Post A45ZVAKgDmx8LryTkO by Dryusdan@miaou.drycat.fr
(DIR) More posts by Dryusdan@miaou.drycat.fr
(DIR) Post #A455rT8RzqnaPgyOlU by Dryusdan@miaou.drycat.fr
2021-02-08T18:01:37Z
0 likes, 0 repeats
Linux et la sécurité, tel un désert et un oasis ? https://wonderfall.space/linux-securite/ https://dryusdan.link/?0TA6WQ
(DIR) Post #A455rTa6L2utnRuTrc by tuxicoman@social.jesuislibre.net
2021-02-09T00:51:01Z
0 likes, 0 repeats
@Dryusdan bien écrit.Tu sais qui a écrit ça?Je voudrais en savoir plus sur les problèmes de l'isolation par conteneur.
(DIR) Post #A45ZVAKgDmx8LryTkO by Dryusdan@miaou.drycat.fr
2021-02-09T06:23:08Z
0 likes, 0 repeats
@tuxicomanC'est @wonderfall :)
(DIR) Post #A46QYkC6djza0wYVIO by wonderfall@sheikah.online
2021-02-09T16:17:40Z
0 likes, 0 repeats
@tuxicoman @Dryusdan En théorie comme en pratique les conteneurs n'isolent pas assez pour prévenir des échappements, et c'est un risque qui augmente considérablement avec des conteneurs privilégiés (là c'est game over d'office).Les syscalls Linux restent une grosse surface d'attaque en général, limitée par seccomp cela dit. Du côté de gvisor (un runtime alternatif) on a une solution qui pousse l'isolation un peu plus.
(DIR) Post #A46aN1bx3e4S69h9xQ by tuxicoman@social.jesuislibre.net
2021-02-09T18:07:37Z
0 likes, 0 repeats
@wonderfall Merci.Ce qui me choque c'est que je pensais que les hébergeurs pour être performants utilisaient des conteneurs plutot que des VMs.
(DIR) Post #A46f25zM5RjLMeTudM by wonderfall@sheikah.online
2021-02-09T18:59:51Z
0 likes, 0 repeats
@tuxicoman Oui c'est sûrement OpenVZ ça, avec ça ils peuvent proposer des "VMs low-cost" comme il y a moins d'overhead, mais ce sont pas vraiment des VMs avec une vraie isolation