| 1.1, Dzen Python (ok), 23:03, 08/05/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 О-о-ох.
Ехал контейнер в контейнере через атомарный образ
Видит контейнер в контейнере контейнер
Сунул контейнер запрос в контейнер
Контейнер контейнер контейнер контейнер
| | |
| |
| 2.76, Аноним (76), 08:08, 10/05/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Когда компьютеры в Россию только начали завозить, примерно такие же частушки про них складывали.
Все будет через "компутэры", ха-ха-ха.
Ты сильный "программист"? - Да! - Иди грузи ящики! (Смех в зале)
... примерно из той же "оперы" анекдоды про "новых русских" (если кто помнит еще).
... покупать жидкое мыло, полезное для кожи, за 300р., когда можно купить кусок за 20р. Ха-ха-ха - зачем нужна шелковистая кожа, когда з/п месяцами задерживают!
... и вообще, репертуар поздних Петросяна и Задорного.
Т.е. понятно что это будет примерно так. Только кому-то это кажется смешным.
| | |
| |
| 3.86, KMF (?), 03:13, 11/05/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Всё понятно, только причём тут "новые русские"? Если память не подводит, они были поводом для насмешек из-за своей быдловатости, тупости, и безвкусицы; персонажи, которые всякими, зачастую - нелегальными и нечестными способами разбогатели?
| | |
| |
| 4.91, Аноним (76), 08:20, 11/05/2021 [^] [^^] [^^^] [ответить] | +/– | Типичное все понятно, только , только отсутствие абстрактного мышления чуть ... большой текст свёрнут, показать | | |
| |
| 5.96, KMF (?), 13:33, 11/05/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Ставить диагноз по комментарию, это тоже как бы наводит на мысль
Вы слышали о таком понятии как "нувориш"? Вы приравнили "новых русских" к теми, кто умел зарабатывать деньги, углубитесь в тему-то хоть. У меня один дядька в 90ых неплохо крутился, развозил продукты по региону, деньги зарабатывал коробками, но "новым русским" он не был
| | |
|
|
|
| 2.77, Аноним (76), 08:13, 10/05/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
Ник-то какой! "Dzen Python"!
Да он же Дзен врурил! Он же реально в теме!
Он же хеллоуворлд на Питоне смог!
... очень приятно, Царь! (С)
| | |
|
| |
| 2.5, Аноним (5), 23:59, 08/05/2021 [^] [^^] [^^^] [ответить]
| +8 +/– |
Почему? Там же нет никакой виртуализации, только namespaces и cgroups.
Тормозит примерно как chroot или jail (то есть, никак).
| | |
| |
| 3.84, Анончик (?), 19:44, 10/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
с каких пор изоляция на уровне cgroups стала бесплатной?
Естественно что она меньше потребляет ресурсов чем kvm/xen/Hyper-v но она не бесплатна.
Что там с изоляцией сетевой подсистемы?
| | |
| |
| 4.85, Аноним (5), 22:21, 10/05/2021 [^] [^^] [^^^] [ответить]
| +/– | |
С каких пор механизм ограничения потребления ресурсов стал механизмом изоляции?
А так да, если для контейнера проц, память и blkio через cgroups ограничить, то для контейнера они будут ограничены, вот так неожиданность!
| | |
| |
| 5.100, Аноним (-), 14:02, 11/05/2021 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> С каких пор механизм ограничения потребления ресурсов стал механизмом изоляции?
То виндовое (или таки бсдшное? или оба?!) ламо не в курсе и потому путает.
А что до изоляции namespaces, то оверхед от нее наверное в теории есть, но на практике он маргинальный и к тому же половину этого ядро и раньше умело по другим поводам, с этим своим clone() и проч.
| | |
| |
| 6.103, Аноним (103), 14:34, 11/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
>> С каких пор механизм ограничения потребления ресурсов стал механизмом изоляции?
> То виндовое (или таки бсдшное? или оба?!) ламо не в курсе и потому путает.
А точно ламо он, а не надувающие щечки пингвинятки и прочие 294-е?
https://www.kernel.org/doc/Documentation/cgroup-v1/devices.txt
---
> An entry is added using devices.allow, and removed using
> devices.deny. For instance
>
> echo 'c 1:3 mr' > /sys/fs/cgroup/1/devices.allow
> allows cgroup 1 to read and mknod the device usually known as /dev/null. | | |
|
|
|
|
| 2.93, Аноним (93), 11:34, 11/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
Не про опроизводительность, а про оперативу. Ну вот пусть Амазон сам свою жрущую поделку юзает и клиентам втюхивает.
| | |
|
| 1.7, Аноним (7), 00:04, 09/05/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
"Мелко и пошло" (c)
надо что-то вроде (Function aaS):
std::atomic++ в одном контейнере
std::atomic-- в другом контейнере
| | |
| |
| 2.42, Аноним (5), 13:15, 09/05/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Уже придумали. Называется "микросервисная архитектура". Именно так - каждое приложение выполняет только одну функцию и имеет стандартный API.
Но это для хипстоты, конечно. Трушные программисты создают мегакомбайны все-в-одном и живут припеваючи.
| | |
| |
| 3.44, AnonymPatient (?), 14:39, 09/05/2021 [^] [^^] [^^^] [ответить]
| +/– | |
>Уже придумали. Называется "микросервисная архитектура"
Коллега говорил про функции на уровне ЯП => больше простора для сольдирования(монетизации)
| | |
| |
| 4.46, Аноним (5), 17:35, 09/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
Реализовать функцию для связи с другим контейнером... и поместить ее в другой контейнер? А это идея, надо предложить в C++22
| | |
| |
| 5.101, Аноним (-), 14:04, 11/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Реализовать функцию для связи с другим контейнером... и поместить ее в другой
> контейнер? А это идея, надо предложить в C++22
Вы изобрели IPC в 2021 году? Все круто, но немного опоздали :)
| | |
|
|
|
|
| |
| 2.23, YetAnotherOnanym (ok), 08:53, 09/05/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Угу.
> в случае выявления попытки модификации данных на уровне блочного устройства система перезагружается
Самое то для ответственного продакшона. Клиенты, чьи деньги с одного счёта ушли, а на другой не пришли, будут безумно счастливы те несколько дней, пока отдел автоматизации банка будет разбираться и разглядывать под лупой каждую оборванную транзакцию (вместе с тётенькой из финансовых), прежде чем её вручную откатить.
| | |
| |
| 3.38, Аноним (5), 12:29, 09/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
Как показывает пример одного желтого банка - stateless микросервисы с масштабированием на лету вполне пригодны для банковских задач, если у программистов руки не из ягодиц, конечно.
| | |
|
| 2.33, Аноним (5), 12:19, 09/05/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Анониму такая оркестровка микросервисов будет оверхедом.
Если анониму нужно в киберпанк поиграть - да.
А если хочется запилить стартап по продаже булочек с минимальным гемором - почему нет? AWS+кубик - quick, easy, fun! Дороговато, правда, но это уже проблема инвесторов.
| | |
| 2.48, Мертвец (?), 18:01, 09/05/2021 [^] [^^] [^^^] [ответить]
| +2 +/– | |
В банковской сфере скорее "зайдет" шкаф с кондовой до усрчки IBM i (впрочем, AIX тоже сойдет), чем кубер-кластер, размазанный в чужом облаке. Не говоря уже об ответственности облакодержателя за доступность ресурсов и сохранность данных.
К счастью, в [со]ответственных госрегуляторах процент сыроедов/смузихлебов небольшой, и за слишком фривольную работу процессинга, можно лишиться лицензии.
| | |
| |
| 3.57, Аноним (57), 21:27, 09/05/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
Как же вы ошибаетесь.
Микросервисов у нас уже очень много. У коллег из тоже госбанков - также.
Везде молодые энергичные новые пытаются на микросервисных палках и говне БДхи размазывать.
Руководство просто не понимает, в чем оверхед собсна, поэтому выкидываем кучу бабла на железо.
| | |
| |
| 4.59, Аноним (5), 21:32, 09/05/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Как правило, ребята от бизнеса уже наелись чудесными мастерами, которые всю бизнес-логику делают на хранимках в оракле, а потом все это при росте нагрузки смасштабировать нельзя, и все жизненно важные банковские сервисы говорят "кря".
| | |
| |
| 5.72, Аноним (72), 07:56, 10/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
что такое "рост нагрузки"? Много данных стало и запросы исполняются медленно? Или много запросов идет от микросервисов? Во-втором случае хранимки ни при чем. В первом - лечится тоже очевидно не "машстабированием" на уровне микросервисов
| | |
| |
| 6.81, Аноним (5), 11:20, 10/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Много данных стало и запросы исполняются медленно?
> В первом - лечится тоже очевидно не "машстабированием" на уровне микросервисов
Очевидно, вы никогда не занимались ярусным шардированием-агрегированием данных в РСУБД.
Очень сильно развивает условный рефлекс "адепты хранимок разносят заразу, такого увидишь - прибей его сразу".
> Или много запросов идет от микросервисов? Во-втором случае хранимки ни при чем.
Ну да, вы же не в курсе, что в микросервисной архитектуре у большинства сервисов есть свои БД, причем не обязательно реляционные. Или просто не понимаете, какая связь между разделением данных по разным БД и снижением числа запросов к отдельно взятой БД.
| | |
| |
| 7.87, Аноним (72), 07:22, 11/05/2021 [^] [^^] [^^^] [ответить]
| +/– | |
речь шла про банк вроде? Какая там такая нагрузка, что надо снижать количество запросов? Мы писали данные с нескольких тысяч датчиков в базу и не надо было снижать. А у вас в банке - надо лол.
При чем тут шардинг и хранимки? Хранимки - это просто логика. Представь себе их можно вызывать даже для другого инстанса базы, на другом IP. Вопрос - нафига бизнес-логику тащить с клиента, если только ты не имеешь в PL/SQL конечно.
Что касается микросервисной архитектуры и отдельных БД - эту глупость даже комментировать тяжело, микросерфисы - это не Коран, а всего лишь инструмент и архитектур микросервисных - множество. Одна база - целостность данных. Много баз - ни о какой целостности говорить не приходится, все делается на убогих клиентах, написанных убогими программистами
| | |
|
|
|
|
| 3.58, Аноним (5), 21:29, 09/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
Бизнес есть бизнес, тащить на себе кондовые трехтонные шкафы гораздо дороже, чем кубик.
Конечно же, не у дяди в облаке, а на своих серваках.
| | |
|
|
| |
| 2.14, Аноним (14), 06:52, 09/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
Воу, полегче. На что пересесть предлагаете, так чтобы без MAC и монолитного ядра?
| | |
| |
| 3.20, Аноним (13), 08:22, 09/05/2021 [^] [^^] [^^^] [ответить]
| –3 +/– |
Я не то чтобы предлагаю, сам ищу варианты. Пока гипервизор Xen(микроядро) с виртуалками Parrot Home (дебиановский AppArmor), колхоз на тему Qubes OS. Есть свои минусы, а в свете скурвливания Debian - хочется чегой-то посекьюрнее, без такого прокладывания под RedHat с завязкой на systemd. Вот думу думаю и Bottlerocket как-то не привлекает.
| | |
| |
| 4.21, Аноним (21), 08:33, 09/05/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
А я из KVM сделал, просто виртуалки с дебианами, без всякой хайпоты. Так оно тяжелее конечно, зато и изоляция крепче (и кто сказал что контейнеров внутрях нет).
Что до дебиана - вариантов лучше как-то особо и не заметно вроде. Эти достаточно стабильные, предсказуемые и не слишком интрузивные. Хотя для совсем олдскульщиков какая-нибудь слака наверное, но в олдскуле так то и виртуализация не полагается, там вообще первый же рутовый эксплойт по канону имеет вас от и до :P
| | |
| |
| 5.24, Аноним (13), 08:57, 09/05/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
KVM/QEMU тоже рассматривал (Аллах с потерей % произв-ти), но, поскольку я тот ещё параноик - меня смутило то, что к KVM плотно приложились RedHat, опять же SELinux и, главное - KVM же кусок ядра Linux. А Xen- с отдельным микроядрышком и разрабатывается Linux Foundation всё-таки, что изрядно успокоило мою паранойю.
| | |
| |
| 6.32, Аноним (5), 12:16, 09/05/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Xen не является полноценным ядром, и практически все основные функции делегирует ядру dom0. Именно поэтому для его поддержки пришлось запихнуть в Linux кучу ксеновского кода.
