A systemd és a konténerek már ezelőtt is képesek voltak bizonyos információkat közölni, amik a host OS-re vonatkoznak, mint például a uname-el kinyerhető az éppen aktuálisan futó kernel verziója. Egyesek már ezt az információt is soknak találják, viszont a Microsoft közreműködésével még több információt adhat a host-ról a konténer.
Még áprilisban Luca Boccassi a Microsoft egyik mérnöke vetette fel a systemd levlistán, hogy egyes esetekben szükségük lenne egy olyan funkcióra, amivel a konténerből megmondható, hogy milyen disztribúció, melyik verzióján is fut a konténer.
Ezen módosítást a systemd csapata szerdán be is húzta.
Bár ez a funkció kikapcsolható, sokan erősen megkérdőjelezik a hasznosságát, hiszen a konténerizált környezetnek pont az lenne a lényege, hogy elrejtse a host információkat. Ha egy rendszer nem megfelelően van paraméterezve, akkor ennek a funkciónak és a uname-nek köszönhetően az esetleges támadók tisztább képet láthatnak arról, hogy milyen környezetben fut adott szolgáltatás és ismert hibákat kihasználva könnyebben átvehetik a host felett az irányítást.
Hozzászólások
Az ms-t ismerve nem kizárt, hogy ez valami hidden in plain sight backdoor része. Persze ez csak konteó.
A Systemd maga is egy backdoor. :D
Még egy érv az OpenRC mellett.
Amekkora a hype.ellenszev a systemd ellen, ezzel a behúzással szereztek még egy rozsdás szöget.
Szerintem a konténeresdi majdnem olyan jó dolog, mint pl. az Uefi, a Selinux, a C++ meg a systemd.
Kiveve hogy a C++ tenyleg jo.
A viccet felreteve a kontenerek is.
Kubernetes and Calico development environment as easy as a flick
És az UEFI, a SELinux és a systemd is.
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
Off: A konténerek hasznossága például abban jelentkezik, hogy a VM-nél külön kernel van, itt meg közös. Ez akkor lesz különösen hasznos, amikor olyanokat hallunk, hogy 'hát igen, a RedHat által hibásan megpatkolt 3.10-es kernel okozhat gondokat, de ezek is megoldódnak, ha a RedHat által megpatkolt Dockert használjuk'
Erzek nemi szarkazmust :) De szinte barmely technologiaraol el lehet mondani, hogy amikor egy vendor elkezd kendacsolni, abbol sok jo nem jon ki. De errol nem a technologia tehet. Azert van sok jo pelda, hogyan es mire jo.
Kubernetes and Calico development environment as easy as a flick
Így van, a systemd-t eddig is szerettük, Poettering neve fémjelezte mindig is a minőséget, de most hogy a MS is beszáll, így érnek igazán össze az ízek, szagok, ahogy keveredik a kaka, szinte habosan örvénylik. Ebből rossz nem sülhet ki. Főleg, ha az Apple is beleadna ezt-azt, esetleg az NSA. Mert az egyértelmű, hogy a Google és IBM/Red Hat közreműködése az eddig is kellett, mint a falat kenyér. Eleve már a konténer + systemd egy mondatban olyan, mint egy dicshimnusz, minden földi jó megtestesítői.
Egyébként még mielőtt valaki azzal jönne, hogy elvakult systemd-ellenes vagyok, nem ez a helyzet. Baj nem is a systemd-vel van, hanem hogy minden kretén rádependeli a szutykát, ez vele az igazi gond.
“I didn’t start using Linux so I could have friends.” (Luke Smith, 2019) 🐧
Az a 0. pillanatban megtörtént, jó néhány ötletet a launchdből vett hozzá Poettering.
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
Az nem ugyanaz. Nagyon nem ugyanaz, hogy ő koppint le egy ötletet az Apple-től, vagy az Apple küld neki patchet.
Szarkazmus?
Mindkettőnek almás idiotizmus eredménye, szóval...
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
Nem annak tűnt.
Tehát a systemd az almás idiotizmus eredménye? :]
Óó, az még jobbabb, akkor már csak az NSA hozzájárulása kéne.
“I didn’t start using Linux so I could have friends.” (Luke Smith, 2019) 🐧
A baj a legkisebb ellenállás felé való tendálással és a divatbuzi hozzáállással van. Azzal, hogy ha valakinek 1 órával többet kéne dolgoznia, hogy univerzálisabb, függetlenebb megoldást alkosson, akkor már kiesik az egér a kezéből és/vagy a menedzsere is csúnyán néz. Azzal, hogy ha valamit egy milliárdos multi szélsőségesen idealista sztárfejlesztője kitalál, akkor az nem lehet rossz, és mivel mindenki™ arra dependál, akkor nekem is arra kell.
"konténerizált környezetnek pont az lenne a lényege, hogy elrejtse a host információkat."
Nem. Az maximum következménye néhány usecasenek, amit konténerizációval meg lehet oldani.
Na igen. A flatpak is azóta jól használható, amióta megoldható benne a rendes OS-integráció.
Ize, nem lehenek inkompatibilitasi problemak?
Mi van peldaul a kernel - libc verziokkal?
Arrol mar nem is beszelve, hogy support problemak adodhatnak, ha kulonbozo disztribuciokra epit a host es a kontener.
Ezt miért tőlem kérded?
Melle ment. De barki valaszolhat :)
Szerinem ez egy elcseszett dolog. Es onnantol, hogy host specifikusan kezd el mukodni egy kontener millionyi sz0pas johet kepbe.
Kubernetes and Calico development environment as easy as a flick
Alapkiépítésben ez a marketin alapja és v1.0-ban nem is érdekes, hogy min fut. Így lehet a szemléletet megtanulni.
Aztán egyszer csak - a rendszerek komplexitása miatt - szükség lehet rá, hogy többet lásson a rendszer. És ha ez nagy kockázattal nem jár, de előnnyel igen, akkor hajrá. Nem kell mindig konteóban gondolkodni, ezek a cégek nem mindig akarnak rosszat. Ha a végén mégis az sül ki belőle, akkor az olyan mint a maghasadás és az atombomba. Sz@r lett a vége, de nem azzal indultunk...
ps: VBox alatt is kell telepítenem valami host kontrollert, hogy az egér átmenjen rendesen.
A nagy kockázat csak akkor érdekel bárkit is, amikor üzletpolitikai okokból épp riogatni kell (FUD), vagy már megtörtént a baj. Addig mindenki bekapcsolja az automata frissítéseket, hátradől a karosszékben, elkényelmesedik a babzsákon, áltatva magát a biztonság illúziójával, mint bukás előtt diák a matekkorrepetálásra járással.