https://www.opennet.me/openforum/vsluhforumID3/101032.html Проект HardenedBSD (http://hardenedbsd.org/), занимающийся улучшением механизмов защиты FreeBSD, представил (http://hardenedbsd.org/article/shawn-webb/2014-12-25/introducing-secadm-01-beta1) первый публичный выпуск инструментария secadm (http://hardenedbsd.org/sites/default/files/README.txt), предназначенного для организации применения к приложениям тех или иных дополнительных техник защиты. В состав secadm входит модуль ядра, взаимодействующий с фреймворком мандатного контроля доступа (MAC), библиотека с API и утилита для управления из командной строки.<br><br><br>Утилита secadm позволяет на уровне отдельных исполняемых файлов включать и выключать определённые дополнительные методы защиты. Новая система призвана заменить ранее предлагаемый инструмент ugidfw, изначально позиционированный как временное решение, не предназначенное для повсеместного использования. В настоящее время в secadm предоставлены средства для настройки использования ASLR (https://ru.wikipedia.org/wiki/Address_Space_Layout_Randomization) (Addres https://www.opennet.me/openforum/vsluhforumID3/101032.html#56 Sat, 17 Jan 2015 12:23:30 GMT Может пожалуйста объяснить зачем все эти механизмы нужны? В общих чертах пожалуйста.<br> https://www.opennet.me/openforum/vsluhforumID3/101032.html#55 Thu, 08 Jan 2015 12:53:11 GMT &gt;&gt; И про что же конкретно речь?<br>&gt; Namespaces разумеется. Впервые появилось в 2.6.22, по поводу чего этот ваш линуксятор <br>&gt; до сих пор так и изображает нечто типа 2.6.18 ;).<br><br>В 2.6.22 не было даже и близко инструментов достаточным чтобы делать что-то вроде контейнеров. А вообще CLONE_NEWNS, IIRC, появился ещё даже в 2.4 (так причём тут 2.6.22?).<br><br>&gt;&gt; openvz &#8212; это не о ванильном ядре.<br>&gt; По минимуму работает уже и с ванилой.<br><br>Только-только начало (и то пока всё достаточно сыро). Я как раз про это и говорю, собственно.<br><br>&gt; Что вдвойне позорно для некоторых <br>&gt; - даже ванильное ядро в плане контейнерных фич здорово втыкает этим <br>&gt; вашим jails. Да-да, времена когда пингвиноиды обтекали при слове jails - <br>&gt; безвозвратно прошли.<br><br>Но эти времена очень долго тянулись. А по факту ещё даже userspace API всяких cgroup до сих пор не стабилизировались.<br><br>&gt; вашим jails<br><br>Нашим? Не знаю о ком вы, я бы себя отнёс к линуксоидам, ибо *bsd уже давно не пользуюсь.<br><br>&gt; Теперь все ровно наоборот.<br><br>С чего это вдруг https://www.opennet.me/openforum/vsluhforumID3/101032.html#54 Thu, 08 Jan 2015 12:06:43 GMT &gt;&gt; Тут тоже ничего по теме не видно (во всяком случае поиском <br>&gt;&gt; по ключевым словам): <br>&gt; А ты используй как ключевое слово что-нибудь про namespace-ы.<br><br>Это и было одним из опробованных ключевых слов.<br><br>&gt; Если не в <br>&gt; курсе - смотреть про вызов clone() и новые флаги оного.<br><br>Я в курсе, как работать с namespace-ами в linux. Притом clone() тут не обязателен и поиск по нему тоже ничего не дал.<br><br>Те же CLONE_NEWIPC&#124;CLONE_NEWUTS появились в 2.6.19, а не в 2.6.22. А CLONE_NEWNS (как и некоторые другие флаги), судя по всему, вообще существует с 2.4.19. А бОльшая часть инструментов для создания контейнеров появилась уже позже 2.6.22. Причём тут вообще этот 2.6.22? В общем, в любом случае на момент 2.6.22 до чего-то, что можно будет назвать контейнерами в современном понимании, как до неба. Так что прошу ответить прямо, что конкретно нужно читать о 2.6.22, либо вообще не продолжать беседу.<br><br>Да и хрен с ним с 2.6.22, по факту пригодные контейнеры в ванильном ядре появились совсем недавно (или ещё не появи https://www.opennet.me/openforum/vsluhforumID3/101032.html#53 Thu, 08 Jan 2015 05:54:51 GMT &gt; Я все маны, которые содержат подобное, выкидываю куда подальше. У меня все <br>&gt; системы работают с включенным selinux.<br><br>вот и выросло поколение убунтоголовых которые называют "манами" какие-то стремные хауту выцепленые в гоогле, лол<br> https://www.opennet.me/openforum/vsluhforumID3/101032.html#52 Thu, 01 Jan 2015 09:02:43 GMT &gt;&gt; В JSON -- нет комментариев.<br>&gt; В JSON5 - есть!<br><br>да, в JSON5 есть..<br><br>а в JSON комментариев нет<br><br>(кстати.. почему кто-то вспомнил про JSON5? его же ведь ни где не применяют, и покачто даже не собираются..)<br> https://www.opennet.me/openforum/vsluhforumID3/101032.html#51 Thu, 01 Jan 2015 04:22:01 GMT &gt; Тут тоже ничего по теме не видно (во всяком случае поиском <br>&gt; по ключевым словам):<br><br>А ты используй как ключевое слово что-нибудь про namespace-ы. Если не в курсе - смотреть про вызов clone() и новые флаги оного.<br> https://www.opennet.me/openforum/vsluhforumID3/101032.html#50 Thu, 01 Jan 2015 01:59:10 GMT как ни грустно - а фак(т)<br> https://www.opennet.me/openforum/vsluhforumID3/101032.html#49 Wed, 31 Dec 2014 16:06:31 GMT &gt; Я не лучше, но это не отменяет моего желания видеть в главном <br>&gt; главное. Спасибо, что потратили время на ответ <br><br>К сожалению, у опеннета есть давняя традиция сортировать новости абсолютно невменяемо. В важное зачастую попадает нечто, важное для полутора человек на всю планету. С главным такая же фигня. Ну вон NixOS какой-нибудь - для кого он главный? Это стеб такой наверное. Ах да, важное и главное - это 2 разных понятия, между прочим. Зачем это вот так и чем это отличается - понимает наверное только сам создатель ресурса. А большинство людей считает эти слова синонимами. А вот нифига - там разные новости, обломитесь.<br><br>С другой стороны, в мини-новости часто попадает нечто затрагивающее толпу народа, etc и с фига ли оно при таком раскладе мини - я далеко не всегда понимаю. Это при том что я сюда новости пишу, заметим :). Раскладываю новости не я, разумеется, и для меня этот процесс по моему опыту выглядит как нечто типа if (random(10) &gt; 5).<br><br>В силу такого абзаца лично я вообще не вижу смысла делить но https://www.opennet.me/openforum/vsluhforumID3/101032.html#47 Wed, 31 Dec 2014 06:33:07 GMT к таким идиотам относится OpenVZ, у которого sellinux отключается в конфиге ядра.<br>