On Mon, Jan 02, 2017 at 11:35:41 +0100, Tomasz Pala wrote: > "stwierdzić, czystą głupotą. Chyba że: > [...] > - masz jakieś specyficzne wymagania środowiskowe, które uniemożliwiają > używanie systemd (np. musisz wyłączyć cgroupy)." > >> Kontenerowi, który jest oparty na systemd trzeba dać dużo więcej uprawnień >> niż >> takiemu, który ma tradycyjny init. > > A konkretnie to jakie? Poważnie pytam - rzeczywisty przykład ułatwienia > ucieczki z nieuprzywilejowanego kontenera.
Uprzedzając, żeby nie było, że jestem jakimś psychofanem-neofitą: nie podoba mi się, że z systemd zniknął tryb zdegradowanego startu i nie jest wspierane podejście 'best effort', ale rozumiem, dlaczego komuś nie chce się utrzymywać takiego kodu (i obsługiwać requestów). Zatem, skoro wiemy, że kontener uprzywilejowany nie oferuje bezpieczeństwa, do jakiego wniosku prowadzi nas systemd (*)startujący w kontenerze nieuprzywilejowanym? -- Tomasz Pala <[email protected]> _______________________________________________ pld-devel-pl mailing list [email protected] http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl
