https://opennet.me/openforum/vsluhforumID3/96167.html В целях повышения безопасности сервисов, работающих в контейнерах, в systemd добавлены (https://plus.google.com/+LennartPoetteringTheOneAndOnly/posts/GVfoDwhRdie) настройки сервисов "ReadOnlySystem" и "ProtectedHome". <br><br><br>Настройка "ReadOnlySystem" примонтирует разделы /usr и /boot для указанного сервиса в режиме "только для чтения". Это позволит убедиться, что сервис не сможет несанкционированно изменять части операционной системы, если такое поведение сервиса заведомо не предполагается. <br><br><br>Настройка "ProtectedHome" примонтирует разделы /home и /run/user в режиме только для чтения или заменит указанные пути на пустую несуществующую директорию. Это позволит добиться того, что указанный сервис не получит доступа к конфиденциальным пользовательским данным.<br><br><br>Отмечается, что данные настройки будут также применены ко всем долговременно работающим процессам самого systemd. Настройки будут включены в состав будущего выпуска systemd 214.<br><br>URL: http://www.phoronix.com/scan.php?page=news_item&px=MTcwOTk<br>Новость: https://opennet.me/openforum/vsluhforumID3/96167.html#35 Fri, 06 Jun 2014 06:21:26 GMT аноним, боящийся потерять работу из-за системдэ, опять выходит на связь?<br> https://opennet.me/openforum/vsluhforumID3/96167.html#33 Fri, 06 Jun 2014 01:33:55 GMT Взаимоисключающие параграфы - это наличие systemD в Arch-линуксе. Арч максимально простой как валенок дистриб, к которому я пришёл после 10 лет сидения на гентах, дебианах и убунту. <br><br>А systemD монструозный мегакомбайн. Для суровоынтырпрайзнутого RHEL может быть и хороший вариант, а в Арчике он что делает?!<br> https://opennet.me/openforum/vsluhforumID3/96167.html#31 Thu, 05 Jun 2014 23:11:01 GMT лол, runit вот и вся запускалка, че хочешь запускай и как хочешь<br> https://opennet.me/openforum/vsluhforumID3/96167.html#29 Thu, 05 Jun 2014 19:22:27 GMT &gt; но почему это должно вызывать у пользователей стойкое желание снести Systemd<br><br>видимо, потому что они его не звали, а то, что использовали ранее работало и не мешало. в этом плане очень правильный подход у генты. Хочешь системды? ставь - будет работать. Не хочешь? на тебе openrc родной и любимый.<br> https://opennet.me/openforum/vsluhforumID3/96167.html#28 Thu, 05 Jun 2014 14:29:38 GMT &gt; Ну, наверное, потому, что никто не рассказал Леннарту, что линукс начинается с корня <br><br>Редхат снес все бинари в /usr, а остальное симлинки позорные.<br> https://opennet.me/openforum/vsluhforumID3/96167.html#27 Thu, 05 Jun 2014 14:28:44 GMT &gt; Который ты видел только на картинках в интернете, поскольку сам не используешь системд.<br><br>Ну так всему свое время: пусть сначала всякие арчеводы и федористы оттестят ;).<br> https://opennet.me/openforum/vsluhforumID3/96167.html#26 Thu, 05 Jun 2014 14:26:41 GMT &gt; Такое ощущение, что оба плюса за одно и то же<br><br>Да вы прикалываетесь, не иначе? Если умение запускать то и се считать за 1 плюс при обсуждении запускалок - получается что они все как бы одинаковы. Теоретически как-то так и есть. А практически - "есть нюансы". И нет, виртуальные машины и контейнеры - весьма разные вещи. Из общего у них то что и то и другое реализовано в ядре и, судя по всему, можно будет и то и другое запускать средствами systemd, а остальное будет надстраиваться над оным. Что как раз хорошо, ибо лепить местечковые костыли достало, а энтерпрайзные средства имеют смысл если у вас 100500 виртуалок/контейнеров.<br> https://opennet.me/openforum/vsluhforumID3/96167.html#25 Thu, 05 Jun 2014 11:33:30 GMT А ты не жди, пока додумается, а напиши ему. Разработчики - не телепаты же. Ну и работать есть, над чем, видимо, раз не сделал ещё. Причин может быть уйма, короче.<br> https://opennet.me/openforum/vsluhforumID3/96167.html#24 Thu, 05 Jun 2014 11:09:43 GMT В общем ничего, кроме пложения зоопарков (на время пока все прочие не отомрут) бинарных логов параллельно с обычными (оверхед, а без него неудобно, т к бинарные - шлак). Сам переход был не вполне гладким. Закостенелым адменоюзерам тяжелом менять привычки.<br>