The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Кандидат в релизы FreeBSD 11, opennews (??), 13-Авг-16, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


45. "Кандидат в релизы FreeBSD 11"  +/
Сообщение от Аноним (-), 13-Авг-16, 23:37 

> Осталось теперь еще дотумкать нормальные политики внедрить и убедить достаточно
> майнтайнеров всему этому следовать.

А поподробнее? Какие такие "политики" и в чем нужно убеждать мейнтейнеров?

> В фрибзде вообще есть какой-то аналог SELinux?

Есть.

> поделить хост контейнерами проще, при вполне приличном результате. С этим
> у BSD тоже не задалось. Их гордость, jails, нынче проигрывает пингвину
> по всем фронтам.

Список фронтов в студию?


Ответить | Правка | Наверх | Cообщить модератору

47. "Кандидат в релизы FreeBSD 11"  +/
Сообщение от Аноним (-), 13-Авг-16, 23:54 
> А поподробнее? Какие такие "политики" и в чем нужно убеждать мейнтейнеров?

Можно на дебиян посмотреть. Ставим свежий stable на сервак. И далее несколько лет все это каши не просит, ВСЕ ПАКЕТЫ обновляются парой команд и все это требует к себе минимум внимания. С убунтами LTS такая же фигня. Без ушиба головного мозга базовыми системами и чем там еще. Это настолько хорошо работает что можно поставить приблуду для автообновления которая еще и перезагрузит сама при обновлении ядра, etc и забыть о сервере совсем.

> Список фронтов в студию?

Управление ресурсами и нормальная виртуализация сети. В лине контейнер может выглядеть более-менее похоже на отдельную VM с своей сетью, ФС и даже юзерями. Ему можно порезать ресурсы так чтобы он не клал весь хост в случае чего. На локалхосте это может и пофиг, а на серваке где куча контейнеров - совсем не айс если runaway контейнер положит или сильно просадит остальных. А своя сеть с своим интерфейсами, адресами, маршрутами, правилами фаера и проч - удобно. Управляется как будто это просто еще одна отдельная машина. Админу не надо голову особо забивать - он уже и так все это умел.

Ответить | Правка | Наверх | Cообщить модератору

52. "Кандидат в релизы FreeBSD 11"  +/
Сообщение от universite (ok), 14-Авг-16, 00:43 
>> А поподробнее? Какие такие "политики" и в чем нужно убеждать мейнтейнеров?
> Можно на дебиян посмотреть. Ставим свежий stable на сервак. И далее несколько
> лет все это каши не просит, ВСЕ ПАКЕТЫ обновляются парой команд
> и все это требует к себе минимум внимания. С убунтами LTS
> такая же фигня. Без ушиба головного мозга базовыми системами и чем
> там еще. Это настолько хорошо работает что можно поставить приблуду для
> автообновления которая еще и перезагрузит сама при обновлении ядра, etc и
> забыть о сервере совсем.

Ну-ка поставь Debian 7, тот который c init. И обнови до свежих версий ПО - nginx, php, Mysql.

А потом, когда у тебя куча работающего софта, попробуй обновись до 8 ветки.

Ответить | Правка | Наверх | Cообщить модератору

56. "Кандидат в релизы FreeBSD 11"  –1 +/
Сообщение от Аноним (-), 14-Авг-16, 01:02 
> Ну-ка поставь Debian 7, тот который c init. И обнови до свежих
> версий ПО - nginx, php, Mysql.

Я предпочел развидеть init по множеству причин, извини.

> А потом, когда у тебя куча работающего софта, попробуй обновись до 8 ветки.

Большой апгрейд раз в несколько лет можно попилотировать и проконтролировать вручную накрайняк. Это на небольших инсталляциях. Большие могут предпочесть полный re-roll, меняя систему на сервере целиком и возвращая только конфиги интересных программ. Из соображений минимизации мусора в системе и возможных проблем.

Я конечно понимаю что у бсдшников талант делать все сложно и гиморно, но это ваша "привилегия". Остальные предпочли вспомнить что сисадмин должен быть ленив и не хотят лишний раз напрягаться.

Ответить | Правка | Наверх | Cообщить модератору

59. "Кандидат в релизы FreeBSD 11"  +1 +/
Сообщение от Аноним (-), 14-Авг-16, 01:31 

>> А потом, когда у тебя куча работающего софта, попробуй обновись до 8 ветки.
> Большой апгрейд раз в несколько лет можно попилотировать и проконтролировать вручную накрайняк.
> Это на небольших инсталляциях.

Вы уж как нибудь определитесь — или
> далее несколько
> лет все это каши не просит, ВСЕ ПАКЕТЫ обновляются парой команд

Или "вручную"
И давайте уж тогда
> Я конечно понимаю что у бсдшников талант делать все сложно и гиморно,
> но это ваша "привилегия".

Конкретный списочек проблем, что ли. А то все ни о чем и ни о чем. Скучный троллинг получается.

Ответить | Правка | Наверх | Cообщить модератору

66. "Кандидат в релизы FreeBSD 11"  –3 +/
Сообщение от Аноним (-), 14-Авг-16, 02:31 
> Вы уж как нибудь определитесь — или

А зачем? Линукс хорош тем что жестко определяться не надо. Можно и так и сяк изогнуться с минимумом hardcoded допущений. Осваивается "core tech" - пакетник. Дальше он рулится так как это уместно в той или иной задаче. Это может отличаться. В группе на 500 серваков может иметь смысл гасить серваки по одному, вкатывая на погашеный сервак совершенно нулевый образ новой чистой системы, отдельно собраный и протестированный. После разовой подготовки системы - повторить вкатывание оной 500 раз, автоматикой. В итоге время тратится 1 раз на подготовку образа системы. Остальное сделает автоматика, а места для глюков - минимум. А в рамках одного релиза грейдить систему пакетником.

А на тщщщщщательно настроенном десктопнике такой вариант может и не быть удобным. Там может возыметь смысл именно грейдануть дебиан 7 до 8, разрулив всплывшие проблемы мануально.

>> лет все это каши не просит, ВСЕ ПАКЕТЫ обновляются парой команд
> Или "вручную"

Ручное пилотирование может потребоваться при "крупном" апгрейде "тщщщщаательно настроенной системы" с одного стабильного релиза на другой стабильный релиз. Между релизами несколько лет можно спокойно затыкать уязвимости и проч на полном автопилоте. В этом и есть весь пойнт пакетника, если кто не понял - админ может видеть сервер очень сильно иногда.

Это несколько менее гибко но смотри, у меня на десктопе около 2000 пакетов. А реально опции сборки меня колышут спасибо если у 5 программ. Вот поэтому очень чудненько когда я разбираюсь с 5 программами которые я реально хочу покрутить в руках, а пакетник - с остальными 1995, на которые мне относительно похрен, так что я не хочу заниматься их конфигурированием, блин :)

> Конкретный списочек проблем, что ли.

Ой, у вас это лучше получается. Вы так хорошо придумываете как все сделать максимально сложно, что я тут просто без шансов. Я ленивый и люблю упрощать себе жизнь а не наяривать на концепции.

> ни о чем. Скучный троллинг получается.

Гиморный инсталл. Куета с делением на какие-то базы и порты. А покажете какой-ниюудь быстрый и ленивый тул типа debootstrap'а, чтобы дешево и сердито "respin" системы под задачу влупить из готовых пакетов? Не сношаясь с пересборкой 100500 пакетов и прочими прелестями самому.

Ответить | Правка | Наверх | Cообщить модератору

75. "Кандидат в релизы FreeBSD 11"  +5 +/
Сообщение от Аноним (-), 14-Авг-16, 07:09 
> А зачем?

Затем что вы то "рулите" в ручную, то у вас все автоматом и не очень ясно, причем тут вообще сабж этой новости.

> Ручное пилотирование может потребоваться при "крупном" апгрейде "тщщщщаательно настроенной
> системы" с одного стабильного релиза на другой стабильный релиз.

Ловко вы увернулись от конкретики. Интересный диалог получается:
>>>> Осталось теперь еще дотумкать нормальные политики
>>> А поподробнее? Какие такие "политики" и в чем нужно убеждать мейнтейнеров?
>> Можно на дебиян посмотреть ... Это настолько хорошо работает что можно поставить приблуду для автообновления
> Между релизами
> несколько лет можно спокойно затыкать уязвимости и проч на полном автопилоте.

.

> Это несколько менее гибко но смотри, у меня на десктопе около 2000
> пакетов. А реально опции сборки меня колышут спасибо если у 5
> программ. Вот поэтому очень чудненько когда я разбираюсь с 5 программами
> которые я реально хочу покрутить в руках, а пакетник - с
> остальными 1995, на которые мне относительно похрен, так что я не
> хочу заниматься их конфигурированием, блин :)

Вы пока не рассказали ничего нового. Даже старый пакетник вполне умел это.


> Ой, у вас это лучше получается. Вы так хорошо придумываете как все
> сделать максимально сложно, что я тут просто без шансов. Я ленивый
> и люблю упрощать себе жизнь а не наяривать на концепции.

Т.е. вы один из тех, кто не знает, не слышал, но спешит поделится ценным мнением?


> Гиморный инсталл. Куета с делением на какие-то базы и порты.

Это ваше мнение, а не конкретные проблемы.

> А покажете какой-ниюудь быстрый и ленивый тул типа debootstrap'а, чтобы дешево и сердито
> "respin" системы под задачу влупить из готовых пакетов? Не сношаясь с
> пересборкой 100500 пакетов и прочими прелестями самому.

И что за привычка использовать для одного и того же действия (по смыслу) кучу тулз? Что с заменой ifconfig, что тут. Я конечно мог бы потроллить и спросить, чем вас не устроил штатный man release && make release с нужными конфигами или tinybsd, который берет готоые бинарники из базы. Но не буду.
Однако, разрешите поинтересоваться, чем же вас пакетный менеджер не устраивает? 


 # mkdir /tmp/editor-system
 #  pkg -r /tmp/editor-system install -r FreeBSD-base FreeBSD-ee 
Updating FreeBSD-base repository catalogue...
FreeBSD-base repository is up-to-date.
All repositories are up-to-date.
Checking integrity... done (0 conflicting)
The following 70 package(s) will be affected (of 0 checked):
New packages to be INSTALLED:
        FreeBSD-ee: 11.0 [FreeBSD-base]
        FreeBSD-runtime: 11.0 [FreeBSD-base]
        FreeBSD-clibs: 11.0 [FreeBSD-base]
        FreeBSD-libdevctl: 11.0 [FreeBSD-base]
...
Proceed with this action? [y/N]: y
# chroot editor-system ls     
bin     boot    dev     etc     lib     libexec sbin    tmp     usr     var
#  pkg -r /tmp/editor-system install -r FreeBSD-base FreeBSD-kernel-stripped-down
The following 1 package(s) will be affected (of 0 checked):
New packages to be INSTALLED:
        FreeBSD-kernel-stripped-down: 11.0 [FreeBSD-base]
Number of packages to be installed: 1
The process will require 52 MiB more space.
Proceed with this action? [y/N]: y

Пожалуйста — пакетником сделали систему для редактирования текстовый файлов. Осталось добавить пользователя и прочие недефолтные хотелки.
И это вы называете  "сделать максимально сложно"?
Ответить | Правка | Наверх | Cообщить модератору

207. "Кандидат в релизы FreeBSD 11"  +/
Сообщение от Аноним (-), 17-Авг-16, 04:06 
> Затем что вы то "рулите" в ручную, то у вас все автоматом
> и не очень ясно, причем тут вообще сабж этой новости.

Вручную - по возможности только один раз и когда надо что-то нестандартное. А так автоматизация рулит. Если затраты на нее окупаются результатом. Банальная и прагматичная логика взрывает фанатам мозг?

> Ловко вы увернулись от конкретики.

Однако ж горячие парни уже рассказали за меня - и что пакеты невъ... размера, и без деления на компоненты. Ну конечно это фичи.

> Вы пока не рассказали ничего нового. Даже старый пакетник вполне умел это.

Одно дело уметь. И другое - чтобы это было юзабельно на практике и плюсы решения перевешивали минусы. Сколько людей всерьез менеджили софт в фре старым пакетником? И почему яхи, опачи и даже AT&T задолбались и слиняли на убунту?

> Т.е. вы один из тех, кто не знает, не слышал, но спешит
> поделится ценным мнением?

Т.е. я предположил что пакетник которому без году неделя - страдает детскими болезнями. Народ в приступах распальцов с удовольствием показал их (некоторые еще и уверены что это фичи). Забавно.

> Это ваше мнение, а не конкретные проблемы.

Вон тут народ еще накидал - гигантские пакеты и все свалено в одну кучу. Этого мало? Даже разделения на либы и хидеры нет, грите? Это "фича"?

> И что за привычка использовать для одного и того же действия (по смыслу) кучу тулз?

А где "куча" тулз? Debootstrap - один тул. Зачем он нужен? Для этого самого - bootstrap новой минимальной системы, с минимумом допущениий об окружении. Результатом работы является микро-дебиан, just enough для старта пакетника. Дальнейшее делается пакетником, "как обычно". Зачем так? Debootstrap доволен любым окружением где есть wget, gpg и шелл. Этому окружению не обязательно быть дебианом и тем более обладать работающим дебиановским пакетником. Более того - даже набор команд CPU может быть иным. А вот когда слеплен работающий дебиан с работающим пакетником...

> Что с заменой ifconfig, что тут.

ifconfig в линуксе - deprecated и не выпилен лишь из соображений совместимости с легаси. Все самые вкусные ништяки - в "ip". Так посмеяться - у меня в образах дебиана не отягощенных легаси есть ip но нет ifconfig. Нормальненько? :)

> Я конечно мог бы потроллить и спросить, чем вас не устроил штатный man
> release && make release с нужными конфигами или tinybsd, который берет
> готоые бинарники из базы. Но не буду.

Могу себе представить как все это работает. Наверное это такое же замечательное и беспроблемное как ваш старый пакетник, который тоже был и тоже работал.

> Однако, разрешите поинтересоваться, чем же вас пакетный менеджер не устраивает?

Сам новый пакетный менеджер, как софтина - удивительно приличный имхо, видимо вытряхивание из энтерпрайзов разбудило мозги ;). Но на одном только пакетнике далеко не уедешь. Нужны репы и пакеты. Дьявол прячется в деталях - в этих вещах есть много мелочей, которые могут крупно портить жизнь.

Вот смотри, если какие-то цуканы хотят вгрузить мне пакет на 110 метров и считают что хидеры в паре с либами меня не напрягут, как это называется? Для эмбедовки это всего лишь SHOWSTOPPER. Дебианщикам за годы коллеги по цеху проблемы донесли, они выводы сделали. А у вас этот процесс походу и не начинался.

>  #  pkg -r /tmp/editor-system install -r FreeBSD-base FreeBSD-ee

А он нормально отнесется к идее что при этой операции host и target - ФУНДАМЕНТАЛЬНО разные? Ну вот смотри: хост у меня x86-64, target - ARM (armel или armhf, 32-бита). И тут есть клевые нюансы. Например, если пакетник умеет post-install скрипты и прочая - гм, а кто сказал что они могут работать на (принципиально ином) host? Мой x86-64 писюк или лаптоп не похожи на армовую борду. Debootstrap делает хитрозадый хакЪ - может отпедалить post-install фазу при первой загрузке target'а. Есть и несколько иных интересных способов для кросс-деплоя. Один из них я вообще придумал сам (по своему уникальный, прямо know-how, ха-ха). Debootstrap как мюнхаузен - умеет вытаскивать себя за волосы из болота несколькими способами. За что так и называется. А ваш пакетник как такие приколы обрабатывает?

> New packages to be INSTALLED:

А размер результирующего образа не постесняешься сказать? :)

> The process will require 52 MiB more space.

Когда мне в эмбедовке пакетник пытается показать такие цифры, I'm shitting bricks :)

> Пожалуйста — пакетником сделали систему для редактирования текстовый файлов.

А блаародного дона не смущает что у меня хостом в случае дебутстрапа x86-64 а таргетом arm'овая борда? Или у вас и кросс-деплой так же просто как в дебутстрапе?

> И это вы называете  "сделать максимально сложно"?

Ну тогда блаародному дону не сложно же будет небольшую поправочку - разные архитектуры хоста и таргета и описание того как оно обработает всякие там post-install если хост вообще ни разу не похож на поднимаемого target'а и не может этого сделать сам?

Ответить | Правка | Наверх | Cообщить модератору

216. "Кандидат в релизы FreeBSD 11"  +/
Сообщение от Аноним (-), 17-Авг-16, 14:53 
>> The process will require 52 MiB more space.
> Когда мне в эмбедовке пакетник пытается показать такие цифры, I'm shitting bricks
> :)

А чем же ты тогда читаешь? Для  эдакого почти-дженерик-ядра на amd64 вполне нормально.  А при нужде запросто укладывается два с половиной, три мб.
Только оно на реальном amd64 обычно особо не нужно, разве что на поиграться или минимального образа виртуалки. Ну а эмбеддовку ты уже сам сюда прилел, чтобы наконец оседлать любимого конька, где никто не сможет так просто поймать на <этом самом этих самых bricks> )

Кстати, кажеться я знаяю, как сделать так, что бы ты начал читать глазами )
https://packages.debian.org/testing/kernel/linux-image-4.6.0...
> Installed Size 175,206.0 kB

Ответить | Правка | Наверх | Cообщить модератору

55. "Кандидат в релизы FreeBSD 11"  +2 +/
Сообщение от Аноним (-), 14-Авг-16, 00:59 
>> > А поподробнее? Какие такие "политики" и в чем нужно убеждать мейнтейнеров?
> Можно на дебиян посмотреть. Ставим свежий stable на сервак. И далее несколько
> лет все это каши не просит, ВСЕ ПАКЕТЫ обновляются парой команд
> и все это требует к себе минимум внимания. С убунтами LTS
> такая же фигня.

А можно просто ответ на вопрос? Без "посмотреть на дебиан"?

> Без ушиба головного мозга базовыми системами и чем там еще.

Ну если отдельный
> @daily                                  root    freebsd-update cron

в crone вызывает ушиб головного мозга ...

>> Список фронтов в студию?
> Управление ресурсами

Как бы есть.
> и нормальная виртуализация сети.
> похоже на отдельную VM с своей сетью

Для наглядности:
https://wiki.freebsd.org/VIMAGE/VNETSamples
Оно?
> ФС

jail_www_rootdir="/jailsfs"


> и даже  юзерями.

Это уже не смешно.

> Ему можно порезать ресурсы так чтобы он не клал весь
> хост в случае чего.

А почему вы считаете, что в джейлах этого сделать нельзя?

> А своя сеть с своим  интерфейсами, адресами, маршрутами, правилами фаера и проч - удобно.

man jail
>  vnet    Create the jail with its own virtual network stack, with its own
>             network interfaces, addresses, routing table, etc.

Оно?

> Управляется как  будто это просто еще одна отдельная машина. Админу не надо голову
> особо забивать - он уже и так все это умел.

А это, прошу прощения, о чем?

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

64. "Кандидат в релизы FreeBSD 11"  –2 +/
Сообщение от Аноним (-), 14-Авг-16, 01:55 
> А можно просто ответ на вопрос? Без "посмотреть на дебиан"?

Объясняю: в дебиане вообще все (ядро, утили и весь софт из репов который я поставил) - обновляется и управляется одинаково. И политики одинаковые для всего что из дебиановских репов. Пакеты более-менее равноправны, в пределах релиза они майнтайнятся все. По большому счету каждый сам решает что для него будет "базовой системой", набирая себе систему из кирпичиков-пакетов как там ему было надо в энном применении. Это с одной стороны уже достаточно гибко, с другой - легко админится. Не без своих приколов, но остальное как-то еще хуже, имхо.

> Ну если отдельный
>> @daily                                  root    freebsd-update cron
> в crone вызывает ушиб головного мозга ...

Ушиб головного мозга - когда есть несколько разных утилит для одних и тех же операций и втюхиваются совершенно искусственные разграничения (что такое "базовая система"? и почему какая-то горстка хрычей смеет мнить что лучше меня знают что мне надо как "базу"?)

> Как бы есть.

Хорошо сказал. "Как бы".

> https://wiki.freebsd.org/VIMAGE/VNETSamples
> Оно?

Похоже. А оно уже научилось независимые маршруты, правила фаера, настройки шейпинга и проч? В пингвине сеть вертуализована полностью, свои правила фаера, свои локалхосты, маршруты и shaping никого не удивляют, можно железные интерфейсы в любой контейнер передвинуть и проч. А чисто для лулзов можешь посмотреть на firejail, удобен для изоляции отдельных программ, в т.ч. десктопных. Похоже по смыслу, только раза в три лаконичнее.

Знаешь как у меня запущен браузер? Пнут в отдельный контейнер с отдельной сетью, своими юзерями и специфичным видом файлухи, где он может спереть аж свой даунлоад. И это - одна короткая команда, между прочим. У него там свой эзернет (который на самом деле новый macvlan на том же железном ифейсе). С своим локалочным айпи. И даже своим локалхостом. Настолько что тестовый сервер приходится отдельно пушить в контейнер с браузером. Потому что у него там свой локалхост. Это обеспечивает неплохую защиту даже локальных сервисов друг от друга.

> jail_www_rootdir="/jailsfs"

Не выглядит круто и гибко. Это все что можно из него выжать?

