অনিবদ্ধ পাত্রে সুবিধা এবং ডাউনসাইড কী কী?


16

অপ্রয়োজনীয় ধারক কীসের প্রযুক্তিগত ব্যাখ্যাটি বেশ ভাল। তবে এটি সাধারণ পিসি ব্যবহারকারীর পক্ষে নয়। লোকেদের কখন এবং কেন অপ্রয়োজনীয় পাত্রে ব্যবহার করা উচিত এবং এর সুবিধা এবং ডাউনসাইডগুলি কী কী সেগুলির একটি সহজ উত্তর আছে?

উত্তর:


14

অপরিকল্পিত পাত্রে চালানো কোনও উত্পাদন পরিবেশে ধারক চালানোর নিরাপদতম উপায়। সুরক্ষার বিষয়টি কনটেইনারগুলি খারাপ প্রচার পায় এবং এর অন্যতম কারণ হ'ল কিছু ব্যবহারকারীরা বুঝতে পেরেছেন যে কোনও ব্যবহারকারী যদি কোনও পাত্রে রুট হয়ে যায় তবে হোস্টটিতেও রুট হওয়ার সম্ভাবনা রয়েছে। মূলত একটি অনিচ্ছাকৃত কনটেইনার যা করে তা হ'ল ইউজারিডকে মাস্ক করে। অনিচ্ছাকৃত পাত্রে, অমূল ব্যবহারকারীরা পাত্রে তৈরি করতে পারে এবং এটি পাত্রে রুট হিসাবে উপস্থিত এবং উপস্থিত হতে পারে তবে হোস্টে উদাহরণস্বরূপ ইউজারিড 10000 হিসাবে উপস্থিত হবে (আপনি যেভাবে ব্যবহারকারীদের মানচিত্র হিসাবে মানচিত্র দেন)। আমি সম্প্রতি এএক্সএক্সসি- তে স্টিফেন গ্রেবারের ব্লগ সিরিজের উপর ভিত্তি করে একটি ব্লগ পোস্ট লিখেছি (এলএক্সসির অন্যতম উজ্জ্বল মনের / নেতৃত্বের বিকাশকারী এবং অবশ্যই অনুসরণকারী কেউ)। আমি আবার বলি, অত্যন্ত উজ্জ্বল।

আমার ব্লগ থেকে:

ধারক থেকে:

lxc-attach -n ubuntu-unprived
root@ubuntu-unprived:/# ps -ef
UID        PID  PPID  C STIME TTY          TIME CMD
root         1     0  0 04:48 ?        00:00:00 /sbin/init
root       157     1  0 04:48 ?        00:00:00 upstart-udev-bridge --daemon
root       189     1  0 04:48 ?        00:00:00 /lib/systemd/systemd-udevd --daemon
root       244     1  0 04:48 ?        00:00:00 dhclient -1 -v -pf /run/dhclient.eth0.pid
syslog     290     1  0 04:48 ?        00:00:00 rsyslogd
root       343     1  0 04:48 tty4     00:00:00 /sbin/getty -8 38400 tty4
root       345     1  0 04:48 tty2     00:00:00 /sbin/getty -8 38400 tty2
root       346     1  0 04:48 tty3     00:00:00 /sbin/getty -8 38400 tty3
root       359     1  0 04:48 ?        00:00:00 cron
root       386     1  0 04:48 console  00:00:00 /sbin/getty -8 38400 console
root       389     1  0 04:48 tty1     00:00:00 /sbin/getty -8 38400 tty1
root       408     1  0 04:48 ?        00:00:00 upstart-socket-bridge --daemon
root       409     1  0 04:48 ?        00:00:00 upstart-file-bridge --daemon
root       431     0  0 05:06 ?        00:00:00 /bin/bash
root       434   431  0 05:06 ?        00:00:00 ps -ef

হোস্ট থেকে:

lxc-info -Ssip --name ubuntu-unprived
State:          RUNNING
PID:            3104
IP:             10.1.0.107
CPU use:        2.27 seconds
BlkIO use:      680.00 KiB
Memory use:     7.24 MiB
Link:           vethJ1Y7TG
TX bytes:      7.30 KiB
RX bytes:      46.21 KiB
Total bytes:   53.51 KiB

ps -ef | grep 3104
100000    3104  3067  0 Nov11 ?        00:00:00 /sbin/init
100000    3330  3104  0 Nov11 ?        00:00:00 upstart-udev-bridge --daemon
100000    3362  3104  0 Nov11 ?        00:00:00 /lib/systemd/systemd-udevd --daemon
100000    3417  3104  0 Nov11 ?        00:00:00 dhclient -1 -v -pf /run/dhclient.eth0.pid -lf /var/lib/dhcp/dhclient.eth0.leases eth0
100102    3463  3104  0 Nov11 ?        00:00:00 rsyslogd
100000    3516  3104  0 Nov11 pts/8    00:00:00 /sbin/getty -8 38400 tty4
100000    3518  3104  0 Nov11 pts/6    00:00:00 /sbin/getty -8 38400 tty2
100000    3519  3104  0 Nov11 pts/7    00:00:00 /sbin/getty -8 38400 tty3
100000    3532  3104  0 Nov11 ?        00:00:00 cron
100000    3559  3104  0 Nov11 pts/9    00:00:00 /sbin/getty -8 38400 console
100000    3562  3104  0 Nov11 pts/5    00:00:00 /sbin/getty -8 38400 tty1
100000    3581  3104  0 Nov11 ?        00:00:00 upstart-socket-bridge --daemon
100000    3582  3104  0 Nov11 ?        00:00:00 upstart-file-bridge --daemon
lxc       3780  1518  0 00:10 pts/4    00:00:00 grep --color=auto 3104

আপনি দেখতে পাচ্ছেন যে রুটি হিসাবে ধারকগুলির ভিতরে প্রক্রিয়াগুলি চলছে তবে মূল হিসাবে প্রদর্শিত হচ্ছে না তবে হোস্ট থেকে 100000 হিসাবে প্রদর্শিত হচ্ছে।

সুতরাং সংক্ষেপে: উপকারিতা - সুরক্ষা যুক্ত করা এবং সুরক্ষার জন্য বিচ্ছিন্নতা যুক্ত করা। ডাউনসাইড - প্রথমে আপনার মাথা গুটিয়ে ফেলার জন্য কিছুটা বিভ্রান্তিকর এবং নবাগত ব্যবহারকারীর জন্য নয়।


3
সুতরাং, আমি যদি এটি সঠিকভাবে বুঝতে পারি তবে পাত্রে নিজেরাই 100% সুরক্ষিত নয়। আপনি কোন ধারক চালান তা বিবেচনা করেই নয়, এমন একটি সম্ভাবনা রয়েছে যে জন্তুটি পালাতে পারে। এবং এটি কেবল এখানেই থাকে, যখন ধরণের ধারক গুরুত্বপূর্ণ হয়ে ওঠে। সুবিধাযুক্ত পাত্রে the সুবিধাবঞ্চিতদের জন্য এটি কেবলমাত্র ব্যবহারকারী অ্যাকাউন্টে সীমাবদ্ধ থাকবে যা কনটেইনার তৈরি করেছে, তাই না? তার এসএসএইচ কীগুলি চুরি করা ইত্যাদি কি আসলেই আরও সুরক্ষিত? এটি চারটি নেস্টেড বাক্সের ছবি দিয়ে ব্যাখ্যা করা যেতে পারে?
অ্যানাটোলি টেকটোনিক

2
সংক্ষেপে, বাক্সের ঠিক বাইরে থাকা পাত্রে তাদের উত্পাদন ব্যবহারের জন্য নিরাপদ নয় not অন্য কোনও লিনাক্স পরিবেশের মতো আপনার এলএক্সসি পরিবেশকে তেমন আচরণ করুন। আপনি আপনার লিনাক্স বাক্সটি পুরোপুরি খালি ছেড়ে যাবেন না ?! হ্যাঁ আপনার ধারকটি কেবল সীমাবদ্ধ থাকবে যার মধ্যে ব্যবহারকারী অ্যাকাউন্টে ম্যাপ করা আছে। অবাঞ্ছিত কনটিনারগুলির উপর গ্র্যাবারের পোস্টটি দেখুন: আমি মনে করি যে সবচেয়ে বড় সমস্যাটি কার্নেল এবং সাইক্লালগুলি শোষণ করতে সক্ষম হচ্ছে কারণ প্রতিটি ধারক একই কার্নেল ভাগ করে দেয়। সিগ্রুপ এবং অন্যান্য অ্যাপ্লিকেশন যেমন সেলিনাক্স, অ্যাপারমোর এবং সেকম্পম্প এবং আরও অনেক কিছুর মাধ্যমে সুরক্ষা বাড়ানোর বিভিন্ন উপায় রয়েছে।
গীকবাস

