The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

04.06.2014 21:40  В systemd добавлены новые возможности по изоляции контейнеров

В целях повышения безопасности сервисов, работающих в контейнерах, в systemd добавлены настройки сервисов "ReadOnlySystem" и "ProtectedHome".

Настройка "ReadOnlySystem" примонтирует разделы /usr и /boot для указанного сервиса в режиме "только для чтения". Это позволит убедиться, что сервис не сможет несанкционированно изменять части операционной системы, если такое поведение сервиса заведомо не предполагается.

Настройка "ProtectedHome" примонтирует разделы /home и /run/user в режиме только для чтения или заменит указанные пути на пустую несуществующую директорию. Это позволит добиться того, что указанный сервис не получит доступа к конфиденциальным пользовательским данным.

Отмечается, что данные настройки будут также применены ко всем долговременно работающим процессам самого systemd. Настройки будут включены в состав будущего выпуска systemd 214.

  1. Главная ссылка к новости (http://www.phoronix.com/scan.p...)
Автор новости: Аноним
Тип: К сведению
Ключевые слова: systemd, limit, sandbox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Xasd, 22:11, 04/06/2014 [ответить] [смотреть все]
  • +1 +/
    поясните, пожалуйста..

    если сервис выполняется не от суперпользователя -- то разе он может писать в /usr, /boot, /home ?

    а если сервис выполняется от суперпользователя -- то разве есть надёжный способ НЕдопустить процесс до какой-нибо части жёсткого диска?

    процесс, работающий от суперпользователя -- всегда же может сделать mount , и всегда может создать необходимый файл блочного устройства?

     
     
  • 2.3, ABATAPA, 22:19, 04/06/2014 [^] [ответить] [смотреть все] [показать ветку]
  • +1 +/
    Не всегда man capabilities google lxc google OpenVZ ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, Bvz, 23:54, 04/06/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Ога т е ещё внутрь systemd контейнерную виртуализацию по вашему запихнут а чо... весь текст скрыт [показать]
     
     
  • 4.11, Аноним, 00:46, 05/06/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    уже давно
    systemd-nspawn называется
     
  • 4.16, Аноним, 12:05, 05/06/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Вообще-то, бут контейнеров и виртуалок всегда был целью системдэ И это его жирн... весь текст скрыт [показать]
     
     
  • 5.18, Какаянахренразница, 12:25, 05/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Таки сколько плюсов -- один или два Такое ощущение, что оба плюса за одно и то ... весь текст скрыт [показать]
     
     
  • 6.26, Аноним, 18:26, 05/06/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Да вы прикалываетесь, не иначе Если умение запускать то и се считать за 1 плюс ... весь текст скрыт [показать]
     
  • 5.20, Аноним, 14:16, 05/06/2014 [^] [ответить] [смотреть все]  
  • –3 +/
    Который ты видел только на картинках в интернете, поскольку сам не используешь с... весь текст скрыт [показать]
     
     
  • 6.27, Аноним, 18:28, 05/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Ну так всему свое время пусть сначала всякие арчеводы и федористы оттестят ... весь текст скрыт [показать]
     
  • 5.31, Аноним, 03:11, 06/06/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    лол, runit вот и вся запускалка, че хочешь запускай и как хочешь
     
     
  • 6.35, annualslayer, 10:21, 06/06/2014 [^] [ответить] [смотреть все]  
  • +/
    аноним, боящийся потерять работу из-за системдэ, опять выходит на связь?
     
  • 1.6, Аноним, 23:26, 04/06/2014 [ответить] [смотреть все]  
  • +/
    почему только /usr и /boot? где логика? бред какой-то...
     
     
  • 2.7, Мимокрокодил, 23:50, 04/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Ну, наверное, потому, что никто не рассказал Леннарту, что линукс начинается с к... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.28, Аноним, 18:29, 05/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Редхат снес все бинари в usr, а остальное симлинки позорные ... весь текст скрыт [показать]
     
  • 2.8, Аноним, 23:51, 04/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    редхет всё перетащил в /usr, а /boot нужен для добывания ядер
     
  • 1.12, Anonymus, 01:43, 05/06/2014 [ответить] [смотреть все]  
  • +/
    вау
    чего же боле ещё могу я вам сказать
     
  • 1.13, Классический Анонимус, 06:50, 05/06/2014 [ответить] [смотреть все]  
  • +1 +/
    С одной стороны монопенисуально, даже в Арче этот монстрило не напрягает, работает сам по себе и работает, обновляется без доп телодвижений. С другой стороны, если появится такой же изящный дистриб без systemD, сразу же на него сбегу. :(
     
     
  • 2.15, burjui, 10:43, 05/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Взаимоисключающие параграфы Если работает и не мешает, зачем убегать куда-то З... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, Аноним, 12:07, 05/06/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    Стадный инстинкт - нынче модно ругать поттера ... весь текст скрыт [показать]
     
     
  • 4.22, burjui, 15:02, 05/06/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Очень похоже на то Не буду делать выводов пока, но складывается впечатление, чт... весь текст скрыт [показать]
     
     
  • 5.24, Аноним, 15:09, 05/06/2014 [^] [ответить] [смотреть все]  
  • –2 +/
    В общем ничего, кроме пложения зоопарков на время пока все прочие не отомрут б... весь текст скрыт [показать]
     
  • 5.29, Куяврег, 23:22, 05/06/2014 [^] [ответить] [смотреть все]  
  • +/
    видимо, потому что они его не звали, а то, что использовали ранее работало и не ... весь текст скрыт [показать]
     
  • 3.33, Классический Анонимус, 05:33, 06/06/2014 [^] [ответить] [смотреть все]  
  • +/
    Взаимоисключающие параграфы - это наличие systemD в Arch-линуксе Арч максимальн... весь текст скрыт [показать]
     
     ....нить скрыта, показать (6)

  • 1.21, Аноним, 14:18, 05/06/2014 [ответить] [смотреть все]  
  • –1 +/
    А когда он додумается добавить новый ключик FakeProtectedHome и т д Ну это ког... весь текст скрыт [показать]
     
     
  • 2.25, burjui, 15:33, 05/06/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    А ты не жди, пока додумается, а напиши ему. Разработчики - не телепаты же. Ну и работать есть, над чем, видимо, раз не сделал ещё. Причин может быть уйма, короче.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor