The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В systemd добавлены новые возможности по изоляции контейнеров

04.06.2014 21:40

В целях повышения безопасности сервисов, работающих в контейнерах, в systemd добавлены настройки сервисов "ReadOnlySystem" и "ProtectedHome".

Настройка "ReadOnlySystem" примонтирует разделы /usr и /boot для указанного сервиса в режиме "только для чтения". Это позволит убедиться, что сервис не сможет несанкционированно изменять части операционной системы, если такое поведение сервиса заведомо не предполагается.

Настройка "ProtectedHome" примонтирует разделы /home и /run/user в режиме только для чтения или заменит указанные пути на пустую несуществующую директорию. Это позволит добиться того, что указанный сервис не получит доступа к конфиденциальным пользовательским данным.

Отмечается, что данные настройки будут также применены ко всем долговременно работающим процессам самого systemd. Настройки будут включены в состав будущего выпуска systemd 214.

  1. Главная ссылка к новости (http://www.phoronix.com/scan.p...)
Автор новости: Аноним
Тип: К сведению
Короткая ссылка: https://opennet.ru/39928-systemd
Ключевые слова: systemd, limit, sandbox
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (25) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Xasd (ok), 22:11, 04/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    поясните, пожалуйста..

    если сервис выполняется не от суперпользователя -- то разе он может писать в /usr, /boot, /home ?

    а если сервис выполняется от суперпользователя -- то разве есть надёжный способ НЕдопустить процесс до какой-нибо части жёсткого диска?

    процесс, работающий от суперпользователя -- всегда же может сделать mount , и всегда может создать необходимый файл блочного устройства?

     
     
  • 2.3, ABATAPA (ok), 22:19, 04/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > работающий от суперпользователя -- всегда же может сделать mount

    Не всегда.
    man capabilities
    google://lxc
    google://OpenVZ

     
     
  • 3.9, Bvz (?), 23:54, 04/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ога. т.е. ещё внутрь systemd контейнерную виртуализацию по вашему запихнут? а чо шикарная идея же!
     
     
  • 4.11, Аноним (-), 00:46, 05/06/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    уже давно
    systemd-nspawn называется
     
  • 4.16, Аноним (-), 12:05, 05/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вообще-то, бут контейнеров и виртуалок всегда был целью системдэ. И это его жирный плюс, ибо нормальных средств для этого у остальных вообще нет, костылить самому - достало, а вкрячивать энтерпрайзятный управлятор для автозапумка пары вм или контейнеров - жуткий оверкил. И вот тут у системдэ есть жирный плюс.
     
     
  • 5.18, Какаянахренразница (ok), 12:25, 05/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Таки сколько плюсов -- один или два? Такое ощущение, что оба плюса за одно и то же. Заодно уточните процент жирности.
     
     
  • 6.26, Аноним (-), 18:26, 05/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Такое ощущение, что оба плюса за одно и то же

    Да вы прикалываетесь, не иначе? Если умение запускать то и се считать за 1 плюс при обсуждении запускалок - получается что они все как бы одинаковы. Теоретически как-то так и есть. А практически - "есть нюансы". И нет, виртуальные машины и контейнеры - весьма разные вещи. Из общего у них то что и то и другое реализовано в ядре и, судя по всему, можно будет и то и другое запускать средствами systemd, а остальное будет надстраиваться над оным. Что как раз хорошо, ибо лепить местечковые костыли достало, а энтерпрайзные средства имеют смысл если у вас 100500 виртуалок/контейнеров.

     
  • 5.20, Аноним (-), 14:16, 05/06/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Который ты видел только на картинках в интернете, поскольку сам не используешь системд.
     
     
  • 6.27, Аноним (-), 18:28, 05/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Который ты видел только на картинках в интернете, поскольку сам не используешь системд.

    Ну так всему свое время: пусть сначала всякие арчеводы и федористы оттестят ;).

