A systemd és a konténerek már ezelőtt is képesek voltak bizonyos információkat közölni, amik a host OS-re vonatkoznak, mint például a uname-el kinyerhető az éppen aktuálisan futó kernel verziója. Egyesek már ezt az információt is soknak találják, viszont a Microsoft közreműködésével még több információt adhat a host-ról a konténer.
Még áprilisban Luca Boccassi a Microsoft egyik mérnöke vetette fel a systemd levlistán, hogy egyes esetekben szükségük lenne egy olyan funkcióra, amivel a konténerből megmondható, hogy milyen disztribúció, melyik verzióján is fut a konténer.
Ezen módosítást a systemd csapata szerdán be is húzta.
Bár ez a funkció kikapcsolható, sokan erősen megkérdőjelezik a hasznosságát, hiszen a konténerizált környezetnek pont az lenne a lényege, hogy elrejtse a host információkat. Ha egy rendszer nem megfelelően van paraméterezve, akkor ennek a funkciónak és a uname-nek köszönhetően az esetleges támadók tisztább képet láthatnak arról, hogy milyen környezetben fut adott szolgáltatás és ismert hibákat kihasználva könnyebben átvehetik a host felett az irányítást.
- 1492 megtekintés
Hozzászólások
Az ms-t ismerve nem kizárt, hogy ez valami hidden in plain sight backdoor része. Persze ez csak konteó.
- A hozzászóláshoz be kell jelentkezni
A Systemd maga is egy backdoor. :D
Még egy érv az OpenRC mellett.
- A hozzászóláshoz be kell jelentkezni
Amekkora a hype.ellenszev a systemd ellen, ezzel a behúzással szereztek még egy rozsdás szöget.
READY.
▓
- A hozzászóláshoz be kell jelentkezni
Szerintem a konténeresdi majdnem olyan jó dolog, mint pl. az Uefi, a Selinux, a C++ meg a systemd.
- A hozzászóláshoz be kell jelentkezni
Kiveve hogy a C++ tenyleg jo.
- A hozzászóláshoz be kell jelentkezni
A viccet felreteve a kontenerek is.
- A hozzászóláshoz be kell jelentkezni
És az UEFI, a SELinux és a systemd is.
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
- A hozzászóláshoz be kell jelentkezni
Off: A konténerek hasznossága például abban jelentkezik, hogy a VM-nél külön kernel van, itt meg közös. Ez akkor lesz különösen hasznos, amikor olyanokat hallunk, hogy 'hát igen, a RedHat által hibásan megpatkolt 3.10-es kernel okozhat gondokat, de ezek is megoldódnak, ha a RedHat által megpatkolt Dockert használjuk'
- A hozzászóláshoz be kell jelentkezni
Erzek nemi szarkazmust :) De szinte barmely technologiaraol el lehet mondani, hogy amikor egy vendor elkezd kendacsolni, abbol sok jo nem jon ki. De errol nem a technologia tehet. Azert van sok jo pelda, hogyan es mire jo.
- A hozzászóláshoz be kell jelentkezni
Így van, a systemd-t eddig is szerettük, Poettering neve fémjelezte mindig is a minőséget, de most hogy a MS is beszáll, így érnek igazán össze az ízek, szagok, ahogy keveredik a kaka, szinte habosan örvénylik. Ebből rossz nem sülhet ki. Főleg, ha az Apple is beleadna ezt-azt, esetleg az NSA. Mert az egyértelmű, hogy a Google és IBM/Red Hat közreműködése az eddig is kellett, mint a falat kenyér. Eleve már a konténer + systemd egy mondatban olyan, mint egy dicshimnusz, minden földi jó megtestesítői.
Egyébként még mielőtt valaki azzal jönne, hogy elvakult systemd-ellenes vagyok, nem ez a helyzet. Baj nem is a systemd-vel van, hanem hogy minden kretén rádependeli a szutykát, ez vele az igazi gond.
“Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”
- A hozzászóláshoz be kell jelentkezni
ha az Apple is beleadna ezt-azt
Az a 0. pillanatban megtörtént, jó néhány ötletet a launchdből vett hozzá Poettering.
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
- A hozzászóláshoz be kell jelentkezni
Az nem ugyanaz. Nagyon nem ugyanaz, hogy ő koppint le egy ötletet az Apple-től, vagy az Apple küld neki patchet.
- A hozzászóláshoz be kell jelentkezni
Szarkazmus?
Mindkettőnek almás idiotizmus eredménye, szóval...
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
- A hozzászóláshoz be kell jelentkezni
Nem annak tűnt.
Tehát a systemd az almás idiotizmus eredménye? :]
- A hozzászóláshoz be kell jelentkezni
Óó, az még jobbabb, akkor már csak az NSA hozzájárulása kéne.
“Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”
- A hozzászóláshoz be kell jelentkezni
Baj nem is a systemd-vel van, hanem hogy minden kretén rádependeli a szutykát, ez vele az igazi gond.
A baj a legkisebb ellenállás felé való tendálással és a divatbuzi hozzáállással van. Azzal, hogy ha valakinek 1 órával többet kéne dolgoznia, hogy univerzálisabb, függetlenebb megoldást alkosson, akkor már kiesik az egér a kezéből és/vagy a menedzsere is csúnyán néz. Azzal, hogy ha valamit egy milliárdos multi szélsőségesen idealista sztárfejlesztője kitalál, akkor az nem lehet rossz, és mivel mindenki™ arra dependál, akkor nekem is arra kell.
- A hozzászóláshoz be kell jelentkezni
"konténerizált környezetnek pont az lenne a lényege, hogy elrejtse a host információkat."
Nem. Az maximum következménye néhány usecasenek, amit konténerizációval meg lehet oldani.
- A hozzászóláshoz be kell jelentkezni
Na igen. A flatpak is azóta jól használható, amióta megoldható benne a rendes OS-integráció.
- A hozzászóláshoz be kell jelentkezni
Ize, nem lehenek inkompatibilitasi problemak?
Mi van peldaul a kernel - libc verziokkal?
Arrol mar nem is beszelve, hogy support problemak adodhatnak, ha kulonbozo disztribuciokra epit a host es a kontener.
- A hozzászóláshoz be kell jelentkezni
Ezt miért tőlem kérded?
- A hozzászóláshoz be kell jelentkezni
Melle ment. De barki valaszolhat :)
- A hozzászóláshoz be kell jelentkezni
Szerinem ez egy elcseszett dolog. Es onnantol, hogy host specifikusan kezd el mukodni egy kontener millionyi sz0pas johet kepbe.
- A hozzászóláshoz be kell jelentkezni
Alapkiépítésben ez a marketin alapja és v1.0-ban nem is érdekes, hogy min fut. Így lehet a szemléletet megtanulni.
Aztán egyszer csak - a rendszerek komplexitása miatt - szükség lehet rá, hogy többet lásson a rendszer. És ha ez nagy kockázattal nem jár, de előnnyel igen, akkor hajrá. Nem kell mindig konteóban gondolkodni, ezek a cégek nem mindig akarnak rosszat. Ha a végén mégis az sül ki belőle, akkor az olyan mint a maghasadás és az atombomba. Sz@r lett a vége, de nem azzal indultunk...
ps: VBox alatt is kell telepítenem valami host kontrollert, hogy az egér átmenjen rendesen.
- A hozzászóláshoz be kell jelentkezni
ha ez nagy kockázattal nem jár
A nagy kockázat csak akkor érdekel bárkit is, amikor üzletpolitikai okokból épp riogatni kell (FUD), vagy már megtörtént a baj. Addig mindenki bekapcsolja az automata frissítéseket, hátradől a karosszékben, elkényelmesedik a babzsákon, áltatva magát a biztonság illúziójával, mint bukás előtt diák a matekkorrepetálásra járással.
- A hozzászóláshoz be kell jelentkezni