stabilna wersja PLD :)

[Paweł Gołaszewski]

On Mon, 2 Jan 2017, Tomasz Pala wrote:
> >> Ale po co? Na nowym systemie to jest - odważę się kategorycznie 
> >> stwierdzić, czystą głupotą.
> > Nie jest. To twoja opinia, zresztą "wyważona" jak zwykle ;)
> A gdybyś nie wyciął niewygodnego fragmentu, nie mógłbyś się czepić:
> 
> "stwierdzić, czystą głupotą. Chyba że:
> [...]
> - masz jakieś specyficzne wymagania środowiskowe, które uniemożliwiają 
>   używanie systemd (np. musisz wyłączyć cgroupy)."
> 
> Ale postarałeś się i nawet z wykasowałeś "Chyba że" z cytowanej linijki. Nie 
> mogłeś tego nieświadomie pominąć - więc po co manipulujesz?

Lubisz się czepiać, prawda? ;)

> > Kontenerowi, który jest oparty na systemd trzeba dać dużo więcej uprawnień niż 
> > takiemu, który ma tradycyjny init.
> 
> A konkretnie to jakie? Poważnie pytam - rzeczywisty przykład ułatwienia
> ucieczki z nieuprzywilejowanego kontenera.

Nie mam czasu (ani ochoty) na advocacy. Szczególnie, że Ty jesteś w stanie 
każdego zagadać na śmierć... nie ważne czy masz rację czy nie (no-offence, po 
prostu "kilka" lat obserwuję i sam uczestniczyłem w dyskusjach z Tobą ;) 
Możesz to potraktować jako komplement ;) ).

Pisałem jakiś czas temu, była krótka dyskusja na ten temat. Jesteś 
zainteresowany to poszukaj. Sygnalizuję tylko problem, na który sam się 
natknąłem.

> Bo z kontenerami uprzywilejowanymi sprawa jest jasna - używając ich jako
> warstwy zabezpieczenia, robisz to źle:
> 
> As privileged containers are considered unsafe, we typically will not consider new container escape
> exploits to be security issues worthy of a CVE and quick fix. We will however try to mitigate those
> issues so that accidental damage to the host is prevented.

Dobrze, źle - sprawa dyskusyjna. Szczególnie jak konserwujesz istniejące 
systemy. Po prostu są i trzeba z tym żyć.

Druga rzeczy - nie napisałem, że tak robię.

-- 
pozdr.  Paweł Gołaszewski          p.golaszewski<at>gda<dot>pl
--------------------------------------------------------------------------