>> и даже  юзерями.
> Это уже не смешно.

Не знаю чего там смешного, с pid+fs+uid+ipc абстракция VM может быть уже довольно полная. Иногда усы еще местами отклеиваются в некоторых сисколах, но в целом неплохо. А если столько не надо - можно виртуализовать только сеть, например.

> А почему вы считаете, что в джейлах этого сделать нельзя?

Потому что там половины лимитов нет. По сравнению с лысыми линуксными cgroups из ванильного ядра.

> man jail

...
> Оно?

Когда я это видел оно не могло даже отдельные правила фаера для "виртуалки" обеспечить. Этот фееричный булшит уже исправили? Или вы контейнеры как натоящий бсдшник видели только в манах, на картинке? Я контейнерами и виртуалками пользуюсь для практически значимых вещей, типа изоляции программ, сборки кастомных вариантов образов/иерархий ОС и проч. Мне не надо галочки в буклете.

> А это, прошу прощения, о чем?

А это о том что в пингвине виртуализация сети - это виртуализация сети. Выглядит как отдельная машина и усы в этой части совсем не отклеиваются, в отличие от.

Ответить | Правка | Наверх | Cообщить модератору

68. "Кандидат в релизы FreeBSD 11"  +5 +/
Сообщение от Аноним (-), 14-Авг-16, 04:05 
> Пакеты более-менее равноправны, в пределах релиза они майнтайнятся все.

А почему вы считаете, что в бзд они не мейнтенятся?
> По большому счету каждый сам решает что для него будет "базовой системой", набирая себе систему из кирпичиков-пакетов как там ему было надо в энном применении.

И что мешает сделать то же самое в бзд?

> Ушиб головного мозга - когда есть несколько разных утилит для одних и
> тех же операций и втюхиваются совершенно искусственные разграничения (что такое "базовая
> система"? и почему какая-то горстка хрычей смеет мнить что лучше меня
> знают что мне надо как "базу"?)

Не знаю, кто вам там что втюхивает и вообще, чем вы недовольны. Конкретные претензии будут?
Только чур, возможность выбора утилиты (из нескольких) по вкусу — за претензию не катит.
freebsd-update обновит целиком, без "геморроев", c плюшками типа "rollback". Но если вам так хочется "единообразия" и "одинаковости", пожалуйста, никто не запрещает использовать пакетный менеджер.


# pkg search -r FreeBSD-base kernel
FreeBSD-kernel-generic-11.0 FreeBSD GENERIC kernel
# pkg search -r FreeBSD-base ".-runtime"|xargs -n1 pkg  rquery "%n|%o|%sh" 
FreeBSD-runtime|base|110MiB
base|security/base|1.55MiB
FreeBSD-runtime-debug|base|37.6MiB
FreeBSD-runtime-development|base|29.7MiB
FreeBSD-runtime-lib32|base|6.04MiB
FreeBSD-runtime-lib32-debug|base|9.83MiB
FreeBSD-runtime-lib32-development|base|8.06MiB
FreeBSD-runtime-manuals|base|2.75MiB
#pkg rquery %rn FreeBSD-runtime 
FreeBSD-jail
FreeBSD-acpi
FreeBSD-autofs
FreeBSD-at
FreeBSD-svn
FreeBSD-ee
...

>> Как бы есть.
> Хорошо сказал. "Как бы".

А что я, гадать должен, какие управления ресурсами вам нужны?

>> https://wiki.freebsd.org/VIMAGE/VNETSamples
>> Оно?
> Похоже. А оно уже научилось независимые маршруты, правила фаера, настройки шейпинга и
> проч? В пингвине сеть вертуализована полностью, свои правила фаера, свои локалхосты,
> маршруты и shaping никого не удивляют, можно железные интерфейсы в любой
> контейнер передвинуть и проч.

man jail

vnet    Create the jail with its own virtual network stack, with its own
             network interfaces, addresses, routing table , etc.  The kernel
             must have been compiled with the VIMAGE option for this to be
             available.  Possible values are “inherit” to use the system
             network stack, possibly with restricted IP addresses, and “new”
             to create a new network stack.


> Знаешь как у меня запущен браузер? Пнут в отдельный контейнер с отдельной
> сетью, своими юзерями и специфичным видом файлухи, где он может спереть
> аж свой даунлоад. И это - одна короткая команда, между прочим.
> У него там свой эзернет (который на самом деле новый macvlan
> на том же железном ифейсе). С своим локалочным айпи.

И?

>> jail_www_rootdir="/jailsfs"
> Не выглядит круто и гибко. Это все что можно из него выжать?

man jail
path    The directory which is to be the root of the jail.  Any commands
             run inside the jail, either by jail or from jexec(8), are run
             from this directory.
Ну а там, что этому джейлу дашь, то у него и будет.

> Не знаю чего там смешного, с pid+fs+uid+ipc абстракция VM может быть уже
> довольно полная.

Извините, вы так усиленно выделяли "и даже пользователями" что я не смог удержаться от сарказма.


jexec – execute a command inside an existing jail
SYNOPSIS
     jexec [-l] [-u username | -U username] jail [command ...]
 -U username
             The user name from jailed environment as whom the command should
             run.

А насчет PID и т.д — вообще-то все это доступно в том же хэндбукe:
> Jails expand this model by virtualizing access to the file system, the set of users, and the networking subsystem.
>> А почему вы считаете, что в джейлах этого сделать нельзя?
> Потому что там половины лимитов нет. По сравнению с лысыми линуксными cgroups
> из ванильного ядра.

Пока что вы демонстрировали явную неосведомленность насчет бздшных фич, так что нельзя ли поконкретнее?

> Когда я это видел оно не могло даже отдельные правила фаера для
> "виртуалки" обеспечить. Этот фееричный булшит уже исправили?

Не знаю, когда вы там изволили что видеть, но ipfw внутри виртуалки запускается давно. С pf были проблемы, не спорю. А рулить "снаружи"  … ну вон даже джейлид в правилах можно задавать. Что вам еще одтельного нужно, право не знаю.

> Или вы контейнеры как
> натоящий бсдшник видели только в манах, на картинке?

Опять вы не угадали. Но да, доказать не могу.

> сборки  кастомных вариантов образов/иерархий ОС и проч. Мне не надо галочки в буклете.

Вы конечно не поверите, но тот же poudriere (Port build and test system, это то, чем обычно собирают пакеты для реп) вполне себе штатно предполагает работу в джейле.  Ну, то есть ему задаешь версию фир и архитектуру, а он сам создает контейнер со всем нужным для сборки.

>> А это, прошу прощения, о чем?
> А это о том что в пингвине виртуализация сети - это виртуализация
> сети. Выглядит как отдельная машина и усы в этой части совсем
> не отклеиваются, в отличие от.

Так можно все же глянуть списочек этих отличий?

Ответить | Правка | Наверх | Cообщить модератору

111. "Кандидат в релизы FreeBSD 11"  –1 +/
Сообщение от Аноним (-), 15-Авг-16, 00:26 
> А почему вы считаете, что в бзд они не мейнтенятся?

Я считаю что я не понимаю бсдшные подходы и какой за ними рациональный смысл в контексте современных реалий использования компьютеров.

> И что мешает сделать то же самое в бзд?

Херовый тулинг и отсутствие культуры работы с пакетниками и понимания самых базовых вещей о том как это делать вменяемо. Хотя-бы аналог debootstrap покажешь, для начала? (у редхатобразных тоже IIRC есть похожий тул). Чтоб этим быстро набрать минимальный rootfs (из готовых пакетов) достаточный для запуска пакетника. А потом этим пакетником нарулить остальное "как обычно".

> Конкретные претензии будут?

Тут кадр утверждает что в фряшном пакетнике нет деления на -dev и просто пакеты. Е-ть ко-ть, серьезно? Еще и рантайм какой-то - "base" на 110 мегабайт. Ого, почти дотнет.

> Только чур, возможность выбора утилиты (из нескольких) по вкусу — за претензию не катит.

А это зависит от того как эти утилиты между собой интегрированы. Если я рулю системой через пакетник - в системе ВСЕ ФАЙЛЫ кроме всяких юзерских данных - ТРЕКАЮТСЯ ПАКЕТНИКОМ. И всегда понятно какое файло откуда взялось и кому принадлежит. Потуги юзать пакетник пополам с другими тулзами приводят к неуправляемой помойке. Возможность понять откуда и почему взялся тот или иной файл - жирная фича. Если этого нет - нафига такой пакетник и такое управление софтом?

> freebsd-update обновит целиком, без "геморроев", c плюшками типа "rollback".
> Но если вам так хочется "единообразия" и "одинаковости", пожалуйста,
> никто не запрещает использовать пакетный менеджер.

Если я буду использовать два разных тула - как они между собой будут дружить? Я реально хочу понимать какой пакет приволок вот этот файл. Если файл не принадлежит пакету - это мусор в системе. Для меня это индикатор: something seriously fucked up. Удобно для обнаружения порушеных или похаканых систем. При том эффективно это обломать хакерам сложно даже при помощи руткита - усы будут отклеиваться и довольно заметно.

Донавесить эффективный rollback например снапшотом btrfs мне как-то сильно проще чем донавесить эффективный трекинг всех файлов в системе чем-то вместо пакетного менеджера (такие утили есть но при апдейтах софта пакетником истошно вопят на замену файлов, что ожидаемо но не удобно нифига).

> FreeBSD-runtime|base|110MiB

"Всего" 110 метров? Ж8-[ ] Поди еще и mandatory? Так, на подумать - у меня весь бутабельный образ демьяна может быть легче чем один этот пакет. Это не пакет, это морской контейнер целый.

> А что я, гадать должен, какие управления ресурсами вам нужны?

Самое очевидное: RAM, CPU (в чем-то типа процентов а не абсолютное время, мы не в 70х), бандвиз сети, дисковая активность (бандвиз, iops). Количество процессов в помойке, а может и сокетов.

>  network interfaces, addresses, routing table [/B], etc.  

В это etc попадают хотя-бы отдельные рулесы фаера для каждого контейнера и настройки шейпинга траффика? Или ты это даже не проверял?

> И?

Это так, для понимания насколько я этим реально пользуюсь по факту в повседневной активности. Для галочки мне этого не надо, это реально работать должно и желательно без глупых граблин на ровном месте (пингвин в этом не идеален, там есть что улучшить).

>  from this directory.
> Ну а там, что этому джейлу дашь, то у него и будет.

Говорю же - не шибко гибко. Во многих линуксных запускалках поверх namespaces (например том же firejail) можно файлуху компоновать более продвинуто. И совсем отдельную, и используя существующую ФС за основу (но например наглухо readonly) и что там еще. Namespace у файлух может быть и общий и отдельный. И если например стоит цель отрезать проге только сеть - файлуху можно резать менее кардинально. Позволяет балансировать желаемый уровень изоляции vs затраты на подъем контейнера. А если ты хотел меня удивить маном - в лине я могу показывать вполне эффектные фокусы, с скоростным подъемом пачки контейнеров или виртуалок так что они как бы и независимые но при этом и не копируются 20 раз в сторонку. И все это опять же 1-2 командами.

> А насчет PID и т.д — вообще-то все это доступно в том же хэндбукe:

А как насчет виртуализации IPC, mounts и прочих имен хоста? Да и виртуализация pid штука многогранная. Что именно под этим понимается? Отдельный proc? Надлежащая фильтрация сисколов? И то и другое? Ман это не уточняет а проверять лениво, потому что про запуск фри в виртуалке тут уже сказали.

> Пока что вы демонстрировали явную неосведомленность насчет бздшных фич,

Правильно, я смотрел на это пару лет назад. Линух втыкал уже тогда. И оно не умело даже отдельные правила фаера и маршруты.

> так что нельзя ли поконкретнее?

Как в этой штуке IOPS урезать и/или бандвиз диска ограничить? Или независимые правила фаеру в контейнере дать. А то ваш ман про такие вещи почему-то молчит в тряпочку. Ну или мне нужны очки.

> Не знаю, когда вы там изволили что видеть, но ipfw внутри виртуалки
> запускается давно. С pf были проблемы, не спорю.

А как насчет полисовки траффика? В контейнерах линя можно как-то так: cgroups'ами поделить на хосте, а в гуесте его шейперы будут работать как будто это независимая машина. С скоростью сети как в упомянутых лимитах, а шейперы - свои, местные. Это просто для руления с хоста и просто для руления в гуесте. Это и позволяет всяким паралелсам чуть донадстроив это продавать это как впски. В таком виде рулить этим довольно просто.

> А рулить "снаружи"  … ну вон даже джейлид в правилах можно задавать. Что
> вам еще одтельного нужно, право не знаю.

Мне нужно чтобы хост и контейнеры друг другу не мешали, очевидно. Удобнее всего когда они ведут себя как отдельные машины со своей сетью, маршрутами, правилами фаера, полисовкой траффика и проч. Это все уже можно, в именно таком виде?

>> Или вы контейнеры как натоящий бсдшник видели только в манах, на картинке?
> Опять вы не угадали. Но да, доказать не могу.

Джентльменам принято верить на слово :)

> Вы конечно не поверите, но тот же poudriere (Port build and test
> system, это то, чем обычно собирают пакеты для реп) вполне себе
> штатно предполагает работу в джейле.

Вы конечно не поверите, но debootstrap вообще надо только указать какой реп брать за основу и куда это раскатать. Будет ли это контейнер или нет, будет ли это чьим-то rootfs и прочее - ему все-равно. Он отстреляется за несколько минут - просто скачает пакеты и распакует. Дальше есть еще post-install scripts, и тут есть разные варианты. Некоторые из них довольно забавные, когда хочется какому-нибудь ARM-у образ на x86 машине выкатить. Но реально вся процедурка занимает несколько минут. После этого у меня есть минимальная заготовочка под rootfs, от нее можно танцевать как от печки. Эта заготовочка, если ее забутявить в контейнере/vm/на железяке - good enough для старта пакетника. Дальнейшее очевидно.

Плюс всего этого - я могу получить довольно кастомный образ за весьма минимальное время. Ничего не канпелируя и даже всякие контейнеры, VM и железки - опциональны и возможны разные варианты. Реально оно формирует начальную файловую иерархию достаточную для взлета пакетника из указанной репы. Это казалось бы так просто, но оно гениально в своем сочетании простоты и полезности. А еще за столько лет до дебианщиков доперло что случаи бывают разные и поэтому минимальный образ - и правда достаточно минимальный. Самое жирное что там есть - список пакетов из репы :)) (к вопросу о числе пакетов)

> Ну, то есть ему задаешь версию фир и архитектуру, а он сам создает
> контейнер со всем нужным для сборки.

Debootstrap вообще ничего не собирает. Качает пакеты и распаковывает куда укажешь. Может postinstall скрипты прогнать если условия позволяют. А может предоставить target'у поупираться при первой загрузке, если мой компьютер и его софт на target совсем не похожи. Поскольку это лишь скачивание нескольких файлов и распаковка - это не напрягает даже весьма скромный лаптоп. Такой тип тулзов - логичное продолжение пакетника. Он пакетами оперирует. И это пожалуй самый простой и быстрый способ сделать респин системы который я встречал. По поводу чего и пользуюсь им :P.

>> сети. Выглядит как отдельная машина и усы в этой части совсем
>> не отклеиваются, в отличие от.
> Так можно все же глянуть списочек этих отличий?

Слушайте, у меня есть идея. Вы вот сказали что пользовались контейнерами. Ок, если вы ими пользуетесь - у вас наверное более актуальный view как оно здесь и сейчас. Вот и расскажите честно - чем отличается от железяки на вид. Могу то же самое для пингвинов рассказать. Так наверное конструктивнее будет - у нас более up to date views по своим системам. Иначе получается какой-то трэш, когда вы не понимаете что мне не нравится в половинчатом использовании пакетника а я могу оперировать устаревшми данными. Заодно и докажете делом что активно пользовались jail :)

Ответить | Правка | Наверх | Cообщить модератору

123. "Кандидат в релизы FreeBSD 11"  +2 +/
Сообщение от Dmitry (??), 15-Авг-16, 10:22 
>> А почему вы считаете, что в бзд они не мейнтенятся?
> Я считаю что я не понимаю бсдшные подходы и какой за ними
> рациональный смысл в контексте современных реалий использования компьютеров.

Когда поймете - тогда пишите сюда.

> Если я буду использовать два разных тула - как они между собой
> будут дружить? Я реально хочу понимать какой пакет приволок вот этот
> файл. Если файл не принадлежит пакету - это мусор в системе.
> Для меня это индикатор: something seriously fucked up. Удобно для обнаружения
> порушеных или похаканых систем. При том эффективно это обломать хакерам сложно
> даже при помощи руткита - усы будут отклеиваться и довольно заметно.

читать "man pkg" до просветления

>> FreeBSD-runtime|base|110MiB
> "Всего" 110 метров? Ж8-[ ] Поди еще и mandatory? Так, на подумать
> - у меня весь бутабельный образ демьяна может быть легче чем
> один этот пакет. Это не пакет, это морской контейнер целый.

читать "man picobsd" до просветления

>> А что я, гадать должен, какие управления ресурсами вам нужны?
> Самое очевидное: RAM, CPU (в чем-то типа процентов а не абсолютное время,
> мы не в 70х), бандвиз сети, дисковая активность (бандвиз, iops). Количество
> процессов в помойке, а может и сокетов.

читать "man rctl" до просветления

> А как насчет виртуализации IPC, mounts и прочих имен хоста? Да и
> виртуализация pid штука многогранная. Что именно под этим понимается? Отдельный proc?
> Надлежащая фильтрация сисколов? И то и другое? Ман это не уточняет
> а проверять лениво, потому что про запуск фри в виртуалке тут
> уже сказали.

Блин, да Вы хотя бы секцию EXAMPLES из "man jail" посмотрите.

>> Пока что вы демонстрировали явную неосведомленность насчет бздшных фич,
> Правильно, я смотрел на это пару лет назад. Линух втыкал уже тогда.
> И оно не умело даже отдельные правила фаера и маршруты.

Читать "man jail" и "man setfib" до просветления

>> так что нельзя ли поконкретнее?
> Как в этой штуке IOPS урезать и/или бандвиз диска ограничить? Или независимые
> правила фаеру в контейнере дать. А то ваш ман про такие
> вещи почему-то молчит в тряпочку. Ну или мне нужны очки.

Читать "man rctl" до просветления

> А как насчет полисовки траффика? В контейнерах линя можно как-то так: cgroups'ами
> поделить на хосте, а в гуесте его шейперы будут работать как
> будто это независимая машина. С скоростью сети как в упомянутых лимитах,
> а шейперы - свои, местные. Это просто для руления с хоста
> и просто для руления в гуесте. Это и позволяет всяким паралелсам
> чуть донадстроив это продавать это как впски. В таком виде рулить
> этим довольно просто.

Читать "man jail" и "man rctl" до просветления

> Мне нужно чтобы хост и контейнеры друг другу не мешали, очевидно. Удобнее
> всего когда они ведут себя как отдельные машины со своей сетью,
> маршрутами, правилами фаера, полисовкой траффика и проч. Это все уже можно,
> в именно таком виде?

В не поверите. Можно.

> Плюс всего этого - я могу получить довольно кастомный образ за весьма
> минимальное время. Ничего не канпелируя и даже всякие контейнеры, VM и
> железки - опциональны и возможны разные варианты. Реально оно формирует начальную
> файловую иерархию достаточную для взлета пакетника из указанной репы. Это казалось
> бы так просто, но оно гениально в своем сочетании простоты и
> полезности. А еще за столько лет до дебианщиков доперло что случаи
> бывают разные и поэтому минимальный образ - и правда достаточно минимальный.
> Самое жирное что там есть - список пакетов из репы :))
> (к вопросу о числе пакетов)

Хм. А ребята из PC-BSD, которые делали PBI пакеты, и не знают...

> Слушайте, у меня есть идея. Вы вот сказали что пользовались контейнерами. Ок,
> если вы ими пользуетесь - у вас наверное более актуальный view
> как оно здесь и сейчас. Вот и расскажите честно - чем
> отличается от железяки на вид. Могу то же самое для пингвинов
> рассказать. Так наверное конструктивнее будет - у нас более up to
> date views по своим системам. Иначе получается какой-то трэш, когда вы
> не понимаете что мне не нравится в половинчатом использовании пакетника а
> я могу оперировать устаревшми данными. Заодно и докажете делом что активно
> пользовались jail :)

Поставьте себе PC-BSD. И при установке пакетов, выберите галочку "ставить в jail"
И Вам каждый пакет установится в отдельный jail.
Легко, просто, удобно. Один клик мышкой.
Убедите меня, что в линуксе контейнеры создаются с пол-клика мышкой.

Ответить | Правка | Наверх | Cообщить модератору

173. "Кандидат в релизы FreeBSD 11"  +2 +/
Сообщение от Аноним (-), 16-Авг-16, 04:17 
Не сочтите за грубость или неуважение, но лишняя "вода" и бесконечные повторы одного и того же на разные лады не делают что-то правдивее или наоборот.

> Хотя-бы аналог debootstrap покажешь,
> для начала? (у редхатобразных тоже IIRC есть похожий тул). Чтоб этим
> быстро набрать минимальный rootfs (из готовых пакетов) достаточный для запуска пакетника.
> А потом этим пакетником нарулить остальное "как обычно".

Прошу прощения, а сам пакетник чем не угодил? Вон, в соседней ветке привели пример:
https://www.opennet.ru/openforum/vsluhforumID3/108826.html#75

> Еще и рантайм какой-то - "base"  на 110 мегабайт. Ого, почти дотнет.
> - у меня весь бутабельный образ демьяна может быть легче чем
> один этот пакет. Это не пакет, это морской контейнер целый.

Очень интересное мнение. Хотя, когда я последний раз интересовался сборкой более-менее минимального (но не совсем вакуумно-сферического) образа для amd64, то без всяких  (пере)компиляций баз или доработки конфигурационных файлов, с настройкаи по умолчанию получал на выходе  образ размером около 30MБ. А сжимался этот образ до 8МБ.

>  И всегда понятно какое файло откуда взялось и кому принадлежит. Потуги юзать пакетник пополам с другими
> тулзами приводят к неуправляемой помойке. Возможность понять откуда и почему взялся
> тот или иной файл - жирная фича. Если этого нет - нафига такой пакетник и такое управление софтом?

Гм, "управление помойкой" как-то больше  похоже на лечение симптомов.
А вот если сама система в / и /usr и все что ставится дополнительно, идет в /usr/local, то ощущения помойки как-то не возникает.
Да и сказать, откуда взялся файл мог еще старый "pkg_info -w" лет  эдак 15 назад.

> Удобно для обнаружения порушеных или похаканых систем. При том эффективно это обломать хакерам сложно
> даже при помощи руткита - усы будут отклеиваться и довольно заметно.

Всерьез пытаться обнаружить руткиты с помощью пакетника? Гм, удачи Вам.

> Донавесить эффективный rollback например снапшотом btrfs мне как-то сильно проще чем донавесить
> эффективный трекинг всех файлов в системе чем-то вместо пакетного менеджера

Правильно ли я понимаю, что отсутствие этой возможности на самом деле полезнейшая особенность, да и вообще, не очень-то нужно или хотелось? И задействование сторонних утилит теперь совсем не мешает?
Э ... очень пластичное мировозрение и вообще, интересный подход.

> Самое очевидное: RAM,

Вам как, ограничить пользователю в джейле?
rctl -a jail:foo:memoryuse:log=127M/user
rctl -a jail:foo:swapuse:log=127M/user

Или может, отдельному процессу пользователя?
rctl -a user:foo:memoryuse:sigterm=1289M/process
rctl -a user:foo:swapuse:sigterm=1280M/process

Или всему джейлу целиком?
rctl -a jail:foo2:memoryuse:deny=129M/jail

> CPU (в чем-то типа процентов а не абсолютное время,

rctl -a jail/user/process:foo:pcpu:deny=20
man jail
>  pcpu               %CPU, in percents of a single CPU core

.
> дисковая активность (бандвиз, iops).
> Как в этой штуке IOPS урезать и/или бандвиз диска ограничить?
> А то ваш ман про такие  вещи почему-то молчит в тряпочку. Ну или мне нужны очки.

Видимо, к сожалению, вам все же желателен визит к окулисту.
rctl -a user/jail/process:foo:readbps:throttle=1M
rctl -a user/jail/process:foo:writeiops:throttle=20

> Количество процессов в помойке

rctl -a jail:foo:maxproc:deny=10

> В это etc попадают хотя-бы отдельные рулесы фаера для каждого контейнера и
> настройки шейпинга траффика? Или ты это даже не проверял?

Попадают, не извольте беспокоиться.

> Говорю же - не шибко гибко. Во многих линуксных запускалках поверх namespaces (например том же firejail) можно
> файлуху компоновать более продвинуто.

Если вы так говорите, тогда конечно так оно и есть.

> И совсем отдельную, и используя существующую ФС за основу (но например наглухо readonly)  и что там еще.

Не расстраивайтесь, но пока ничего более продвинутого, к сожалению, не видно.

>  И если например стоит цель отрезать проге только сеть
> - файлуху можно резать менее кардинально. Позволяет балансировать желаемый уровень изоляции  vs затраты на подъем контейнера.

jail -U anonymous -c vnet path=/ command=/foo
Хотя да, наверное все же слишком сложно и несколько запутанно.

> А как насчет виртуализации IPC, mounts и прочих имен хоста?

Вам как, разрешить, запретить или может быть разрешить использовать общий для какой-то группы контейнеров?

Кстати, кусочки из /usr/src/sys/kern/vfs_subr.c

/*
 * Credential check based on process requesting service, and per-attribute  permissions.
int
extattr_check_cred(struct vnode *vp, int attrnamespace, struct ucred *cred,
...
         * Do not allow privileged processes in jail to directly manipulate
         * system attributes.
        switch (attrnamespace) {

или /usr/src/sys/kern/uipc_socket.c

int
socreate(int dom, struct socket **aso, int type, int proto,
...
if (prison_check_af(cred, prp->pr_domain->dom_family) != 0)
                return (EPROTONOSUPPORT);

достаточно убедительны?

> ... повторения, как я понимяю — для надежности.

.
>> Вы конечно не поверите, но тот же poudriere (Port build and test
>> system, это то, чем обычно собирают пакеты для реп) вполне себе
> Вы конечно не поверите, но debootstrap вообще надо только указать какой реп
> брать за основу и куда это раскатать.
> ... вариации выше сказанного, видимо для лучшего понимания читателями ...
> Debootstrap вообще ничего не собирает. Качает пакеты и распаковывает куда укажешь.

Преклоняюсь перед дебианщиками — делать репозиторий с пакетами ничего не собирая, а только качая эти пакеты! Мое глубочайшее уважение!
Интересный и очень любопытный подход!
Разрешите полюбопытствовать — если для этой своеобразной сборки пакетов в репозиторий нужно указать репозиторий, то как и кто собирает самый первый репозиторий? И в чем, кроме зеркалирования, смысл такого репозитория, если берутся уже готовые пакеты?

Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

208. "Кандидат в релизы FreeBSD 11"  +/
Сообщение от Аноним (-), 17-Авг-16, 07:41 
> Прошу прощения, а сам пакетник чем не угодил?

Сам пакетник как раз нормальный. Приветы редхату ;)

> образ размером около 30MБ

Вполне вменяемая цифря, btw. Только у мну примерно такой размер - одной командой. А до скольких он сжимался - у вас что, есть ФС с прозрачным сжатием? В пингвинах такого добра - на все оказии. Только не надо про ZFS, там где размер образа колышет - и оперативки обычно мало.

> А вот если сама система в / и /usr и все что ставится дополнительно,
> идет в /usr/local, то ощущения помойки как-то не возникает.

Я конечно понимаю что local можно снести без последствий для системы, но мне не нравится такое "управление" софтом и останутся хвосты, например в /home. И мусор будет накапливаться.

> Всерьез пытаться обнаружить руткиты с помощью пакетника? Гм, удачи Вам.

Основная проблема руткитов - в том что качественно подделать свое отсутствие в системе крайне сложная задача. Пакетник с чексумами задачу дополнительно усложняет. Хотя надеяться на один пакетник против серьезного руткита глупо. Поэтому я люблю небольшие системные лулзы :)

> Э ... очень пластичное мировозрение и вообще, интересный подход.

Подход простой: сделать все просто, быстро и удобно для себя любимого. А что до rollback пакетником... эээ... возможно и неплохая фича. Но идея с снапшотом файлухой мне больше нравится: вообще нет стремноватой операции rollback как таковой.

> Видимо, к сожалению, вам все же желателен визит к окулисту.

Ок, я смотрю, jails более-менее прокачали. Ну чтож поздравляю, тогда у вас контейнеры вполне приличные стали, если все это без факапов и недоговорок.

> Хотя да, наверное все же слишком сложно и несколько запутанно.

По сравнению с например firejail? Пожалуй. Он вообще лаконичный по сравнению с тем что он делает (правда путем жульничества с профилями программ в конфигах).

> 

 
> int 
> socreate(int dom, struct socket **aso, int type, int proto, 
> ...
> if (prison_check_af(cred, prp->pr_domain->dom_family) != 0) 
>             
>     return (EPROTONOSUPPORT); 
>

> достаточно убедительны?

Интересная виртуалзация. Может и TCP/IP так виртуализовать? :) А более вменяемые варианты типа отдельного namespace каждому контейнеру там есть?

> то как и кто собирает самый первый репозиторий?

Самый первый репозиторий собрали когда-то давно и вопрос из разряда "если сишный компилятор собирают сам собой, как же собрали первый компилятор?". Если честно я не знаю как выглядел bring-up первых репов. Наверное чем-то напоминало создание первых компиляторов.

Говоря за себя - я могу скроить пакет дебиана "голыми руками". Любой текстовый редактор, xz (или gzip) и ar. Ну еще всякие shasum/md5sum. Но это слегка в духе ассемблирования программы-загрузчика на тетрадном листке.

> И в чем, кроме зеркалирования, смысл такого репозитория, если берутся уже готовые пакеты?

Debootstrap не создает репозитории. Он лишь разворачивает из pre-existing реп с пакетами минимальный debian (иерархию ФС, которая может стать rootfs), способный дальше себя менять своим пакетником. Фокус в том что к хосту очень скромные требования по софту (по сути любое *nix-образное) и архитектура назначения может отличаться. Бонусом - система развернутая им минималистична донельзя. Это позволяет скроить нестандартный образ системы и даже используя как host машину другой архитектуры. Еще оно путем хитрых хаков решает проблему с тем что если у меня host x86-64, а target rootfs для ARM - даже если допустить что у меня было что-то дебианобразное и пакетник в нативном виде и он даже понял пакеты чужой архитектуры - не факт что скрипты post-install ARMовских пакетов отработает на x86 хосте сколь-нибудь разумно (да и запускать ремотные скрипты на хосте - не лучшая идея в плане факапов). Прелесть debootstrap в том что он не зависит от наличия местного пакетника и его способности прожевать пакеты foreign архитектуры и выполнить post-install. На самом деле ничего сверхъестественного, но сочетание простоты и педальности с чертовски полезным результатом и решением ряда хитрых проблем - почти гениальное.

Ответить | Правка | Наверх | Cообщить модератору

215. "Кандидат в релизы FreeBSD 11"  +/
Сообщение от Аноним (-), 17-Авг-16, 14:24 
> Вполне вменяемая цифря, btw. Только у мну примерно такой размер - одной
> командой.

Прошу прощения, но вы опять что-то додумали? Я упоминал дефолтные значения, отсутствие перекомпиляции базы, но никак не то, что нужно набрать целую кучу комманд.

А до скольких он сжимался - у вас что, есть
> ФС с прозрачным сжатием?

Извините, но вы наверное не поверите. Нет, не zfs, что вы. И да, уже давно.

> Я конечно понимаю что local можно снести без последствий для системы, но
> мне не нравится такое "управление" софтом

Не сочтите за дерзость, но что, если вы просто не будете делать то, что вам не нравится? Или вас кто-то заставляет?


> Подход простой: сделать все просто, быстро и удобно для себя любимого. А
> что до rollback пакетником... эээ... возможно и неплохая фича. Но идея
> с снапшотом файлухой мне больше нравится: вообще нет стремноватой операции rollback
> как таковой.

Так это как раз просто, быстро и удобно, иметь возможность отката независимо от файловой системы. Ведь никто не запрещает использовать это возможность файловой системы, если она предоставляется.
А вот наоборот никак не выйдет. В этом случае только и остается, что повторять "Не нужно это нам, да и вообще не очень то и хотелось!"


>> Хотя да, наверное все же слишком сложно и несколько запутанно.
> По сравнению с например firejail? Пожалуй. Он вообще лаконичный по сравнению с
> тем что он делает (правда путем жульничества с профилями программ в
> конфигах).

А в том же Warden достаточно будет только мышкой ткнуть. Пользоваться  базовым jail никто не заставляет, для него есть надстройки.

>>> А как насчет виртуализации IPC, mounts и прочих имен хоста?
>> Вам как, разрешить, запретить или может быть разрешить использовать общий для какой-то группы контейнеров?
> А более вменяемые варианты типа отдельного namespace каждому контейнеру там есть?

Вы визит к окулисту все же не откладывайте.

>> то как и кто собирает самый первый репозиторий?
> Самый первый репозиторий собрали когда-то давно и вопрос из разряда "если сишный
> компилятор собирают сам собой, как же собрали первый компилятор?". Если честно
> я не знаю как выглядел bring-up первых репов. Наверное чем-то напоминало
> создание первых компиляторов.

Т.е. вы не знаете, чем именно собираются официальные репозитории?

>> И в чем, кроме зеркалирования, смысл такого репозитория, если берутся уже готовые пакеты?
> Debootstrap не создает репозитории. Он лишь разворачивает из pre-existing реп с пакетами
> минимальный debian (иерархию ФС, которая может стать rootfs), способный дальше себя
> менять своим пакетником.

Гм, если я вам привожу в качестве примера утилиту, которой в том числе собираются официальные репозитории, а вы в ответ в очередной раз расписываете прелести и преимущества утилиты, которая репозитории не создает … прошу прощения, что возможно лезу не в свое дело, но может быть вам стоит обратится еще и к проктологу, так сказать для профилактики основного органа используемого для чтения?

Ответить | Правка | Наверх | Cообщить модератору

120. "Кандидат в релизы FreeBSD 11"  +1 +/
Сообщение от Dmitry (??), 15-Авг-16, 09:54 
>> А поподробнее? Какие такие "политики" и в чем нужно убеждать мейнтейнеров?
> Управление ресурсами и нормальная виртуализация сети. В лине контейнер может выглядеть
> более-менее похоже на отдельную VM с своей сетью, ФС и даже
> юзерями. Ему можно порезать ресурсы так чтобы он не клал весь
> хост в случае чего. На локалхосте это может и пофиг, а
> на серваке где куча контейнеров - совсем не айс если runaway
> контейнер положит или сильно просадит остальных. А своя сеть с своим
> интерфейсами, адресами, маршрутами, правилами фаера и проч - удобно. Управляется как
> будто это просто еще одна отдельная машина. Админу не надо голову
> особо забивать - он уже и так все это умел.

Чукча не читатель. Чукча писатель.
Если Вы не знаете, как это работает во FreeBSD, это не значит, что там этого нету.

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру