Исходное сообщение
"Кандидат в релизы дистрибутива Devuan 2.0, форка Debian 9 St..." Отправлено Аноним, 14-Май-18 19:14
> Контейнер -- это виртуализация системы на уровне ОС, которая обеспечивается средствами > cgroups и namespaces. Она нужна для деплоя и постоянной работы. Чрут > же -- это простая подмена в алгоритме резолвинга путей. Помимо задач > сборки и экспериментов, он изредка используется для повышения надёжности демона, Кэп, ты сегодня в ударе! И таки по твоему нормально, когда средства - есть, а нормального инструмента чтобы ими пользоваться - нет? Или как это должно выглядеть, чтобы дебианщики например смогли бы в сетевых сервисах и т.п. гайки через все это подзакрутить? Допустим что они вменяемы и понимают, что просить всех и каждого внедрить у себя ластик с икебаной - перебор. А повышенная изоляция какого-нибудь там сервиса, ну пусть tor, пригодится мне даже на лаптопе, представляешь? Хоть он и не энтерпрайзный и ДОЛЖЕН быть самодостаточным. Без ластиков и икебан "где-то там". Зачем мне не самодостаточный лаптоп? > потому что он существенно проще namespace-ов и покрывает 99% угроз. А вот тут я позволю себе не согласиться. На работу множества сисколов он вообще не влияет. Мысль что через все эти сисколы возможен лишь 1% угроз пролезет - видится мне неоправданно оптимистичной. И еще, в случае системды - namespaces не сложнее. Несколько директив в конфиг - и все. А чрут к тому же бывает довольно сложно обтяпать классическими средствами, особенно если программа например динамически либы по ходу работы догружает. В системд обрубленый минимальный view файлухи подсунуть не так уж сложно, а в чрутах классические админы в таких случаях по жизни сношались с копированием полсистемы в чрут и прочим геморроем. А ну его такое нафих. Кому такое администрирование надо - тот так и админит. Флаг ему. > Сравнивать эти вещи бесполезно. Они о разном. Где ж ты был во времена флейма линуксоидов с бсдшниками и их джайлов? Вот бы ты всех разгромил! Да и собственно namespaces и cgroups ворочать системд умеет. С удовольствием посмотрю как ты это своротишь из скриптов sysv. А, ну да, предвижу ответ: "в 99.9% это никому не нужно". Но вот глядя на число юнитов с этим вот я таки усомнюсь про 99.9%, да и ответец очень так себе :) TL;DR: ну в общем ты и пользуйся чрутом и утешай себя про 99% которым что не нужно, а мне такие "решения" не нравятся. Нафиг надо самого себя обманиывать в вопросах изоляции сервисов и администрирования системы.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Контейнер -- это виртуализация системы на уровне ОС, которая обеспечивается средствами >> cgroups и namespaces. Она нужна для деплоя и постоянной работы. Чрут >> же -- это простая подмена в алгоритме резолвинга путей. Помимо задач >> сборки и экспериментов, он изредка используется для повышения надёжности демона, > Кэп, ты сегодня в ударе! И таки по твоему нормально, когда средства > - есть, а нормального инструмента чтобы ими пользоваться - нет? Или > как это должно выглядеть, чтобы дебианщики например смогли бы в сетевых > сервисах и т.п. гайки через все это подзакрутить? Допустим что они > вменяемы и понимают, что просить всех и каждого внедрить у себя > ластик с икебаной - перебор. А повышенная изоляция какого-нибудь там сервиса, > ну пусть tor, пригодится мне даже на лаптопе, представляешь? Хоть он > и не энтерпрайзный и ДОЛЖЕН быть самодостаточным. Без ластиков и икебан > "где-то там". Зачем мне не самодостаточный лаптоп? >> потому что он существенно проще namespace-ов и покрывает 99% угроз. > А вот тут я позволю себе не согласиться. На работу множества сисколов > он вообще не влияет. Мысль что через все эти сисколы возможен > лишь 1% угроз пролезет - видится мне неоправданно оптимистичной. > И еще, в случае системды - namespaces не сложнее. Несколько директив в > конфиг - и все. А чрут к тому же бывает довольно > сложно обтяпать классическими средствами, особенно если программа например динамически > либы по ходу работы догружает. В системд обрубленый минимальный view файлухи > подсунуть не так уж сложно, а в чрутах классические админы в > таких случаях по жизни сношались с копированием полсистемы в чрут и > прочим геморроем. А ну его такое нафих. Кому такое администрирование надо > - тот так и админит. Флаг ему. >> Сравнивать эти вещи бесполезно. Они о разном. > Где ж ты был во времена флейма линуксоидов с бсдшниками и их > джайлов? Вот бы ты всех разгромил! Да и собственно namespaces и > cgroups ворочать системд умеет. С удовольствием посмотрю как ты это своротишь > из скриптов sysv. А, ну да, предвижу ответ: "в 99.9% это > никому не нужно". Но вот глядя на число юнитов с этим > вот я таки усомнюсь про 99.9%, да и ответец очень так > себе :) > TL;DR: ну в общем ты и пользуйся чрутом и утешай себя про > 99% которым что не нужно, а мне такие "решения" не нравятся. > Нафиг надо самого себя обманиывать в вопросах изоляции сервисов и администрирования > системы.
	Введите код, изображенный на картинке: