Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

В Systemd реализована поддержка изоляции системных вызовов д..., opennews (ok), 17-Июл-12, (0) [смотреть все] Может кто-нибудь обьяснит мне, тупому, зачем это надо , Сергей (??), 22:07 , 17-Июл-12, (2) +4 // Чтобы ограничить возможности в случае успешной атаки на приложение , Аноним (-), 22:18 , 17-Июл-12, (5) +6 У злоумышленника будет меньше прав и возможностей при атаке и использовании уязв, Anonplus (?), 23:20 , 17-Июл-12, (21) +1 Чтобы редхату не баги в софте искать а политики писать Тупиковый путь для майнс, mma (?), 12:12 , 18-Июл-12, (64) Ну допустим, штука полезная, но почему нельзя было оформить эту фичу в виде отде, Аноним (-), 22:12 , 17-Июл-12, (4) –1 // Надо протолкнуть systemd RedHat крайне не заинтересован в альтернативах , anonymous (??), 22:26 , 17-Июл-12, (7) +1 // Конечно Давеча Инго Молнар говорил, что разработчикам ядра надо равняться на од, Аноним (-), 23:08 , 17-Июл-12, (15) +3 // Ты это говоришь так, будто в ядре специально держат костыли для всех инитов , anonymous (??), 00:13 , 18-Июл-12, (33) Именно так Причем надо принимать во внимание несколько моментов - Нынешний в у, Игорь (??), 02:19 , 18-Июл-12, (42) +1 // Теория заговора Форкайте и наслаждайтесь, кто не даёт-то Мандрива, Слес и ещё, SCIF (ok), 05:36 , 18-Июл-12, (49) +1 твои форки никому не нужны ты просто не будешь успевать за апстримом и их новым, Аноним (-), 07:18 , 18-Июл-12, (51) +1 давайте дополним RedHat не брезгует делать vendor lock Но делает это более элег, Аноним (-), 08:07 , 18-Июл-12, (52) Можно чуть по-подробнее В идеале ссылки на почитать , Viliar (ok), 10:52 , 18-Июл-12, (61) Думаю, не дождётесь - , Crazy Alex (ok), 15:01 , 18-Июл-12, (67) Я думаю, прежде чем мы продолжим обсуждение, Вы предоставите пруфлинки на тему з, gns (ok), 19:53 , 18-Июл-12, (81) я думаю вас не затруднит зайти в RHN и посмотреть на бинарные пакеты с драйверам, Аноним (-), 10:06 , 19-Июл-12, (91) Если драйвера GPLные, то есть Если проприетарные, то нет Это не совсем то, что , gns (ok), 11:14 , 19-Июл-12, (93) Уважаемые зажравшиеся москвичи Прошу понять одну вещь Вокруг вас расположено о, Аноним (-), 23:57 , 18-Июл-12, (85) Какие именно драйверы, вы о чем Исходный код _всех_ драйверов, что идут в ядре R, Stax (ok), 17:35 , 18-Июл-12, (78) через 2 месяца после того как выложен исходник вы определитесь - или их нету, ил, Аноним (-), 10:08 , 19-Июл-12, (92) Из перечисленного она более-менее интересна разве что для SLES А в редхате и впр, Michael Shigorin (ok), 03:02 , 19-Июл-12, (87) Чем, что в монстра протащили очередную галочку Попадет-ли это чудо в RHEL и в ка, myhand (ok), 12:36 , 19-Июл-12, (95) Ещё одной юзерспейсной ручкой к полезному ядерному механизму, хотя место действи, Michael Shigorin (ok), 12:53 , 19-Июл-12, (96) Это не теория заговора, а практика борьбы за рынокСистемд не надо форкать Он то, Игорь (??), 08:16 , 19-Июл-12, (89) +1 после 15-ти работы и трех сертификатов соответствия не суметь установить sysvi, agent_007 (ok), 09:49 , 19-Июл-12, (90) Слушай, Агент, а ты уверен что ты 007 А то по ходу и по стилю тоже канешь на, jOKer (ok), 16:04 , 19-Июл-12, (97) ну и что мешать он не будет , agent_007 (ok), 16:13 , 19-Июл-12, (98) А не приходило в голову что если две системы конкурирует, и одну нельзя удалить,, jOKer (ok), 16:17 , 19-Июл-12, (99) systemd нельзя удалить не потому, что он реально нужен, а из-за неправильной сбо, agent_007 (ok), 16:34 , 19-Июл-12, (100) gt оверквотинг удален На самом деле это совсем не так Во-первых багрепорты не, jOKer (ok), 16:53 , 19-Июл-12, (101) на самом деле всё ровно так и есть багрепорты как следует из названия , это со, agent_007 (ok), 17:24 , 19-Июл-12, (102) Это чистая теория А на практике типичная ситуация так Я, в багрепорте на тре, jOKer (ok), 17:51 , 19-Июл-12, (103) IMHO лучше бы тогда отпилить systemd-base какой с dir lib systemd system PS r, Michael Shigorin (ok), 18:24 , 19-Июл-12, (105) лучше, конечно распилить на -base, -libs и, собственно, сам systemd но тогда с, agent_007 (ok), 09:11 , 20-Июл-12, (107) Думал добавить, но не нашёлся с формулировкой кроме rpm -qa -- спасибо О д, Michael Shigorin (ok), 11:42 , 20-Июл-12, (108) Кто вам такое сказал А если acpid service будет всеми проигнорирован потому чт, qux (ok), 16:14 , 22-Июл-12, (110) вы имеете какое-нибудь представление о том, как формируются зависимости rpm паке, agent_007_ (?), 16:38 , 22-Июл-12, (111) Какое-нибудь имею Если я захочу положить в пакет случайный каталог с какими-то , qux (ok), 16:50 , 22-Июл-12, (112) случайный каталог - на здоровье каталог, который предоставляется пакетом system, agent_007_ (?), 18:27 , 22-Июл-12, (113) +1 Интересно, не знал Но даже в таком случае не нужно резать все пакеты на два к , qux (ok), 19:11 , 22-Июл-12, (115) не можно, а нужно и здесь это уже обсудили и даже обсудили почему было предло, agent_007 (ok), 09:03 , 23-Июл-12, (117) Например, http git altlinux org gears r rpm git p rpm git a blob f scripts fil, Michael Shigorin (ok), 18:35 , 22-Июл-12, (114) Да, спасибо, уже ткнули Хотя имхо все равно всё не так печально, выше описал , qux (ok), 19:13 , 22-Июл-12, (116) Достаточно http lists altlinux org pipermail community 2005-May 353112 html , Michael Shigorin (ok), 18:22 , 19-Июл-12, (104) +1 Я на 99 уверен, что там отдельная утилита systemd - это не один монолитный бин, Аноним (-), 22:32 , 17-Июл-12, (8) +4 // Да, в основе systemd лежит модульная архитектура, и все, что выходит за рамки за, Аноним (-), 23:13 , 17-Июл-12, (16) +5 // Ну-ну Как и rlimits и еще куча всякого добра А вот в sysv init ради исполь, myhand (ok), 23:27 , 17-Июл-12, (24) Ага В sysvinit это делается через задницу Достаточно сравнить работу админа, пе, Аноним (-), 23:37 , 17-Июл-12, (28) +3 Для начала непосредственно в sysvinit это не делается Не поверите, все точно , myhand (ok), 00:02 , 18-Июл-12, (32) +1 Это где такое В Debian если контрольная сумма чего-то в etc не совпадает с так, www2 (??), 05:59 , 18-Июл-12, (50) хых, да и в rpm тоже самое Если программеры не дураки, то все инит скрипты марк, анонимаус (?), 15:56 , 18-Июл-12, (69) +1 Устаревшая информация По ссылке Леннарт и Ко отклонили патч, позволяющий собрат, anonymous (??), 23:31 , 17-Июл-12, (27) –1 Вы, наверное, по аглицки не разумеете, и потому ссылками наугад кидаетесь udev м, Аноним (-), 23:41 , 17-Июл-12, (29) +2 Нельзя , anonymous (??), 23:52 , 17-Июл-12, (31) –3 Можно же Смотри udev-186 ebuild, anoser_anon (?), 06:19 , 19-Июл-12, (88) Ну так оформляйте, делов-то , develop7 (ok), 22:50 , 17-Июл-12, (10) // ага, написать фактически замену systemd и только , myhand (ok), 16:19 , 18-Июл-12, (70) Написать действительно хорошую альтернативу sysvinit Да, довольно непросто Про, myhand (ok), 17:31 , 18-Июл-12, (76) 171 Show me the code 187 8212 тогда и поговорим , develop7 (ok), 18:16 , 18-Июл-12, (80) Ну вкрутите в sysvinit тогда , develop7 (ok), 17:34 , 18-Июл-12, (77) Вкрутить как сделано в данном примере, кстати - плохая инженерная практика , myhand (ok), 18:01 , 18-Июл-12, (79) Потому что там ограничения на уровне целых сервисов, а не бинариков Вполне логи, h31 (ok), 22:52 , 17-Июл-12, (11) +2 эм секомп фильтры существуют отдельно надо используй где угодно, новость о том ч, кевин (?), 23:00 , 17-Июл-12, (12) Можно Но этого пока никто не сделал Впрочем, наличие встроенной поддержки secco, Аноним (-), 23:06 , 17-Июл-12, (14) +4   // теперь попытаемся подумать Если apache запускается из systemd - все есть, а есл, Аноним (-), 08:13 , 18-Июл-12, (53)   // Глупенький Ты хоть раз попробуй руками запустить Защита это далеко не самое стр, Аноним (-), 09:49 , 18-Июл-12, (58)   Ты даже в несвоей винде службы руками не запускаеш, Аноним (-), 09:52 , 18-Июл-12, (59)   Она и не имеет никакого отношения к systemd , filosofem (ok), 23:17 , 17-Июл-12, (19) –1 // Тем не менее, пока она поддерживается только в systemd , Аноним (-), 23:23 , 17-Июл-12, (23) // Ну так правильно, редхат, ынтерпрайз, безопасность, selinux, теперь вот это А б, Аноним (-), 23:29 , 17-Июл-12, (26) –2 Для галочки поддержка есть Срач на эту тему начать можно Полезность без поддер, masha (ok), 00:27 , 18-Июл-12, (36) 1 Это не поддержка, а деревянная запускалка В чем ее смысл если есть SELinux и, filosofem (ok), 00:56 , 18-Июл-12, (40) Уже есть Те же АппАрмор и СЕЛинукс Но т у сабжу уровень пониже, этим он лучше , openclocker (ok), 09:12 , 18-Июл-12, (56) Вообще насчет технологий безопасности в systemd можно почитать http 0pointer d, Аноним (-), 23:16 , 17-Июл-12, (18) +1 // без сомнений и, к сожалению, без иронии - второе вы почитайте, что тут ретрогра, свищ (?), 00:31 , 18-Июл-12, (37) +4 // any feature that is sold with and systemd can use this fox Xyz , is a misfe, myhand (ok), 16:24 , 18-Июл-12, (71) Просто оно не так сильно нужно, как некоторые тут кричат При этом требует неких, Crazy Alex (ok), 05:25 , 18-Июл-12, (48) Кто бы что ни говорил про Поттеринга, а штука-то годная и нужная , Anonplus (?), 23:22 , 17-Июл-12, (22) +11 // без всякого зазрения утверждаю, поттеринг - замечательный инженер, свищ (?), 00:39 , 18-Июл-12, (38) +1 // Как инженер - не очень, но идеи у него правильные , Аноним (-), 09:20 , 18-Июл-12, (57) +1 // В чем Вот скажите-ка мне, кто мешает вам, таким красивым и умным, имея сорцы яд, Аноним (-), 17:08 , 18-Июл-12, (74) Это просто прекрасно , iZEN (ok), 23:41 , 17-Июл-12, (30) +2 // У тебя ж геморроя нет Это же прекрасно , Аноним (-), 17:08 , 18-Июл-12, (75) +2 Timeo Danaos et dona ferentesЭто не говоря уже о склонности к комбайностроению и, jOKer (ok), 04:24 , 18-Июл-12, (47) +1 Я вот чего не пойму В общем виде seccomp filter разработан для прикладных прогр, Anoynymous (?), 10:25 , 18-Июл-12, (60) // Ну, очевидный ответ - потому что прикладные програмисты не торопятся использоват, Crazy Alex (ok), 12:38 , 18-Июл-12, (65) // Так вот надо менять стиль написания программ, а не тянуть вещь, предназначенную , Kibab (ok), 12:25 , 20-Июл-12, (109) Зато вброс годный Каменты читал 95 фанбоев как обычно не поняли о чем речь и , filosofem (ok), 14:45 , 18-Июл-12, (66) // Кстати, подумалось - селинуксообразный стиль для seccomp внешнее конфигурирован, Crazy Alex (ok), 15:08 , 18-Июл-12, (68) // Об чем и спич В Юниксах это существовало сто лет назад И кто изобретатель вело, Аноним (-), 21:36 , 18-Июл-12, (84) +1 Итак, Леннарт извратился и затащил фичу, которая изначально проектировалась для , Kibab (ok), 01:09 , 19-Июл-12, (86) Помнится, в те старые добрые времена , когда SELinux была волне, ходили такие р, vi (?), 19:08 , 19-Июл-12, (106) 2,4,18,22,30,47,60,86,106

Сообщения

[Сортировка по времени | RSS]

	14. "В Systemd реализована поддержка изоляции системных вызовов д..."	+4 +/–
	Сообщение от Аноним (-), 17-Июл-12, 23:06
	> Ну допустим, штука полезная, но почему нельзя было оформить эту фичу в виде отдельной внешней утилиты? Думается, что она была бы востребована не только и не столько в systemd, а так снова комбайностроение Можно. Но этого пока никто не сделал. Впрочем, наличие встроенной поддержки seccomp непосредственно в initе - как раз очень удачное архитектурное решение. Именно systemd запускает процессы служб, и поэтому ограничения среды исполнения удобнее настраивать именно в нем.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	53. "В Systemd реализована поддержка изоляции системных вызовов д..."	+/–
	Сообщение от Аноним (-), 18-Июл-12, 08:13
	>> Ну допустим, штука полезная, но почему нельзя было оформить эту фичу в виде отдельной внешней утилиты? Думается, что она была бы востребована не только и не столько в systemd, а так снова комбайностроение > Можно. Но этого пока никто не сделал. > Впрочем, наличие встроенной поддержки seccomp непосредственно в initе - как раз очень > удачное архитектурное решение. Именно systemd запускает процессы служб, и поэтому ограничения > среды исполнения удобнее настраивать именно в нем. теперь попытаемся подумать. Если apache запускается из systemd - все есть, а если я его вдруг рестартовал руками - я потерял эту хваленую защиту. Может потому AppAmmor / Selinux изначально делался отдельными средствами? Что бы при любом раскладе метки контроля доступа были применены ?
	Ответить | Правка | Наверх | Cообщить модератору

	58. "В Systemd реализована поддержка изоляции системных вызовов д..."	+/–
	Сообщение от Аноним (-), 18-Июл-12, 09:49
	Глупенький. Ты хоть раз попробуй руками запустить. Защита это далеко не самое страшное что потеряешь
	Ответить | Правка | Наверх | Cообщить модератору

	59. "В Systemd реализована поддержка изоляции системных вызовов д..."	+/–
	Сообщение от Аноним (-), 18-Июл-12, 09:52
	Ты даже в несвоей винде службы руками не запускаеш
	Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема