Diese Schlagwörter kannst du jetzt nachschlagen und sehen um was es sich handelt. Ich kenne nur einige davon, aber ich vermute es geht um Struktur und Kontrolle des Codes. Sowas willst du als Entwickler haben und musst das können, weil somit die Komplexität einen Teil ihres Schreckens verliert.
Mit der Struktur des Codes einer Anwendung aus Sicht eines Anwendungsentwicklers hat es vermutlich nichts zu tun. Vermutlich hat es etwas mit der Steuerung der Ressourcenverwaltung des Betriebssystem zu tun. Das ist für den gewöhnlichen Desktopbetrieb ziemlich uninteressant. Der normale Betrieb funktioniert seit 20 oder mehr Jahren ohne damit herumzufuddeln. Ich kann mein vermutlich meine Verwendung von "nice" noch an einer Hand abzählen, nur um eine Idee dafür zu entwickeln wie oft man das Gefühl hat in die Ressourceneinteilung einzugreifen.
Von Verfluchtnochmal_5987109 am Sa, 25. Mai 2019 um 23:26 #
Um Dienste möglichst sicher zu betreiben du dummer Troll, hättest du wenigstens mal gegoogelt wovon ich schreibe wenn du schon nichts kannst und weisst
Die Erklärung ist jetzt etwas dürftig. Aber vermutlich ist es einfach zu kompliziert diese Zaubertechnologien einfach darzustellen. Es hat auch etwas magisches, wenn der Distributor erklärt er habe all die tollen und ausgefuchsten Technologien implementiert um einen kräftigen Mehrwert zu bieten. Da lacht das Marketing und da klingelt Kasse. Den Administrator freut es natürlich auch, denn er kann gegenüber seinen Vorgesetzten sagen: "Wir setzen Schlagwort ein, deshalb ist alles sicher, du bezahlst mich zurecht!"
Das ist das Linux Äquivalent zu der Kaspersky Endpoint Security. Nicht von der Technologie her, sondern vom Nutzen für die Rolle Admin und Rolle Vorgesetzter um zu zeigen, dass alles richtig gemacht wurde. Nie wurde jemand gefeuert, weil er IBM namespaces, cgroups, bpf rules, seccomp und capabilities einsetzt.
Persönlich finde ich sichere Dienste auf meinem Desktop nicht sehr interessant. Warum, fragst du. Weil ich ein dummer Troll bin und überhaupt keine Dienste auf meinem Desktop habe. Ok, das ist gelogen, denn SSH läuft. Aber das kommt ja aus einer Welt in der man sichere Dienste auch ohne Systemd (was einem alles konfiguriert) anbieten kann.
Jetzt noch einen Denkanstoß: Wir haben auf einer Seite ein einfaches System wie wir es von früher her kennen. Auf der anderen Seite haben wir ein komplexes System, bei dem viele Stellschrauben gibt und ganz viel Code und Funktionen. Ich denke mit dem einfachen System kann man Qualität und Sicherheit eher erreichen, weil mehr Personen es verstehen können und die super fähigen Personen, die auch das komplexe System verstehen können, kommen mit dem leichten System noch besser zu recht.
Von Verfluchtnochmal_5987109 am Mo, 27. Mai 2019 um 02:00 #
Wenn dir namespaces, cgroups und seccomp genau so wenig was sagen wie bpf bist du schlichtweg nicht die Zielgruppe und falls doch für deinen Job nicht qualifiziert
Von Verfluchtnochmal_5987109 am Mo, 27. Mai 2019 um 02:13 #
Und damit du nicht dumm stirbst: systemd implementiert diese Technologien nicht, das macht der Kernel, durch systemd werden sie allerdings erstmalig für den Anwender mit einer simplen Konfiguration nutzbar
Dein Desktop interessiert eher niemanden obwohl auch dort genug Prozesse laufen die bei den meisten Distributionen mittlerweile genannte Technologien benutzen um das System zu härten
Auf meiner Workstation setzt der Displaymanager /usr und /etc readonly sowie PrivateTmp, der Desktop und alle daraus gestarteten Prozesse erben dss, auch per su als root gestartete Prozesse
Gleiches gilt für crond, du kannst mittlerweile namespaces auf einzelne Dateien setzen, readonly, readwrite um ein vererbtes readonly selektiv aufzuheben oder komplett inaccessible, ganz wenige Prozesse brauchen Zugriff auf /etc/shadow als Beispiel
Du kannst mal davon ausgehen dass auf die weise einem ganzen rattenschwanz zukünftiger exploits der Zahn gezogen wird
Diese Schlagwörter kannst du jetzt nachschlagen und sehen um was es sich handelt. Ich kenne nur einige davon, aber ich vermute es geht um Struktur und Kontrolle des Codes. Sowas willst du als Entwickler haben und musst das können, weil somit die Komplexität einen Teil ihres Schreckens verliert.
Mit der Struktur des Codes einer Anwendung aus Sicht eines Anwendungsentwicklers hat es vermutlich nichts zu tun. Vermutlich hat es etwas mit der Steuerung der Ressourcenverwaltung des Betriebssystem zu tun. Das ist für den gewöhnlichen Desktopbetrieb ziemlich uninteressant. Der normale Betrieb funktioniert seit 20 oder mehr Jahren ohne damit herumzufuddeln. Ich kann mein vermutlich meine Verwendung von "nice" noch an einer Hand abzählen, nur um eine Idee dafür zu entwickeln wie oft man das Gefühl hat in die Ressourceneinteilung einzugreifen.
Struktur und Kontrolle des Codes? Hättest du lieber mal selbst gegoogelt!
Um Dienste möglichst sicher zu betreiben du dummer Troll, hättest du wenigstens mal gegoogelt wovon ich schreibe wenn du schon nichts kannst und weisst
Die Erklärung ist jetzt etwas dürftig. Aber vermutlich ist es einfach zu kompliziert diese Zaubertechnologien einfach darzustellen. Es hat auch etwas magisches, wenn der Distributor erklärt er habe all die tollen und ausgefuchsten Technologien implementiert um einen kräftigen Mehrwert zu bieten. Da lacht das Marketing und da klingelt Kasse. Den Administrator freut es natürlich auch, denn er kann gegenüber seinen Vorgesetzten sagen: "Wir setzen Schlagwort ein, deshalb ist alles sicher, du bezahlst mich zurecht!"
Das ist das Linux Äquivalent zu der Kaspersky Endpoint Security. Nicht von der Technologie her, sondern vom Nutzen für die Rolle Admin und Rolle Vorgesetzter um zu zeigen, dass alles richtig gemacht wurde. Nie wurde jemand gefeuert, weil er
IBMnamespaces, cgroups, bpf rules, seccomp und capabilities einsetzt.Persönlich finde ich sichere Dienste auf meinem Desktop nicht sehr interessant. Warum, fragst du. Weil ich ein dummer Troll bin und überhaupt keine Dienste auf meinem Desktop habe. Ok, das ist gelogen, denn SSH läuft. Aber das kommt ja aus einer Welt in der man sichere Dienste auch ohne Systemd (was einem alles konfiguriert) anbieten kann.
Jetzt noch einen Denkanstoß: Wir haben auf einer Seite ein einfaches System wie wir es von früher her kennen. Auf der anderen Seite haben wir ein komplexes System, bei dem viele Stellschrauben gibt und ganz viel Code und Funktionen. Ich denke mit dem einfachen System kann man Qualität und Sicherheit eher erreichen, weil mehr Personen es verstehen können und die super fähigen Personen, die auch das komplexe System verstehen können, kommen mit dem leichten System noch besser zu recht.
Wenn dir namespaces, cgroups und seccomp genau so wenig was sagen wie bpf bist du schlichtweg nicht die Zielgruppe und falls doch für deinen Job nicht qualifiziert
Kennst du Google?
Und damit du nicht dumm stirbst: systemd implementiert diese Technologien nicht, das macht der Kernel, durch systemd werden sie allerdings erstmalig für den Anwender mit einer simplen Konfiguration nutzbar
Dein Desktop interessiert eher niemanden obwohl auch dort genug Prozesse laufen die bei den meisten Distributionen mittlerweile genannte Technologien benutzen um das System zu härten
Auf meiner Workstation setzt der Displaymanager /usr und /etc readonly sowie PrivateTmp, der Desktop und alle daraus gestarteten Prozesse erben dss, auch per su als root gestartete Prozesse
Gleiches gilt für crond, du kannst mittlerweile namespaces auf einzelne Dateien setzen, readonly, readwrite um ein vererbtes readonly selektiv aufzuheben oder komplett inaccessible, ganz wenige Prozesse brauchen Zugriff auf /etc/shadow als Beispiel
Du kannst mal davon ausgehen dass auf die weise einem ganzen rattenschwanz zukünftiger exploits der Zahn gezogen wird
Zur administration gibt es ssh