OpenForum RSS: Создатель systemd и лидер LXC ушли из Microsoft и основали компанию Amutable https://opennet.ru/openforum/vsluhforumID3/139054.html Леннарт Поттеринг, Кристиан Браунер и Крис Кюль, до последнего времени работавшие в Microsoft, объявили о создании компании Amutable. Компания зарегистрирована в Германии и в качестве своей миссии упоминает обеспечение криптографически верифицируемой целостности Linux-систем. Детали планируют озвучить на конференции FOSDEM. Пока упоминается только, что развиваемые компанией технологии связаны с верифицированной загрузкой Linux, обеспечением целостности процесса сборки и сохранением заслуживающего доверия состояния во время работы...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64688<br> Создатель systemd и лидер LXC ушли из Microsoft и основали к... (Аноним) https://opennet.ru/openforum/vsluhforumID3/139054.html#251 Mon, 02 Feb 2026 09:15:48 GMT Для ответов можно сюда перейти: https://www.opennet.ru/openforum/vsluhforumID3/139054.html#250<br><br>В кратце виртуалка даст больше изоляции но и ресурсов сожрёт больше.<br><br>По поводу ванильного ядра и патчей grsecurity спор будет про ядро, а не систему инициализации. Для работы надо собирать свою систему (Gentoo). Когда система уже собрана то затраты как на любой Linux.<br><br>То что есть в ванильном ядре W^X, cgroups, namespacas, LSM тема отдельных споров.<br><br>Упавшие сервисы проверяются и подымаются, но требует отдельной настройки.<br><br>Тема тестов замечательна. Инит не имеет задачи тестирования. Это дело отдельных специализированных утилит. Тест проводим системы в целом, а не одного сервиса. Специализированными утилитами проверяется больше чем systemd-analyze security.<br>Результаты тестов по ссылкам есть, сравнивате. По https://cisofy.com/lynis/ у меня стандартный, бесплатный, тест проходит (за исключением ntp, USB использую свои, оно о них неизнает).<br>https://www.opennet.ru/openforum/vsluhforumID3/139054.html#250<br> Создатель systemd и лидер LXC ушли из Microsoft и основали к... (Аноним) https://opennet.ru/openforum/vsluhforumID3/139054.html#250 Mon, 02 Feb 2026 08:39:58 GMT &gt;&gt; systemd не соблюдает W^X и только за это от него стоит отказаться.<br>&gt; Ваш вывод высосан из пальца.<br><br>Из тестов: https://www.opennet.ru/openforum/vsluhforumID10/5710.html#15<br><br>И чтобы потом не сосать необходимо ВСЕМ проводить тестирования системы: https://www.linux.org.ru/forum/security/17104486?cid=17717042<br>https://www.opennet.ru/openforum/vsluhforumID3/129886.html#309<br><br>&gt; Особенно учитывая что sd позволяет именно форсить W^X запускаемым процессам. А вы как его форсите сервисам, интересно?<br><br>Связкой CPU + ядро OS:<br>https://www.opennet.ru/openforum/vsluhforumID3/129886.html#312<br>https://www.opennet.ru/openforum/vsluhforumID3/129886.html#351<br>Гарантии безопасной работы с памятью принимаю только от CPU и ядра OS, которые проводят все проверки корректности работы с памятью во время исполнения. (Компилятор, линковщик и системная библиотека при этом также важны). От одного только компилятора гарантий безопасности не приемлю.<br><br>&gt; Для меня принципы и парадигмы - рабочий инструмент. Стартовая точка. А не абсолю Создатель systemd и лидер LXC ушли из Microsoft и основали к... (Аноним) https://opennet.ru/openforum/vsluhforumID3/139054.html#249 Sat, 31 Jan 2026 21:14:54 GMT &gt; systemd не соблюдает W^X и только за это от него стоит отказаться. <br><br>Ваш вывод высосан из пальца. Особенно учитывая что sd позволяет именно форсить W^X запускаемым процессам. А вы как его форсите сервисам, интересно? Ибо сказав A придется сказать и B.<br><br>Для меня принципы и парадигмы - рабочий инструмент. Стартовая точка. А не абсолютные догмы любой ценой. Если бы вы жили по своим стандартам сами - это ваше сообщение не появилось на опеннет. Браузеры W^X не соблюдают. JIT подразумевает его нарушение by design. Значит, надо выкинуть браузер?<br><br>&gt; Штатнная фича резки привилегий в Linux есть - setpriv. Прочитай доки он <br>&gt; все умеет и зачем этот функционал продублирован в сысде мне не понятно.<br><br>Шелл, куча утилс и проч - не обязаны быть доступны из нового вида ФС, который сервису даден. И вот тут привилегированный агент который может по директивам отвесить системные вызовы как надо, сам - очень кстати. Да, это некое отличие от юниксвея. И я смею считать что так это работает лучше чем те лоскутные одеяла, чрут Создатель systemd и лидер LXC ушли из Microsoft и основали к... (Аноним) https://opennet.ru/openforum/vsluhforumID3/139054.html#248 Sat, 31 Jan 2026 20:32:38 GMT С того, что Си строка по определению имеет нуль-терминатор в конце. Что в словах "These functions produce a null-padded character sequence, not a string" тебе непонятно?<br> Создатель systemd и лидер LXC ушли из Microsoft и основали к... (Аноним) https://opennet.ru/openforum/vsluhforumID3/139054.html#247 Sat, 31 Jan 2026 16:35:37 GMT &gt;&gt;идентификаторы <br>&gt; /etc/machine-id <br><br>Тривиально меняется. Или если делать нефиг - можете юзать допустим ID из дистра whonix, он у всех одинаковый и ID получается вообще совсем не unique. Как вы потом будете свои хосты отличать - ваши траблы тогда.<br><br>И да, думаете все так просто? А FS UUID вас там как, не смущает? Его менять как правило дольше, сложнее и рискованнее. А, вы даже не слышали про это? :)<br><br>И это я еще молчу про всякие серийники железа типа HDD/SSD и прочие макадреса. Хотя в VM эти относительно рандомные можно.<br><br> Создатель systemd и лидер LXC ушли из Microsoft и основали к... (Аноним) https://opennet.ru/openforum/vsluhforumID3/139054.html#246 Sat, 31 Jan 2026 15:47:21 GMT &gt; У меня hardened chroot, <br><br>Я рад что вы обили свое деревянное колесо железной лентой. Но соотношение затрат сил к результату меня не возбуждает. Это окучивание локалхоста. Жрущее человеческие ресурсы оптом на сомнитильный результат. А я как раз оброс (не)локалхостами, заметил что их много и теперь при решениях оптимизирую затраты на майнтенанс.<br><br>TLDR если меня паранойя пробивает, я лайтовый VM сделаю. Это проще и быстрее по затратам моих сил и выдержит даже вынос кернела VM. Опосля пробития namespaces, lockdown и прочих подписей модулей, заметим. Если кто вдруг так разопрется зачем-то ради бесполезной task specific VM.<br><br>Например: это - browserVM. Один из. Я в нем болтаю с вами. Даже если вы сломаете браузер, окажется что у него доступа никуда кроме Downloads/ нет и home лысый. Если вы все же как-то раздербаните namespaces, то это все равно task specific VM и там все равно нет ничего кроме Downloads. А виртуалку можно и на снапшот откатить, что и делается порой.<br><br>Мораль сей басни такова: в идеале защит Создатель systemd и лидер LXC ушли из Microsoft и основали к... (Аноним) https://opennet.ru/openforum/vsluhforumID3/139054.html#245 Sat, 31 Jan 2026 06:05:48 GMT У меня hardened chroot, который и без setpriv гарантирует на уровне ядра Linux невозможность процесу внутри chroot просматривать или взаимодействовать с процесами вне chroot. Изоляция на уровне ядра Linux используя патчи устанавливающие дополнительные хуки в ядро.<br><br>Дополнительно использую и стандартные методы изоляции в Linux с помощью setpriv. Здесь тебе надо сравнить уровень изоляции предлагаемый в systemd с уровнем изоляции который можно достичь стандартным инструментом setpriv и убедится, что Потеряно со своей сысдой вас по возможному уровню безопасности разводит.<br><br>Ещё раз:<br> * hardened chroot https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options#Chroot_jail_restrictions<br> * setpriv https://www.linux.org/docs/man1/setpriv.html<br><br>В инит запускается сервис командой:<br><br> setpriv ...опции... chroot ...опции... /сервис ...опции...<br> Создатель systemd и лидер LXC ушли из Microsoft и основали к... (Аноним) https://opennet.ru/openforum/vsluhforumID3/139054.html#244 Sat, 31 Jan 2026 05:40:49 GMT systemd не соблюдает W^X и только за это от него стоит отказаться.<br><br>Штатнная фича резки привилегий в Linux есть - setpriv. Прочитай доки он все умеет и зачем этот функционал продублирован в сысде мне не понятно.<br><br>Для резки привилегий и изоляции сервисов в Linux есть стандартные фичи:<br><br> setpriv ...опции.... chroot ...опции... /бинарь ...опции...<br><br>Лет 20 назад ментейнеры дистров занимались поддержкой скриптов для создания минимального chroot окружения. Сегодняшние ментейнеры дистров этого делать не хотят. Приходится делать админам.<br> Создатель systemd и лидер LXC ушли из Microsoft и основали к... (Аноним) https://opennet.ru/openforum/vsluhforumID3/139054.html#243 Sat, 31 Jan 2026 02:57:12 GMT &gt; Каждый делает свой выбор, что ему надо. Или быстро или хорошо.<br><br>Идеальный вариант - все и сразу :). Хотеть не вредно, но приближение можно и попытаться.<br><br>&gt; В моей системе PIDы других пользователей зарезаны: https://www.opennet.ru/openforum/vsluhforumID3/129886.html#313 <br><br>На третий день^W год Зоркий Глаз заметил что у сарая нет стены. А ничего что у системы еще есть - сисколы? Тема взаимодействия syscalls &lt;-&gt; PID и изоляции этого аспекта в том сообщении не раскрыта. Сюрприз!<br><br>А вот namespaces - таки делает абстракцию более нормально. Без попыток сделать абстракцию из спичек и желудей да еще оказывается не умея это. А так то вы эксперт 80 уровня. Вот только оказалось что максимальный уровень over 9000 :)<br><br>&gt; Для изоляции сервисов с классического chroot можно сегодня выжать максимум, <br><br>Кроме того что эти потуги не затрагивают чертову кучу сисколов, а ваши знания о системной механике на уровне Зоркого Глаза грозно трясущего копьем.<br><br>&gt; самых лучших контейнерах. Конечно виртуализация даст ещё больше изо