On Mon, Jan 02, 2017 at 10:04:45 +0100, Paweł Gołaszewski wrote: >> Ale po co? Na nowym systemie to jest - odważę się kategorycznie >> stwierdzić, czystą głupotą.
> Nie jest. To twoja opinia, zresztą "wyważona" jak zwykle ;) A gdybyś nie wyciął niewygodnego fragmentu, nie mógłbyś się czepić: "stwierdzić, czystą głupotą. Chyba że: [...] - masz jakieś specyficzne wymagania środowiskowe, które uniemożliwiają używanie systemd (np. musisz wyłączyć cgroupy)." Ale postarałeś się i nawet z wykasowałeś "Chyba że" z cytowanej linijki. Nie mogłeś tego nieświadomie pominąć - więc po co manipulujesz? > Kontenerowi, który jest oparty na systemd trzeba dać dużo więcej uprawnień > niż > takiemu, który ma tradycyjny init. A konkretnie to jakie? Poważnie pytam - rzeczywisty przykład ułatwienia ucieczki z nieuprzywilejowanego kontenera. Kwestię "I say no to systemd specific PRs" celowo pomijam, gdyż to jest problem dockera - w zasadzie czysta manifestacja faktu, żeby nie polegać na nim jako zabezpieczeniu. Sam fakt, że ludzie na poważnie pisali fake-inity pod dockera, mówi wszystko. Z pewnością będzie 'bezpiecznie'. Najlepiej pod takim "20-linijkowym initem napisanym choćby w shellu". Bo z kontenerami uprzywilejowanymi sprawa jest jasna - używając ich jako warstwy zabezpieczenia, robisz to źle: As privileged containers are considered unsafe, we typically will not consider new container escape exploits to be security issues worthy of a CVE and quick fix. We will however try to mitigate those issues so that accidental damage to the host is prevented. > Na czystym systemie - owszem, lepiej jest mieć systemd. A teraz odnoszę wrażenie, że teraz wyrażasz jeszcze mniej "wyważoną" opinię, niż ja;) Bo odpisałeś na pierwszego z maili nie zwracając uwagi, że ostatniego zakończyłem słowami: "Na prawdę trzeba mieć BARDZO DOBRY powód, żeby NIE korzystać z systemd." Jednym z przykładów, gdy systemd wchodzi w paradę, są specyficzne wymagania RT: https://lists.freedesktop.org/archives/systemd-devel/2011-August/003066.html https://lists.freedesktop.org/archives/systemd-devel/2015-March/029144.html - efekt sumaryczny wykorzystania czegoś, co ma ograniczenia po stronie kernela. Na spore problemy można też trafić budując jakieś niskozasobowe systemy embedded. Ale autor nie pytał o system pod mikrokontroler sterujący elektrownią ...ani o kontener. Przewinęło mi się nawet przez myśl, żeby mu to zasugerować, no ale... -- Tomasz Pala <[email protected]> _______________________________________________ pld-devel-pl mailing list [email protected] http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl
