The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Docker-образы Alpine поставлялись с пустым паролем пользоват..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от opennews (??), 09-Май-19, 10:00 
Исследователи безопасности из компании Cisco раскрыли (https://talosintelligence.com/vulnerability_reports/TALOS-20...) сведения об уязвимости (CVE-2019-5021) в сборках (https://hub.docker.com/_/alpine) дистрибутива Alpine для системы контейнерной изоляции Docker. Суть выявленной проблемы в том, что для пользователя root был задан по умолчанию пустой пароль без блокировки прямого входа под root, что позволяло по умолчанию подключиться к контейнеру без пароля или повысить привилегии внутри контейнера через запуск утилиты su. Напомним, что Alpine используется для формирования официальных образов от проекта Docker (раньше официальные сборки основывались Ubuntu, но потом были переведены (https://www.opennet.ru/opennews/art.shtml?num=43828) на  Alpine).


Проблема проявляется начиная со сборки Alpine Docker 3.3 и была вызвана регрессивным изменением, добавленным в 2015 году (до версии 3.3 в /etc/shadow использовалась строка "root:!::0:::::", а после из-за прекращения использования флага "-d" стала добавляться строка "root:::0:::::"). Проблема была изначально выявлена и исправлена (https://github.com/gliderlabs/docker-alpine/commit/8b9abf92b...) в ноябре 2015 года, но в декабре по ошибке опять всплыла (https://github.com/gliderlabs/docker-alpine/commit/ab4337c59...) в сборочных файлах эксперментальной ветки, а затем была перенесена в стабильные сборки.

В сведениях об уязвимости указано, что проблема проявляется в том числе в последней ветке Alpine Docker 3.9. Разработчики Alpine в марте выпустили (https://github.com/docker-library/official-images/pull/5516) исправление и уязвимость не проявляется (https://github.com/alpinelinux/docker-alpine/issues/13) начиная со сборок 3.9.2, 3.8.4, 3.7.3 и 3.6.5, но остаётся в старых ветках 3.4.x и 3.5.x, поддержка которых уже прекращена. Кроме того, разработчики утверждают, что вектор для атаки сильно ограничен и требует наличия у атакующего доступа к той же инфраструктуре.


URL: https://talosintelligence.com/vulnerability_reports/TALOS-20...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50654

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –2 +/
Сообщение от anonymous (??), 09-Май-19, 10:00 
Нормально, что. Докер образ - это же как отдельное приложение статически слинкованное в статическом окружении. Никто не ставит пароли на приложения.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от A.Stahl (ok), 09-Май-19, 10:04 
>"root:!::0:::::", "root:::0:::::"

Т.е. проблема в наркоманском формате конфигов, который делает невозможным нецеленаправленное обнаружение ошибки.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –2 +/
Сообщение от Аноним (19), 09-Май-19, 12:13 
Полвека жили с DSV, и никому даже в голову не приходило, что с ним что-то не так, пока, наконец, Астахл не открыл нам глаза. Спаситель ты наш!
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

24. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Sw00p aka Jerom (?), 09-Май-19, 12:30 
а шо, он от части прав, хотите сказать вот такой вот синтаксис не разрешен ::::: ?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

34. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +1 +/
Сообщение от Аноним (19), 09-Май-19, 13:09 
Конечно разрешён, это нормальный синтаксис DSV. Что с ним не так?
Ну, конечно, если отвлечься от его конкретного приложения, в котором могут быть обязательные поля.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

47. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –3 +/
Сообщение от Sw00p aka Jerom (?), 09-Май-19, 16:26 
>в котором могут быть обязательные поля.

так все к этому и сводится, строгости нет, вот и такие беды, у рута нет пароля ппц, рута без пароля теоретически существовать не должно, представьте Бога который не все властен :) или его властью обладает каждый смертный, существовало бы понятие Бога?

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

48. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от L.P. (?), 09-Май-19, 16:44 
>>в котором могут быть обязательные поля.
> так все к этому и сводится, строгости нет, вот и такие беды,

Yea, you got it! But don't worry! They call me Superlennart and I'm here to rescue you all! There will be one true, binary format soon.

> у рута нет пароля ппц, рута без пароля теоретически существовать не должно

You don't know about biometric, BT/USB-key/NFC and other passwordless authentification methods, do you?

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

49. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от Sw00p aka Jerom (?), 09-Май-19, 16:54 
>You don't know about biometric, BT/USB-key/NFC and other passwordless authentification methods, do you?

