The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Опубликован Bottlerocket 1.15, дистрибутив на базе изолированных контейнеров

22.09.2023 10:39

Опубликован выпуск Linux-дистрибутива Bottlerocket 1.15.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS, VMware и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров.

Дистрибутив предоставляет атомарно и автоматически обновляемый неделимый системный образ, включающий ядро Linux и минимальное системное окружение, включающие только компоненты, необходимые для запуска контейнеров. В окружении задействованы системный менеджер systemd, библиотека Glibc, сборочный инструментарий Buildroot, загрузчик GRUB, конфигуратор сети wicked, runtime для изолированных контейнеров containerd, платформа оркестровки контейнеров Kubernetes, аутентификатор aws-iam-authenticator и агент Amazon ECS.

Инструменты для оркестровки контейнеров поставляются в отдельном управляющем контейнере, который включается по умолчанию и управляется через API и AWS SSM Agent. В базовом образе отсутствует командная оболочка, сервер SSH и интерпретируемые языки (например, нет Python или Perl) - средства для администратора и отладочные инструменты вынесены в отдельный служебный контейнер, который по умолчанию отключён.

Ключевым отличием от похожих дистрибутивов, таких как Fedora CoreOS, CentOS/Red Hat Atomic Host является первичная ориентация на предоставление максимальной безопасности в контексте усиления защиты системы от возможных угроз, усложнения эксплуатации уязвимостей в компонентах ОС и повышения изоляции контейнеров. Контейнеры создаются при помощи штатных механизмов ядра Linux - cgroups, пространств имён и seccomp. Для дополнительной изоляции в дистрибутиве применяется SELinux в режиме "enforcing".

Корневой раздел монтируется в режиме только для чтения, а раздел с настройками /etc монтируется в tmpfs и восстанавливает исходное состояние после перезапуска. Прямое изменение файлов в каталоге /etc, таких как /etc/resolv.conf и /etc/containerd/config.toml, не поддерживается - для постоянного сохранения настроек следует использовать API или выносить функциональность в отдельные контейнеры. Для криптографической верификации целостности корневого раздела задействован модуль dm-verity, а в случае выявления попытки модификации данных на уровне блочного устройства система перезагружается.

Большинство системных компонентов написаны на языке Rust, предоставляющем средства для безопасной работы с памятью, позволяющие избежать уязвимостей, вызванных обращением к области памяти после её освобождения, разыменованием нулевых указателей и выходом за границы буфера. При сборке по умолчанию применяются режимы компиляции "--enable-default-pie" и "--enable-default-ssp" для включения рандомизации адресного пространства исполняемых файлов (PIE) и защиты от переполнения стека через подстановку канареечных меток. Для пакетов, написанных на языке C/C++, дополнительно включаются флаги "-Wall", "-Werror=format-security", "-Wp,-D_FORTIFY_SOURCE=2", "-Wp,-D_GLIBCXX_ASSERTIONS" и "-fstack-clash-protection".

В новом выпуске:

  • На платформах, использующих UEFI, добавлена поддержка безопасного режима загрузки (Secure Boot).
  • Ядро Linux обновлено до версии 6.1. Системный менеджер systemd обновлён до версии 252.
  • Для настройки сети на хостах задействованы компоненты systemd-networkd и systemd-resolved вместо сервиса wicked.
  • Локальное хранилище переведено на использование файловой системы XFS для новых установок (на уже установленных системах продолжат использоваться EXT4, wicked и прошлые ядра).
  • Обновлено содержимое управляющего (control) и администрирующего (admin) контейнеров.
  • Добавлена команда "apiclient report" для генерации отчёта CIS (Center of Internet Security) с оценкой безопасности настроек. Также в состав включён агент для проверки соответствия системы требованиям CIS.
  • В параметры, задаваемые по умолчанию для контейнеров OCI, добавлены настройки ограничения ресурсов.
  • Предложен новый вариант дистрибутива "aws-ecs-2" для Amazon Elastic Container Service (Amazon ECS), в котором используется UEFI Secure Boot, systemd-networkd и XFS. Во всех вариантах дистрибутива для Amazon ECS добавлена поддержка AppMesh.
  • Предложены новые варианты дистрибутива c поддержкой Kubernetes 1.28, в которых используются UEFI Secure Boot, systemd-networkd и XFS. Прекращена поддержка вариантов на базе Kubernetes 1.22 и обновлены версии Kubernetes 1.27.4, 1.26.7, 1.25.12 и 1.24.16 в остальных поддерживаемых вариантах. В варианты на базе Kubernetes 1.25 и более новых выпусков добавлена настройка SeccompDefault.
  • В вариантах дистрибутива "metal-*" (Bare Metal, для работы поверх обычного оборудования) включён драйвер Intel VMD и добавлены пакеты linux-firmware и aws-iam-authenticator.


  1. Главная ссылка к новости (https://github.com/bottlerocke...)
  2. OpenNews: Компания Microsoft опубликовала Linux-дистрибутив CBL-Mariner 2.0
  3. OpenNews: Третий прототип платформы ALP, идущей на смену SUSE Linux Enterprise
  4. OpenNews: Спецслужбы Франции опубликовали защищённый дистрибутив CLIP OS
  5. OpenNews: Четвёртый тестовый выпуск ОС Subgraph
  6. OpenNews: Релиз ОС Qubes 4.1, использующей виртуализацию для изоляции приложений
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59799-bottlerocket
Ключевые слова: bottlerocket, rust
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (79) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Мда (?), 10:49, 22/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ничего не меняется: любую ерунду можно обклеить наклейками технологий и выдавать/продовать пиплу.
     
     
  • 2.2, Аноним (2), 11:04, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И лишать пипл работы, потому что с технологиями вместо ста человек может работать один.
    Капитализм как он есть.
     
     
  • 3.6, фнон (?), 11:39, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +8 +/
    давай вернемся к жизни охотников-собирателей!
    все будут при деле, каждому придется работать руками и ногами
    красота!
     
     
  • 4.31, Аноним (31), 15:06, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не получится, ягод и дичи на всех не хватит.
     
  • 3.16, keydon (ok), 12:49, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Ага, щас. Появляются новые нюансы, абстракции, зависимости и на них нужно еще больше людей чем раньше.
    У нас только на кубер отдел в 20 человек, а раньше столько же вообще всем в компании занимались.
    Так что капитализм работает в обе стороны.
     
     
  • 4.28, Аноним (2), 14:56, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > У нас только на кубер отдел в 20 человек, а раньше столько же вообще всем в компании занимались.

    И в этом виноваты всякие абстракции.
    Ни в коем случае не рост бизнеса.

     
  • 3.20, Ананоним (?), 12:55, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    80е
    г.Касимов Рязанской области
    Местная сетевязальная фабрика.
    Помимо сетей для морской ловли изготавливают перчатки. Такие обычные белые строительные.
    Стоят 3 агрегата:
    2 отечественных : 1й вяжет перчатку без пальчиков, 2й вяжет пальчики.
    и 1 японский - выплёвывает перчатку сразу с пальчиками.
    К отечественным прилагаются человек 10 женщин, которые вручную сшивают пальчики с ладошками.
    Японец обгонял по скорости и качеству 2 наших с 10ю мадамами. Технологии-с.
    То была экскурсия для школьников/студентов училищ на производство.

    Больше продукции более высокого качества в единицу времени при меньших затратах - сплошная польза. Но ведь безработица же будИТ!!!1
    А может всё же барышни (молодые, кстати, до 40 лет) получили бы стимул найти что-то хоть капельку достойнее...?

     
     
  • 4.26, Аноним (26), 14:46, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Может просто про социализме по дефолту невозможно посчитать себестоимость?
     
     
  • 5.30, Аноним (2), 14:59, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну вот в Швеции уже много лет как победил социализм (экономический).
    В Польше - тоже социализм (но уже политический).
    Какой-то из них создаёт проблемы расчёта себестоимости?
     
     
  • 6.43, cheburnator9000 (ok), 16:07, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Все очень просто. В СССР никто не знал сколько реально стоит электричество кроме тех кому это дозволено было знать.
     
     
  • 7.44, Аноним (2), 16:12, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    И медведи ходили по улицам с балалайками и ели людей.
    Но никому об этом не было дозволено знать.
     
     
  • 8.74, Аноним (74), 21:10, 23/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Просто чтобы ты был в курсе СССР не просто развалился, он обанкротился Он даже ... текст свёрнут, показать
     
  • 6.71, Прыгающий Ленивец (?), 14:05, 23/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не, там тот же капитализм. Ибо в чьих руках находятся средства производства?
     
     
  • 7.80, Аноним (2), 18:36, 24/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В руках олигархов, владеющих государством?
     
  • 6.72, Аноним (72), 18:51, 23/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Хватит повторять советские байки про социализм в Швеции
    По определению при социализме запрет на частную собственность на средства производства
    В Швеции нет такого запрета, в Швеции капитализм
    То что там есть социальная ориентация государства это совершенно другое
    Ты путаешь сироп с сифилисом, просто потому что буквы похожие
     
     
  • 7.79, Аноним (2), 18:35, 24/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > В Швеции нет такого запрета, в Швеции капитализм

    Он и не нужен, когда ~90% бизнеса и ~90% государственных институтов контролируются одними и теми же людьми. По факту, государство = бизнес, это и есть самый махровейший социализм.

     
  • 6.73, Аноним (74), 21:07, 23/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну вот в Швеции уже много лет как победил социализм (экономический).
    > В Польше - тоже социализм (но уже политический).
    > Какой-то из них создаёт проблемы расчёта себестоимости?

    Нет там никакого социализма. Себестоимость нельзя посчитать когда нет собственности на средства производства. Из-за этого нет рынка капитала. Нет цен на блага кроме взятых с потолка.

     
  • 5.37, YetAnotherOnanym (ok), 15:49, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Если ты не знаешь, как это делается, это не значит, что это невозможно.
    Норма выработки за смену на одну пришивальщицу пальцев известна, её зарплата тоже известна, стоимость электроэнергии и амортизации оборудования, ниток и прочего тоже известны. Валовый выпуск продукции за месяц тоже известен, чтобы раскидать на него все прочие расходы, от зарплаты директора до оплаты за вывоз мусора. Посчитать себестоимость пришивания 10 пальцев - задача в рамках школьного курса арифметики, хоть и весьма громоздкая.
     
     
  • 6.48, Аноним (2), 16:21, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Полагаю, будут возражения в духе "эта ваша арифметика - ещё один лишний слой абстракции, сложнааа, нипанятнааа, не нужно!"
     
  • 6.61, Аноним (61), 03:55, 23/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Дело в том что зарплата при «социализме» придумывается с потолка. Именно она делает всю вашу калькуляцию бессмысленной

    В капитализме зарплата работников обусловлена конкуренцией готовой продукции и сколько клиент готов выложить за ваш продукт при выборе товара. А при социализме какая конкуренция цен на товары может быть?

     
     
  • 7.63, YetAnotherOnanym (ok), 08:04, 23/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > зарплата при «социализме» придумывается с потолка

    Это утверждение откуда взято?
    > сколько клиент готов выложить

    Стоимость и цена - это не одно и то же.

     
  • 6.94, Аноним (94), 06:55, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нет рынка капитала ты даже не знаешь сколько стоит станок в твоих деньгах. А цену тебе назначил Госплан, но он тоже ничего не знает про себестоимость и сам по себе костыль. Итог кто-то сколько-то поработал ему выдали фантики. Весь остальной бред ты тоже зря написал. Норма у него лол.

     
  • 5.52, Аноньимъ (ok), 17:54, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет никакой объективной себестоимости, хоть при каком изме.
    На этом кстати Маркс себе мозги сломал.
     
     
  • 6.95, Аноним (94), 07:01, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вот вот это капиталисты считают рабочих издержками и нагло на них экономят. А если во главу угла поставить расходы на рабочих выдать им всем плюшки, больницы и т.д. и дать им даже целый день отпуска там уже и прибыли не останется это надо как-то скрыть. Не гоже говорить что рыночные порешал и сколько заработал столько и потратил.
     
     
  • 7.98, Аноньимъ (ok), 11:09, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Дело не в прибыли Это миф Форд ещё в дремучие года на своих заводах проводил э... большой текст свёрнут, показать
     
  • 4.53, Аноньимъ (ok), 18:00, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сейчас, в мире, добавочную стоимость производят ок 1% высококвалифицированных спецов.
    Примерно 90% рабочих мест фиктивные.

    С внедрением ИИ эти 1% станут 0.5 а то и 0.1.

    При этом стандартное распределение интеллекта в популяции никто не отменял, и людей способных выполнять полезную работу становится всё меньше.

    И если бы не жёсткий культурный кризис, люди бы это как-то преодолели бы. Но так как победили полные выродки с капитализмом уровня - пусть найдут себе нормальную работу, то будет кровавое и жестокое месево.

     
  • 4.54, Анонус (?), 18:29, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А сколько стоил японский станок и его техобслуживание?
     
  • 4.62, ffirefox (?), 04:33, 23/09/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 4.83, хрю (?), 09:42, 25/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сов. государство было про гарантированную работу, а не про эффективность. Поэтому приводить всякие байки про него тут не надо. Современный технологии они тоже не про снижении численности персонала. В начале нулевых, когда пошла компьтеризацию в начале манагеры ещё вещали, про "внедрите то, внедрите это и и эффективность вырастет и кол-во занятых уменьшится", но очень быстро бросили, потому что это не работало - кол-во занятых только увеличивалось за счёт админов, тех. персонала и т.п.
     
     
  • 5.99, Аноньимъ (ok), 11:13, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да всё просто с компьютеризацией:
    https://www.youtube.com/watch?v=s7JEoqB6-FQ
     
  • 4.96, Аноним (94), 07:17, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В Японии на ткацких производствах до сих пор используют компьютеры с кассетами https://m.youtube.com/watch?v=zWJZFQHklBg
     

  • 1.3, Аноним (3), 11:04, 22/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    зачетная штука! теперь ждем того же, но на астре ))
     
     
  • 2.89, К.О. (?), 19:58, 25/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Оценил юмор.
     

  • 1.5, фнон (?), 11:31, 22/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    хм.. а где все крикуны которые вопили что "на раст ничего не пишут!!1111"? Иииввааан, ты где?

    а тут не только написали, но и еще и используют и пользователям предоставляют

     
     
  • 2.13, Аноним (13), 12:30, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так используют, что его даже на distrowatch нет.
     
     
  • 3.17, Анонин (?), 12:52, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Дистровоч это перипись васянов чтобы удами мериться - чью поделку такие же васяны качают чаще.
     
     
  • 4.23, Васян (?), 13:22, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Как будто это что-то плохое.
     
  • 4.27, Аноним (26), 14:47, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Почему с этой никто не пошел мериться? Заранее знает что маленькая?
     
     
  • 5.33, Аноним (2), 15:10, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если имя не Васян - на дистровоч не пустят.
     
  • 5.75, Аноним (75), 22:56, 23/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    AWS делать нечего, только бы на дистровотче удами меряться.
     
  • 3.84, Гамарджоба (?), 10:36, 25/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >даже на distrowatch нет

    "Ты даже не являешься членом ополчения. Ты ДАЖЕ не гражданин!"

     
  • 2.19, keydon (ok), 12:52, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Знаю всего 2 проекта на расте которые реально используют: аналог грепа и аналог тимвивера. Оба имеют альтернативы и скорее занимают свою небольшую нишу. Все остальное на расте используется примерно никак, включая сабж.
     
     
  • 3.22, Аноним (13), 13:16, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, ничтожный выхлоп после всего шума за столько лет существования просто поражает.
     
     
  • 4.34, Аноним (2), 15:11, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вы про 1% на десктопах?
     
     
  • 5.70, _kp (ok), 11:30, 23/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Процент вообще, и процент на десктопах разработчиков, и не офисных рабочие местах, не одно и тоже.
     
  • 3.38, Анонимусс (?), 15:51, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вебрендером и css в фоксе ты не пользуешься, svg в гноме - тоже, последними андроидами тоже..
     
     
  • 4.47, Аноним (2), 16:19, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Винда на десктопе, и никаких мобилок - путь труСишника.
     
  • 2.97, Аноним (94), 07:19, 27/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кто и Хаскель использует чего орать. У всех свои проблемы с головой.
     

  • 1.7, Пряник (?), 12:03, 22/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    То есть их не устроил Debian/RedHat + нужные пакеты. Обязательно надо назвать это своим. А ещё покричать про Rust, какие мы молодцы.
     
     
  • 2.9, Аноним (2), 12:05, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А Debian/RedHat в своё время не устроил LFS. И они потом ещё назвали это своим.
     
     
  • 3.24, Аноним (24), 13:37, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее наоборот, чуваков из LFS не устроили RHEL/Debian
     
     
  • 4.86, К.О. (?), 19:45, 25/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Аноним выше, видимо, LSB имел в виду
    https://en.wikipedia.org/wiki/Linux_Standard_Base
     

  • 1.8, Пряник (?), 12:05, 22/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > В окружении задействованы системный менеджер systemd, библиотека Glibc, сборочный инструментарий Buildroot, загрузчик GRUB, конфигуратор сети wicked, runtime для изолированных контейнеров containerd, платформа оркестровки контейнеров Kubernetes, аутентификатор aws-iam-authenticator и агент Amazon ECS.

    Стал думать, чё за wicked какой-то? А потом...

    > Для настройки сети на хостах задействованы компоненты systemd-networkd и systemd-resolved вместо сервиса wicked.

    Одумались.

     
     
  • 2.56, microcoder (ok), 18:56, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    От Потерринга не уйти!!! Всем лежать!!!!
     

  • 1.11, Пряник (?), 12:08, 22/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Обновлено содержимое управляющего (control) и администрирующего (admin) контейнеров.

    Кстати, интересный подход, админить сервак через контейнер.

    Вот бы ещё кто-нибудь глянул, что там для орекстровки используют. Неужели свой lxd запилили на Rust?

     
     
  • 2.15, Аноним (13), 12:44, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Интересный и уже лет пять как не уникальный. Rancher OS, Photon OS, Bottles еще были какие-то, может это оно и переродилось в сабж. Не говоря уже о том что легко можно самому поставить Docker поверх Alpine или любого другого мини-дистрибутива.
     
  • 2.57, microcoder (ok), 18:59, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что интересного? Секурно же..
     
     
  • 3.68, Аноним (68), 09:08, 23/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Секурно - когда наоборот.
     

  • 1.18, Аноним (13), 12:52, 22/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не взлетит, контейнеров уже дофига и больше. А Rust это вообще как черная метка. Но сама идея правильная.
     
     
  • 2.91, Аноним (91), 07:53, 26/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Но сама идея правильная.

    Какая идея? Их много: https://github.com/bottlerocket-os/bottlerocket/blob/develop/SECURITY_FEATURES

    Вопрос в реализации идеи:

    "No shell or interpreters installed" - очень много безопасности добавит если их система удовлетворяет хотя бы уровню безопасности C1.

    Данную фичу можно добавить пристыми средствами DAC,например: добавляем группу python, добавляем пользователей Python в эту группу, изменяем права на python и его компоненты с разрешением запускать только группе python.

     

  • 1.21, Аноним (13), 13:10, 22/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Bottlerocket itself does not have a shell. It doesn’t need one. You can still interact with the system through privileged “host” containers (that do have shells). From host containers, you can explore the underlying operating system and even make changes to the running system’s settings via an API.

    Говорят, шелл вам больше не нужен. Лечите зубы через прямую кишку. А небезопасный код просто накроем еще одним слоем абстракции.

     
     
  • 2.29, Аноним (2), 14:58, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так юниксовые права доступа к файлам - тоже лишний слой абстракции, прикрывающий дырявый код, неспособный безопасно работать, когда все файлы 777.
     
     
     
    Часть нити удалена модератором

  • 4.45, Аноним (2), 16:13, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не похоже, что они помогли.
     
  • 2.82, Пряник (?), 09:36, 25/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас код пишут все подряд. В таких условиях невозможно, чтобы все писали безопасный код. А чем меньше функционала - тем меньше потенциальных уязвимостей.
     
  • 2.92, Аноним (91), 07:56, 26/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Говорят, шелл вам больше не нужен.

    https://www.opennet.dev/openforum/vsluhforumID3/131584.html#91

     

  • 1.41, Аноним (41), 15:53, 22/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    подскажите, как бы потратить горючее ещё бесполезнее, чем контейнеры и раст? ничего в голову не приходит, кроме советского союза
     
     
  • 2.46, Аноним (2), 16:17, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Выведите себя на околоземную орбиту.
     
     
  • 3.58, Аноним (58), 21:21, 22/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Выведите себя на околоземную орбиту.

    Для этого требуется лишь еще пара опеннетных новостей с упоминанием Rust.

     
     
  • 4.100, Аноним (100), 16:09, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Или парочка комментариев в них.
     

  • 1.55, microcoder (ok), 18:52, 22/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну супер. Можно такой разворачивать на своей VPS/VDS
     
  • 1.59, Аноним (59), 22:41, 22/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    То теперь любой хостинг может представлять услуги облачка?
     
     
  • 2.76, Аноньимъ (ok), 23:02, 23/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Облака вроде амазона всё буквально в виртуалках запускает. В том числе авс лямбду.

    Никто в здравом уме место в контейнере продавать не будет.
    Потому как сделать это безопасным невозможно технически.

     
     
  • 3.81, Аноним (2), 18:40, 24/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Никто в здравом уме место в контейнере продавать не будет.

    Разрешить докопаться: лет 15 назад имеющиеся на рынке VPS в основном были в основном OpenVZ-контейнерами. А для Ъ-виртуалок был отдельный термин - VDS. Это уже потом всё смешалось в кучу.

    > Потому как сделать это безопасным невозможно технически.

    Ну а теперь серьёзно. Полагаю, речь шла не о продаже контейнеров (как в старые добрые времена), а о продаже container-ready вируталок, например, под ноды кубера.

     
     
  • 4.87, К.О. (?), 19:47, 25/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > был отдельный термин - VDS

    Это же не техническая терминология, а маркетинговая.

    Потому и смешалось.

     

  • 1.60, Аноним (60), 23:02, 22/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > предоставление максимальной безопасности
    > Для дополнительной изоляции в дистрибутиве применяется SELinux в режиме "enforcing".

    Нормально так сель приземлили. Особо на фоне безопасТного  user_namespace.

     
     
  • 2.88, К.О. (?), 19:56, 25/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что по умолчанию контейнерные процессы политик SELinux не имеют.

    Дистрибутив на базе изолированных контейнеров. Поэтому SELinux обеспечивает дополнительную безопасность, а основную неймспейсы.

    Можно взять udica и нагенерировать политики под каждый контейнер. Или свои написать, это не rocket science.

    А включённый SELinux по умолчанию потому что, видимо, в основе там Fedora, как и в Amazon Linux.

     

  • 1.85, К.О. (?), 19:41, 25/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > конфигуратор сети wicked

    Неожиданно.

     
  • 1.90, mos87 (ok), 07:19, 26/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ls то изолировали от cp?
     
  • 1.93, Аноним (91), 08:08, 26/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > https://github.com/bottlerocket-os/bottlerocket/blob/develop/SECURITY_FEATURES

    А есть популярные дистры GNU/Linux использующие для Integrity IMA/EVM?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру