LINUX.ORG.RU

История изменений

Исправление kirk_johnson, (текущая версия) :

Конечно.

И где? :)

Я не уверен, что смогу излечить тебя. По одной простой причине - я не вижу в твоей ауре следов чтения man seccomp.

Ну ты в курсе, что seccomp периодически ломается при апдейтах glibc? Потому что glibc'шные функции частенько меняют внутренний набор сисколов? Не говоря уже о том, что фильтрация доступа к файловой системе через seccomp выглядит чуть сложнее, чем 

if (unveil("/etc/passwd", "r") == -1)
    err(EXIT_FAILURE, "unveil");

Я хочу сказать, что жалобы на проблемы «адаптации при переходе» в сравнении с OpenBSD звучат как-то бредово - придерживайся одной ОС, как в случае с OpenBSD, и проблем «адаптации при переходе» не будет.

Пажжи. OpenBSD — операционная система с интеграцией всех компонентов. В Linux обычно ядро + куча разного барахла, даже libc местами отличаются. Поэтому если бы вместо SeLinux каждая программа sandbox'ила бы себя сама парочкой системных вызовов, жизнь была бы проще, не?

И я хотел бы услышать об адаптации docker.

Были какие-то идеи, но вообще я не помню, чтобы кто-то хотел этим заниматься всерьез.

Исправление kirk_johnson, :

Конечно.

И где? :)

Я не уверен, что смогу излечить тебя. По одной простой причине - я не вижу в твоей ауре следов чтения man seccomp.

Ну ты в курсе, что seccomp периодически ломается при апдейтах glibc? Потому что glibc'шные функции частенько меняют внутренний набор сисколов? Не говоря уже о том, что фильтрация доступа к файловой системе выглядит чуть сложнее, чем 

if (unveil("/etc/passwd", "r") == -1)
    err(EXIT_FAILURE, "unveil");

Я хочу сказать, что жалобы на проблемы «адаптации при переходе» в сравнении с OpenBSD звучат как-то бредово - придерживайся одной ОС, как в случае с OpenBSD, и проблем «адаптации при переходе» не будет.

Пажжи. OpenBSD — операционная система с интеграцией всех компонентов. В Linux обычно ядро + куча разного барахла, даже libc местами отличаются. Поэтому если бы вместо SeLinux каждая программа sandbox'ила бы себя сама парочкой системных вызовов, жизнь была бы проще, не?

И я хотел бы услышать об адаптации docker.

Были какие-то идеи, но вообще я не помню, чтобы кто-то хотел этим заниматься всерьез.

Исправление kirk_johnson, :

Конечно.

И где? :)

Я не уверен, что смогу излечить тебя. По одной простой причине - я не вижу в твоей ауре следов чтения man seccomp.

Ну ты в курсе, что seccomp периодически ломается при апдейтах glibc? Потому что glibc'шные функции частенько меняют внутренний набор сисколов? Не говоря уже о том, что фильтрация доступа к файловой системе выглядит чуть сложнее, чем 

if (unveil("/etc/passwd", "r") == -1)
    err(EXIT_FAILURE, "unveil");

Я хочу сказать, что жалобы на проблемы «адаптации при переходе» в сравнении с OpenBSD звучат как-то бредово - придерживайся одной ОС, как в случае с OpenBSD, и проблем «адаптации при переходе» не будет.

Пажжи. OpenBSD — операционная система с интеграцией всех компонентов. В Linux обычно ядро + куча разного барахла, даже libc местами отличаются. Поэтому если бы вместо SeLinux каждая программа sandbox'ила бы себя сама парочкой системных вызовов жизнь была бы проще, не?

И я хотел бы услышать об адаптации docker.

Были какие-то идеи, но вообще я не помню, чтобы кто-то хотел этим заниматься всерьез.

Исходная версия kirk_johnson, :

Конечно.

И где? :)

Я не уверен, что смогу излечить тебя. По одной простой причине - я не вижу в твоей ауре следов чтения man seccomp.

Ну ты в курсе, что seccomp периодически ломается при апдейтах glibc? Потому что glibc'шные функции частенько меняют внутренний набор сисколов?

Я хочу сказать, что жалобы на проблемы «адаптации при переходе» в сравнении с OpenBSD звучат как-то бредово - придерживайся одной ОС, как в случае с OpenBSD, и проблем «адаптации при переходе» не будет.

Пажжи. OpenBSD — операционная система с интеграцией всех компонентов. В Linux обычно ядро + куча разного барахла, даже libc местами отличаются. Поэтому если бы вместо SeLinux каждая программа sandbox'ила бы себя сама парочкой системных вызовов жизнь была бы проще, не?

И я хотел бы услышать об адаптации docker.

Были какие-то идеи, но вообще я не помню, чтобы кто-то хотел этим заниматься всерьез.