On Mon, 2 Jan 2017, Tomasz Pala wrote: > >> Ale po co? Na nowym systemie to jest - odważę się kategorycznie > >> stwierdzić, czystą głupotą. > > Nie jest. To twoja opinia, zresztą "wyważona" jak zwykle ;) > A gdybyś nie wyciął niewygodnego fragmentu, nie mógłbyś się czepić: > > "stwierdzić, czystą głupotą. Chyba że: > [...] > - masz jakieś specyficzne wymagania środowiskowe, które uniemożliwiają > używanie systemd (np. musisz wyłączyć cgroupy)." > > Ale postarałeś się i nawet z wykasowałeś "Chyba że" z cytowanej linijki. Nie > mogłeś tego nieświadomie pominąć - więc po co manipulujesz?
Lubisz się czepiać, prawda? ;) > > Kontenerowi, który jest oparty na systemd trzeba dać dużo więcej uprawnień > > niż > > takiemu, który ma tradycyjny init. > > A konkretnie to jakie? Poważnie pytam - rzeczywisty przykład ułatwienia > ucieczki z nieuprzywilejowanego kontenera. Nie mam czasu (ani ochoty) na advocacy. Szczególnie, że Ty jesteś w stanie każdego zagadać na śmierć... nie ważne czy masz rację czy nie (no-offence, po prostu "kilka" lat obserwuję i sam uczestniczyłem w dyskusjach z Tobą ;) Możesz to potraktować jako komplement ;) ). Pisałem jakiś czas temu, była krótka dyskusja na ten temat. Jesteś zainteresowany to poszukaj. Sygnalizuję tylko problem, na który sam się natknąłem. > Bo z kontenerami uprzywilejowanymi sprawa jest jasna - używając ich jako > warstwy zabezpieczenia, robisz to źle: > > As privileged containers are considered unsafe, we typically will not > consider new container escape > exploits to be security issues worthy of a CVE and quick fix. We will however > try to mitigate those > issues so that accidental damage to the host is prevented. Dobrze, źle - sprawa dyskusyjna. Szczególnie jak konserwujesz istniejące systemy. Po prostu są i trzeba z tym żyć. Druga rzeczy - nie napisałem, że tak robię. -- pozdr. Paweł Gołaszewski p.golaszewski<at>gda<dot>pl -------------------------------------------------------------------------- _______________________________________________ pld-devel-pl mailing list [email protected] http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl
