The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Fedora 40 планируют включить изоляцию системных сервисов

20.11.2023 22:58

В выпуске Fedora 40 предложено включить настройки изоляции для включаемых по умолчанию системных сервисов systemd, а также сервисов с важными приложениями, такими как PostgreSQL, Apache httpd, Nginx и MariaDB. Предполагается, что изменение позволит значительно повысить защищённость дистрибутива в конфигурации по умолчанию и даст возможность блокировать неизвестные уязвимости в системных сервисах. Предложение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora. Предложение также может быть отклонено в процессе рецензирования сообществом.

Рекомендованные для включения настройки:

  • PrivateTmp=yes - предоставление отдельных директорий со временными файлами.
  • ProtectSystem=yes/full/strict - монтирование ФС в режиме только для чтения (в режиме "full" - /etc/, в режиме strict - всех ФС, кроме /dev/, /proc/ и /sys/).
  • ProtectHome=yes - запрет доступа к домашним каталогам пользователей.
  • PrivateDevices=yes - оставление доступа только к /dev/null, /dev/zero и /dev/random
  • ProtectKernelTunables=yes - доступ только в режиме чтения к /proc/sys/, /sys/, /proc/acpi, /proc/fs, /proc/irq и т.п.
  • ProtectKernelModules=yes - запрет загрузки модулей ядра.
  • ProtectKernelLogs=yes - запрет доступа к буферу с логами ядра.
  • ProtectControlGroups=yes - доступ только в режиме чтения к /sys/fs/cgroup/
  • NoNewPrivileges=yes - запрет повышения привилегий через флаги setuid, setgid и capabilities.
  • PrivateNetwork=yes - помещение в отдельное пространство имён сетевого стека.
  • ProtectClock=yes - запрет изменения времени.
  • ProtectHostname=yes - запрет изменения имени хоста.
  • ProtectProc=invisible - скрытие чужих процессов в /proc.
  • User= - смена пользователя

Дополнительно может быть рассмотрено включение настроек:

  • CapabilityBoundingSet=
  • DevicePolicy=closed
  • KeyringMode=private
  • LockPersonality=yes
  • MemoryDenyWriteExecute=yes
  • PrivateUsers=yes
  • RemoveIPC=yes
  • RestrictAddressFamilies=
  • RestrictNamespaces=yes
  • RestrictRealtime=yes
  • RestrictSUIDSGID=yes
  • SystemCallFilter=
  • SystemCallArchitectures=native


  1. Главная ссылка к новости (https://lists.fedoraproject.or...)
  2. OpenNews: Релиз дистрибутива Fedora Linux 39
  3. OpenNews: В Fedora 40 утверждено прекращение поддержки сеанса KDE на базе X11
  4. OpenNews: Выпуск системного менеджера systemd 254 с поддержкой мягкой перезагрузки
  5. OpenNews: В Fedora 38 планируют реализовать поддержку универсальных образов ядра
  6. OpenNews: Разработчики Fedora рассматривают возможность включения телеметрии
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60152-fedora
Ключевые слова: fedora, systemd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (113) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Ну я все же доем... (?), 23:20, 20/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –21 +/
    что опять( господи, я простой юзверь, сбежавший от добровольно-принудительной пыточной камеры копрорации ООО «МЕЛКОСОФТ», так меня и тут прогревают(((
     
     
  • 2.33, Банан (?), 03:59, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А че, в виндовсе появилась изоляция? Раньше это была помойка, где у всех есть права на все.
     
     
  • 3.80, Аноним (-), 09:43, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >>Раньше это была помойка, где у всех есть права на все.

    Раньше - это с 1985 по 1993? Потому что с 1993 есть Windows NT 3.1, где это не так. Так что если сильно было нужно, это было реально.
    На практике, конечно, мало кто ей пользовался на десктопе, а вот с 1996 года тем, кому реально это было нужно, уже была доступна очень стабильная и юзабельная на обычных машинах NT4.

     
     
  • 4.87, Аноним (87), 12:14, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вы не застали эпидемии autorun-вирусов на "безопасной" XP, которая была потомком 2000, которая, в свою очередь, была потомком "безопасной" NT4?
     
     
  • 5.88, Neandertalets (ok), 12:33, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вот NT 3.5 / 3.5.1 была потомком многими забытой (но до сих пор существующей) OS/2. И вот у неё проблем с вирьём было/есть куда меньше, чем у потомков.
     