     
  • 5.31, Аноним (-), 03:11, 06/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    лол, runit вот и вся запускалка, че хочешь запускай и как хочешь
     
     
  • 6.35, annualslayer (ok), 10:21, 06/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    аноним, боящийся потерять работу из-за системдэ, опять выходит на связь?
     

  • 1.6, Аноним (-), 23:26, 04/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    почему только /usr и /boot? где логика? бред какой-то...
     
     
  • 2.7, Мимокрокодил (?), 23:50, 04/06/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну, наверное, потому, что никто не рассказал Леннарту, что линукс начинается с корня
     
     
  • 3.28, Аноним (-), 18:29, 05/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну, наверное, потому, что никто не рассказал Леннарту, что линукс начинается с корня

    Редхат снес все бинари в /usr, а остальное симлинки позорные.

     
  • 2.8, Аноним (-), 23:51, 04/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    редхет всё перетащил в /usr, а /boot нужен для добывания ядер
     

  • 1.12, Anonymus (?), 01:43, 05/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вау
    чего же боле ещё могу я вам сказать
     
  • 1.13, Классический Анонимус (?), 06:50, 05/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    С одной стороны монопенисуально, даже в Арче этот монстрило не напрягает, работает сам по себе и работает, обновляется без доп телодвижений. С другой стороны, если появится такой же изящный дистриб без systemD, сразу же на него сбегу. :(
     
     
  • 2.15, burjui (ok), 10:43, 05/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Взаимоисключающие параграфы. Если работает и не мешает, зачем убегать куда-то? Заразились системдифобией?
     
     
  • 3.17, Аноним (-), 12:07, 05/06/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Взаимоисключающие параграфы. Если работает и не мешает, зачем убегать куда-то? Заразились
    > системдифобией?

    Стадный инстинкт - нынче модно ругать поттера ;).

     
     
  • 4.22, burjui (ok), 15:02, 05/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Очень похоже на то. Не буду делать выводов пока, но складывается впечатление, что никто не хочет или не может объяснить, чем же принципиально плох Systemd. Я понимаю негодование Линуса по поводу изменений ради изменений, но почему это должно вызывать у пользователей стойкое желание снести Systemd, если оно работает и не мешает, мне совершенно непонятно.
     
     
  • 5.24, Аноним (-), 15:09, 05/06/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В общем ничего, кроме пложения зоопарков (на время пока все прочие не отомрут) бинарных логов параллельно с обычными (оверхед, а без него неудобно, т к бинарные - шлак). Сам переход был не вполне гладким. Закостенелым адменоюзерам тяжелом менять привычки.
     
  • 5.29, Куяврег (?), 23:22, 05/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > но почему это должно вызывать у пользователей стойкое желание снести Systemd

    видимо, потому что они его не звали, а то, что использовали ранее работало и не мешало. в этом плане очень правильный подход у генты. Хочешь системды? ставь - будет работать. Не хочешь? на тебе openrc родной и любимый.

     
  • 3.33, Классический Анонимус (?), 05:33, 06/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Взаимоисключающие параграфы - это наличие systemD в Arch-линуксе. Арч максимально простой как валенок дистриб, к которому я пришёл после 10 лет сидения на гентах, дебианах и убунту.

    А systemD монструозный мегакомбайн. Для суровоынтырпрайзнутого RHEL может быть и хороший вариант, а в Арчике он что делает?!

     

  • 1.21, Аноним (-), 14:18, 05/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А когда он додумается добавить новый ключик FakeProtectedHome и т.д.? Ну это когда используется unionfs и всем кажется что запись в домашник идёт а не деле фиггг.
     
     
  • 2.25, burjui (ok), 15:33, 05/06/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А ты не жди, пока додумается, а напиши ему. Разработчики - не телепаты же. Ну и работать есть, над чем, видимо, раз не сделал ещё. Причин может быть уйма, короче.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру