সিস্টেমড-এনস্পন এখনও "নিরাপদ ধারক সেটআপগুলির জন্য অনুপযুক্ত" কী করে?

Systemd-nspawn এর জন্য ম্যান পৃষ্ঠায় এটি বর্ণিত হয়েছে

মনে রাখবেন যে এই সুরক্ষা সতর্কতা ব্যবস্থা নেওয়া হয়েছে যদিও systemd-nspawn নিরাপদ ধারক সেটআপগুলির জন্য উপযুক্ত নয়। সুরক্ষা বৈশিষ্ট্যগুলির অনেকগুলি অবরুদ্ধ হতে পারে এবং তাই ধারক থেকে হোস্ট সিস্টেমে দুর্ঘটনাজনিত পরিবর্তন এড়াতে প্রাথমিকভাবে কার্যকর। এই প্রোগ্রামটির উদ্দিষ্ট ব্যবহারটি ডিবাগিং এবং পরীক্ষার পাশাপাশি বুট এবং সিস্টেম পরিচালনার সাথে জড়িত প্যাকেজ, বিতরণ এবং সফ্টওয়্যার তৈরি করা।

এই প্রশ্নটি পরবর্তীকালে ২০১১ সালে মেলিং তালিকায় জিজ্ঞাসা করা হয়েছিল , তবে উত্তরটি পুরানো বলে মনে হচ্ছে।

systemd-nspawn এ এখন বিকল্পটি CLONE_NEWNETব্যবহার করে সম্পাদন করার কোড রয়েছে --private-network। এটি ব্যক্তিগত AF_UNIXনামস্থান সমস্যাটি কভার করে বলে মনে হচ্ছে এবং আমি উল্লিখিত সমস্যাগুলি CAP_NET_RAWএবং CAP_NET_BINDবিষয়গুলি অনুমান করি ।

কোন বিষয়গুলি এই মুহুর্তে রয়ে গেছে এবং উদাহরণস্বরূপ LXC systemd-nspawnবর্তমানে কী করতে পারে তা ছাড়াও কী করে ?

এলএক্সসি কিছুটা ভাল কারণ এটি অপ্রজনিত ব্যবহারকারী হিসাবে পাত্রে চালাতে পারে । এটি সিস্টেমড-এনস্পাউনের মাধ্যমে সম্ভব, তবে কেবলমাত্র এমন পরিস্থিতিতে যেখানে আপনার কেবলমাত্র একজন ব্যবহারকারী প্রয়োজন (একাধিকের পরিবর্তে), যা ধারক পরিস্থিতিতে একাধিক প্রক্রিয়ার জন্য কঠিন বা কম সুরক্ষিত হতে পারে। আপনি যদি জানতে চান যে ডকার, এলএক্সসি এবং সিস্টেমড-এনস্পন অন্তর্নিহিতভাবে কোনও সুরক্ষা ব্যবস্থা নয় তবে এটি পড়ুন: https://opensource.com/business/14/7/docker-security-selinux । মূলত, পাত্রে এখনও কার্নেলের অ্যাক্সেস রয়েছে এবং কোনও কার্নেল পুরো মেশিনের নিয়ন্ত্রণ নিয়ন্ত্রণ ব্যবহার করে। লিনাক্সের মতো মনোলিথিক কার্নেলে, কার্নেলের শোষণগুলি অস্বাভাবিক নয়।