     
  • 6.96, vvm13 (ok), 13:37, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Преимущества Неуловимого Джо.
     
     
  • 7.104, Neandertalets (ok), 14:23, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Преимущества Неуловимого Джо.

       Соглашусь, что имеет место и это быть. Но всё таки не только.

     
     
  • 8.161, Аноним (161), 04:12, 24/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Только Я OS 2 успел напользоваться вдоволь И вирусы там были, и все остальные ... текст свёрнут, показать
     
     
  • 9.163, Neandertalets (ok), 08:40, 24/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а про вирусы именно под OS 2 не варианты под подсистему DOS, т е обычные DO... большой текст свёрнут, показать
     
  • 6.143, Аноним (-), 06:21, 23/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Во всех NT-based видите ли без регалий админа софтом пользоваться почти невозмож... большой текст свёрнут, показать
     
     
  • 7.149, X86 (ok), 09:26, 23/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Иными словами, вирусне достаточно прав пользователя, под которым она запущена, чтобы украсть его крипту и т.д)
     
     
  • 8.154, Аноним (-), 17:49, 23/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В принципе - да Но если я софт ставил в линухе как рут, пакетником, а системные... текст свёрнут, показать
     
     
  • 9.166, X86 (ok), 09:43, 25/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем зловреду права системных сервисов, если достаточно прав текущего пользов... текст свёрнут, показать
     
  • 5.118, Аноним (-), 21:18, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эпидемии ауторан-вирусов были возможны потому, что подавляющее большинство юзеро... большой текст свёрнут, показать
     
     
  • 6.155, Аноним (-), 17:51, 23/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Эпидемии ауторан-вирусов были возможны потому, что подавляющее большинство юзеров постоянно
    > сидели под учетками админа. Это не ограничение архитектуры ОС, это индикатор
    > уровня среднестатистического пользователя.

    Да вот видите ли - под ограниченными учетками виндовый софт ломался чуть менее чем весь.

    > Сиди эти же люди под Linux под рутом

    А вот там софт изначально приучен к тому что права птичьи - и не ломается от этого. Чем они и отличаются. Так что в теории равны. На практике некоторые равнее.

     
  • 4.89, Аноним (89), 12:47, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чушь. Вся "безопасность" Пинды на авторитетных обещаниях^W подписях держится.

    Даже настройки программ отдельно от бинарников начали хранить только с Висты. И сейчас многие под себя гадят из-под админа.

    И правила для фаерволла программы тоже с собой носят под честное слово.

    А уж autorun.exe, коли тут вспомнили, прописывающие себя в 500 мест реестра, и по сей день гуляют между офисами на флешках.


     
     
  • 5.102, User (??), 14:11, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, можетида - но она там определенно _есть_ и определенно "держится" - в отличие от, ниасиливших ни нормальный acl на файлы, ни возможность дать доступ к сети конкретной программе, ни... да ничего в общем ниасиливших "неуловимых Джо".
     
     
  • 6.136, Аноним (136), 16:33, 22/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кому нужно открыли для себя opensnitch. Открыли и тут же закрыли. Потому что application firewall - бесполезная игрушка в отсутствии других форм изоляции процессов (ФС, памяти). И, что характерно, в Линуксе такие решения есть, и они сразу фундаментальные (user namespaces, eBPF и т.п.). Конструкторы, из которых в прямых руках, звездолёты строят.
    А что лично ты там "ниасилил", никого не волнует.

     
     
  • 7.152, User (??), 12:00, 23/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Кому нужно открыли для себя opensnitch. Открыли и тут же закрыли. Потому
    > что application firewall - бесполезная игрушка в отсутствии других форм изоляции
    > процессов (ФС, памяти). И, что характерно, в Линуксе такие решения есть,
    > и они сразу фундаментальные (user namespaces, eBPF и т.п.). Конструкторы, из
    > которых в прямых руках, звездолёты строят.
    > А что лично ты там "ниасилил", никого не волнует.

    Ну, да - как-то вот так оно все и выглядит. Мы тут рассуждаем, как в космос правильно летать надо, а портки перед дефекацией сымать - не барское дело; свое не пахнет, а это вот - не иначе как корпорасы из лютой ненависти наклали.

     
  • 6.157, Аноним (-), 21:07, 23/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    На фоне этих поделий мои конфиги тоже смотрятся просто звездолетами С одной сто... большой текст свёрнут, показать
     
     
  • 7.160, User (??), 21:36, 23/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > На фоне этих поделий мои конфиги тоже смотрятся просто звездолетами. С одной стороны - никакого > факин микроменеджмента - вбил координаты назначения и варпнулся туда. С другой это все сильно проще, быстрее, предсказуемее. А силовые щиты еще и не такой threat level отфутболивают.
    > Пока вы там трахались с микроменеджментом, рискуя неверно понять эффективный набор прав,
    > и молясь чтобы хаксоры не нашли обходной путь - я за
    > 10% времени от этого нарулил куда более радикальную изоляцию под совсем
    > другие допущения, где не то что мышь, блоха не проскочит.

    И все это - не привлекая внимания санитаров. Неуловимого Джо - опять не поймали - шах-и-мат, скептики!

     
     
  • 8.162, Аноним (-), 06:02, 24/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я так то еще до кучи умею Enterprise Admin быть Поэтому имел возможность сравни... текст свёрнут, показать
     
     
  • 9.165, User (??), 09:39, 24/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да не интересен твой локалхост примерно никому, узбагойся Сделаешь ну если не E... большой текст свёрнут, показать
     
  • 2.45, leap42 (ok), 05:24, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    systemd позволяет переопределить любой unit файл: просто скопируйте стандартные и отключите изоляцию в них ну или бубунту возьмите, там попроще отношение к безопасности
     
     
  • 3.105, Минона (ok), 15:10, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Бубунта движется в направлении Snap OS.
     
     
  • 4.144, Аноним (-), 06:22, 23/11/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.69, Аноним (69), 07:33, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если это какой-то вид иронии, то звучит ещё глупее.
     
     
  • 3.73, Ну я все же доем... (?), 08:08, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    не ирония
    я правда не понимаю, это забота о пользователях или "забота о пользователях"
     
  • 2.75, Аноним (75), 08:52, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    У меня такое же ощущение Уже 11 лет на всех моих ПК - Linux Раньше он был офиг... большой текст свёрнут, показать
     
     
  • 3.78, Аноним (78), 09:40, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ставь слачельничек. И на работе тоже ставь слачельничек.
     
  • 3.79, Аноним (79), 09:42, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Никогда и нигде resolv.conf не правился вручную. Ты откуда-то из 90х вынырнул, видимо. И не проецируй свою убунту на линукс, пожалуйста. Такие дистрибутивы, как Убунту, всегда были себе на уме: имели кучу подверженной ошибкам логики, необходимой, чтобы удовлетворять самых неспособных пользователей.
     
     
  • 4.109, Аноним (109), 15:39, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    такие дистрибутивы как Дебиан ты хотел сказать
     
     
  • 5.113, Аноним (87), 20:08, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Недееспособные пользователи дебианом не удовлетворены.
    А вот убунта их периодически удовлетворяет (с ущербом для дееспособных пользователей).
     
  • 3.91, Аноним (87), 12:50, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А вы вообще понимаете физический смысл этих опций Они означают - последователь... большой текст свёрнут, показать
     
     
  • 4.128, Anononononon (?), 11:42, 22/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    угу, а потом отгадайте какой из серверов вернул NOERROR и какую то хрень в поле ответа вместо адреса
     
  • 3.117, glad_valakas (?), 21:09, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > мне понадобилось в Ubuntu

    devuan и antix адекватно ответят на ваши запросы.
    а африканскую поделку (ненавижу расизм и негров) - патчем Бармина.

    > свалил с Windows [...] когда понял, что система слишком много на себя берёт и не позволяет много чего

    например ?
    мне винда позволяет много чего из того что многие MS*E считают невозможным и/или вредным.
    так у меня и инструменты не как у этих самых.

     
  • 3.124, leap42 (ok), 07:25, 22/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно же было просто спросить у знающих людей)

    Что делает resolved Поттеринга? Он создаёт сразу 2 разных варианта (но оба рабочие) resolv.conf в папке "/run/systemd/resolve/". И следит чтобы они не менялись. Что сделали разрабы вашего дистра? Они сделали /etc/resolv.conf симлинком на один из файлов в /run/systemd. Проверить это легко:
    ls -lha /etc/resolv.conf

    Если вас это положение не устраивает, просто сделайте unlink /etc/resolv.conf и напишите в новый файл что угодно. Например всё, что там уже было, но с доп опцией. Это работает, а resolved удалять не надо, он у нас - и кеш, и DoT (DNS over TLS), и mdns для бедных, и решение кучи проблем с DNS внутри VPN (при наличии).

     
     
  • 4.125, glad_valakas (?), 08:24, 22/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > просто сделайте unlink /etc/resolv.conf и напишите в новый файл что угодно.

    и не забудьте sudo chattr +i /etc/resolv.conf
    слишком много желающих переписать, почти все из них с правами root.

     
  • 3.126, User (??), 09:21, 22/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Стесняюсь спрашивать - а настройка статических адресов на сервере через network-manager не жмёт, не? :)
     
  • 3.141, Zulu (?), 00:30, 23/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А мог почитать документацию. Мне как раз недавно было надо что-то подобное, так я прочитал man systemd-resolved и нашел там

    '''
    /ETC/RESOLV.CONF
           Four modes of handling /etc/resolv.conf (see resolv.conf(5)) are
           supported:
    '''

    много интересного, рекомендую.

     
  • 2.90, Аноним (89), 12:48, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это ядерная изоляция. Она почти бесплатная.
     

     ....большая нить свёрнута, показать (40)

  • 1.2, Avririon (ok), 23:23, 20/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    Правильно, производительность - зло.
     
     
  • 2.3, Аноним (3), 23:28, 20/11/2023 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Это все на cgroups и бинд маунтах, ни холодно ни жарко от этого производительности
     
     
  • 3.7, Tron is Whistling (?), 23:59, 20/11/2023 [^] [^^] [^^^] [ответить]  
  • –9 +/
    cgroups
    производительность

    Ахтунг! Взаимоисключающие параграфы.

    Более того, с net namespaces можно таки создать больше проблем, чем решить.

     
     
  • 4.83, Аноним (87), 11:08, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ахтунг! Взаимоисключающие параграфы.

    Где?

    > Более того, с net namespaces можно таки создать больше проблем, чем решить.

    Сдуру можно всё что угодно сломать.

     
     
  • 5.139, Tron is Whistling (?), 21:52, 22/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Особенно если CVE почитать.
     
     
  • 6.146, Аноним (-), 06:33, 23/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Особенно если CVE почитать.

    Поэтому давайте сделаем как Win95 - нет подсистем безопасности нет вулнов в них. Заходи кто хошь, бери что хошь. И никаких CVE в полсистеме безопасности.

    Извини, по дефолту в этом твоем классическом юниксе сервис может у тебя по хомяку шарахаться как ему угодно. Безопаснее только W95, так то, а то у этих CVE с записью в хомяк юзера и прочие shared темпы с симлинками и гонками случались. В W95 не было многопользовательской системы прав, так что и CVE тоже не было. Аргумент, да?!

     
     
  • 7.150, Tron is Whistling (?), 09:51, 23/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > CVE в полсистеме безопасности

    Опечаточка как раз про cgroups и network namespaces.
    V2 правда получше. А с последними всё так же плохо - костыль на костыле.

     
     
  • 8.156, Аноним (156), 17:57, 23/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну правильно, поэтому давайте сделаем проходной двор где всем можно все и не буд... большой текст свёрнут, показать
     
  • 2.15, Аноним (87), 01:27, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Правильно, производительность - зло.

    Достоинство ядра Linux - практически все эти ограничения идут с нулевым оверхедом.
    Это не враппер, а просто отключение/навешивание дополнительных флагов на процесс.

     
     
  • 3.151, Tron is Whistling (?), 09:52, 23/11/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ды щаз, с нулевым оверхедом. Одних структур только на полкеша.
     
     
  • 4.158, Аноним (-), 21:11, 23/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ды щаз, с нулевым оверхедом. Одних структур только на полкеша.

    Де факто на производительность не влияет с точностью до погрешности измерений как правило. Ну и у остальных с производительностью как правило хуже даже и без этого. Поэтому пингвин и получает свое в номинации EPIC WIN. А системд что, он интерфейс к этим фичам системы. Получше чем сборище спичек и желудей, имеющее неиллюзорные проблемы с изоляцией программы от - внезапно - СЕБЯ. Ну вот незачем какому там вебсерваку вообще bash вызывать. Легитимных причин для этого - ноль.

     
  • 2.22, Аноним (22), 02:09, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Где тут угроза производительности? Они же не в снапы/докеры/флътпаки/аппимэйджи это пихают, а просто настройки systemd включают. Я вообще удивлён, что это всё не идёт по-умолчанию. Вообще-то изоляция одна из ключевых фич systemd.
     
     
  • 3.47, Аноним (47), 06:24, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как же, все эти проверки требуют помимо исполнения полезных команд ещё и условных переходов, то есть 1001 вместо 1000. На Pentium II такой переход в худшем случае требует целых 12 тактов против 5. Несложно прикинуть, что производительность просядет в разы.
     
     
  • 4.74, AleksK (ok), 08:23, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > На Pentium II такой переход в худшем случае требует целых 12 тактов против 5. Несложно прикинуть, что производительность просядет в разы.

    Соболезную тем кто захочет поставить Fedora 40 на Pentium II. Советую им ещё раз покопаться на помойке, там полюбому отыщется Core 2 Duo, а может даже Pentium G нароют.

     
     
  • 5.93, Аноним (47), 13:17, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зато мне тебя ни чуть не жаль. Не понятно лишь, что ты делаешь в этом своём IT с такими когнитивными способностями.
     
     
  • 6.114, Аноним (87), 20:10, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Не понятно лишь, что ты делаешь в этом своём IT с такими когнитивными способностями.

    Получаю 100500 денег и радуюсь жизни, а что?

     
     
  • 7.130, Аноним (47), 12:58, 22/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Не понятно лишь, что ты делаешь в этом своём IT с такими когнитивными способностями.
    > Получаю 100500 денег и радуюсь жизни, а что?

    А ты это он?

     
  • 6.140, AleksK (ok), 23:59, 22/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Зато мне тебя ни чуть не жаль. Не понятно лишь, что ты
    > делаешь в этом своём IT с такими когнитивными способностями.

    Ну что делаю? Пользуюсь адекватным железом и софтом. Я не обладаю супер способностями которые мне бы позволяли сейчас использовать железо из 98 года.

     
  • 5.120, Аноним (120), 21:53, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Советую им ещё раз покопаться на помойке, там полюбому отыщется Core 2 Duo

    У меня домашний медиасервер крутится на Core2Duo под Fedora 39. Знатно всё крутится: торренты, файлы, AceStream

     
  • 3.92, Аноним (89), 12:50, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это фича ядра. Можно и из портянки на Баше вызвать службу через какой-нибудь bwrap.
     

  • 1.4, Аноним (4), 23:45, 20/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что только не придумают, чтобы не использовать pledge(2)
     
     
  • 2.6, Аноним (6), 23:58, 20/11/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Хорошая команда, но у нее есть фатальный недостаток...
     
     
  • 3.20, Аноним (20), 02:06, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    какой? расскажи же нам, умоляем. пожалуйста-припожалуйста. открой нам тайну
     
     
  • 4.123, ano (??), 04:01, 22/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    NIH
     
  • 3.82, Аноним (4), 10:41, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это же сискол, а не команда...
     
     
  • 4.94, Аноним (47), 13:21, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    syscall - это как раз команда процессора.
     
     
  • 5.106, Минона (ok), 15:22, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Точно процессора?
     
     
  • 6.110, Анонимпс (?), 18:23, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это в том числе и инструкция процессора."syscall" Assembly Instruction.
     
     
  • 7.111, Анонимпс (?), 18:25, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Хотя раньше системные вызовы работали без нее, насколько я помню.
     
     
  • 8.133, Аноним (47), 13:13, 22/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Работали, но прерываниями называть не солидно, это же не ДОС ... текст свёрнут, показать
     
  • 6.132, Аноним (47), 13:11, 22/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Точно процессора?

    Абсолютно точно. Как и sysenter, и int 0x80...

     
  • 5.115, Аноним (4), 20:12, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    pledge(2) - это сискол. Для таких умных, как ты, в скобках двойка. Но ты её, увы, в упор не видишь.
     
     
  • 6.131, Аноним (47), 13:10, 22/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > pledge(2) - это сискол. Для таких умных, как ты, в скобках двойка.
    > Но ты её, увы, в упор не видишь.

    Вижу, конечно. Как и неумелые попытки заняться буквоедством, тогда как по существу написавший про фатальный недостаток прав.

    Если тебе интересно буквоедство, давай продолжим буквоедство:

    2   System calls (functions provided by the kernel)

    Видишь пробел? Смотри внимательно. Может быть в следующий раз не будешь выпячивать непонимание, чем отличается сискол от вызова системной функции.

     
     
  • 7.142, Аноним (4), 03:32, 23/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Буквоедством первым начал заниматься не я. Можно было и сразу догадаться по первому сообщению, о чем идет речь, а не придираться к понятиям systemcall и system call.

    Зато теперь мы знаем, вы, дядя, серьезный и умный.

     
  • 2.16, Аноним (87), 01:31, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >  Что только не придумают, чтобы не использовать pledge(2)

    Смотря какой. Их два.
    OpenBSD - оверхед минимален, но каждую прогу нужно патчить, чтобы она сама для себя включала в ядре ограничения.
    FreeBSD - запускается как враппер, соответственно, добавляет тормозов. Зато можно не патчить.

    А тут ограничения в ядре включаются системным менеджером. Соответственно, ни враппер не нужен, ни патчи.

     
  • 2.147, Аноним (-), 06:36, 23/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Что только не придумают, чтобы не использовать pledge(2)

    Ну покажи как ты это лихо запиливаешь своему сервису за 5 минут. Я то произвольному сервису в системд вон то вывешу по сути просто копипастой вон того в его юнит в /etc - на чем вопрос будет закрыт. И займет не более 5 минут.

    А у вас это как выглядит для вот именно вашей кастомной программы?

     

  • 1.5, Аноним (5), 23:56, 20/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    В Федоре тестируют потом в Шапке внедрят и мы через лет 10 увидим в шапке то что уже есть и было в Солярисе лет 10 назад ... всё новое - хорошо забытое старое.
     
  • 1.8, Аноним (8), 00:01, 21/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Нехорошие звоночки с явным привкусом копроративного aнaльного огораживания.
     
     
  • 2.14, Аноним (87), 01:25, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Сама система прав доступа этим привкусом отдаёт. Это что - руту можно все файлы править, а обычным пользователям нельзя? Явно заговор капиталистов.
     

  • 1.9, Аноним (9), 00:26, 21/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > ProtectClock=yes - запрет изменения времени.

    Звучит шикарно, сначала повесить синхронизацию времени на systemd, потом отрезать доступ...

     
     
  • 2.13, Аноним (87), 01:23, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Правильно, защитим истинный юниксвей! Не дадим отнять у апача возможность менять системное время!
     
  • 2.98, Хрысь (?), 13:59, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вы путаете системд и юниты, которыми он управляет
     
     
  • 3.116, Аноним (87), 20:13, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Разобравшись с разницей между systemd и его юнитами, стоит перейти к понимаю разницы между systemd и systemd-timesyncd. Например, у меня практически на всех системах init-ом является systemd, а время синхронизирует chrony.
     
  • 2.159, Аноним (-), 21:14, 23/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> ProtectClock=yes - запрет изменения времени.
    > Звучит шикарно, сначала повесить синхронизацию времени на systemd, потом отрезать доступ...

    А с какой бы легитимной целью допустим httpd, или кто там, мог бы захотеть мне системное время корежить?! Поэтому всем и зарубить - кроме сервисов синхронизаторов времени, разумеется.

    Принцип файрволла по сути: DENY ALL, ALLOW (as needed).

     

  • 1.10, Oe (?), 00:44, 21/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Да, ладно, мою уже с 39 версии заизолировали, вылетает из сессии каждые 5 минут или после того как экран погаснет, вот это я понимаю забота о безопасности.
     
     
  • 2.17, Аноним (17), 01:52, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А ты форточку закрывай, чтобы не вылетало.
     
  • 2.81, Аноним (81), 09:58, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У меня нормально работает, уже месяц как стоит.
     
     
  • 3.97, Oe (?), 13:50, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Переключи на классический gnome в окне входа и попробуй как работает
     
  • 3.107, Минона (ok), 15:31, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > уже месяц как стоит

    Так долго нельзя - некроз будет.

     
  • 2.121, Аноним (120), 21:56, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    C беты всё бессбойно работает. Ты — мелкий лжец
     

  • 1.11, Аноним (11), 00:51, 21/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Эти чудики диграются и будет как в серьезнный гайдах:
    - а сейчас мы поставим Orace DB, но во первых сделайте selinux=disabled!!
     
     
  • 2.32, Аноним (8), 02:34, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > selinux=disabled

    Нормальные люди его выкорчёвывают ещё на этапе установки. Со всем и насовсем.

     
     
  • 3.99, Хрысь (?), 14:01, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Разочарую. Он является частью ядра.
    И выкорчёвывешь ты только его политики (максимум - либы для их обработки). А SL как был в системе, так и остаётся
     
     
  • 4.119, glad_valakas (?), 21:21, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Он является частью ядра.

    и что ?
    делать свои ядра в деривативах редхата уже немодно ?
    можно выиграть от 1% до 11% производительности.
    или наоборот, потерять. смотря что и как делать.

     
     
  • 5.134, Аноним (47), 13:17, 22/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Они и делают свои, по последнему писку моды. Скопировали конфиг и собрали своё.)
     
  • 5.135, Хрысь (?), 16:30, 22/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Он является частью ядра.
    > и что ?
    > делать свои ядра в деривативах редхата уже немодно ?
    > можно выиграть от 1% до 11% производительности.
    > или наоборот, потерять. смотря что и как делать.

    В нормальных местах запрещены в проде самосборные ядра от Васянов

     
     
  • 6.137, glad_valakas (?), 17:33, 22/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    если Васян сертифицированный специалист редхата, то можно ?
     
     
  • 7.138, еропка (?), 18:08, 22/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    тоже нельзя
    самособранное ядро (любое) => отказ в техподдержке
     
     
  • 8.148, glad_valakas (?), 07:34, 23/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    с одной стороны логично, с другой стороны шли бы они лесом ... текст свёрнут, показать
     
  • 3.129, Dima (??), 11:55, 22/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нормальные люди умеют его настраивать.
     

  • 1.28, Аноньимъ (ok), 02:29, 21/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > PrivateTmp=yes - предоставление отдельных директорий со временными файлами.

    Кончался 2023 год.

    Человеческая цивилизация доживала последние дни.

    Приложения валили свои файлы в одну общую папку с правами на исполнение.

     
     
  • 2.122, Пароним (?), 02:12, 22/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ух, щас бы тмп с такими правами монтировать, ух
     

  • 1.39, Meganonimus (?), 04:21, 21/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не надо этих полумер. Каждому сервису - персональный контейнер.
     
     
  • 2.101, Хрысь (?), 14:02, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Уже есть такой дистр
     
  • 2.103, 1 (??), 14:12, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это тебе к мадам Рутковской (или мадмуазель ?). Ставь Qubes и каждому сервису будет своя виртуалочка.
     
     
  • 3.164, Второй из Кукуева (?), 09:35, 24/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пани Рутковска полька, а потому во-первых "пани", а во-вторых "Рутковска", а не "Рутковская"

    Ну и да, она покинула основанный ей QubesOS достаточно давно, лет пять назад что ли и сейчас он развивается без нее

     

  • 1.71, Аноним (71), 07:43, 21/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сначала изолируют сервисы, потому будут фиксить ошибки обхода изоляции
     
  • 1.76, Аноним (76), 08:57, 21/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Очередная новость о том, что корпарасы пилят, то что им нужно для своего бизнеса, - конец новости, расходимся!
     
     
  • 2.108, Минона (ok), 15:36, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Добро пожаловать в реальный мир опенсорса.
     
  • 2.112, Анонимпс (?), 18:28, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Люди не хотят объединяться и пилить без корпорастов к сожалению, ленивые какие-то...
     

  • 1.77, Аноним (78), 09:36, 21/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Пускай Docker=yes внедрят, а то цены на сборки под 1151v2 всё ещё не падают.
     
     
  • 2.86, Аноним (87), 12:12, 21/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Простите, у вас винда или мак?
    (На линуксе докер нативный, поэтому проблем с производительностью нет, а вот под "труЪ unixЪ" операционками он работает в линуксовой виртуалке и поэтому подтормаживает)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру