История изменений
Исправление Kroz, (текущая версия) :
«эксплоит»
Дело не в эксплоите, а в том, что chroot легко обходится. И вообще, chroot это не изоляция, точнее слишком примитивная изоляция, и оно не для этого был сделано.
Свою таблицу маршрутизации - это что-то очень специфичное.
Почему же? У тебя есть база данных, к которой нужен доступ только с определенных приложений, при том они на разных нодах. Можно, конечно, наворотить правил в iptables. Но проще создать оверлейную сеть, а всё что касается физической сети и выхода в Интернет - маршруты, интерфейсы - просто сделать чтобы приложуха их не видела. Это просто и удобно.
Исправление Kroz, :
«эксплоит»
Дело не в эксплоите, а в том, что chroot легко обходится. И вообще, chroot это не изоляция, точнее слишком примитивная изоляция.
Свою таблицу маршрутизации - это что-то очень специфичное.
Почему же? У тебя есть база данных, к которой нужен доступ только с определенных приложений, при том они на разных нодах. Можно, конечно, наворотить правил в iptables. Но проще создать оверлейную сеть, а всё что касается физической сети и выхода в Интернет - маршруты, интерфейсы - просто сделать чтобы приложуха их не видела. Это просто и удобно.
Исходная версия Kroz, :
Дело не в эксполите, а в том, что chroot легко обходится. И вообще, chroot это не изолирование, точнее слишком примитивное изолирование.
Свою таблицу маршрутизации - это что-то очень специфичное.
Почему же? У тебя есть база данных, к которой нужен доступ только с определенных приложений, при том они на разных нодах. Можно, конечно, наворотить правил в iptables. Но проще создать оверлейную сеть, а всё что касается физической сети и выхода в Интернет - маршруты, интерфейсы - просто сделать чтобы приложуха их не видела. Это просто и удобно.