Systemd: A soron következő kiadásban a konténerizált környezet megmondhatja milyen host OS-en fut. Köszönjük Microsoft!

A systemd és a konténerek már ezelőtt is képesek voltak bizonyos információkat közölni, amik a host OS-re vonatkoznak, mint például a uname-el kinyerhető az éppen aktuálisan futó kernel verziója. Egyesek már ezt az információt is soknak találják, viszont a Microsoft közreműködésével még több információt adhat a host-ról a konténer.

Még áprilisban Luca Boccassi a Microsoft egyik mérnöke vetette fel a systemd levlistán, hogy egyes esetekben szükségük lenne egy olyan funkcióra, amivel a konténerből megmondható, hogy milyen disztribúció, melyik verzióján is fut a konténer.

Ezen módosítást a systemd csapata szerdán be is húzta.

 

Bár ez a funkció kikapcsolható, sokan erősen megkérdőjelezik a hasznosságát, hiszen a konténerizált környezetnek pont az lenne a lényege, hogy elrejtse a host információkat. Ha egy rendszer nem megfelelően van paraméterezve, akkor ennek a funkciónak és a uname-nek köszönhetően az esetleges támadók tisztább képet láthatnak arról, hogy milyen környezetben fut adott szolgáltatás és ismert hibákat kihasználva könnyebben átvehetik a host felett az irányítást.

Hozzászólások

Az ms-t ismerve nem kizárt, hogy ez valami hidden in plain sight backdoor része. Persze ez csak konteó.

Amekkora a hype.ellenszev a systemd ellen, ezzel a behúzással szereztek még egy rozsdás szöget.

Off: A konténerek hasznossága például abban jelentkezik, hogy a VM-nél külön kernel van, itt meg közös. Ez akkor lesz különösen hasznos, amikor olyanokat hallunk, hogy 'hát igen, a RedHat által hibásan megpatkolt 3.10-es kernel okozhat gondokat, de ezek is megoldódnak, ha a RedHat által megpatkolt Dockert használjuk'

Erzek nemi szarkazmust :) De szinte barmely technologiaraol el lehet mondani, hogy amikor egy vendor elkezd kendacsolni, abbol sok jo nem jon ki. De errol nem a technologia tehet. Azert van sok jo pelda, hogyan es mire jo.

Így van, a systemd-t eddig is szerettük, Poettering neve fémjelezte mindig is a minőséget, de most hogy a MS is beszáll, így érnek igazán össze az ízek, szagok, ahogy keveredik a kaka, szinte habosan örvénylik. Ebből rossz nem sülhet ki. Főleg, ha az Apple is beleadna ezt-azt, esetleg az NSA. Mert az egyértelmű, hogy a Google és IBM/Red Hat közreműködése az eddig is kellett, mint a falat kenyér. Eleve már a konténer + systemd egy mondatban olyan, mint egy dicshimnusz, minden földi jó megtestesítői.

Egyébként még mielőtt valaki azzal jönne, hogy elvakult systemd-ellenes vagyok, nem ez a helyzet. Baj nem is a systemd-vel van, hanem hogy minden kretén rádependeli a szutykát, ez vele az igazi gond.

“I didn’t start using Linux so I could have friends.” (Luke Smith, 2019) 🐧

Baj nem is a systemd-vel van, hanem hogy minden kretén rádependeli a szutykát, ez vele az igazi gond.

A baj a legkisebb ellenállás felé való tendálással és a divatbuzi hozzáállással van. Azzal, hogy ha valakinek 1 órával többet kéne dolgoznia, hogy univerzálisabb, függetlenebb megoldást alkosson, akkor már kiesik az egér a kezéből és/vagy a menedzsere is csúnyán néz. Azzal, hogy ha valamit egy milliárdos multi szélsőségesen idealista sztárfejlesztője kitalál, akkor az nem lehet rossz, és mivel mindenki™ arra dependál, akkor nekem is arra kell.

Szerkesztve: 2020. 07. 10., p - 10:00

"konténerizált környezetnek pont az lenne a lényege, hogy elrejtse a host információkat."

Nem. Az maximum következménye néhány usecasenek, amit konténerizációval meg lehet oldani.

Alapkiépítésben ez a marketin alapja és v1.0-ban nem is érdekes, hogy min fut. Így lehet a szemléletet megtanulni.

Aztán egyszer csak - a rendszerek komplexitása miatt - szükség lehet rá, hogy többet lásson a rendszer. És ha ez nagy kockázattal nem jár, de előnnyel igen, akkor hajrá. Nem kell mindig konteóban gondolkodni, ezek a cégek nem mindig akarnak rosszat. Ha a végén mégis az sül ki belőle, akkor az olyan mint a maghasadás és az atombomba. Sz@r lett a vége, de nem azzal indultunk...

ps: VBox alatt is kell telepítenem valami host kontrollert, hogy az egér átmenjen rendesen.

ha ez nagy kockázattal nem jár

A nagy kockázat csak akkor érdekel bárkit is, amikor üzletpolitikai okokból épp riogatni kell (FUD), vagy már megtörtént a baj. Addig mindenki bekapcsolja az automata frissítéseket, hátradől a karosszékben, elkényelmesedik a babzsákon, áltatva magát a biztonság illúziójával, mint bukás előtt diák a matekkorrepetálásra járással.