Login
Newsletter
Werbung

Thema: Systemd: Mehr als 1,2 Millionen Zeilen Code

8 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
2
Von Unerkannt am Fr, 24. Mai 2019 um 21:18 #

namespaces, cgroups, bpf rules, seccomp, capabilities
Super Schlagwörter. Was ist es und warum möchte ich es haben?

  • 1
    Von was ist das am Sa, 25. Mai 2019 um 09:08 #

    Diese Schlagwörter kannst du jetzt nachschlagen und sehen um was es sich handelt. Ich kenne nur einige davon, aber ich vermute es geht um Struktur und Kontrolle des Codes. Sowas willst du als Entwickler haben und musst das können, weil somit die Komplexität einen Teil ihres Schreckens verliert.

    • 1
      Von Unerkannt am Sa, 25. Mai 2019 um 10:39 #

      Mit der Struktur des Codes einer Anwendung aus Sicht eines Anwendungsentwicklers hat es vermutlich nichts zu tun. Vermutlich hat es etwas mit der Steuerung der Ressourcenverwaltung des Betriebssystem zu tun. Das ist für den gewöhnlichen Desktopbetrieb ziemlich uninteressant. Der normale Betrieb funktioniert seit 20 oder mehr Jahren ohne damit herumzufuddeln. Ich kann mein vermutlich meine Verwendung von "nice" noch an einer Hand abzählen, nur um eine Idee dafür zu entwickeln wie oft man das Gefühl hat in die Ressourceneinteilung einzugreifen.

      1
      Von Verfluchtnochmal_5987109 am Sa, 25. Mai 2019 um 23:27 #

      Struktur und Kontrolle des Codes? Hättest du lieber mal selbst gegoogelt!

    1
    Von Verfluchtnochmal_5987109 am Sa, 25. Mai 2019 um 23:26 #

    Um Dienste möglichst sicher zu betreiben du dummer Troll, hättest du wenigstens mal gegoogelt wovon ich schreibe wenn du schon nichts kannst und weisst

    • 1
      Von Unerkannt am So, 26. Mai 2019 um 08:21 #

      Die Erklärung ist jetzt etwas dürftig. Aber vermutlich ist es einfach zu kompliziert diese Zaubertechnologien einfach darzustellen. Es hat auch etwas magisches, wenn der Distributor erklärt er habe all die tollen und ausgefuchsten Technologien implementiert um einen kräftigen Mehrwert zu bieten. Da lacht das Marketing und da klingelt Kasse. Den Administrator freut es natürlich auch, denn er kann gegenüber seinen Vorgesetzten sagen: "Wir setzen Schlagwort ein, deshalb ist alles sicher, du bezahlst mich zurecht!"

      Das ist das Linux Äquivalent zu der Kaspersky Endpoint Security. Nicht von der Technologie her, sondern vom Nutzen für die Rolle Admin und Rolle Vorgesetzter um zu zeigen, dass alles richtig gemacht wurde. Nie wurde jemand gefeuert, weil er IBM namespaces, cgroups, bpf rules, seccomp und capabilities einsetzt.

      Persönlich finde ich sichere Dienste auf meinem Desktop nicht sehr interessant. Warum, fragst du. Weil ich ein dummer Troll bin und überhaupt keine Dienste auf meinem Desktop habe. Ok, das ist gelogen, denn SSH läuft. Aber das kommt ja aus einer Welt in der man sichere Dienste auch ohne Systemd (was einem alles konfiguriert) anbieten kann.

      Jetzt noch einen Denkanstoß: Wir haben auf einer Seite ein einfaches System wie wir es von früher her kennen. Auf der anderen Seite haben wir ein komplexes System, bei dem viele Stellschrauben gibt und ganz viel Code und Funktionen. Ich denke mit dem einfachen System kann man Qualität und Sicherheit eher erreichen, weil mehr Personen es verstehen können und die super fähigen Personen, die auch das komplexe System verstehen können, kommen mit dem leichten System noch besser zu recht.

      • 1
        Von Verfluchtnochmal_5987109 am Mo, 27. Mai 2019 um 02:00 #

        Wenn dir namespaces, cgroups und seccomp genau so wenig was sagen wie bpf bist du schlichtweg nicht die Zielgruppe und falls doch für deinen Job nicht qualifiziert

        Kennst du Google?

        1
        Von Verfluchtnochmal_5987109 am Mo, 27. Mai 2019 um 02:13 #

        Und damit du nicht dumm stirbst: systemd implementiert diese Technologien nicht, das macht der Kernel, durch systemd werden sie allerdings erstmalig für den Anwender mit einer simplen Konfiguration nutzbar

        Dein Desktop interessiert eher niemanden obwohl auch dort genug Prozesse laufen die bei den meisten Distributionen mittlerweile genannte Technologien benutzen um das System zu härten

        Auf meiner Workstation setzt der Displaymanager /usr und /etc readonly sowie PrivateTmp, der Desktop und alle daraus gestarteten Prozesse erben dss, auch per su als root gestartete Prozesse

        Gleiches gilt für crond, du kannst mittlerweile namespaces auf einzelne Dateien setzen, readonly, readwrite um ein vererbtes readonly selektiv aufzuheben oder komplett inaccessible, ganz wenige Prozesse brauchen Zugriff auf /etc/shadow als Beispiel

        Du kannst mal davon ausgehen dass auf die weise einem ganzen rattenschwanz zukünftiger exploits der Zahn gezogen wird

        Zur administration gibt es ssh

Pro-Linux
Traut euch!
Neue Nachrichten
Werbung