> меня смутило то, что к KVM плотно приложились RedHat
А то, что к Xen приложился Citrix, вас не смущает?
| | |
| |
| 7.50, Аноним (13), 19:08, 09/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
Citrix давно сказали, что Xen не есть их приоритет и делать деньги на этом не планируют, даже проприетарный bare metal XenServer открыли и дали забесплатно. Понятно, что есть подвох - пилится Xen очень постепенно. А вот KVM стал фактически стандартом и развивается бешеными темпами. Так что может и придётся на него перелезать, ибо два остальных главных стандарта HyperV и ESXi те ещё проприетарные blackbox.
| | |
| |
| 8.66, Аноним (5), 23:53, 09/05/2021 [^] [^^] [^^^] [ответить] | +1 +/– | А что, редхат на KVM или SELinux деньги делает Учитывая ваше недоверие к редхат... текст свёрнут, показать | | |
|
|
| 6.67, Аноним (-), 06:43, 10/05/2021 [^] [^^] [^^^] [ответить] | +2 +/– | По производительности CPU ram почти как baremetal, io особо не тормозит, qxl или... большой текст свёрнут, показать | | |
| 6.73, Аноним (72), 07:58, 10/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
Боишься что RedHat украдут твои данные? Ты в ФСБ что ли работаешь? Что-то логику не могу уловить. Тебе б на Эльбрус перебраться - Intel к CPU "руку приложили"
| | |
|
| 5.53, Мертвец (?), 19:35, 09/05/2021 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>А я из KVM сделал, просто виртуалки с дебианами
Условно говоря, "облако" где-то так и работает - клиент получает запрошенное количество виртуалок нужной кофигурации с развернутой ОСЬю. Уже внутри этой ОСи запускаются контейнеры со stateless-софтом.
Идея этой БутылкоРакеты - уменьшить толщину ОСи в виртуалках, сведя функционал к запуску контейнеров и взаимодействию с оркестратором. Разумеется, вместе с водой выплеснули и ребенка...
| | |
| |
| 6.60, Аноним (5), 21:36, 09/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
В смысле - выплеснули? Решение вполне рабочее, но уж очень нишевое - за пределами амазона этот дистр бесполезен.
| | |
| 6.98, Аноним (-), 13:58, 11/05/2021 [^] [^^] [^^^] [ответить] | +/– | Спасибо Кэп Как ты понимаешь, идея была частично сперта у энетрерпайзников, час... большой текст свёрнут, показать | | |
|
|
| 4.34, YetAnotherOnanym (ok), 12:21, 09/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
https://projectacrn.org - легковесный реалтаймовый гипервизор от интел.
Есть ещё какой-то гипервизор от сименса, но там вм гвоздями прибивается к ядру процессора, соотв. число вм ограничено числом ядер физического процессора.
| | |
| |
| 5.41, Аноним (5), 13:09, 09/05/2021 [^] [^^] [^^^] [ответить] | +/– | Ох, они хотят чтобы даже на холодильнике была запущена пачка виртуальных машин ... большой текст свёрнут, показать | | |
| 5.74, Аноним (72), 08:01, 10/05/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Это не годится - Intel руку приложило". И Сименс не годится - "Сименс руку приложили". Анону надо чего-нибудь православненького, судя по всему лол - к Линуксу США "руку приложили" опять же...
| | |
| |
| 6.83, Аноним (13), 19:14, 10/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
Не надо вот тут. К Linux руку швед руку приложил. Финский швед. :)
| | |
| |
| 7.99, Аноним (-), 13:59, 11/05/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Не надо вот тут. К Linux руку швед руку приложил. Финский швед. :)
...получивший американское гражданство, а потому заодно еще и американец :)
| | |
|
|
|
| 4.36, Аноним (5), 12:24, 09/05/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> в свете скурвливания Debian - хочется чегой-то посекьюрнее, без такого прокладывания под RedHat с завязкой на systemd
Тогда варианта всего два - Hyper-V и BHyVe.
| | |
| |
| 5.52, Аноним (13), 19:21, 09/05/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
HyperV проприетарный и на нём Lunux виртуалки, отличные от дефолтных, бывает, выкидывают сюрпризы, в BSD лезть неохота, надо всё таки работу работать, а не покорять новые, ненужные горизонты. Интел и сименс - новые (привет, баги) специализированные решения, как-то я пока их не вижу на Homelab workstation или server.
| | |
| |
| 6.56, Аноним (5), 21:24, 09/05/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> HyperV проприетарный и на нём Lunux виртуалки, отличные от дефолтных, бывает, выкидывают сюрпризы, в BSD лезть неохота, надо всё таки работу работать, а не покорять новые, ненужные горизонты.
Люди, которые всерьез воюют со "злобным редхатом" и "его продуктами", типа Linux kernel и systemd (в обоих проектах, на самом деле, вклад отдельно взятого редхата существенен, но не 100%), обычно все-таки работают работу на чем-то другом, нежели нехороший линукс с нехорошим системды.
| | |
| |
| 7.62, Аноним (13), 22:48, 09/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
А есть люди, которые ни с кем не воюют, но по работе надо сделать secure. А ещё есть люди, которые имели в виду ковыряться в SELinux.
| | |
| |
| 8.64, Аноним (5), 23:46, 09/05/2021 [^] [^^] [^^^] [ответить] | +/– | Таких людей в этом обсуждении не наблюдаю Потому что они строят комплекс защитн... текст свёрнут, показать | | |
|
|
|
| 5.75, Аноним (72), 08:03, 10/05/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Не подходит, тут же вот какое дело:
Hyper-V -> Microsoft -> USA -> NATO -> ... -> собака -> c**ка
Не годится
| | |
| |
| |
| |
| 8.94, Аноним (5), 11:37, 11/05/2021 [^] [^^] [^^^] [ответить] | +/– | Очень многие вещи внутри США и за пределами страны называются по-разному Наприм... текст свёрнут, показать | | |
|
|
| 6.102, Аноним (-), 14:07, 11/05/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Hyper-V -> Microsoft -> USA
В США так то ~90% софта планеты пишется. Так что если ты надеялся импортозаместить, носить тебе непереносить...
| | |
|
|
|
|
|
| 1.18, Аноним (-), 08:14, 09/05/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Они там походу вообще все хайпожорские баззворды в этой штуке собрали.
| | |
| 1.25, Аноним (25), 10:24, 09/05/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Веселят коментарии староверов "ненужны нам ваши контейнеры, нам и на виртуализации хорошо". Да вот только прогресс не остановить и остается либо принять тренды либо скатится на обочину.
| | |
| |
| 2.26, Аноним (26), 10:34, 09/05/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Есть гвоздь, есть молоток, а есть отвертка.
Можно забить - можно завентить. Держать будет одинаково.
Если люди намастрячились крутить гвозди и они не выскакивают - пусть так, при условии что времени и $$ стоит столько же сколько завинтить.
| | |
| |
| 3.28, Аноним (28), 11:16, 09/05/2021 [^] [^^] [^^^] [ответить]
| –3 +/– |
ничего тупей этой "аналогии" придумать невозможно. впрочем для икспертов опеннет - это норма
| | |
| |
| 4.63, ктото (?), 22:54, 09/05/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Хозяйке на заметку: саморез забитый молотком держит лучше, чем гвоздь, закрученный отверткой (с)
| | |
|
|
| 2.31, YetAnotherOnanym (ok), 12:13, 09/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
Расскажи это программистам на коболе и фортране, ага. А заодно поспрашивай старших о том, сколько новомодной хрени, на которую молились малолетние энтузиасты, оказалось на той самой обочине.
| | |
| |
| 3.35, Аноним (5), 12:21, 09/05/2021 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Расскажи это программистам на коболе и фортране, ага.
Боюсь, ваша просьба не является достаточным основанием потратить день на поездку в дом престарелых.
| | |
|
| 2.37, Аноним (5), 12:26, 09/05/2021 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Веселят коментарии староверов "ненужны нам ваши контейнеры, нам и на виртуализации хорошо". Да вот только прогресс не остановить и остается либо принять тренды либо скатится на обочину.
Поинтересуйтесь на досуге, на каких машинах крутятся ваши прогрессивные контейнеры.
Hint: в 99.999% случаем это не bare metal.
| | |
| |
| 3.69, Аноним (-), 06:47, 10/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
На третий день Зоркий Глаз заметил что его отменеджил гипервизор...
| | |
| 3.90, Аноним (72), 07:29, 11/05/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
это так. Но докер не для виртуализации, а для доставки апплекух, относительно независимым от среды образом. Чтоб программеры не говорили: странно, а у меня работает, а у Васи - нет, хотя Джава та же. Что-то типа толстого RPM-а
| | |
| |
| 4.95, Аноним (5), 11:40, 11/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
Естественно. Просто тут некоторые комментаторы не видят разницы между контейнерами докера (более обобщенно я бы назвал их CRI-подобными), LXC и OpenVZ. А про последние два смутно помнят, что противопоставляют виртуализации (опять-таки, от большого ума). Это делает меня печальной пандой.
| | |
|
|
|
| 1.27, Аноним (27), 11:10, 09/05/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Какой в этом смысл если это всё обходится через уязвимости в процессорах.
| | |
| |
| 2.39, Составление сообщения (?), 12:46, 09/05/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Как конкретно происходит утечка в qubes например? (которая имеет по хen окружению на dom0, сетевые sys-net и sys-firewall и собственно domU с данными)
| | |
| |
| 3.40, Аноним (5), 13:03, 09/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
Абсолютно так же, как и между процессами на обычной ОС. Виртуализация (если она реализована в процессоре) - это прежде всего про разделение доступа к периферии.
| | |
| 3.70, Аноним (-), 06:52, 10/05/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Как конкретно происходит утечка в qubes например?
Да процу то какая разница где оно там. Если через кэш и сайдэффекты тайминги текут то уж текут. Сам по себе виртуализатор от этого не особо спасет, разве что немного размоет картину в лучшем случае. И если в случае линуха кернел немного заморочился подкостыливанием этого и даже довольно оперативно вертится на это, то как это с Xen взаимодействует и подкостылили ли и там - а кто б его там знает.
| | |
|
|
| 1.49, Аноним (49), 18:07, 09/05/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Контейнеры создаются при помощи штатных механизмов ядра Linux - cgroups, пространств имён и seccomp.
Где о таком подробнее почитать можно?
| | |
| |
| |
| 3.65, Аноним (5), 23:49, 09/05/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> SELinux пока отконфигурируешь - кучу времени убьёшь.
В принципе, про seccomp и firewall можно то же самое сказать.
SELinux требует понимания, к каким файлам и каталогам обращается программа.
Seccomp требует понимания, какие сисколлы нужны для работы программы.
Firewall требует понимания, на какие хосты и порты может обращаться программа.
Нанести, смыть, повторить для всех программ в системе.
| | |
| |
| 4.82, Доброжелатель (??), 15:41, 10/05/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Не всё так плохо. Есть вот такое вот:
https://github.com/QuarkSecurity/SPAN
SELinux Policy Analysis Notebook
Сделано для RH-based и уже 2 года не развивается.
Но я пользовался несколько раз - помогает.
То есть допиливать политику приходится не с нуля.
На рабочей системе, которая постоянно изменяется - очень муторно, никто не спорит.
А вот для контейнера, который настраивается только один раз - овчинка выделки может и стоить.
И всё-таки RSBAC гораздо понятнее и проще в настройке.
| | |
|
| 3.71, Аноним (-), 06:53, 10/05/2021 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> SELinux пока отконфигурируешь - кучу времени убьёшь.
А хакеру его потом эксплойт совершенно стандартно вырубит. Оно надо с таким соотношением?
| | |
| |
| 4.79, Аноним (5), 11:06, 10/05/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну, если у хакера есть стандартный эксплойт с одной кнопкой "взломать что угодно", тогда да, любые меры защиты бесполезны.
| | |
| |
| 5.97, Аноним (-), 13:49, 11/05/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Ну, если у хакера есть стандартный эксплойт с одной кнопкой "взломать что
> угодно", тогда да, любые меры защиты бесполезны.
Ну, блин, в всех более-менее серьезно настроеных эксплойтах на ядро SELinux вырубается первым делом. Так что соотношение получается очень так себе. ИМХО технологии должны создавать минимум сложностей для легитимного юзера и максимум для левого атакующего. Это точно не про SELinux, там скорее все наоборот. Хакер вырубит одной левой, а долботни с настройкой эвон сколько.
| | |
|
|
|
|
|
