Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

В Fedora 40 планируют включить изоляцию системных сервисов, opennews (?), 20-Ноя-23, (0) [смотреть все] что опять господи, я простой юзверь, сбежавший от добровольно-принудительной пы, Ну я все же доем... (?), 23:20 , 20-Ноя-23, (1) –21 // А че, в виндовсе появилась изоляция Раньше это была помойка, где у всех есть пр, Банан (?), 03:59 , 21-Ноя-23, (33) +2 // Раньше - это с 1985 по 1993 Потому что с 1993 есть Windows NT 3 1, где это не т, Аноним (-), 09:43 , 21-Ноя-23, (80) +3 // Вы не застали эпидемии autorun-вирусов на безопасной XP, которая была потомком, Аноним (87), 12:14 , 21-Ноя-23, (87) +3 А вот NT 3 5 3 5 1 была потомком многими забытой но до сих пор существующей , Neandertalets (ok), 12:33 , 21-Ноя-23, (88) +1 Преимущества Неуловимого Джо , vvm13 (ok), 13:37 , 21-Ноя-23, (96) +4 Соглашусь, что имеет место и это быть Но всё таки не только , Neandertalets (ok), 14:23 , 21-Ноя-23, (104) Только Я OS 2 успел напользоваться вдоволь И вирусы там были, и все остальные , Аноним (161), 04:12 , 24-Ноя-23, (161) Ну а про вирусы именно под OS 2 не варианты под подсистему DOS, т е обычные DO, Neandertalets (ok), 08:40 , 24-Ноя-23, (163) Во всех NT-based видите ли без регалий админа софтом пользоваться почти невозмож, Аноним (-), 06:21 , 23-Ноя-23, (143) Иными словами, вирусне достаточно прав пользователя, под которым она запущена, ч, X86 (ok), 09:26 , 23-Ноя-23, (149) В принципе - да Но если я софт ставил в линухе как рут, пакетником, а системные, Аноним (-), 17:49 , 23-Ноя-23, (154) А зачем зловреду права системных сервисов, если достаточно прав текущего пользов, X86 (ok), 09:43 , 25-Ноя-23, (166) Эпидемии ауторан-вирусов были возможны потому, что подавляющее большинство юзеро, Аноним (-), 21:18 , 21-Ноя-23, (118) +1 Да вот видите ли - под ограниченными учетками виндовый софт ломался чуть менее ч, Аноним (-), 17:51 , 23-Ноя-23, (155) Чушь Вся безопасность Пинды на авторитетных обещаниях W подписях держится Даж, Аноним (89), 12:47 , 21-Ноя-23, (89) +1 Ну, можетида - но она там определенно _есть_ и определенно держится - в отличи, User (??), 14:11 , 21-Ноя-23, (102) +1 Кому нужно открыли для себя opensnitch Открыли и тут же закрыли Потому что app, Аноним (136), 16:33 , 22-Ноя-23, (136) Ну, да - как-то вот так оно все и выглядит Мы тут рассуждаем, как в космос прав, User (??), 12:00 , 23-Ноя-23, (152) На фоне этих поделий мои конфиги тоже смотрятся просто звездолетами С одной сто, Аноним (-), 21:07 , 23-Ноя-23, (157) И все это - не привлекая внимания санитаров Неуловимого Джо - опять не поймали , User (??), 21:36 , 23-Ноя-23, (160) Я так то еще до кучи умею Enterprise Admin быть Поэтому имел возможность сравни, Аноним (-), 06:02 , 24-Ноя-23, (162) Да не интересен твой локалхост примерно никому, узбагойся Сделаешь ну если не E, User (??), 09:39 , 24-Ноя-23, (165) systemd позволяет переопределить любой unit файл просто скопируйте стандартные , leap42 (ok), 05:24 , 21-Ноя-23, (45) +2 // Бубунта движется в направлении Snap OS , Минона (ok), 15:10 , 21-Ноя-23, (105) +1 // Скрыто модератором, Аноним (-), 06:22 , 23-Ноя-23, (144) Если это какой-то вид иронии, то звучит ещё глупее , Аноним (69), 07:33 , 21-Ноя-23, (69) // не иронияя правда не понимаю, это забота о пользователях или забота о пользоват, Ну я все же доем... (?), 08:08 , 21-Ноя-23, (73) –2 У меня такое же ощущение Уже 11 лет на всех моих ПК - Linux Раньше он был офиген, Аноним (75), 08:52 , 21-Ноя-23, (75) +5 // Ставь слачельничек И на работе тоже ставь слачельничек , Аноним (78), 09:40 , 21-Ноя-23, (78) Никогда и нигде resolv conf не правился вручную Ты откуда-то из 90х вынырнул, в, Аноним (79), 09:42 , 21-Ноя-23, (79) –1 // такие дистрибутивы как Дебиан ты хотел сказать, Аноним (109), 15:39 , 21-Ноя-23, (109) –2 Недееспособные пользователи дебианом не удовлетворены А вот убунта их периодичес, Аноним (87), 20:08 , 21-Ноя-23, (113) А вы вообще понимаете физический смысл этих опций Они означают - последователь, Аноним (87), 12:50 , 21-Ноя-23, (91) +3 // угу, а потом отгадайте какой из серверов вернул NOERROR и какую то хрень в поле , Anononononon (?), 11:42 , 22-Ноя-23, (128) devuan и antix адекватно ответят на ваши запросы а африканскую поделку ненавижу, glad_valakas (?), 21:09 , 21-Ноя-23, (117) Можно же было просто спросить у знающих людей Что делает resolved Поттеринга Он, leap42 (ok), 07:25 , 22-Ноя-23, (124) +1 // и не забудьте sudo chattr i etc resolv confслишком много желающих переписать, , glad_valakas (?), 08:24 , 22-Ноя-23, (125) +1 Стесняюсь спрашивать - а настройка статических адресов на сервере через network-, User (??), 09:21 , 22-Ноя-23, (126) А мог почитать документацию Мне как раз недавно было надо что-то подобное, так , Zulu (?), 00:30 , 23-Ноя-23, (141) Это ядерная изоляция Она почти бесплатная , Аноним (89), 12:48 , 21-Ноя-23, (90) +2 Правильно, производительность - зло , Avririon (ok), 23:23 , 20-Ноя-23, (2) –9 // Это все на cgroups и бинд маунтах, ни холодно ни жарко от этого производительнос, Аноним (3), 23:28 , 20-Ноя-23, (3) +12 // cgroupsпроизводительностьАхтунг Взаимоисключающие параграфы Более того, с net n, Tron is Whistling (?), 23:59 , 20-Ноя-23, (7) –9   // Где Сдуру можно всё что угодно сломать , Аноним (87), 11:08 , 21-Ноя-23, (83)   Особенно если CVE почитать , Tron is Whistling (?), 21:52 , 22-Ноя-23, (139)   Поэтому давайте сделаем как Win95 - нет подсистем безопасности нет вулнов в них , Аноним (-), 06:33 , 23-Ноя-23, (146)   Опечаточка как раз про cgroups и network namespaces V2 правда получше А с после, Tron is Whistling (?), 09:51 , 23-Ноя-23, (150)   Ну правильно, поэтому давайте сделаем проходной двор где всем можно все и не буд, Аноним (156), 17:57 , 23-Ноя-23, (156)   Достоинство ядра Linux - практически все эти ограничения идут с нулевым оверхедо, Аноним (87), 01:27 , 21-Ноя-23, (15) +5 // Ды щаз, с нулевым оверхедом Одних структур только на полкеша , Tron is Whistling (?), 09:52 , 23-Ноя-23, (151) –1 // Де факто на производительность не влияет с точностью до погрешности измерений ка, Аноним (-), 21:11 , 23-Ноя-23, (158) Где тут угроза производительности Они же не в снапы докеры флътпаки аппимэйджи , Аноним (22), 02:09 , 21-Ноя-23, (22) +3 // Ну как же, все эти проверки требуют помимо исполнения полезных команд ещё и усло, Аноним (47), 06:24 , 21-Ноя-23, (47) // Соболезную тем кто захочет поставить Fedora 40 на Pentium II Советую им ещё раз, AleksK (ok), 08:23 , 21-Ноя-23, (74) +2 Зато мне тебя ни чуть не жаль Не понятно лишь, что ты делаешь в этом своём IT с, Аноним (47), 13:17 , 21-Ноя-23, (93) –1 Получаю 100500 денег и радуюсь жизни, а что , Аноним (87), 20:10 , 21-Ноя-23, (114) А ты это он , Аноним (47), 12:58 , 22-Ноя-23, (130) Ну что делаю Пользуюсь адекватным железом и софтом Я не обладаю супер способно, AleksK (ok), 23:59 , 22-Ноя-23, (140) У меня домашний медиасервер крутится на Core2Duo под Fedora 39 Знатно всё крути, Аноним (120), 21:53 , 21-Ноя-23, (120) Это фича ядра Можно и из портянки на Баше вызвать службу через какой-нибудь bwr, Аноним (89), 12:50 , 21-Ноя-23, (92) –1 Что только не придумают, чтобы не использовать pledge 2 , Аноним (4), 23:45 , 20-Ноя-23, (4) // Хорошая команда, но у нее есть фатальный недостаток , Аноним (6), 23:58 , 20-Ноя-23, (6) +2 // какой расскажи же нам, умоляем пожалуйста-припожалуйста открой нам тайну, Аноним (20), 02:06 , 21-Ноя-23, (20) // NIH, ano (??), 04:01 , 22-Ноя-23, (123) Это же сискол, а не команда , Аноним (4), 10:41 , 21-Ноя-23, (82) // syscall - это как раз команда процессора , Аноним (47), 13:21 , 21-Ноя-23, (94) Точно процессора , Минона (ok), 15:22 , 21-Ноя-23, (106) +1 Это в том числе и инструкция процессора syscall Assembly Instruction , Анонимпс (?), 18:23 , 21-Ноя-23, (110) Хотя раньше системные вызовы работали без нее, насколько я помню , Анонимпс (?), 18:25 , 21-Ноя-23, (111) Работали, но прерываниями называть не солидно, это же не ДОС , Аноним (47), 13:13 , 22-Ноя-23, (133) Абсолютно точно Как и sysenter, и int 0x80 , Аноним (47), 13:11 , 22-Ноя-23, (132) pledge 2 - это сискол Для таких умных, как ты, в скобках двойка Но ты её, увы, Аноним (4), 20:12 , 21-Ноя-23, (115) Вижу, конечно Как и неумелые попытки заняться буквоедством, тогда как по сущест, Аноним (47), 13:10 , 22-Ноя-23, (131) +1 Буквоедством первым начал заниматься не я Можно было и сразу догадаться по перв, Аноним (4), 03:32 , 23-Ноя-23, (142) Смотря какой Их два OpenBSD - оверхед минимален, но каждую прогу нужно патчить,, Аноним (87), 01:31 , 21-Ноя-23, (16) +2 Ну покажи как ты это лихо запиливаешь своему сервису за 5 минут Я то произвольн, Аноним (-), 06:36 , 23-Ноя-23, (147) В Федоре тестируют потом в Шапке внедрят и мы через лет 10 увидим в шапке то что, Аноним (5), 23:56 , 20-Ноя-23, (5) +3 Нехорошие звоночки с явным привкусом копроративного aнaльного огораживания , Аноним (8), 00:01 , 21-Ноя-23, (8) –4 // Сама система прав доступа этим привкусом отдаёт Это что - руту можно все файлы , Аноним (87), 01:25 , 21-Ноя-23, (14) +6 Звучит шикарно, сначала повесить синхронизацию времени на systemd, потом отрезат, Аноним (9), 00:26 , 21-Ноя-23, (9) +1 // Правильно, защитим истинный юниксвей Не дадим отнять у апача возможность менять, Аноним (87), 01:23 , 21-Ноя-23, (13) +7 Вы путаете системд и юниты, которыми он управляет, Хрысь (?), 13:59 , 21-Ноя-23, (98) // Разобравшись с разницей между systemd и его юнитами, стоит перейти к понимаю раз, Аноним (87), 20:13 , 21-Ноя-23, (116) А с какой бы легитимной целью допустим httpd, или кто там, мог бы захотеть мне с, Аноним (-), 21:14 , 23-Ноя-23, (159) Да, ладно, мою уже с 39 версии заизолировали, вылетает из сессии каждые 5 минут , Oe (?), 00:44 , 21-Ноя-23, (10) +2 // А ты форточку закрывай, чтобы не вылетало , Аноним (17), 01:52 , 21-Ноя-23, (17) У меня нормально работает, уже месяц как стоит , Аноним (81), 09:58 , 21-Ноя-23, (81) // Переключи на классический gnome в окне входа и попробуй как работает, Oe (?), 13:50 , 21-Ноя-23, (97) Так долго нельзя - некроз будет , Минона (ok), 15:31 , 21-Ноя-23, (107) C беты всё бессбойно работает Ты 8212 мелкий лжец, Аноним (120), 21:56 , 21-Ноя-23, (121) Эти чудики диграются и будет как в серьезнный гайдах - а сейчас мы поставим Orac, Аноним (11), 00:51 , 21-Ноя-23, (11) –2 // Нормальные люди его выкорчёвывают ещё на этапе установки Со всем и насовсем , Аноним (8), 02:34 , 21-Ноя-23, (32) –3 // Разочарую Он является частью ядра И выкорчёвывешь ты только его политики макси, Хрысь (?), 14:01 , 21-Ноя-23, (99) // и что делать свои ядра в деривативах редхата уже немодно можно выиграть от 1 , glad_valakas (?), 21:21 , 21-Ноя-23, (119) –1 Они и делают свои, по последнему писку моды Скопировали конфиг и собрали своё , Аноним (47), 13:17 , 22-Ноя-23, (134) В нормальных местах запрещены в проде самосборные ядра от Васянов, Хрысь (?), 16:30 , 22-Ноя-23, (135) +1 если Васян сертифицированный специалист редхата, то можно , glad_valakas (?), 17:33 , 22-Ноя-23, (137) тоже нельзясамособранное ядро любое отказ в техподдержке, еропка (?), 18:08 , 22-Ноя-23, (138) с одной стороны логично, с другой стороны шли бы они лесом , glad_valakas (?), 07:34 , 23-Ноя-23, (148) Нормальные люди умеют его настраивать , Dima (??), 11:55 , 22-Ноя-23, (129) +1 Кончался 2023 год Человеческая цивилизация доживала последние дни Приложения вал, Аноньимъ (ok), 02:29 , 21-Ноя-23, (28) –4 // ух, щас бы тмп с такими правами монтировать, ух, Пароним (?), 02:12 , 22-Ноя-23, (122) Не надо этих полумер Каждому сервису - персональный контейнер , Meganonimus (?), 04:21 , 21-Ноя-23, (39) // Уже есть такой дистр, Хрысь (?), 14:02 , 21-Ноя-23, (101) Это тебе к мадам Рутковской или мадмуазель Ставь Qubes и каждому сервису бу, 1 (??), 14:12 , 21-Ноя-23, (103) // Пани Рутковска полька, а потому во-первых пани , а во-вторых Рутковска , а не , Второй из Кукуева (?), 09:35 , 24-Ноя-23, (164) Сначала изолируют сервисы, потому будут фиксить ошибки обхода изоляции, Аноним (71), 07:43 , 21-Ноя-23, (71) Очередная новость о том, что корпарасы пилят, то что им нужно для своего бизнеса, Аноним (76), 08:57 , 21-Ноя-23, (76) –2 // Добро пожаловать в реальный мир опенсорса , Минона (ok), 15:36 , 21-Ноя-23, (108) Люди не хотят объединяться и пилить без корпорастов к сожалению, ленивые какие-т, Анонимпс (?), 18:28 , 21-Ноя-23, (112) Пускай Docker yes внедрят, а то цены на сборки под 1151v2 всё ещё не падают , Аноним (78), 09:36 , 21-Ноя-23, (77) –1 // Простите, у вас винда или мак На линуксе докер нативный, поэтому проблем с прои, Аноним (87), 12:12 , 21-Ноя-23, (86) +1 1,2,4,5,8,9,10,11,28,39,71,76,77

Сообщения

[Сортировка по времени | RSS]

	7. "В Fedora 40 планируют включить изоляцию системных сервисов"	–9 +/–
	Сообщение от Tron is Whistling (?), 20-Ноя-23, 23:59
	cgroups производительность Ахтунг! Взаимоисключающие параграфы. Более того, с net namespaces можно таки создать больше проблем, чем решить.
	Ответить | Правка | Наверх | Cообщить модератору

	83. "В Fedora 40 планируют включить изоляцию системных сервисов"	+/–
	Сообщение от Аноним (87), 21-Ноя-23, 11:08
	> Ахтунг! Взаимоисключающие параграфы. Где? > Более того, с net namespaces можно таки создать больше проблем, чем решить. Сдуру можно всё что угодно сломать.
	Ответить | Правка | Наверх | Cообщить модератору

	139. "В Fedora 40 планируют включить изоляцию системных сервисов"	+/–
	Сообщение от Tron is Whistling (?), 22-Ноя-23, 21:52
	Особенно если CVE почитать.
	Ответить | Правка | Наверх | Cообщить модератору

	146. "В Fedora 40 планируют включить изоляцию системных сервисов"	+/–
	Сообщение от Аноним (-), 23-Ноя-23, 06:33
	> Особенно если CVE почитать. Поэтому давайте сделаем как Win95 - нет подсистем безопасности нет вулнов в них. Заходи кто хошь, бери что хошь. И никаких CVE в полсистеме безопасности. Извини, по дефолту в этом твоем классическом юниксе сервис может у тебя по хомяку шарахаться как ему угодно. Безопаснее только W95, так то, а то у этих CVE с записью в хомяк юзера и прочие shared темпы с симлинками и гонками случались. В W95 не было многопользовательской системы прав, так что и CVE тоже не было. Аргумент, да?!
	Ответить | Правка | Наверх | Cообщить модератору

	150. "В Fedora 40 планируют включить изоляцию системных сервисов"	+/–
	Сообщение от Tron is Whistling (?), 23-Ноя-23, 09:51
	> CVE в полсистеме безопасности Опечаточка как раз про cgroups и network namespaces. V2 правда получше. А с последними всё так же плохо - костыль на костыле.
	Ответить | Правка | Наверх | Cообщить модератору

	156. "В Fedora 40 планируют включить изоляцию системных сервисов"	+/–
	Сообщение от Аноним (156), 23-Ноя-23, 17:57
	>> CVE в полсистеме безопасности > Опечаточка как раз про cgroups и network namespaces. Ну правильно, поэтому давайте сделаем проходной двор где всем можно все и не будем пытаться чинить. А так - да, линух не делали под ТАКИЕ абстракции. Как впрочем и все остальные более-менее живые и развитые ОС. Поэтому иногда ус у абстракций отклеивается а кернел неверно понимает пермиссии, что, конечно, чревато. Но вот только если на чек пермиссий совсем забить - CVE конечно убавится но это будет классическое лечение головной боли при помощи гильотины. Если голову отрубить, то и болеть она не сможет. Логично. > V2 правда получше. А с последними всё так же плохо - костыль на костыле. Покажи решения лучше, чудик. Языком пиндеть - не мешки ворочать. Не, разрешить "всем" - "всё" это не "лучше" как раз. Даже если и избавит от CVE за отсутствием секуритифич. В чем разница? Баги в секурити подсистемах и абстракциях постепенно починят. А проходной двор так и останется проходным двором. Этим подходы и отличаются.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема