URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 96167
[ Назад ]

Исходное сообщение
"В systemd добавлены новые возможности по изоляции контейнеров"

Отправлено opennews , 04-Июн-14 22:11 
В целях повышения безопасности сервисов, работающих в контейнерах, в systemd добавлены (https://plus.google.com/+LennartPoetteringTheOneAndOnly/post...) настройки сервисов "ReadOnlySystem" и "ProtectedHome".


Настройка "ReadOnlySystem" примонтирует разделы /usr и /boot для указанного сервиса в режиме "только для чтения". Это позволит убедиться, что сервис не сможет несанкционированно изменять части операционной системы, если такое поведение сервиса заведомо не предполагается.


Настройка "ProtectedHome" примонтирует разделы /home и /run/user в режиме только для чтения или заменит указанные пути на пустую несуществующую директорию. Это позволит добиться того, что указанный сервис не получит  доступа к конфиденциальным пользовательским данным.


Отмечается, что данные настройки будут также применены ко всем долговременно работающим процессам самого systemd. Настройки будут включены в состав будущего выпуска systemd 214.

URL: http://www.phoronix.com/scan.php?page=news_item&px=MTcwOTk
Новость: http://www.opennet.ru/opennews/art.shtml?num=39928


Содержание

Сообщения в этом обсуждении
"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено Xasd , 04-Июн-14 22:11 
поясните, пожалуйста..

если сервис выполняется не от суперпользователя -- то разе он может писать в /usr, /boot, /home ?

а если сервис выполняется от суперпользователя -- то разве есть надёжный способ НЕдопустить процесс до какой-нибо части жёсткого диска?

процесс, работающий от суперпользователя -- всегда же может сделать mount , и всегда может создать необходимый файл блочного устройства?


"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено ABATAPA , 04-Июн-14 22:19 
> работающий от суперпользователя -- всегда же может сделать mount

Не всегда.
man capabilities
google://lxc
google://OpenVZ


"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено Bvz , 04-Июн-14 23:54 
Ога. т.е. ещё внутрь systemd контейнерную виртуализацию по вашему запихнут? а чо шикарная идея же!

"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено Аноним , 05-Июн-14 00:46 
уже давно
systemd-nspawn называется

"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено Аноним , 05-Июн-14 12:05 
Вообще-то, бут контейнеров и виртуалок всегда был целью системдэ. И это его жирный плюс, ибо нормальных средств для этого у остальных вообще нет, костылить самому - достало, а вкрячивать энтерпрайзятный управлятор для автозапумка пары вм или контейнеров - жуткий оверкил. И вот тут у системдэ есть жирный плюс.

"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено Какаянахренразница , 05-Июн-14 12:25 
Таки сколько плюсов -- один или два? Такое ощущение, что оба плюса за одно и то же. Заодно уточните процент жирности.

"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено Аноним , 05-Июн-14 18:26 
> Такое ощущение, что оба плюса за одно и то же

Да вы прикалываетесь, не иначе? Если умение запускать то и се считать за 1 плюс при обсуждении запускалок - получается что они все как бы одинаковы. Теоретически как-то так и есть. А практически - "есть нюансы". И нет, виртуальные машины и контейнеры - весьма разные вещи. Из общего у них то что и то и другое реализовано в ядре и, судя по всему, можно будет и то и другое запускать средствами systemd, а остальное будет надстраиваться над оным. Что как раз хорошо, ибо лепить местечковые костыли достало, а энтерпрайзные средства имеют смысл если у вас 100500 виртуалок/контейнеров.


"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено Аноним , 05-Июн-14 14:16 
Который ты видел только на картинках в интернете, поскольку сам не используешь системд.

"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено Аноним , 05-Июн-14 18:28 
> Который ты видел только на картинках в интернете, поскольку сам не используешь системд.

Ну так всему свое время: пусть сначала всякие арчеводы и федористы оттестят ;).


"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено Аноним , 06-Июн-14 03:11 
лол, runit вот и вся запускалка, че хочешь запускай и как хочешь

"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено annualslayer , 06-Июн-14 10:21 
аноним, боящийся потерять работу из-за системдэ, опять выходит на связь?

"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено Аноним , 04-Июн-14 23:26 
почему только /usr и /boot? где логика? бред какой-то...

"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено Мимокрокодил , 04-Июн-14 23:50 
Ну, наверное, потому, что никто не рассказал Леннарту, что линукс начинается с корня

"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено Аноним , 05-Июн-14 18:29 
> Ну, наверное, потому, что никто не рассказал Леннарту, что линукс начинается с корня

Редхат снес все бинари в /usr, а остальное симлинки позорные.


"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено Аноним , 04-Июн-14 23:51 
редхет всё перетащил в /usr, а /boot нужен для добывания ядер

"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено Anonymus , 05-Июн-14 01:43 
вау
чего же боле ещё могу я вам сказать

"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено Классический Анонимус , 05-Июн-14 06:50 
С одной стороны монопенисуально, даже в Арче этот монстрило не напрягает, работает сам по себе и работает, обновляется без доп телодвижений. С другой стороны, если появится такой же изящный дистриб без systemD, сразу же на него сбегу. :(

"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено burjui , 05-Июн-14 10:43 
Взаимоисключающие параграфы. Если работает и не мешает, зачем убегать куда-то? Заразились системдифобией?

"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено Аноним , 05-Июн-14 12:07 
> Взаимоисключающие параграфы. Если работает и не мешает, зачем убегать куда-то? Заразились
> системдифобией?

Стадный инстинкт - нынче модно ругать поттера ;).


"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено burjui , 05-Июн-14 15:02 
Очень похоже на то. Не буду делать выводов пока, но складывается впечатление, что никто не хочет или не может объяснить, чем же принципиально плох Systemd. Я понимаю негодование Линуса по поводу изменений ради изменений, но почему это должно вызывать у пользователей стойкое желание снести Systemd, если оно работает и не мешает, мне совершенно непонятно.

"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено Аноним , 05-Июн-14 15:09 
В общем ничего, кроме пложения зоопарков (на время пока все прочие не отомрут) бинарных логов параллельно с обычными (оверхед, а без него неудобно, т к бинарные - шлак). Сам переход был не вполне гладким. Закостенелым адменоюзерам тяжелом менять привычки.

"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено Куяврег , 05-Июн-14 23:22 
> но почему это должно вызывать у пользователей стойкое желание снести Systemd

видимо, потому что они его не звали, а то, что использовали ранее работало и не мешало. в этом плане очень правильный подход у генты. Хочешь системды? ставь - будет работать. Не хочешь? на тебе openrc родной и любимый.


"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено Классический Анонимус , 06-Июн-14 05:33 
Взаимоисключающие параграфы - это наличие systemD в Arch-линуксе. Арч максимально простой как валенок дистриб, к которому я пришёл после 10 лет сидения на гентах, дебианах и убунту.

А systemD монструозный мегакомбайн. Для суровоынтырпрайзнутого RHEL может быть и хороший вариант, а в Арчике он что делает?!


"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено Аноним , 05-Июн-14 14:18 
А когда он додумается добавить новый ключик FakeProtectedHome и т.д.? Ну это когда используется unionfs и всем кажется что запись в домашник идёт а не деле фиггг.

"В systemd добавлены новые возможности по изоляции контейнеро..."
Отправлено burjui , 05-Июн-14 15:33 
А ты не жди, пока додумается, а напиши ему. Разработчики - не телепаты же. Ну и работать есть, над чем, видимо, раз не сделал ещё. Причин может быть уйма, короче.