3
স্টাফেন গ্র্যাবার - stgraber.org/2014/01/17/lxc-1-0-unprivileged-containers
geekbass

সুতরাং, পাত্রে চালানোর জন্য একটি পৃথক সীমিত ব্যবহারকারী তৈরি করুন। ফর্সা মনে হচ্ছে। আমি উত্তর হিসাবে এটি গ্রহণ। ধন্যবাদ।
অ্যানাটোলি টেকটোনিক

4

এগুলি পরীক্ষার জন্য স্যান্ডবক্সিং এবং এনক্যাপসুলেশনের জন্য অত্যন্ত মূল্যবান সরঞ্জাম। কোনও ওয়েবসাইটকে নিজের কর্মক্ষেত্রে নিরাপদে লক করা, সংবেদনশীল ব্যক্তিগত ফাইলগুলিতে অ্যাক্সেস করতে অক্ষম? একটি ধারক ব্যবহার করুন। আপনার কাছে এমন একটি অ্যাপ্লিকেশন রয়েছে যা গ্রন্থাগারের পুরানো সংস্করণ এবং নির্দিষ্ট কনফিগারেশন ফাইলগুলির প্রয়োজন, অন্যান্য অ্যাপ্লিকেশনগুলির সাথে বেমানান? একটি ধারকও। এটি মূলত সঠিকভাবে সম্পন্ন হয়েছে। এটি আপনাকে পরিষেবাগুলি আলাদা আলাদাভাবে বজায় রাখার অনুমতি দেয় যাতে তাদের প্রতিটি রক্ষণাবেক্ষণ করা অনেক সহজ এবং সেগুলি বিদ্যমান সিস্টেমে ঝামেলা না করেই স্থানান্তরিত বা অন্য মেশিনে অনুলিপি করা যায়।

অবক্ষয়টি হ'ল আপনাকে প্রায় সবকিছুই ধারকটির কাছে স্থানীয়র জন্য নেমস্পেসটি মনে রাখতে হবে। আপনি কোথায় আছেন সে সম্পর্কে আপনাকে সচেতন হতে হবে এবং পাত্রে যোগাযোগ অপ্রয়োজনীয় নয়। আপনার যখন মডুলারিটির প্রয়োজন তখন এটি একটি ভাল ধারণা, তবে ভার্চুয়াল মেশিনগুলির ওভারহেড চান না এবং আপনি যে জিনিসগুলি পাত্রে রাখেন তা আসলে খুব বেশি সম্পর্কিত নয়।

একজন "সাধারণ" ব্যবহারকারীর জন্য, আপনি দু'জনের জন্য একক মেশিন ব্যবহার করার জন্য পাত্রে ব্যবহার করতে পারেন, যদিও তারা সম্পূর্ণ আলাদা মেশিনে রয়েছে are উদাহরণস্বরূপ রুমমেট।


3
কনটেইনারগুলি কীসের জন্য একটি ভাল মানুষের বর্ণনা থাকলেও এটি এখনও সুবিধাভোগী এবং অনিবদ্ধ ব্যক্তিদের মধ্যে পার্থক্য ব্যাখ্যা করে না।
অ্যানাটোলি টেকটোনিক

1

ভাল, একটি ভাগ করা কার্নেল দিয়ে, কিছু উপায়ে মুক্ত হওয়া শত্রুদের প্রয়োজনীয়তা বাড়ানো সত্ত্বেও (বা বরং; এটি আক্রমণ পৃষ্ঠকে সীমাবদ্ধ করতে সহায়তা করে), অনিচ্ছাকৃত পাত্রে এখনও সরল হ্যাকগুলি থেকে সম্পূর্ণ বিচ্ছিন্ন নয় যা হোস্ট রুট অর্জন করে, এই সত্ত্বেও ।

যে কারণে, এটি একটি ভুল ধারণা / দাবি কিছুটা। এই বলে যে, ইন্টারনেট জুড়ে অনেক ব্যবহারকারীদের মধ্যে প্রযুক্তিগত দক্ষতার স্তরটি এখনও ইনট সার্ভিসগুলি চালাবে, এমন অনেক উপায়ে যা তারা সত্যিই প্রযুক্তিগতভাবে সক্ষম নয়, তাই ওহে। :)

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.