Mikä on WikiWiki?
nettipäiväkirja
koko wiki (etsi)
viime muutokset
(nettipäiväkirja 20.08.2015) Ennustan, että Linux-säiliöt (Linux containers) tai säiliöt ylipäänsä tulevat olemaan tosi, tosi iso juttu. Tämä ennustus on tavallaan aika helppo tehdä, koska niihin perustuvat "virtuaalipalvelimet" ovat jo kaupallinen menestys ja todennäköisesti monen pilvipalvelun taustalla (ks. pilvilaskennasta ja pilvipalveluista). Väitän silti, että Linuxin nimiavaruusisoloinnin mahdollisuuksia on vasta vähän kokeiltu.
Tällä hetkellä säiliöillä on kaksi suosituksi tullutta käyttötapaa. Toinen on kevyt isolointi, jolla systemd varmistaa, että se pystyy lopettamaan tietyn taustaprosessin kaikkine lapsineen. Tässä säiliöllä huolehditaan, ettei taustapalvelu pysty käynnistämään mitään, mikä jäisi systemd:ltä huomaamatta. Toinen käyttötapa on pyynnöstä / käsin tehty isolointi (siis käynnistetään jokin ohjelma halutun kaltaisessa säiliössä), jota käytetään puolestaan ainakin virtuaalipalvelimen kaltaisten ympäristöjen perustamiseen (asiakkaille?), palvelinprosessien tietoturvan parantamiseen ja softapakettien rakentamiseen puhtaalta alustalta.
Se, mikä tästä paletista puuttuu, on ihan tavallisten ohjelmien sisäiseen toimintaansa hyödyntämät säiliöt. sshd:stä voisi esimerkiksi tehdä version, joka aina yhdistettäessä forkkaa erilliseen (käyttäjäkohtaiseen?) säiliöön ja antaa siten järjestelmän jokaiselle käyttäjälle oman "virtuaalipalvelimensa". Samaa periaatetta voisi käyttää myös monen eri domainin www-sivuja tarjoavaan apacheen, joka voisi eriyttää joka domainin omaan säiliöönsä. Kun erilaiset makro- tai ohjelmointikielet tekevät shell-kutsuja, ne voisivat tehdä ne aina säiliöön, jonka isolointiaste määritetään erikseen ja jossa on tietoturvalliset oletukset. Ylipäänsä, melkein kaikissa tilanteissa, joissa forkataan prosesseja, voi miettiä, kannattaisiko lapsiprosessit eriyttää omiin säiliöihinsä, jotteivät niiden tietoturva-aukot voisi toimia hyökkäysvektorina muihin palveluihin.
Tavallaan Unixista on viimein taas tulossa Multics, jossa kaikki oikeudet periytyivät äitiprosesseilta lapsille, ja niitä saattoi edelleen rajata.