Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск Bottlerocket 1.8, дистрибутива на базе изолированных контейнеров"	+/–
Сообщение от opennews (??), 12-Июн-22, 08:22
Опубликован выпуск Linux-дистрибутива Bottlerocket 1.8.0, развиваемого при участии компании Amazon для эффективного и безопасного запуска изолированных контейнеров. Инструментарий и управляющие компоненты дистрибутива написаны на языке Rust и распространяются под лицензиями MIT и Apache 2.0. Поддерживается запуск Bottlerocket в кластерах Amazon ECS, VMware и AWS EKS Kubernetes, а также создание произвольных сборок и редакций, допускающих применение различных инструментов оркестровки и runtime для контейнеров... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57336
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 12-Июн-22, 08:22	–7 +/–
единственно безопасное во всем этом rust с супербезопасным crate?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

2. Сообщение от YetAnotherOnanym (ok), 12-Июн-22, 08:55	–3 +/–
> нет Python или Perl Где-то плачет один выпускник курсов "стань программистом за месяц". Скорее всего, даже не один.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #6

3. Сообщение от Аноним (3), 12-Июн-22, 09:18	+/–
хорошо что экспертам ничего не нужно изучать, ведь они и так всё знают 😉
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

5. Сообщение от Аноним (5), 12-Июн-22, 09:48	+1 +/–
> дистрибутива на базе изолированных контейнеров Изолированный пользователь запустил изолированный дистрибутив на изолированных контейнерах и видит картину - изолированные процессы в изолированных контейнерах выполняют изолированные операции над изолированными данными. Изолировать бы разработчиков этого изолированного дистрибутива на базе изолированных контейнерах.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #11

6. Сообщение от eigrad (ok), 12-Июн-22, 10:00	+1 +/–
docker run python там не учат?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

7. Сообщение от eigrad (ok), 12-Июн-22, 10:06	+4 +/–
Прикольная штука, юзаю с EKS. Но вот если нужно там tcpdump/ping/netcat/traceroute запустить - начинается цирк с конями, не удалось сходу нормально раскурить как в этом окружении жить вообще.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

8. Сообщение от НяшМяш (ok), 12-Июн-22, 10:36	+1 +/–
Напугали ёжика голой жопой )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #30

9. Сообщение от Аноним (9), 12-Июн-22, 11:51	+3 +/–
Нет, просто остальных слов вы не знаете. Это нормально, должен кто-то и сортиры чистить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #25, #27

10. Сообщение от Аноним (9), 12-Июн-22, 11:55	+/–
Для ping/netcat/traceroute логично сделать tool-образ и подселять в поды его через механизм ephemeral containers (не знаю, разрешен ли он в EKS). tcpdump, полагаю, никак. Надо делать нормальные трейсы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

11. Сообщение от Аноним (9), 12-Июн-22, 11:57	+6 +/–
> Изолированный пользователь запустил изолированный дистрибутив на изолированных контейнерах и видит картину - изолированные процессы в изолированных контейнерах выполняют изолированные операции над изолированными данными. Примерно так разработчики для реального режима MS DOS смотрели на дикарей-юниксоидов, у которых при попытке залезть в память другого процесса прилетает SIGSEGV.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

12. Сообщение от Аноним (12), 12-Июн-22, 12:55	–1 +/–
контейнер != безопасность
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

13. Сообщение от Аноним (9), 12-Июн-22, 13:19	+1 +/–
контейнер ∈ безопасность Безопасность — это всегда комплекс мер и подходов, а не одна волшебная таблетка, которая делает зашибись. В новости описана весьма многообещающая в плане защищённости система. По крайней мере, абсолютное большинство традиционных векторов взлома LAMP-серверовтам не отработают. Но без аудита и пентестинга делать безапелляционные утверждения я бы не стал. P.S. Конкретно в случае с контейнером — он действительно может значительно увеличить уровень безопасности, но только при соблюдении множества условий: процессы в контейнере запущены не от рута, не имеют избыточных capabilities (CAP_SYS_ADMIN, CAP_NET_ADMIN), на хосте отключены средства jailbreaking-а (unprivileged ebpf, user namespaces, non-paranoid perf).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

14. Сообщение от Аноним (14), 12-Июн-22, 14:30	+/–
А в реальной жизни, зачем он может понадобиться?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18

18. Сообщение от Аноним (9), 12-Июн-22, 16:37	+/–
Зависит от того, какая у вас реальная жизнь. Если поднимать падающий апач на шаред-хостинге - то незачем вообще.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

23. Сообщение от Аноним (23), 12-Июн-22, 19:34	+/–
> первичная ориентация на предоставление максимальной безопасности в контексте усиления защиты системы от возможных угроз, усложнения эксплуатации уязвимостей ... Вот это казёнщина! Когда в технических текстах я вижу подобное построение предложений — у меня рука тянется к нагану.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #26

24. Сообщение от Аноним (24), 12-Июн-22, 19:40	+/–
ну хоть не к солонке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

25. Сообщение от Аноним (25), 12-Июн-22, 22:39	–1 +/–
Га́дите мимо в сортирах, товарищ, как творческая или технологически приближенная интеллигенция? )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

26. Сообщение от Аноним (25), 12-Июн-22, 22:42	+/–
Так вот почему вокруг и в ТВ все так экают и Хавал Хавээлом называют. Выша работа?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

27. Сообщение от achtosluchilos (ok), 12-Июн-22, 23:04	–4 +/–
Вот вот. А то падают под прогнившие полы граждане и захлебываются насмерть говном. Хотя мы же (оказывается) живем при Петре1, при Петре1 это была норма.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #32

28. Сообщение от Аноним (-), 13-Июн-22, 00:29	–1 +/–
Как дистрибутив с systemd может быть безопасным?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31

29. Сообщение от Аноним (29), 13-Июн-22, 11:53	+/–
А чё обои не показали?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33

30. Сообщение от Аноним (-), 13-Июн-22, 15:26	+/–
учитывая этимологию псевдонима выше и контекст - на самом деле годный, хороший комментарий, а главное - на бессильную злобу завтрашнего дня (который обязательно настанет, но будет поздно пить Боржоми)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

31. Сообщение от Аноним (-), 13-Июн-22, 15:30	–1 +/–
виртуально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

32. Сообщение от Аноним (9), 13-Июн-22, 19:13	+/–
Нет, при Петре I нормой было косить под европейцев. Но 40-е годы XX века показали всю абсурдность и опасность такого подхода.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

33. Сообщение от Аноним (9), 13-Июн-22, 19:15	+/–
Так это же не кульхацкерский crux или void какой-то, а дистрибутив для работы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема