В целях повышения безопасности сервисов, работающих в контейнерах, в systemd добавлены (https://plus.google.com/+LennartPoetteringTheOneAndOnly/post...) настройки сервисов "ReadOnlySystem" и "ProtectedHome".
Настройка "ReadOnlySystem" примонтирует разделы /usr и /boot для указанного сервиса в режиме "только для чтения". Это позволит убедиться, что сервис не сможет несанкционированно изменять части операционной системы, если такое поведение сервиса заведомо не предполагается.
Настройка "ProtectedHome" примонтирует разделы /home и /run/user в режиме только для чтения или заменит указанные пути на пустую несуществующую директорию. Это позволит добиться того, что указанный сервис не получит доступа к конфиденциальным пользовательским данным.
Отмечается, что данные настройки будут также применены ко всем долговременно работающим процессам самого systemd. Настройки будут включены в состав будущего выпуска systemd 214.URL: http://www.phoronix.com/scan.php?page=news_item&px=MTcwOTk
Новость: http://www.opennet.ru/opennews/art.shtml?num=39928
поясните, пожалуйста..если сервис выполняется не от суперпользователя -- то разе он может писать в /usr, /boot, /home ?
а если сервис выполняется от суперпользователя -- то разве есть надёжный способ НЕдопустить процесс до какой-нибо части жёсткого диска?
процесс, работающий от суперпользователя -- всегда же может сделать mount , и всегда может создать необходимый файл блочного устройства?
> работающий от суперпользователя -- всегда же может сделать mountНе всегда.
man capabilities
google://lxc
google://OpenVZ
Ога. т.е. ещё внутрь systemd контейнерную виртуализацию по вашему запихнут? а чо шикарная идея же!
уже давно
systemd-nspawn называется
Вообще-то, бут контейнеров и виртуалок всегда был целью системдэ. И это его жирный плюс, ибо нормальных средств для этого у остальных вообще нет, костылить самому - достало, а вкрячивать энтерпрайзятный управлятор для автозапумка пары вм или контейнеров - жуткий оверкил. И вот тут у системдэ есть жирный плюс.
Таки сколько плюсов -- один или два? Такое ощущение, что оба плюса за одно и то же. Заодно уточните процент жирности.
> Такое ощущение, что оба плюса за одно и то жеДа вы прикалываетесь, не иначе? Если умение запускать то и се считать за 1 плюс при обсуждении запускалок - получается что они все как бы одинаковы. Теоретически как-то так и есть. А практически - "есть нюансы". И нет, виртуальные машины и контейнеры - весьма разные вещи. Из общего у них то что и то и другое реализовано в ядре и, судя по всему, можно будет и то и другое запускать средствами systemd, а остальное будет надстраиваться над оным. Что как раз хорошо, ибо лепить местечковые костыли достало, а энтерпрайзные средства имеют смысл если у вас 100500 виртуалок/контейнеров.
Который ты видел только на картинках в интернете, поскольку сам не используешь системд.
> Который ты видел только на картинках в интернете, поскольку сам не используешь системд.Ну так всему свое время: пусть сначала всякие арчеводы и федористы оттестят ;).
лол, runit вот и вся запускалка, че хочешь запускай и как хочешь
аноним, боящийся потерять работу из-за системдэ, опять выходит на связь?
почему только /usr и /boot? где логика? бред какой-то...
Ну, наверное, потому, что никто не рассказал Леннарту, что линукс начинается с корня
> Ну, наверное, потому, что никто не рассказал Леннарту, что линукс начинается с корняРедхат снес все бинари в /usr, а остальное симлинки позорные.
редхет всё перетащил в /usr, а /boot нужен для добывания ядер
вау
чего же боле ещё могу я вам сказать
С одной стороны монопенисуально, даже в Арче этот монстрило не напрягает, работает сам по себе и работает, обновляется без доп телодвижений. С другой стороны, если появится такой же изящный дистриб без systemD, сразу же на него сбегу. :(
Взаимоисключающие параграфы. Если работает и не мешает, зачем убегать куда-то? Заразились системдифобией?
> Взаимоисключающие параграфы. Если работает и не мешает, зачем убегать куда-то? Заразились
> системдифобией?Стадный инстинкт - нынче модно ругать поттера ;).
Очень похоже на то. Не буду делать выводов пока, но складывается впечатление, что никто не хочет или не может объяснить, чем же принципиально плох Systemd. Я понимаю негодование Линуса по поводу изменений ради изменений, но почему это должно вызывать у пользователей стойкое желание снести Systemd, если оно работает и не мешает, мне совершенно непонятно.
В общем ничего, кроме пложения зоопарков (на время пока все прочие не отомрут) бинарных логов параллельно с обычными (оверхед, а без него неудобно, т к бинарные - шлак). Сам переход был не вполне гладким. Закостенелым адменоюзерам тяжелом менять привычки.
> но почему это должно вызывать у пользователей стойкое желание снести Systemdвидимо, потому что они его не звали, а то, что использовали ранее работало и не мешало. в этом плане очень правильный подход у генты. Хочешь системды? ставь - будет работать. Не хочешь? на тебе openrc родной и любимый.
Взаимоисключающие параграфы - это наличие systemD в Arch-линуксе. Арч максимально простой как валенок дистриб, к которому я пришёл после 10 лет сидения на гентах, дебианах и убунту.А systemD монструозный мегакомбайн. Для суровоынтырпрайзнутого RHEL может быть и хороший вариант, а в Арчике он что делает?!
А когда он додумается добавить новый ключик FakeProtectedHome и т.д.? Ну это когда используется unionfs и всем кажется что запись в домашник идёт а не деле фиггг.
А ты не жди, пока додумается, а напиши ему. Разработчики - не телепаты же. Ну и работать есть, над чем, видимо, раз не сделал ещё. Причин может быть уйма, короче.