On 2009.08.25 at 01:27:21 +0300, Peter Pentchev wrote: > > Конечно лучше. Полноценная виртуальная машина имеет весьма заметный > > оверхед на виртуализацию. А в chroot никакого оверхеда нет (ну кроме > > того, что лишний комплект системых библиотек в памяти будет. Но это > > сравнимо с оверхедом от статической компиляции) > > А в принципе, если использовать read-only bind mount, и этого оверхеда > может не быть. Да, это снижает полезность chroot-а, поэтому не советую
Не может. Потому что речь шла о запуске программы, которая требует более других системных библиотек. И chroot заводится именно для этого. > > Ну, а тут-то не знаю - если используете виртуальку для сигурности, Использование виртуальных машин для секьюрности в большей части случаев идиотизм. Я в свое время говорил альтовцам, когда они в Castle postgresql собирались в сhroot засунуть, что это напрасный труд. В большинстве случаев если у вас взломали БД, то сервер можно взломщику впридачу подарить, сильно это ущерб не увеличит. В тех случаях, когда использование изолированного контейнера оправдано, это все равно идиотизм. Идиотизм авторов программы, которые её не смогли по-человечески написать. А уж виртуальные машины имеют смысл только в одном единственном случае - протестировать работу программы на более другой операционной системе (для чего я их и использую). > и наткнетесь на какой-то несуразности, то ли в сервера, то ли в > каком-то другом клиенте. Но если виртуалька попросту для код Увы, бывает. К сожалению, большая часть современных разработчиков не умеет писать X-овые программы чтобы работали. Ну и x-сервер у x.org тоже кривой. А xlib иногда делает abort() в ситуации, когда можно было бы просто вернуть в вызвашую программу код ошибки и позволить ей эту ошибку обработать. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
