The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

04.06.2014 21:40  В systemd добавлены новые возможности по изоляции контейнеров

В целях повышения безопасности сервисов, работающих в контейнерах, в systemd добавлены настройки сервисов "ReadOnlySystem" и "ProtectedHome".

Настройка "ReadOnlySystem" примонтирует разделы /usr и /boot для указанного сервиса в режиме "только для чтения". Это позволит убедиться, что сервис не сможет несанкционированно изменять части операционной системы, если такое поведение сервиса заведомо не предполагается.

Настройка "ProtectedHome" примонтирует разделы /home и /run/user в режиме только для чтения или заменит указанные пути на пустую несуществующую директорию. Это позволит добиться того, что указанный сервис не получит доступа к конфиденциальным пользовательским данным.

Отмечается, что данные настройки будут также применены ко всем долговременно работающим процессам самого systemd. Настройки будут включены в состав будущего выпуска systemd 214.

  1. Главная ссылка к новости (http://www.phoronix.com/scan.p...)
Автор новости: Аноним
Тип: К сведению
Ключевые слова: systemd, limit, sandbox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Xasd (ok), 22:11, 04/06/2014 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    поясните, пожалуйста..

    если сервис выполняется не от суперпользователя -- то разе он может писать в /usr, /boot, /home ?

    а если сервис выполняется от суперпользователя -- то разве есть надёжный способ НЕдопустить процесс до какой-нибо части жёсткого диска?

    процесс, работающий от суперпользователя -- всегда же может сделать mount , и всегда может создать необходимый файл блочного устройства?

     
     
  • 2.3, ABATAPA (ok), 22:19, 04/06/2014 [^] [ответить]    [к модератору]
  • +1 +/
    > работающий от суперпользователя -- всегда же может сделать mount

    Не всегда.
    man capabilities
    google://lxc
    google://OpenVZ

     
     
  • 3.9, Bvz (?), 23:54, 04/06/2014 [^] [ответить]    [к модератору]
  • –1 +/
    Ога. т.е. ещё внутрь systemd контейнерную виртуализацию по вашему запихнут? а чо шикарная идея же!
     
     
  • 4.11, Аноним (-), 00:46, 05/06/2014 [^] [ответить]    [к модератору]
  • +2 +/
    уже давно
    systemd-nspawn называется
     
  • 4.16, Аноним (-), 12:05, 05/06/2014 [^] [ответить]     [к модератору]
  • –1 +/
    Вообще-то, бут контейнеров и виртуалок всегда был целью системдэ И это его жирн... весь текст скрыт [показать]
     
     
  • 5.18, Какаянахренразница (ok), 12:25, 05/06/2014 [^] [ответить]    [к модератору]  
  • +/
    Таки сколько плюсов -- один или два? Такое ощущение, что оба плюса за одно и то же. Заодно уточните процент жирности.
     
     
  • 6.26, Аноним (-), 18:26, 05/06/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Да вы прикалываетесь, не иначе Если умение запускать то и се считать за 1 плюс ... весь текст скрыт [показать]
     
  • 5.20, Аноним (-), 14:16, 05/06/2014 [^] [ответить]    [к модератору]  
  • –3 +/
    Который ты видел только на картинках в интернете, поскольку сам не используешь системд.
     
     
  • 6.27, Аноним (-), 18:28, 05/06/2014 [^] [ответить]    [к модератору]  
  • +/
    > Который ты видел только на картинках в интернете, поскольку сам не используешь системд.

    Ну так всему свое время: пусть сначала всякие арчеводы и федористы оттестят ;).

     
  • 5.31, Аноним (-), 03:11, 06/06/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    лол, runit вот и вся запускалка, че хочешь запускай и как хочешь
     
     
  • 6.35, annualslayer (ok), 10:21, 06/06/2014 [^] [ответить]    [к модератору]  
  • +/
    аноним, боящийся потерять работу из-за системдэ, опять выходит на связь?
     
  • 1.6, Аноним (-), 23:26, 04/06/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    почему только /usr и /boot? где логика? бред какой-то...
     
     
  • 2.7, Мимокрокодил (?), 23:50, 04/06/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    Ну, наверное, потому, что никто не рассказал Леннарту, что линукс начинается с корня
     
     
  • 3.28, Аноним (-), 18:29, 05/06/2014 [^] [ответить]    [к модератору]  
  • +/
    > Ну, наверное, потому, что никто не рассказал Леннарту, что линукс начинается с корня

    Редхат снес все бинари в /usr, а остальное симлинки позорные.

     
  • 2.8, Аноним (-), 23:51, 04/06/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    редхет всё перетащил в /usr, а /boot нужен для добывания ядер
     
  • 1.12, Anonymus (?), 01:43, 05/06/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    вау
    чего же боле ещё могу я вам сказать
     
  • 1.13, Классический Анонимус (?), 06:50, 05/06/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    С одной стороны монопенисуально, даже в Арче этот монстрило не напрягает, работает сам по себе и работает, обновляется без доп телодвижений. С другой стороны, если появится такой же изящный дистриб без systemD, сразу же на него сбегу. :(
     
     
  • 2.15, burjui (ok), 10:43, 05/06/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Взаимоисключающие параграфы. Если работает и не мешает, зачем убегать куда-то? Заразились системдифобией?
     
     
  • 3.17, Аноним (-), 12:07, 05/06/2014 [^] [ответить]    [к модератору]  
  • –2 +/
    > Взаимоисключающие параграфы. Если работает и не мешает, зачем убегать куда-то? Заразились
    > системдифобией?

    Стадный инстинкт - нынче модно ругать поттера ;).

     
     
  • 4.22, burjui (ok), 15:02, 05/06/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Очень похоже на то. Не буду делать выводов пока, но складывается впечатление, что никто не хочет или не может объяснить, чем же принципиально плох Systemd. Я понимаю негодование Линуса по поводу изменений ради изменений, но почему это должно вызывать у пользователей стойкое желание снести Systemd, если оно работает и не мешает, мне совершенно непонятно.
     
     
  • 5.24, Аноним (-), 15:09, 05/06/2014 [^] [ответить]     [к модератору]  
  • –2 +/
    В общем ничего, кроме пложения зоопарков на время пока все прочие не отомрут б... весь текст скрыт [показать]
     
  • 5.29, Куяврег (?), 23:22, 05/06/2014 [^] [ответить]    [к модератору]  
  • +/
    > но почему это должно вызывать у пользователей стойкое желание снести Systemd

    видимо, потому что они его не звали, а то, что использовали ранее работало и не мешало. в этом плане очень правильный подход у генты. Хочешь системды? ставь - будет работать. Не хочешь? на тебе openrc родной и любимый.

     
  • 3.33, Классический Анонимус (?), 05:33, 06/06/2014 [^] [ответить]    [к модератору]  
  • +/
    Взаимоисключающие параграфы - это наличие systemD в Arch-линуксе. Арч максимально простой как валенок дистриб, к которому я пришёл после 10 лет сидения на гентах, дебианах и убунту.

    А systemD монструозный мегакомбайн. Для суровоынтырпрайзнутого RHEL может быть и хороший вариант, а в Арчике он что делает?!

     
  • 1.21, Аноним (-), 14:18, 05/06/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    А когда он додумается добавить новый ключик FakeProtectedHome и т.д.? Ну это когда используется unionfs и всем кажется что запись в домашник идёт а не деле фиггг.
     
     
  • 2.25, burjui (ok), 15:33, 05/06/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    А ты не жди, пока додумается, а напиши ему. Разработчики - не телепаты же. Ну и работать есть, над чем, видимо, раз не сделал ещё. Причин может быть уйма, короче.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor