper-V и BHyVe.

     
     
  • 5.52, Аноним (13), 19:21, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    HyperV проприетарный и на нём Lunux виртуалки, отличные от дефолтных, бывает, выкидывают сюрпризы, в BSD лезть неохота, надо всё таки работу работать, а не покорять новые, ненужные горизонты. Интел и сименс - новые (привет, баги) специализированные решения, как-то я пока их не вижу на Homelab workstation или server.
     
     
  • 6.56, Аноним (5), 21:24, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > HyperV проприетарный и на нём Lunux виртуалки, отличные от дефолтных, бывает, выкидывают сюрпризы, в BSD лезть неохота, надо всё таки работу работать, а не покорять новые, ненужные горизонты.

    Люди, которые всерьез воюют со "злобным редхатом" и "его продуктами", типа Linux kernel и systemd (в обоих проектах, на самом деле, вклад отдельно взятого редхата существенен, но не 100%), обычно все-таки работают работу на чем-то другом, нежели нехороший линукс с нехорошим системды.

     
     
  • 7.62, Аноним (13), 22:48, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А есть люди, которые ни с кем не воюют, но по работе надо сделать secure. А ещё есть люди, которые имели в виду ковыряться в SELinux.
     
     
  • 8.64, Аноним (5), 23:46, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Таких людей в этом обсуждении не наблюдаю Потому что они строят комплекс защитн... текст свёрнут, показать
     
  • 5.75, Аноним (72), 08:03, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не подходит, тут же вот какое дело:

    Hyper-V -> Microsoft -> USA -> NATO -> ... -> собака -> c**ка

    Не годится

     
     
  • 6.80, Аноним (5), 11:08, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тотемное животное США - не собака, а скунс. Так что норм.
     
     
  • 7.89, Аноним (72), 07:26, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А они верят что орлан. Хотя, возможно, что ошибаются
     
     
  • 8.94, Аноним (5), 11:37, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Очень многие вещи внутри США и за пределами страны называются по-разному Наприм... текст свёрнут, показать
     
  • 6.102, Аноним (-), 14:07, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Hyper-V -> Microsoft -> USA

    В США так то ~90% софта планеты пишется. Так что если ты надеялся импортозаместить, носить тебе непереносить...

     

  • 1.18, Аноним (-), 08:14, 09/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Они там походу вообще все хайпожорские баззворды в этой штуке собрали.
     
     
  • 2.22, YetAnotherOnanym (ok), 08:44, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Без этого инвесторы денех не дадут.
     

  • 1.25, Аноним (25), 10:24, 09/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Веселят коментарии староверов "ненужны нам ваши контейнеры, нам и на виртуализации хорошо". Да вот только прогресс не остановить и остается либо принять тренды либо скатится на обочину.
     
     
  • 2.26, Аноним (26), 10:34, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Есть гвоздь, есть молоток, а есть отвертка.

    Можно забить - можно завентить. Держать будет одинаково.
    Если люди намастрячились крутить гвозди и они не выскакивают - пусть так, при условии что времени и $$ стоит столько же сколько завинтить.

     
     
  • 3.28, Аноним (28), 11:16, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    ничего тупей этой "аналогии" придумать невозможно. впрочем для икспертов опеннет - это норма
     
     
  • 4.63, ктото (?), 22:54, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хозяйке на заметку: саморез забитый молотком держит лучше, чем гвоздь, закрученный отверткой (с)
     
  • 2.29, псевдонимус (?), 11:31, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это регрес, а не прогресс.
     
  • 2.31, YetAnotherOnanym (ok), 12:13, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Расскажи это программистам на коболе и фортране, ага. А заодно поспрашивай старших о том, сколько новомодной хрени, на которую молились малолетние энтузиасты, оказалось на той самой обочине.
     
     
  • 3.35, Аноним (5), 12:21, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Расскажи это программистам на коболе и фортране, ага.

    Боюсь, ваша просьба не является достаточным основанием потратить день на поездку в дом престарелых.

     
  • 2.37, Аноним (5), 12:26, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >  Веселят коментарии староверов "ненужны нам ваши контейнеры, нам и на виртуализации хорошо". Да вот только прогресс не остановить и остается либо принять тренды либо скатится на обочину.

    Поинтересуйтесь на досуге, на каких машинах крутятся ваши прогрессивные контейнеры.
    Hint: в 99.999% случаем это не bare metal.

     
     
  • 3.69, Аноним (-), 06:47, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    На третий день Зоркий Глаз заметил что его отменеджил гипервизор...
     
  • 3.90, Аноним (72), 07:29, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это так. Но докер не для виртуализации, а для доставки апплекух, относительно независимым от среды образом. Чтоб программеры не говорили: странно, а у меня работает, а у Васи - нет, хотя Джава та же. Что-то типа толстого RPM-а
     
     
  • 4.95, Аноним (5), 11:40, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Естественно. Просто тут некоторые комментаторы не видят разницы между контейнерами докера (более обобщенно я бы назвал их CRI-подобными), LXC и OpenVZ. А про последние два смутно помнят, что противопоставляют виртуализации (опять-таки, от большого ума). Это делает меня печальной пандой.
     

  • 1.27, Аноним (27), 11:10, 09/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Какой в этом смысл если это всё обходится через уязвимости в процессорах.
     
     
  • 2.39, Составление сообщения (?), 12:46, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как конкретно происходит утечка в qubes например? (которая имеет по хen окружению на dom0, сетевые sys-net и sys-firewall и собственно domU с данными)
     
     
  • 3.40, Аноним (5), 13:03, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Абсолютно так же, как и между процессами на обычной ОС. Виртуализация (если она реализована в процессоре) - это прежде всего про разделение доступа к периферии.
     
  • 3.70, Аноним (-), 06:52, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Как конкретно происходит утечка в qubes например?

    Да процу то какая разница где оно там. Если через кэш и сайдэффекты тайминги текут то уж текут. Сам по себе виртуализатор от этого не особо спасет, разве что немного размоет картину в лучшем случае. И если в случае линуха кернел немного заморочился подкостыливанием этого и даже довольно оперативно вертится на это, то как это с Xen взаимодействует и подкостылили ли и там - а кто б его там знает.

     

  • 1.49, Аноним (49), 18:07, 09/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Контейнеры создаются при помощи штатных механизмов ядра Linux - cgroups, пространств имён и seccomp.

    Где о таком подробнее почитать можно?

     
     
  • 2.51, Доброжелатель (??), 19:19, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В документации на ядро.
    Не издеваюсь - но больше мест где это было бы как-то подробно расписано, я не знаю.

    https://www.kernel.org/doc/html/latest/userspace-api/seccomp_filter.html
    https://www.kernel.org/doc/html/latest/admin-guide/cgroup-v1/cgroups.html
    https://www.kernel.org/doc/html/v4.14/admin-guide/LSM/Yama.html
    https://www.kernel.org/doc/html/latest/admin-guide/device-mapper/verity.html

    SELinux это конечно хорошо, но я для таких вещей когда-то RSBAC-ом пользовался.
    SELinux пока отконфигурируешь - кучу времени убьёшь.

     
     
  • 3.65, Аноним (5), 23:49, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > SELinux пока отконфигурируешь - кучу времени убьёшь.

    В принципе, про seccomp и firewall можно то же самое сказать.
    SELinux требует понимания, к каким файлам и каталогам обращается программа.
    Seccomp требует понимания, какие сисколлы нужны для работы программы.
    Firewall требует понимания, на какие хосты и порты может обращаться программа.

    Нанести, смыть, повторить для всех программ в системе.

     
     
  • 4.82, Доброжелатель (??), 15:41, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не всё так плохо. Есть вот такое вот:

    https://github.com/QuarkSecurity/SPAN
    SELinux Policy Analysis Notebook

    Сделано для RH-based и уже 2 года не развивается.
    Но я пользовался несколько раз - помогает.
    То есть допиливать политику приходится не с нуля.
    На рабочей системе, которая постоянно изменяется - очень муторно, никто не спорит.
    А вот для контейнера, который настраивается только один раз - овчинка выделки может и стоить.
    И всё-таки RSBAC гораздо понятнее и проще в настройке.

     
  • 3.71, Аноним (-), 06:53, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > SELinux пока отконфигурируешь - кучу времени убьёшь.

    А хакеру его потом эксплойт совершенно стандартно вырубит. Оно надо с таким соотношением?

     
     
  • 4.79, Аноним (5), 11:06, 10/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, если у хакера есть стандартный эксплойт с одной кнопкой "взломать что угодно", тогда да, любые меры защиты бесполезны.
     
     
  • 5.97, Аноним (-), 13:49, 11/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну, если у хакера есть стандартный эксплойт с одной кнопкой "взломать что
    > угодно", тогда да, любые меры защиты бесполезны.

    Ну, блин, в всех более-менее серьезно настроеных эксплойтах на ядро SELinux вырубается первым делом. Так что соотношение получается очень так себе. ИМХО технологии должны создавать минимум сложностей для легитимного юзера и максимум для левого атакующего. Это точно не про SELinux, там скорее все наоборот. Хакер вырубит одной левой, а долботни с настройкой эвон сколько.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру