1. Foren
  2. Kommentare
  3. OpenSource-Forum
  4. Alle Kommentare zum Artikel
  5. › Container: Docker wechselt…

Angriffsfläche verringern

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Angriffsfläche verringern

    Autor: ccrow 09.02.16 - 10:55

    Was unter anderem bedeutet:
    systemd raus, OpenRC rein

    nett :)

  2. Re: Angriffsfläche verringern

    Autor: elgooG 09.02.16 - 11:08

    Ja, bei einer Distribution wie Alpine Linux ist natürlich nur das absolute Minimum dabei, ähnlich wie bei DSL (Damn Small Linux).

    Allerdings leidet dann auch der Komfort den, selbst ein stark abgespecktes Ubuntu-Core bietet. Ich bin nicht unbedingt ein Fan von Busybox. Ich muss aber auch sonst schon aus Kompatibilitätsgründen bei Ubuntu Core bleiben.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  3. Re: Angriffsfläche verringern

    Autor: fuzzy 09.02.16 - 11:14

    In einem Container wird das Init-System typischerweise nicht benutzt.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  4. Re: Angriffsfläche verringern

    Autor: kernkraftzwerg 09.02.16 - 11:17

    Genau das ist mir auch gerade aufgefallen. Ich hatte vorher noch nichts von dieser Distro gehört, gleich mal nachgesehen: interessant! Und ich dachte, wir Gentoo-Nutzer wären die letzte OpenRC-Bastion ;-)

    Ich habe gar nichts gegen systemd, finde vieles recht gelungen, z.B. die User-Dienste. Auf meinen RasPis läuft es auch (ArchLinux), aber da stößt man doch schon relativ schnell mal an gewisse Grenzen, die man mit OpenRC nicht hätte. Z.B. habe ich mal einen RasPi B+, welcher etliche Kilometer entfernt unter einer Bienenstockwaage Daten einsammelt, fast eine Viertelstunde lahmgelegt, nur weil ich mich bei "journalctl" in den Optionen vertippt hatte...

  5. Re: Angriffsfläche verringern

    Autor: chithanh 09.02.16 - 17:17

    systemd geht schon deshalb nicht, weil es musl nicht unterstützt. Daher verwenden neben Alpine auch andere musl-basierte Distributionen (z.B. OpenWrt) kein systemd.

    Entsprechende Patches wurden bei systemd eingereicht aber zurückgewiesen.

  6. Re: Angriffsfläche verringern

    Autor: picaschaf 09.02.16 - 22:52

    Für mich ist der Einsatz einer derart exotischen, kaum eingesetzten, C Library einfach nicht nachvollziehbar. Vor allem bei einem derart geringen Gewinn gegenüber zB. der uclibc - und das auch noch dazu auf einem Full-Blown System, hier geht es ja noch nichteinmal um betriebssystemlose uC.

  7. Re: Angriffsfläche verringern

    Autor: chithanh 09.02.16 - 23:30

    Dass OpenWrt "kaum eingesetzt" wird, würde ich so nicht unterschreiben. Es gibt eine Reihe von weiteren Projekten, die inzwischen auch von uclibc auf musl gewechselt sind.

    musl hat ein deutlich aktiveres Entwicklungsteam während uclibc-Distributionen zumeist umfangreiche Patchsets verwalten müssen, weil der Maintainer kaum aktiv ist (letztes Release war 2012).
    Weitere Gründe für oder gegen musl kann man hier nachlesen:
    http://www.etalabs.net/compare_libcs.html

  8. Re: Angriffsfläche verringern

    Autor: picaschaf 09.02.16 - 23:51

    OpenWrt ist kein Popelprojekt, keine Frage. Aber wenn ich nach Projekten und Unternehmen suche, die musl einsetzen, werde ich kaum fündig. uclibc ist keine Freude, das ist auch wahr. Ich kann den Bedarf auf Linux basierten Systemen nur nicht nachvollziehen. Gerade bei Docker nicht das auf großen Servern idR. läuft. Wir haben "relativ" kleine Embedded Systeme im Einsatz mit 64 MiB RAM + Flash, booten das System inkl. Anwendung mit überschaubaren Aufwand in knapp einer Sekunde und haben noch genügend Speicher für zukünftige Erweiterungen frei - basierend auf einem Standard Debian mit glibc. Da frage ich mich natürlich schon wozu der riesen Aufwand spezifische Patches für die libc und/oder Anwendungen schreiben und pflegen wenn wir auf "ordentlichen" Systemen unterwegs sind. Auf einem Cortex M0 oä. lasse ich es mir ja noch einreden.

  9. Re: Angriffsfläche verringern

    Autor: chithanh 10.02.16 - 12:00

    OpenWrt läuft auf Systemen mit 4 MB Flash und 16 MB RAM. Intel Quark hat noch weniger RAM, so dass die Intel-Entwickler sogar Teile des Netzwerkstacks aus dem Kernel rauspatchen. Wenn man solche Szenarien auch abdecken möchte, muss man den Aufwand sowieso treiben, die Distribution musl-kompatibel zu machen.

    Und die jeweiligen Upstreams sind durchaus kooperativ, nur die systemd-Leute sind da etwas speziell.

    Und selbst wenn RAM und Speicherplatz nicht knapp oder teuer sind, kann es von Vorteil sein, wenn die Menge an Code auf dem System klein gehalten wird. Bei Gentoo gibt es etwa großes Interesse an der hardened-musl Variante.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Digital Product Owner (m/w/d)
    Martin Mantz GmbH, Großwallstadt (Raum Aschaffenburg), Köln, Leipzig
  2. IT-Projektleiter »hands on« (m/w/d)
    Inpotron Schaltnetzteile GmbH, Hilzingen
  3. IT-Administrator*in (m/w/d)
    Katholisches Datenschutzzentrum, Dortmund
  4. Lead Developer Java (m/w/d) Versicherungssystem Komposit
    W&W Informatik GmbH, Stuttgart

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 33,99€/Monat für 24 Monate + 1€ einmalige Kosten
  2. (u. a. MacBook Pro 14 Zoll M1 Pro Chip mit 10‑Core-CPU und 16‑Core GPU 16GB 1TB SSD für 2...
  3. (u. a. Street Fighter V für 5,99€, For Honor Promo: Starter Edition für 5,99€, Complete...
  4. 57,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de