stabilna wersja PLD :)
Tomasz Pala
gotar at polanet.pl
Mon Jan 2 13:25:32 CET 2017
On Mon, Jan 02, 2017 at 11:35:41 +0100, Tomasz Pala wrote:
> "stwierdzić, czystą głupotą. Chyba że:
> [...]
> - masz jakieś specyficzne wymagania środowiskowe, które uniemożliwiają
> używanie systemd (np. musisz wyłączyć cgroupy)."
>
>> Kontenerowi, który jest oparty na systemd trzeba dać dużo więcej uprawnień niż
>> takiemu, który ma tradycyjny init.
>
> A konkretnie to jakie? Poważnie pytam - rzeczywisty przykład ułatwienia
> ucieczki z nieuprzywilejowanego kontenera.
Uprzedzając, żeby nie było, że jestem jakimś psychofanem-neofitą: nie
podoba mi się, że z systemd zniknął tryb zdegradowanego startu i nie jest
wspierane podejście 'best effort', ale rozumiem, dlaczego komuś nie chce
się utrzymywać takiego kodu (i obsługiwać requestów).
Zatem, skoro wiemy, że kontener uprzywilejowany nie oferuje
bezpieczeństwa, do jakiego wniosku prowadzi nas systemd (*)startujący w
kontenerze nieuprzywilejowanym?
--
Tomasz Pala <gotar at pld-linux.org>
More information about the pld-devel-pl
mailing list