FL
Ну так разве не для этого DoH/DoT?
Теоретически - может и для этого, но практически не все реализации проверяют сертификаты.
Size: a a a
2020 July 10
S
Ясно
FL
Ясно
Вообще DNSSEC для защиты от подмены и прочих нехороших действий.
FL
Sergey Sipov
Проще всего - создать в освободившемся месте новый LVM physical volume и включить его в твою группу
fedora_localhost-live, а затем расширить один из logical volume.SS
Проще всего - создать в освободившемся месте новый LVM physical volume и включить его в твою группу
fedora_localhost-live, а затем расширить один из logical volume.А как lvm можно создать?
FL
Sergey Sipov
А как lvm можно создать?
У тебя система уже стоит на LVM.
SS
У тебя система уже стоит на LVM.
Хорошо, а как в группу включить?
FL
Sergey Sipov
Хорошо, а как в группу включить?
Наверное, тебе будет проще через Cockpit, если совсем не знаком с этими вещами.
SS
Наверное, тебе будет проще через Cockpit, если совсем не знаком с этими вещами.
Возможно, а то я вообще в этом не разбираюсь
V
Привет
VP
Привет
Привет!
V
В общем не у нас отдельного списка рассылки по security.
VP
Немного удручает, поскольку я привык следить за обновлениями безопасности, ибо приходится рулить кучей серваков
VP
Не понятно, как узнавать, что какую-то дыру закрыли
V
Об уязвимостях либо сообщают маинтейнерам в багзиллу (часть таких тикетов закрыта для просмотра обычным пользователям). Либо просто собирают новые версии программ как можно быстрее после обнаружения и исправления уязвимости.
V
Vladislav Pashinskikh
Не понятно, как узнавать, что какую-то дыру закрыли
Сложно сказать... Просто чаще обновляйся, следи за ченджлогами обновлений.
V
Я так понимаю ты не с точки зрения маинтейнерства, а как админ?
VP
Да
V
Vladislav Pashinskikh
Да
Тогда почему бы не использовать RHEL/CentOS?
SG
а чем подман лучше докера?
Твои контейнеры буду недоступны соседнему юзеру, они только твои
В докере один общий контейнерный пул, так что в теории сосед вася может "по-приколу" выключать тебе контейнеры, если ты дашь ему доступ к своей машине в отдельного пользователя
На практике это означает, что в случае обхода вредоносным скриптом изоляции контейнера (например, ты не осторожно прокинул вольюм), пострадает только твой пользователь и твои данные, но не система, в случае докера скрипт будет работать почти что с правами рута
cgroups2позволяет более гибко управлять ресурсами при работе с контейнерами. Это уже доступно в подмане, но вряд ли когда-то заработает в докере, хотя они пытались что-то там
У подмана есть интсрумент для генерации сервис-файла системди, чтобы управлять контейнером как сервисом, у докера есть только опции с рестартом
У подмана есть зачатки интрументов оркестрации в виде подов — групп контейнеров, которыми можно управлять независимо друго от друга, настраивать видимость и т.д., в общем группировать
У докера только docker-compsoe, который лично мне кажется неудобным
Подман умеет работать с selinux, ты можешь гибко настраивать политики. В случае докера selinux придется отключить и потерять "последний рубеж защиты"
В целом, разницы между ними нет, если твоя цель — иногда позапускать контейнеры или использовать контейнеры (группы контейнеров) как тестовую среду для разработки
Что бы ты не выбрал, получишь одинаковый результат
Выбирать придется, когда какие-то из вышеперечисленных вещей начнут тебя интересовать, т.е. когда ты с ними разберешься и начнешь активно работать
Думай сам
В докере один общий контейнерный пул, так что в теории сосед вася может "по-приколу" выключать тебе контейнеры, если ты дашь ему доступ к своей машине в отдельного пользователя
На практике это означает, что в случае обхода вредоносным скриптом изоляции контейнера (например, ты не осторожно прокинул вольюм), пострадает только твой пользователь и твои данные, но не система, в случае докера скрипт будет работать почти что с правами рута
cgroups2позволяет более гибко управлять ресурсами при работе с контейнерами. Это уже доступно в подмане, но вряд ли когда-то заработает в докере, хотя они пытались что-то там
У подмана есть интсрумент для генерации сервис-файла системди, чтобы управлять контейнером как сервисом, у докера есть только опции с рестартом
У подмана есть зачатки интрументов оркестрации в виде подов — групп контейнеров, которыми можно управлять независимо друго от друга, настраивать видимость и т.д., в общем группировать
У докера только docker-compsoe, который лично мне кажется неудобным
Подман умеет работать с selinux, ты можешь гибко настраивать политики. В случае докера selinux придется отключить и потерять "последний рубеж защиты"
В целом, разницы между ними нет, если твоя цель — иногда позапускать контейнеры или использовать контейнеры (группы контейнеров) как тестовую среду для разработки
Что бы ты не выбрал, получишь одинаковый результат
Выбирать придется, когда какие-то из вышеперечисленных вещей начнут тебя интересовать, т.е. когда ты с ними разберешься и начнешь активно работать
Думай сам