On Wed, 31 Oct 2018 23:20:06 +0300 Michael Shigorin <m...@altlinux.org> wrote:
> On Thu, Oct 11, 2018 at 07:40:19AM +0300, Victor Wagner wrote: > > Итак, что может хотеться получить: > > > > 1. Обеспечить работу недоверенных приложений, возможно > > нескольких взаимодействующих, возможно предъявляющих > > несовместимые требования к операционным системам, в которых > > развернуты. Под эту задачу создавался докер. > > Это дыркер-то? Виктор, ну Вы-то можете различать контейнеры > (которые были ровно ovz/vz) и дырявые кошёлки для удобства > переноски разных кучек всякого (а это то, что может дать lxc > и около)... Да. И я тут описываю именно задачу для которой нужны "дырявые кошелки". Более того, зачастую и они избыточны. Хватило бы даже не chroot, а чуть более строгого разграничения прав на файловую систему по пользователям и группами. А для задач, под которые создавался vz сейчас проще использовать kvm. Да, оверхед от лишнего ядра. Но это дешевле чем бороться с ядрами с версией ниже числа e. > > > При этом надо понимать, что если вы ходите что-то серьезное > > хостить > > ...то сперва стоит посмотреть https://www.cvedetails.com/product/28125 > и характер дырок, потом очень-очень осторожно спросить kir@ А какой смысл? Все равно взломают. Сейчас гораздо выгоднее вкладываться в процедуры своевременного обнаружения, и восстановления после взлома, а не тешить себя иллюзиями невзламываемых систем. --
