stabilna wersja PLD :)
Tomasz Pala
gotar at polanet.pl
Mon Jan 2 11:35:41 CET 2017
On Mon, Jan 02, 2017 at 10:04:45 +0100, Paweł Gołaszewski wrote:
>> Ale po co? Na nowym systemie to jest - odważę się kategorycznie
>> stwierdzić, czystą głupotą.
> Nie jest. To twoja opinia, zresztą "wyważona" jak zwykle ;)
A gdybyś nie wyciął niewygodnego fragmentu, nie mógłbyś się czepić:
"stwierdzić, czystą głupotą. Chyba że:
[...]
- masz jakieś specyficzne wymagania środowiskowe, które uniemożliwiają
używanie systemd (np. musisz wyłączyć cgroupy)."
Ale postarałeś się i nawet z wykasowałeś "Chyba że" z cytowanej linijki.
Nie mogłeś tego nieświadomie pominąć - więc po co manipulujesz?
> Kontenerowi, który jest oparty na systemd trzeba dać dużo więcej uprawnień niż
> takiemu, który ma tradycyjny init.
A konkretnie to jakie? Poważnie pytam - rzeczywisty przykład ułatwienia
ucieczki z nieuprzywilejowanego kontenera.
Kwestię "I say no to systemd specific PRs" celowo pomijam, gdyż to jest
problem dockera - w zasadzie czysta manifestacja faktu, żeby nie polegać
na nim jako zabezpieczeniu. Sam fakt, że ludzie na poważnie pisali
fake-inity pod dockera, mówi wszystko. Z pewnością będzie 'bezpiecznie'.
Najlepiej pod takim "20-linijkowym initem napisanym choćby w shellu".
Bo z kontenerami uprzywilejowanymi sprawa jest jasna - używając ich jako
warstwy zabezpieczenia, robisz to źle:
As privileged containers are considered unsafe, we typically will not consider new container escape
exploits to be security issues worthy of a CVE and quick fix. We will however try to mitigate those
issues so that accidental damage to the host is prevented.
> Na czystym systemie - owszem, lepiej jest mieć systemd.
A teraz odnoszę wrażenie, że teraz wyrażasz jeszcze mniej "wyważoną"
opinię, niż ja;) Bo odpisałeś na pierwszego z maili nie zwracając uwagi,
że ostatniego zakończyłem słowami:
"Na prawdę trzeba mieć BARDZO DOBRY powód, żeby NIE korzystać z systemd."
Jednym z przykładów, gdy systemd wchodzi w paradę, są specyficzne wymagania RT:
https://lists.freedesktop.org/archives/systemd-devel/2011-August/003066.html
https://lists.freedesktop.org/archives/systemd-devel/2015-March/029144.html
- efekt sumaryczny wykorzystania czegoś, co ma ograniczenia po stronie kernela.
Na spore problemy można też trafić budując jakieś niskozasobowe systemy embedded.
Ale autor nie pytał o system pod mikrokontroler sterujący elektrownią
...ani o kontener. Przewinęło mi się nawet przez myśl, żeby mu to
zasugerować, no ale...
--
Tomasz Pala <gotar at pld-linux.org>
More information about the pld-devel-pl
mailing list