সিস্টেমড-এনস্পন এখনও "নিরাপদ ধারক সেটআপগুলির জন্য অনুপযুক্ত" কী করে?


21

Systemd-nspawn এর জন্য ম্যান পৃষ্ঠায় এটি বর্ণিত হয়েছে

মনে রাখবেন যে এই সুরক্ষা সতর্কতা ব্যবস্থা নেওয়া হয়েছে যদিও systemd-nspawn নিরাপদ ধারক সেটআপগুলির জন্য উপযুক্ত নয়। সুরক্ষা বৈশিষ্ট্যগুলির অনেকগুলি অবরুদ্ধ হতে পারে এবং তাই ধারক থেকে হোস্ট সিস্টেমে দুর্ঘটনাজনিত পরিবর্তন এড়াতে প্রাথমিকভাবে কার্যকর। এই প্রোগ্রামটির উদ্দিষ্ট ব্যবহারটি ডিবাগিং এবং পরীক্ষার পাশাপাশি বুট এবং সিস্টেম পরিচালনার সাথে জড়িত প্যাকেজ, বিতরণ এবং সফ্টওয়্যার তৈরি করা।

এই প্রশ্নটি পরবর্তীকালে ২০১১ সালে মেলিং তালিকায় জিজ্ঞাসা করা হয়েছিল , তবে উত্তরটি পুরানো বলে মনে হচ্ছে।

systemd-nspawn এ এখন বিকল্পটি CLONE_NEWNETব্যবহার করে সম্পাদন করার কোড রয়েছে --private-network। এটি ব্যক্তিগত AF_UNIXনামস্থান সমস্যাটি কভার করে বলে মনে হচ্ছে এবং আমি উল্লিখিত সমস্যাগুলি CAP_NET_RAWএবং CAP_NET_BINDবিষয়গুলি অনুমান করি ।

কোন বিষয়গুলি এই মুহুর্তে রয়ে গেছে এবং উদাহরণস্বরূপ LXC systemd-nspawnবর্তমানে কী করতে পারে তা ছাড়াও কী করে ?


AF_UNIX এর সাথে অর্ধ-বিচ্ছিন্ন হয়ে পড়ে CLONE_NEWNET: বিমূর্ত সকেট - পৃথক, ফাইলসাইম-ভিত্তিক - সংযুক্ত (হোস্ট এবং ধারকগুলির মধ্যে ভাগ করে নেওয়া ফাইল সিস্টেম না থাকলে)। এটি নির্দিষ্ট অ্যাপ্লিকেশনের জন্য নেটওয়ার্ক ব্যতীত এক্স অ্যাপ্লিকেশন শুরু করা সুবিধাজনক করে তোলে (যেহেতু Xorg অ্যাবস্ট্রাক্ট এবং ফাইল সিস্টেম ইউএনআইএক্স সকেট উভয়ই খোলে)।
vi।

উত্তর:


12

এলএক্সসি কিছুটা ভাল কারণ এটি অপ্রজনিত ব্যবহারকারী হিসাবে পাত্রে চালাতে পারে । এটি সিস্টেমড-এনস্পাউনের মাধ্যমে সম্ভব, তবে কেবলমাত্র এমন পরিস্থিতিতে যেখানে আপনার কেবলমাত্র একজন ব্যবহারকারী প্রয়োজন (একাধিকের পরিবর্তে), যা ধারক পরিস্থিতিতে একাধিক প্রক্রিয়ার জন্য কঠিন বা কম সুরক্ষিত হতে পারে। আপনি যদি জানতে চান যে ডকার, এলএক্সসি এবং সিস্টেমড-এনস্পন অন্তর্নিহিতভাবে কোনও সুরক্ষা ব্যবস্থা নয় তবে এটি পড়ুন: https://opensource.com/business/14/7/docker-security-selinux । মূলত, পাত্রে এখনও কার্নেলের অ্যাক্সেস রয়েছে এবং কোনও কার্নেল পুরো মেশিনের নিয়ন্ত্রণ নিয়ন্ত্রণ ব্যবহার করে। লিনাক্সের মতো মনোলিথিক কার্নেলে, কার্নেলের শোষণগুলি অস্বাভাবিক নয়।


3
এই উত্তরটি ভুল। systemd-nspawn একটি পৃথক ব্যবহারকারীর জন্য সুবিধাগুলি ছাড়ার জন্য সমর্থন করে
ডেভিড টিমোথি স্ট্রাউস

আমি নিশ্চিত যে সমস্ত কিছু কনসোল / শেলটি অ-প্রাইভেলিজড ব্যবহারকারী হিসাবে চালিত হয়, তবে অন্য সমস্ত কিছুই রুট হিসাবে চালায়। আপনি কি এটি দেখতে পারেন?
ক্যামেরননো

1
ঠিক আছে, আমি আমার শেষ বিবৃতিটি ফিরিয়ে নিই। তবে, এটিতে সঠিক সাবউইড / সাবজিড হ্যান্ডলিং নেই, কেবল ধারক প্রতি একজন অপ্রয়োজনীয় ব্যবহারকারী।
ক্যামেরননেমো

2
সম্পূর্ণ সাবউইড / সাবজিড হ্যান্ডলিং সমর্থন করার পরিবর্তে কেবলমাত্র ধারক প্রতি একজন অনিবদ্ধ ব্যবহারকারীকে ফেলে দেওয়া সক্ষম হওয়া কোনও সুরক্ষা সমস্যা নয়। এটি একটি বৈশিষ্ট্য সীমাবদ্ধতা।
ডেভিড টিমোথি স্ট্রাস

হ্যাঁ আমি জানি. আমি কেবল পার্থক্যটি নির্দেশ করছিলাম।
ক্যামেরননিমো
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.