https://www.opennet.ru/openforum/vsluhforumID3/119848.html После анализа выпущенного проектом OpenBSD исправления уязвимости в гипервизоре VMM, выявленной на прошлой неделе, обнаруживший проблему исследователь...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52418<br> https://www.opennet.ru/openforum/vsluhforumID3/119848.html#178 Mon, 24 Mar 2025 18:37:50 GMT Они уже сколько раз её исправляют не полностью?<br> https://www.opennet.ru/openforum/vsluhforumID3/119848.html#177 Mon, 02 Mar 2020 15:32:56 GMT &gt;&gt; Это как раз феерический бред и кривой код впридачу. Совершенно не <br>&gt;&gt; нужен - если, конечно, не докер в докере в докере запускать.<br>&gt; Вот лично мне например совершенно не надо чтобы "изолированная" программа шарахалась по остальной системе. Нафиг мне такая "изоляция" вообще? Я так чрутом мог <br>&gt; дохрена лет назад, с известно какой секурити. И если изоляция не <br>&gt; имеет ничего внятного предложить, она такая идет лесом.<br><br>Очередное Очень Ценное Мнение. Еще бы в предмете обсуждения разбирался - совсем бы хорошо было. <br>То что прилепили недавно (всего 11 лет назад) - VNET, это витруализации сетевога стека на уровне ядра. А привязывать к отдельному loopback с отдельной подсетью, опуская проброс с хоста на подсеть и обратно - никто не запрещал.<br> https://www.opennet.ru/openforum/vsluhforumID3/119848.html#176 Mon, 02 Mar 2020 14:24:53 GMT &gt; Вот лично мне например совершенно не надо чтобы "изолированная" программа шарахалась по остальной<br>&gt; системе. Нафиг мне такая "изоляция" вообще? <br><br>нафига тебе такая изоляция - не знаю. Она ни от чего толком не "изолирует".<br>При этом жрет ресурсов даже больше чем полноценная изоляция в vm (в доскерной ее реализации)<br><br>&gt; Я так чрутом мог дохрена лет назад, с известно какой секурити. <br><br>от б-жественного доскера та сесурити взлетает сразу же до небес, ну да, конечно. А не появляется, наоборот, стопиццот векторов атаки, которые ты и проанализировать-то ниасилил. Попробуй-ка вылези из chroot "пооверрайдив кусок запускающего процесса", как недавно проделали с доскером.<br><br>&gt; И если изоляция не имеет ничего внятного предложить, она такая идет лесом. <br><br>а, ну тут я согласен - доскер в качестве изоляции - идет лесом.<br>Он даже той, что chroot позволял, нормальной предложить не может.<br><br>s stands for security<br><br> https://www.opennet.ru/openforum/vsluhforumID3/119848.html#175 Mon, 02 Mar 2020 14:06:40 GMT &gt; Ну как, если софт вместе со всем потребным барахлом переезжает<br><br>то это не про докер.<br><br>&gt; Даже у поцтеринга есть своя запускалка контейнеров, наконец. <br><br>есть, но там тоже никто никуда не переезжает, все уже приехали.<br><br>Вот виртуалки со всеми доскерами внутри, целиком - у меня отлично переезжают, причем - автоматически. У мэйлcpy, кстати, не переезжают - <br>===<br>2020-02-26 в 19:36:18 нам пришлось корректно остановить Вашу ВМ и перенести ее на другой гипервизор, т.к. на исходном гипервизоре возникла проблема. В 19:44:30 ВМ была запущена.<br>===<br>- видимо, это потому, что у меня-то немодная-немолодежная vmware, а у них стильный-современный kvm с ceph и другим модным тормозным и ненадежным фуфлом.<br>Но докер тут совершенно не нужен.<br><br>&gt;&gt; да вон в ШриЛанке палача-то пять лет не могли найти,<br>&gt; Эх, бида-бида. А можно туда вебмакак все же отправить? <br><br>там их местные отп...ют. Не веб, обычные, с хвостами. Судя по демонстрируемым внушительным клыкам - ни разу они не буддисты там, и конкуренции за бананы не потерпят https://www.opennet.ru/openforum/vsluhforumID3/119848.html#174 Mon, 02 Mar 2020 13:54:19 GMT &gt; Это как раз феерический бред и кривой код впридачу. Совершенно не <br>&gt; нужен - если, конечно, не докер в докере в докере запускать. <br><br>Вот лично мне например совершенно не надо чтобы "изолированная" программа шарахалась по остальной системе. Нафиг мне такая "изоляция" вообще? Я так чрутом мог дохрена лет назад, с известно какой секурити. И если изоляция не имеет ничего внятного предложить, она такая идет лесом. <br><br>&gt; И в чем разница если они все навалены в доскере той же <br>&gt; кучей и еще кривым планировщиком что-то регулярно исполняют?<br><br>А разница в том что в лучшем случае этот гадюшник все же худо-бедно абстрагирован и изолирован от остального и является более-менее таскаемым атомарным юнитом, который можно на другую железку например, с пофигом что там на ней было.<br><br>&gt; И кто обещал что нет eval какого-нибудь мусора - б-жественная благодать доскера <br>&gt; от него гарантирует?<br><br>Нет, но это несколько уменьшает последствия. Во всяком случае вот так сразу мусор все же не умыкнет еще и почту, подломив какой-нибудь https://www.opennet.ru/openforum/vsluhforumID3/119848.html#173 Mon, 02 Mar 2020 13:44:04 GMT &gt; и чем тут доскер сам по себе поможет? Правильно, ничем. Виртуализация - это не про него.<br><br>Ну как, если софт вместе со всем потребным барахлом переезжает - он таки взлетит на другой железке, независимо от того что там за ос и в каком состоянии. Это конечно форменное go'пничество, но так делают и это имеет свой пойнт. А доскер - лишь 1 из вариантов как это делать. Даже у поцтеринга есть своя запускалка контейнеров, наконец. <br><br>&gt; Типа, хорошие разработчики хотели многовато жрат, поэтому их заставили написать то, что <br>&gt; позволит их поувольнять и нанять дешевых, по $5.<br><br>У них этих и так толпа, пихон "не тормозит", вот и устали докупать сервера. Пришлось go сделать. А логотип - макаку, наверное постеснялись :)<br><br>&gt; я бы нанял, на соточку, но что-то мне подсказывает, что lizardfs они <br>&gt; мне до приемлемого состояния не починят.<br><br>Вебмакаки то? Их и на вебню стремно нанимать, а на что-то более системное - ну разве что авионику, при условии что они будут тем рейсом лететь.<br><br>&gt; да вон в ШриЛанке палача-то пять л https://www.opennet.ru/openforum/vsluhforumID3/119848.html#172 Sat, 29 Feb 2020 05:46:38 GMT &gt; новость о внутренней шняге гипервизора в (опен)БСД. Набежали линухоиды<br><br>Линукс на серверах и десктопах, а опенка держим на маршрутизатора.<br><br>Так что покричать на Тео и внедряемые им дыры в защите памяти имеем.<br> https://www.opennet.ru/openforum/vsluhforumID3/119848.html#171 Wed, 26 Feb 2020 15:10:25 GMT &gt; Смотря какие у них были цели. Изначально так логичнее, но могут быть <br>&gt; дополнительные соображения типа миграции с железки на железку и проч.<br><br>и чем тут доскер сам по себе поможет? Правильно, ничем. Виртуализация - это не про него.<br><br>&gt; Вебмакаки на то и вебмакаки. Гугл вон даже постебался в go и <br>&gt; логотип яп нарисовал нормальный, сразу видно кто целевая аудитория :) <br><br>так они и в документации открытым текстом писали, кто она.<br>Типа, хорошие разработчики хотели многовато жрат, поэтому их заставили написать то, что позволит их поувольнять и нанять дешевых, по $5.<br><br>&gt; Смотря с чем сравнивать. Вон на биржах индусы готовы кодить за $5 <br>&gt; в час, если не меньше. Вроде бы не дофига, чтоли. Нет, <br><br>я бы нанял, на соточку, но что-то мне подсказывает, что lizardfs они мне до приемлемого состояния не починят. А gluster они уже запилили - брр, спасибо.<br><br>А самому нанять индуса чтоб вместо меня поработал, пока я мир местами улучшу, как один типус в штатах сделал, не получится, тут не настолько толерантные, чтоб https://www.opennet.ru/openforum/vsluhforumID3/119848.html#170 Wed, 26 Feb 2020 15:01:18 GMT а там не надо лучше - там надо "как-то загрузиться".<br><br>&gt;&gt; А в этой вашей беэсде gcc нет - как тесты собирать, я вас спрашиваю?<br>&gt; Бздюки со шлангом вообще забавные ребята.<br><br>c clang все хорошо - он-то нормально работает. И не имеет троянца, запрещающего написать лучший оптимизатор. Но макака наберет же ж g++, и обломится, цоманд нот фоунд, как в этой вашей фребеэсде без компилятора живут?<br><br>&gt; Как и тормозизм с gcc 4.2.<br><br>кому не нравился - ставил любой другой - 4.2 был нужен для сборки самой системы, и это подстава, извини, ни разу не от bsd, а от твоих любимцев, изменивших лицензию и добавивших троянские .so - вот ведь, действительно, чем надо заниматься, не компилятор же улучшать. А то ж кто-нибудь действительно мог написать оптимизатор, с pgcc/egcs такое уже было, приходилось потом с жалобным хныканьем "интегрировать" то, что и сами ниасиливали десять лет, и другим мешали делать.<br><br>Ну в этот раз не подфартило - gcc получил серьезного конкурента, из которого, в виду несовместимой лицензии, уже ничего уво