Нет, не хватит. Представьте, что у вас взломали такой сервис и получили возможность выполнения кода от пользователя user. Самое простое — они могут быстро, эффективно и достаточно долго (до тех пор, пока этого не заметят) перебирать пароль root, используя su, дампить памяти других процессов, запущенных от этого же пользователя (если приложение, например, использует fork, а взломать удалось только один из форков). Если вдруг у вас используется ядро с уязвимостью, позволяющее поднять привилегии, то их с большой вероятностью успешно поднимут.
Различные namespaces и ограничения capabilities, как минимум, сильно усложнят задачу.
В общем, если у вас сервис, который особо никому не нужен, то и так сойдет, но если у вас какой-нибудь Tor, который интересен и спецслужбам тоже, то этого явно недостаточно.
Ну, так-то демоны можно запускать и от имени пользователя, используя systemctl --user, и храня юниты в ~/.config/systemd/user/. Но, в целом, вы правы, тут горе от ума и нежелания читать документацию и осваивать новое. systemd очень многогранен, это и хорошо, и плохо, но я считаю, что это лучшее, что случалось с линуксом.
Ну, на самом деле, подобных вещей прямо дохрена. В этой статье я хотел использовать именно стандартные средства systemd, вторая, если кого-то заинтересует развитие темы, будет более общая.
Есть еще такая классная страничка-сборник всего, подобная той, ссылку на которую вы предоставили: doger.io
Except for the patch mass that Debian accumulated, the net-tools package has not seen any upstream development after version 1.60, released sometime about April 15 2001.
Ifconfig uses the ioctl access method to get the full address
information, which limits hardware addresses to 8 bytes.
Because Infiniband address has 20 bytes, only the first 8 bytes
are displayed correctly.
Ifconfig is obsolete! For replacement check ip.
ifconfig makes secondary addresses look like separate interfaces
People often get the impression that labeled secondary addresses are a separate interface (thanks to the dumb output of ifconfig, as a result of ioctl limitations), which in fact is not the case. You cannot use eth0:1 in iptables nor iproute2, so do not even think of eth0:1 being an interface on its own.
Similarly, you cannot set flags on these “interfaces”.
И еще несколько причин, по которым его использовать не стоит. В некоторых дистрибутивах net-tools (ifconfig, route, arp, netstat) уже не поставляется.
Чтобы прояснить ситуацию: дополнение ThunderSec делаю не я, и оно не заброшено, а активно развивается. А заброшен мой проверщик SPF (ссылка выше), который еще и советы дает.
По какой-то причине, ни в одном клиенте нет проверки SPF и DKIM по умолчанию. У меня стоит замечательное дополнение ThunderSec для Thunderbird, которое выводит огромную красную панель, если вдруг есть какие-то проблемы с SPF, DKIM и DNSBL. Сразу дает понять, кто есть кто, если сервер вдруг пропустил письмо.
О, вы чего, это ж была целая индустрия таких программ, и это было весело.
Я тогда в кряк-команде был, и к нам часто приходили всякие халявщики. Они приносили программы, которые требовали деньги за активацию, и просили их взломать. А программы были самые разные: генераторы карт пополнения сотовой связи, автокликеры, программы, подобные программе автора. Генераторы в лучшем случае были пустышкой с мессаджбоксом о неправильно введенном коде, авторы которых зарабатывали на продаже этих самых кодов активации, а в худшем случае просили для генерации номер с реальной неактивированной карты, которую тут же активировали через сайт оператора сотовой связи.
Мне однажды попался просто уморительный экземпляр. Это был генератор кодов пополнения, который требовал код для активации. На другом сайте я нашел про него страницу, на которой от имени крякера рассказывалось о недобросовестности автора, что, мол, автор куда-то пропал, раньше коды действительно продавал, а сейчас пропадает после перевода денег на его кошелек, поэтому этот крякер написал keygen для этой программы, и, мол, можете пользоваться ею бесплатно, она реально работает. Keygen действительно генерировал коды, подходящие для этой программы, а далее она требовала код с неиспользованной карты, который через интернет пополнял телефон автора, пока шел «процесс генерации», состоявший из мелькающих кодов в таблице на экране. Сейчас вспоминаю и смеюсь, придумывали же.
А, вот, автокликеры, как правило, требовали рублей 100 за активацию, и работали достаточно сносно, но люди принципиально хотели сломать программу и не платить 100 рублей.
Я тоже писал кликер для какого-то сайта. Это был сайт-автосерфинг, где нужно было просматривать страницы и периодически как-то подтверждать, что ты живой человек, решая капчу, на которой изображены некоторые геометрические фигуры, и нужно было выбрать какую-то из них. Координаты нажатия отправлялись на сервер и проверялись. У меня была довольно-таки удобная программа, ее не было видно до тех пор, пока не нужно было решать эту капчу, а как только ее нужно было решать, программа появлялась с маленьким окошком около трея, которое не отбирало фокус у текущего приложения.
Вы что-то делаете утилитами, чего не может сам ffmpeg? Про mp4box не могу ничего сказать, т.к. контейнером почти не пользуюсь, вполне возможно, что в ffmpeg нет нужной функциональности, но m3u8-segmenter deprecated, как написано в его репозитории, и автор советует использовать муксер «hls» из ffmpeg:
I no longer have much time to work on this project and for the most part it is deprecated now that both ffmpeg and libav have direct support for segmenting and creating m3u files. Quite happy to point this elsewhere if someone else would like to take over the project.
r128gain не пользовался, но что-то мне подсказывает, что его можно заменить ladspa-плагинами, которые поддерживает ffmpeg, и сразу засунуть их в фильтры аудио.
Различные namespaces и ограничения capabilities, как минимум, сильно усложнят задачу.
В общем, если у вас сервис, который особо никому не нужен, то и так сойдет, но если у вас какой-нибудь Tor, который интересен и спецслужбам тоже, то этого явно недостаточно.
Вон, полюбуйтесь, сколько средств для управления докером уже понаделали!
github.com/veggiemonk/awesome-docker#dev-tools
stackoverflow.com/questions/18285212/how-to-scale-docker-containers-in-production
Для меня в этом разобраться заметно сложнее, чем в systemd, а я из systemd использую далеко не только саму init-систему.
Есть еще такая классная страничка-сборник всего, подобная той, ссылку на которую вы предоставили: doger.io
И еще несколько причин, по которым его использовать не стоит. В некоторых дистрибутивах net-tools (ifconfig, route, arp, netstat) уже не поставляется.
spf.valdikss.org.ru
Я тогда в кряк-команде был, и к нам часто приходили всякие халявщики. Они приносили программы, которые требовали деньги за активацию, и просили их взломать. А программы были самые разные: генераторы карт пополнения сотовой связи, автокликеры, программы, подобные программе автора. Генераторы в лучшем случае были пустышкой с мессаджбоксом о неправильно введенном коде, авторы которых зарабатывали на продаже этих самых кодов активации, а в худшем случае просили для генерации номер с реальной неактивированной карты, которую тут же активировали через сайт оператора сотовой связи.
Мне однажды попался просто уморительный экземпляр. Это был генератор кодов пополнения, который требовал код для активации. На другом сайте я нашел про него страницу, на которой от имени крякера рассказывалось о недобросовестности автора, что, мол, автор куда-то пропал, раньше коды действительно продавал, а сейчас пропадает после перевода денег на его кошелек, поэтому этот крякер написал keygen для этой программы, и, мол, можете пользоваться ею бесплатно, она реально работает. Keygen действительно генерировал коды, подходящие для этой программы, а далее она требовала код с неиспользованной карты, который через интернет пополнял телефон автора, пока шел «процесс генерации», состоявший из мелькающих кодов в таблице на экране. Сейчас вспоминаю и смеюсь, придумывали же.
А, вот, автокликеры, как правило, требовали рублей 100 за активацию, и работали достаточно сносно, но люди принципиально хотели сломать программу и не платить 100 рублей.
Я тоже писал кликер для какого-то сайта. Это был сайт-автосерфинг, где нужно было просматривать страницы и периодически как-то подтверждать, что ты живой человек, решая капчу, на которой изображены некоторые геометрические фигуры, и нужно было выбрать какую-то из них. Координаты нажатия отправлялись на сервер и проверялись. У меня была довольно-таки удобная программа, ее не было видно до тех пор, пока не нужно было решать эту капчу, а как только ее нужно было решать, программа появлялась с маленьким окошком около трея, которое не отбирало фокус у текущего приложения.
r128gain не пользовался, но что-то мне подсказывает, что его можно заменить ladspa-плагинами, которые поддерживает ffmpeg, и сразу засунуть их в фильтры аудио.