кхмм в смысле без парольные методы? вы хоть представляете, что из себя представляют эти механизмы? или для юсби брелка вы там пинкод для разблокировки ключа не вводите?

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

52. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +1 +/
Сообщение от Аноним (-), 09-Май-19, 17:00 
>>You don't know about biometric, BT/USB-key/NFC and other passwordless authentification methods, do you?
> кхмм в смысле без парольные методы? вы хоть представляете, что из себя  представляют эти механизмы?

Не только представляю, но и использую.

> или для юсби брелка вы там пинкод для разблокировки ключа не вводите?

Причем тут пароль в /etc/shadow и какие буквы в слове "passwordless" вам не понятны?


Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

61. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от Sw00p aka Jerom (?), 09-Май-19, 18:03 
>Причем тут пароль в /etc/shadow и какие буквы в слове "passwordless" вам не понятны?

при том, что читаем выше, "рута без пароля существовать не должно", вот и мне говорят про "passwordless" механизмы.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

62. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +1 +/
Сообщение от Аноним (-), 09-Май-19, 18:14 
>>Причем тут пароль в /etc/shadow и какие буквы в слове "passwordless" вам не понятны?
> при том, что читаем выше, "рута без пароля существовать не должно", вот
> и мне говорят про "passwordless" механизмы.

Внезапно, при той же биометрической аутентификации никакого пароля для рута не требуется. С брелками то же самое - опционально.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

70. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Sw00p aka Jerom (?), 09-Май-19, 18:42 
>биометрической аутентификации никакого пароля для рута не требуется

то есть ваш рут без пароля? и любой может им пользоваться?

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

73. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +2 +/
Сообщение от Sw00p aka Jerom (?), 09-Май-19, 18:54 
>Внезапно, при той же биометрической аутентификации

понятие "рут без пароля" или "рут без пальца" или "рут без глаза" всё это равносильно тому, что рут без механизма аутентификации, и речь в статье именно о ней. Во всех механизмах аутентификации есть понятия "ключ"-а (пароля, секретной последовательности и т.д.). И без разницы как он "вводится".

Утверждение "рут без пароля (ключа)" равносильно утверждению "доступ к руту не требует аутентификации". А вот каков механизм данной аутентификации - это уже из другой оперы.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

85. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (-), 09-Май-19, 20:10 
> понятие "рут без пароля" или "рут без пальца" или "рут без глаза"
> всё это равносильно тому, что рут без механизма аутентификации, и

Понятие "болтолог опеннета" подходит гораздо лучше. Забыл с кем имею дело, прошу прощения, больше не повторится.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

102. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –2 +/
Сообщение от Sw00p aka Jerom (?), 09-Май-19, 22:44 
нуну, че нить полезного написали бы, и так знаю что "болтология" - это наука изучающая дискуссии.
Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

66. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (66), 09-Май-19, 18:21 
>у рута нет пароля ппц, рута без пароля теоретически существовать не должно

Не ставлю пароли руту (выключаю их штатным образом, см. passwd -l) уже лет пять, если не больше. Где твой бог теперь?

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

67. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +2 +/
Сообщение от анонн (?), 09-Май-19, 18:25 
>>у рута нет пароля ппц, рута без пароля теоретически существовать не должно
> Не ставлю пароли руту (выключаю их штатным образом, см. passwd -l)

Ставишь.
Почитай уже ман, что ли:


-l 
This option is used to lock the specified account and it is available to root only. The locking is performed by rendering the encrypted password into an invalid string (by prefixing the encrypted string with an !).

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

139. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (66), 14-Май-19, 18:40 
Там пустота на месте «encrypted password». Могу нотариально заверенный скриншот /etc/shadow показать.
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

76. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –2 +/
Сообщение от Michael Shigorinemail (ok), 09-Май-19, 19:11 
> у рута нет пароля ппц, рута без пароля теоретически
> существовать не должно

Почему?  Бывают системы, где у рута не существует действительного пароля (односимвольная заглушка вместо хэша) -- а стать им можно, например, по ssh со своим ключиком.  И с яичницей тоже путать вовсе не обязательно. :)

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

79. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –2 +/
Сообщение от Sw00p aka Jerom (?), 09-Май-19, 19:26 
>по ssh со своим ключиком

ага, но не без аутентификации, читаем выше про понятие "рут без пароля (ключа)"

пс: у вас и ключик без пароля? (то есть не зашифрован)

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

86. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 09-Май-19, 20:17 
> ага, но не без аутентификации, читаем выше про понятие
> "рут без пароля (ключа)"

В скобках -- _расширение_ темы.

> пс: у вас и ключик без пароля? (то есть не зашифрован)

Нет.  Но пароль к ключику не имеет никакого отношения к /etc/shadow (хотя `head /etc/shadow` я могу хоть прям сюда положить, не жалко).

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

98. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от Sw00p aka Jerom (?), 09-Май-19, 22:36 
>не имеет никакого отношения к /etc/shadow

как раз таки /etc/shadow и есть один из механизмов аутентификации, и он ничем не отличается от ключей, биометрии и других механизмов. А суть в том, что нельзя рута оставлять без механизма аутентификации. Даже пустой пароль в механизме /etc/shadow равносилен, что нет никакого механизма аутентификации. То же самое и про прочие методы, ключ (пароль) во всех этих механизмах и есть ключевая часть к предоставлению доступа к пользователю рут.

>(хотя `head /etc/shadow` я могу хоть прям сюда положить, не жалко).

ну если только вы отключили данный механизм, я тоже могу отпечаток сетчатки глаза тут оставить, только данный механизм у меня нигде не используется и что?

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

122. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +1 +/
Сообщение от пох (?), 10-Май-19, 17:03 
специально для sw00p ответ на закрытую ветку: нет, не всем. Список имеющих физический доступ к консоли или его аналог для vm - вполне себе ограничен и контролируется, как и факт такого доступа.

дублировать его отдельным ограничением внутри системы совершенно незачем и ведет только к, наоборот, ненужным рискам, не говоря уже о потере времени при аварии.

но можете уже не изучать эту технологию - там уже тоже по-моему везде новый стандарт наступил (конкретно в freebsd - с рукожопым портированием ненужно utx вместо нормального utmp)

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

123. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Sw00p aka Jerom (?), 10-Май-19, 17:15 
>Список имеющих физический доступ к консоли или его аналог для vm - вполне себе ограничен и контролируется, как и факт такого доступа.

Ну зачем тогда порождать ненужные сущности (Access Control-ы) внутри ОС? Дам сразу ответ - потому-что, мультиюзерность, мультипорцессость и т.д. Почему не single-user mode, почему не один процесс на физ машину? Почему не один алгоритм на одну Тьюринг Машину?

Ответить | Правка | ^ к родителю #122 | Наверх | Cообщить модератору

127. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от пох (?), 10-Май-19, 20:51 
> Ну зачем тогда порождать ненужные сущности (Access Control-ы) внутри ОС?

затем, что доступ к "внутриос" имеют или могут некстати заиметь не только те, кому доступна консоль, и им совершенно незачем иметь те же возможности.

впрочем, мультиюзерности как таковой у нас по сути давно уже нет - юзер "wwwrun" обслуживает миллионы юзеров в рамках одного и того же uid.
А на недоноуте с которого я пишу - юзер один, йа. Хотя учетных записей пара десятков.

времена терминальных залов давным-давно прошли, поэтому и особенного смысла расшибать себе лоб в молитвах такому "юниксвею" сейчас нет.

Ответить | Правка | ^ к родителю #123 | Наверх | Cообщить модератору

124. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (19), 10-Май-19, 17:34 
>>по ssh со своим ключиком
>ага, но не без аутентификации

Понятие аутентификации по публичному ключу тебе незнакомо?

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

125. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Sw00p aka Jerom (?), 10-Май-19, 18:35 
Ваш приватный ключ тоже не зашифрован? и вы не вводите пароля для его расшифровки?
Ответить | Правка | ^ к родителю #124 | Наверх | Cообщить модератору

126. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (19), 10-Май-19, 19:54 
Какая разница? Это не имеет никакого отношения к аутентификации в целевой системе (ключ же не в ней лежит). Мой приватный ключ есть только у меня, какими средствами это обеспечивается — моя забота. Если кто-то пришёл с моим ключом, система считает, что это я. Точно так же, если кто-то ввёл правильный пароль пользователя, система его пустит, не поинтересовавшись, хранится этот пароль только у меня в памяти, в защищённом менеджере паролей или на стикере на мониторе.
Ответить | Правка | ^ к родителю #125 | Наверх | Cообщить модератору

129. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Sw00p aka Jerom (?), 11-Май-19, 01:21 
ну вот, так к чему же было ваше "Понятие аутентификации по публичному ключу тебе незнакомо?", если тот же /etc/shadow и "по ключу" - суть одно и тоже.
Ответить | Правка | ^ к родителю #126 | Наверх | Cообщить модератору

93. Скрыто модератором  –1 +/
Сообщение от пох (?), 09-Май-19, 21:26 
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

100. Скрыто модератором  +/
Сообщение от Sw00p aka Jerom (?), 09-Май-19, 22:42 
Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

75. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от дядя (?), 09-Май-19, 19:02 
1. deep submergence vehicle - глубоководный аппарат; 2. diffused silicon varactor - диффузионный кремниевый варактор; 3. double-silk-varnish insulation - двухслойная шёлковая и лаковая изоляция; 4. drilling support vessel - вспомогательное судно для морского бурения
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

99. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +1 +/
Сообщение от Аноним (19), 09-Май-19, 22:40 
http://www.catb.org/~esr/writings/taoup/html/ch05s02.html
Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

50. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +1 +/
Сообщение от анонн (?), 09-Май-19, 16:57 
>>"root:!::0:::::", "root:::0:::::"
> Т.е. проблема в наркоманском формате конфигов, который делает невозможным нецеленаправленное обнаружение ошибки.

Проблема в том, что ты вовремя не только не реализовал, но даже и не предложил альтернативу! Стыдись!
А еще проблема не в самом формате, а в опциональности его параметров.
Ну и походу автогенерация там была,
> а после из-за прекращения использования флага "-d" стала добавляться строка

так что вряд ли формат
"user=
password="
сильно помог бы.


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

59. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +4 +/
Сообщение от Аноним (59), 09-Май-19, 17:52 
Правильно, давайте переведем его на смузи-YAML!
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

65. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +1 +/
Сообщение от Аноним (65), 09-Май-19, 18:21 
на XML-же!
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

94. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от пох (?), 09-Май-19, 21:35 
вы что, совсем уже - с этой немодной вонючей древней портянкой?
Вы еще dtd предложите с мертвым адресом на яхе, ага.

Предлагаю json - yaml, не смотря на прекрасную идеологию превращения в тыкву лишним пробелом, представляется мне черезмерно удобочитаемым, поэтому провоцирующим на ручное редактирование и использование омерзительных мамонтовых инструментов типа sed. Модные и современные админы должны давно о нем забыть!

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

97. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –2 +/
Сообщение от rshadow (ok), 09-Май-19, 22:26 
> json - yaml

Хочется решить не только конкретно эту проблему, а иметь +/- одинаковые конфиги во всем. К сожалению json и yaml придумали исключительно для сериализации данных. Для конфигов не покатит. Да и общий синтаксис, запрещенные символы и т.д. больше палок в колеса поставит при реальном использовании. И еще в конфигах частенько требуется if.

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

101. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +1 +/
Сообщение от Аноним (19), 09-Май-19, 22:44 
Прикинь, многие до сих пор ini используют!

> И еще в конфигах частенько требуется if.

Отсыпь, а?

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

112. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (112), 10-Май-19, 12:42 
> одинаковые конфиги во всем

То есть, один выбрал какой-то формат конфигов и тем самым лишил всех остальных возможности выбирать формат конфигов?

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

133. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от А (??), 11-Май-19, 15:30 
В серьезных реализациях чего-либо xml уже by default много-много лет. json-скобочки и yaml-отступы для студентов и их подделок.
Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

141. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (141), 21-Май-19, 11:58 
у тебя серьездность в чём измеряется,в интерпрайзах?
Ответить | Правка | ^ к родителю #133 | Наверх | Cообщить модератору

107. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +1 +/
Сообщение от freehckemail (ok), 10-Май-19, 05:23 
>> "root:!::0:::::", "root:::0:::::"
> Т.е. проблема в наркоманском формате конфигов, который делает невозможным нецеленаправленное обнаружение ошибки.

Тебе-то, стахл, какое дело, что там за разделитель? Твоя проблема в том, что ты лезешь текстовым редактором туда, куда не надо им лезть.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

114. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от JL2001 (ok), 10-Май-19, 13:05 
> что ты лезешь текстовым редактором туда, куда не надо им лезть.

то текстовые логи требуете (journald), то запрещаете текстовым редактором править, не угодишь!

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

117. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от freehckemail (ok), 10-Май-19, 13:18 
>> что ты лезешь текстовым редактором туда, куда не надо им лезть.
> то текстовые логи требуете (journald)

Ну блин, опять. Нет, мы не об этом говорим.

https://www.opennet.ru/base/sys/systemd_myth.txt.html

Заблужление #10.

Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

131. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от JL2001 (ok), 11-Май-19, 10:45 
>>> что ты лезешь текстовым редактором туда, куда не надо им лезть.
>> то текстовые логи требуете (journald)
> Ну блин, опять. Нет, мы не об этом говорим.
> https://www.opennet.ru/base/sys/systemd_myth.txt.html
> Заблужление #10.

там претензии к глючности конкретной программы (journald), претензий к бинарному формату если тулза вида zcat отдаст всё, что прочла и подсветит ошибки формата - я не понимаю
+ https://www.opennet.ru/openforum/vsluhforumID3/117318.html#130

Ответить | Правка | ^ к родителю #117 | Наверх | Cообщить модератору

135. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от freehckemail (ok), 13-Май-19, 05:08 
> тулза вида zcat отдаст всё, что прочла и подсветит ошибки формата

Ну если Вам zcat всё так успешно подсветит -- юзайте на здоровье, и да храни Вас Бог. =)

Ответить | Правка | ^ к родителю #131 | Наверх | Cообщить модератору

118. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (19), 10-Май-19, 13:37 
Текстовый формат хорош тем, что его можно читать и править в случае аварии при посредстве ломика и небезызвестной матери. Это не значит, однако, что при штатной работе системы надо пользоваться теми же средствами. Чтобы не накосячить, придуманы другие.
Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

130. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от JL2001 (ok), 11-Май-19, 10:39 
> Текстовый формат хорош тем, что его можно читать и править в случае
> аварии при посредстве ломика и небезызвестной матери. Это не значит, однако,
> что при штатной работе системы надо пользоваться теми же средствами. Чтобы
> не накосячить, придуманы другие.

а зазипованные текстовые логи это ещё текстовый формат с ломиком или уже нет?
иль дело в том что в сам момент всеобщего падения текст "безопаснее", а без падения через 1 минуту уже можно зиповать? тоесть если journald будет одновременно писать 1-минутный кусок текстового лога все претензии снялись бы?

Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

134. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от freehckemail (ok), 13-Май-19, 05:05 
> а зазипованные текстовые логи это ещё текстовый формат с ломиком или уже нет?

По умолчанию логи не зипуются. Настройки же зипования выбираются (если вообще включаются) для каждого приложения в отдельности, в зависимости от скорости заполнения лога.

> иль дело в том что в сам момент всеобщего падения текст "безопаснее", а без падения через 1 минуту уже можно зиповать?

Если у Вас logrotate производит ротацию ежеминутно, значит он у Вас неправильно сконфигурирован.

Ответить | Правка | ^ к родителю #130 | Наверх | Cообщить модератору

3. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +8 +/
Сообщение от Аноним (3), 09-Май-19, 10:04 
Буква S в названиях Docker и Alpine обозначает "security".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +9 +/
Сообщение от Аноним (19), 09-Май-19, 12:40 
А у баяниста песня льётся чисто…
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

64. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –5 +/
Сообщение от Аноним (64), 09-Май-19, 18:19 
Но веть там нету буквы S
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +2 +/
Сообщение от Ъ (?), 09-Май-19, 10:06 
на официальном сайте огромными буквами написано "Small. Simple. Secure."
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +2 +/
Сообщение от microcoder (ok), 09-Май-19, 13:36 
На заборах тоже много чего написано и даже нарисовано. Это для тех, кто верует в буквы, картинки, а не в продукт. Продукт по сути для таких не важен. Движение которое ловит таких, называется - Маркетинг.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +11 +/
Сообщение от Аноним (5), 09-Май-19, 10:28 
Исследователям безопасности Cisco стоит стоит вспомнить про curl...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +4 +/
Сообщение от Аноним (19), 09-Май-19, 12:15 
Пусть уж лучше ковыряют то, чем люди пользуются, а не свои ненужносвичи.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (6), 09-Май-19, 10:31 
>Проблема была изначально выявлена и исправлена в ноябре 2015 года, но в декабре по ошибке опять всплыла в сборочных файлах эксперментальной ветки, а затем была перенесена в стабильные сборки.

Как-то слишком незатейливо они бэкдоры внедряют.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +1 +/
Сообщение от OpenEcho (?), 09-Май-19, 13:02 
> но в декабре по ошибке опять всплыла в сборочных файлах

Никто их не внедряет, они сами "всплывают", чего не понятного, барабашки однако...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (7), 09-Май-19, 10:46 
> позволяло по умолчанию подключиться к контейнеру без пароля

Интересно, про какой способ подключиться, доступный по-умолчанию, они говорят?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (7), 09-Май-19, 10:49 
Оказывается, в оригинальной статье не говорят такого, это фантазия переводчика.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (10), 09-Май-19, 11:02 
Про это в багтрекере докера было упомянуто.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +2 +/
Сообщение от kvaps (ok), 09-Май-19, 10:58 
К слову, тот же su не пустит (в alpine он также требует установки sticky bit на /bin/su перед тестом):

    $ su
    su: incorrect password

Pam с PAM_DISALLOW_NULL_AUTHTOK тоже не работает:

    $ pamtester login root "authenticate(PAM_DISALLOW_NULL_AUTHTOK)"
    Password:
    pamtester: Authentication failure

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –3 +/
Сообщение от Аноним (39), 09-Май-19, 14:52 
SUID на su? Что? Да так любую систему можно поломать, на которой не отрублено нафиг USB и в которой монтируюся флешки с ext2
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

40. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +2 +/
Сообщение от kvaps (ok), 09-Май-19, 14:55 
> SUID на su?

А как еще, по вашему, su должен работать?

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

77. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 09-Май-19, 19:15 
> SUID на su? Что?

Давно его в глаза не видели (ну, если у Вас не Owl какой)?..

PS: но su без SUID действительно бывает -- кстати, в том же Owl и альте это один из штатных вариантов, см. http://altlinux.org/control -- и служит исключительно для _понижения_ привилегий, не давая при этом лазейки для их повышения ни при каких известных обстоятельствах.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

137. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (137), 14-Май-19, 15:28 
Добро пожаловать в реальный мир :)
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

138. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (137), 14-Май-19, 15:37 
Впрочем, как подсказал товарищ, udisks всегда монтирует с nosuid. Так что отбой.
Ответить | Правка | ^ к родителю #137 | Наверх | Cообщить модератору

11. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +2 +/
Сообщение от Аноним (112), 09-Май-19, 11:08 
Что за бред? Такой образ и должен поставляться с пустым паролем - пользователь _обязан_ поставить свой пароль в любом случае, независимо от того, пустой или не пустой пароль поставил создатель имиджа.
Или, по мнению "исследователей, обнаруживших уязвимость", непустой пароль, указанный в документации, намного безопаснее?
А вот то, что руту разрешён вход напрямую - это да, это косяк.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –2 +/
Сообщение от Аноним (19), 09-Май-19, 12:02 
> пользователь _обязан_ поставить свой пароль в любом случае

Ничем пользователь никому не обязан. В большинстве случаев вход по паролю там на фиг не нужен, руту — и подавно. А пароль должен быть залочен, что технически реализуется указанием невалидного хеша пароля.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

22. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –3 +/
Сообщение от Michael Shigorinemail (ok), 09-Май-19, 12:16 
...для чего там и стоял "!".

PS: как не сам дыркер, так джокер: "что выпадет"...

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от Аноним (19), 09-Май-19, 12:23 
> ...для чего там и стоял "!".

Не видать тебе повышения, сержант Очевидность.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

78. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 09-Май-19, 19:24 
>> ...для чего там и стоял "!".
> Не видать тебе повышения, сержант

Вообще-то лейтенант. :)

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

109. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от Аноним (19), 10-Май-19, 10:35 
То, что ты пиджак ВСУ, здесь мало кого волнует.
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

18. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –2 +/
Сообщение от Fyjybv755 (?), 09-Май-19, 12:07 
> пользователь _обязан_ поставить свой пароль в любом случае

Ну задайте пароль рута в Dockerfile.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

35. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от Аноним (112), 09-Май-19, 13:24 
Видишь, тебе уже кто-то из юных девляпсов минус влепил. Рихтовать имиджи докерфайлом  у новой поросли IT-макак считается неприличным.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

38. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +1 +/
Сообщение от Аноним (19), 09-Май-19, 14:20 
Удивлён, что среди недокорчёванной предыдущей поросли ещё встречаются те, кто держит пароли в гите.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

31. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (31), 09-Май-19, 12:54 
Можно генерировать пароль во время разворачивания docker-контейнера. А потом смотреть пароли через docker container logs или как там.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

44. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +4 +/
Сообщение от Аноним (19), 09-Май-19, 16:03 
Зачем тебе его генерировать и смотреть? Вот куда ты его вводить собрался?
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

82. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +4 +/
Сообщение от Аноним (82), 09-Май-19, 20:00 
> А вот то, что руту разрешён вход напрямую - это да, это косяк.

Не разрешен. Его нужно дополнительно настраивать. "Дырка" как бы в том, что если пользователь усталовил внутрь софиют для удаленного доступа, сконфигурировал его, но не задал руту пароль (или не отключил его), то можно заходить под рутом без пароля.
В общем ни о чем эта "уязвимость".

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +3 +/
Сообщение от Аноним (12), 09-Май-19, 11:10 
так докер пожизни запускается с рутом внутри, и гадит на хост с рутовым UID, не понимаю, чем новость принципиально плоха. Докер - само по себе дыра, о чем говорить. А в таких вещах наличие паролей - ложное чувство безопасности.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (14), 09-Май-19, 11:40 
У нормальных людей он ничего не гадит на хост.
У не нормальных как написали ниже там и sshd стоит)
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

115. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Led (ok), 10-Май-19, 13:11 
> У нормальных людей он ничего не гадит на хост.

... потому что нормальные люди докерами не пользуются?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +1 +/
Сообщение от Аноним (19), 09-Май-19, 11:49 
Люди в здравом уме используют директиву USER.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

58. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от Ph0zzy (ok), 09-Май-19, 17:49 
или запускают podman от ограниченного пользователя
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

63. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (19), 09-Май-19, 18:14 
А от этого внутри контейнера не станет рута?
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

68. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (66), 09-Май-19, 18:27 
Внутри контейнера ты хоть кем можешь быть, но если снаружи привелегий не дали, то они волшебным образом внутри не появляются, хоть ты там UID 0, хоть даже -1.
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

74. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от anonymous (??), 09-Май-19, 18:57 
У root-а гораздо больше возможностей для выхода за пределы контейнера. Например, некогда широкоизвестный баг linux-контейнеров с CAP_DAC_READ_SEARCH неплохо это иллюстрирует :)
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

87. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (19), 09-Май-19, 20:44 
Так и сабж про рута внутри контейнера. И вылезти из него не так-то просто, если только он не привилегированный.
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

13. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +2 +/
Сообщение от Аноним (13), 09-Май-19, 11:37 
Куда входа-то. В контейнер ssh ставят только наркоманы. А docker exec итак из-под рута.
В здравом уме на хост ноду alpine тоже никто не поставит
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (14), 09-Май-19, 11:44 
Еще очень много старых разработчиков которые помнят времена пришествия контейнеров.
И хотят все старые практики оттуда. composer и npm внутри имейджа, пароли в dockrerfile и тому подобные штуки.
Ломать это все сложно и тяжело, с их точки зрения - работало же, хочу и сейчас как привык.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

20. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –6 +/
Сообщение от Fyjybv755 (?), 09-Май-19, 12:14 
Не пробовали на мороз их выгонять?

Например, есть разрабы, которые везде тянут постргрес, и заосвывают в него значительную часть логики приложения (триггеры, хранимки, etc), и при словах "шардирование" и "балансировка" сплевывают и говорят "свят-свят". Родом прямо из нулевых. Таких на разработку новых приложений брать однозначно не стоит.

Вообще, чем больше человек привык к старым технологиям, тем меньше он стоит как специалист. Конечно, легаси поддерживать кто-то должен, но это гораздо скучнее и ниже оплачивается, чем разработка нового или перевод старого на новые технологии.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

25. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +4 +/
Сообщение от Sw00p aka Jerom (?), 09-Май-19, 12:36 
>Родом прямо из нулевых. Таких на разработку новых приложений брать однозначно не стоит.

а че же так далеко заехали до нулевых, как по мне все то, что вы сейчас используете, было создано еще в 70-ых

>Вообще, чем больше человек привык к старым технологиям, тем меньше он стоит как специалист.

ваш мозг от таких рассуждений быстрее постареет, а чем вы старее, тем вы "меньше он стоит как специалист".
И как ни странно всякие технологии Евклида до сих пор еще работают, привыкли уже?

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

33. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +4 +/
Сообщение от Аноним (19), 09-Май-19, 13:06 
> а че же так далеко заехали до нулевых

Просто он сам тоже родом из нулевых. Всё, что было раньше, для него — «до нашей эры», только из учебника истории узнать можно.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

113. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +1 +/
Сообщение от Аноним (112), 10-Май-19, 12:53 
Да не, просто он при трудоустройстве не прошёл беседу со старпёром, съевшим собаку на постргесе и прочем серверном софте, и теперь исходит на форумах тем единственным, что в нём имеется.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

26. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +10 +/
Сообщение от Аноним (26), 09-Май-19, 12:38 
По такой логике самые лучшие специалисты -- мартышки, скачущие с фреймворка на фреймворк.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

28. "(offtopic) про тянущих в рот все блестяшки подряд"  –1 +/
Сообщение от Michael Shigorinemail (ok), 09-Май-19, 12:44 
А есть и такие, которых не стоит набирать по объявлениям -- разведут шардинг там, где изначально головой немного надо было думать и не валить всё в одну кучу.

Впрочем, бродячая фраза про радикалов в двадцать, консерваторов в сорок и соотношение с сердцем и умом вроде бы никуда не убегала.

Ну, балансировки ради.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

29. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +3 +/
Сообщение от Разраб (?), 09-Май-19, 12:45 
Хочу отвыкнуть от старых технологий. Посоветуй, за что лучше взяться? Монга уже состарилась, или ещё нет?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

72. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –3 +/
Сообщение от anonymous (??), 09-Май-19, 18:44 
Если серьёзно, то из нового, ClickHouse -- вкусная штуковина :)
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

103. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (19), 09-Май-19, 22:49 
Надо автору статьи, на которую сослались ниже, добавить раздел "You are not Yandex". Впрочем, всё равно целевая аудитория не прочитает…
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

104. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от anonymous (??), 09-Май-19, 22:54 
Ну конкретно в моём случае 100 тыс. запросов в секунду, по которым потом нужно делать аналитические запросы, и тут ClickHouse хорошо подошёл. В целом, много чего хорошо бы подошло, но с этим меньше всего проблем из изученного)
Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

116. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +4 +/
Сообщение от Led (ok), 10-Май-19, 13:16 
> ClickHouse -- вкусная штуковина

Это там где интерфейс/протокол - HTTP-only? Это те, которые даже ODBC-драйвер более-менее приличный сделать не могут, а тот что есть - обёртка над тупым HTTP-клиентом?

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

36. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +3 +/
Сообщение от Аноним (112), 09-Май-19, 13:36 
И сколько разрабов, умеющих в триггеры и хранимки на ПГ, а также осведомлённых о подводных камнях "шардирования" и "балансировки" вы лично уволили в течение 4 месяцев этого года?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

41. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +3 +/
Сообщение от Ordu (ok), 09-Май-19, 15:40 
> Например, есть разрабы, которые везде тянут постргрес, и заосвывают в него значительную часть логики приложения

You are not Google[1]. Современный мир предлагает широкий спектр решений, и считать что какое-то из всегда будет лучше другого -- это значит создавать совершенно ненужных проблем себе и другим. Люди очень часто забывают об этом, и начинают тянуть в проект какие-то вещи, которые совершенно не нужны. Это очень распространённая ошибка, которую совершают не только все эти ваши админы и девопсы, это ошибка которую постоянно совершают программисты, причём уже на этапе проектирования приложения, когда они проектируют приложение не под те требования, которые предъявляются задачей, а под те неизвестные им требования, которые могут возникнуть в будущем. Это ярче всего видно в субкультуре программистов на жабе, которые проектируют код так, чтобы его потом можно было бы изменить произвольным образом, как бы не повернулся вектор разработки.

Но есть одна вещь, о которой они все забывают напрочь. Способность разработки итеративно двигаться в любую сторону, по произвольной траектории, с произвольным количеством поворотов на 180 градусов -- это само по себе очень сложное требование, которое увеличивает сложность программы в разы, а раз увеличивает сложность, то усложняет поддержку и развитие. И таким образом, подчастую, их попытки сделать программу более поддерживаемой приводят к противоположному результату, поддерживать и развивать становится сложнее.

> чем больше человек привык к старым технологиям, тем меньше он стоит как специалист.

Если человек отказывается принимать что-то новое, потому что оно новое, то это другая крайность.

Инженерное дело всё целиком о выборе правильного компромисса между противоречивыми требованиями предъявляемым к решению задачи. Крайне сложно найти нужный компромисс, и как правило получается лишь приблизиться к оптимуму, но не достичь его. Но если ты будешь отрицать этот сам факт того, что перед тобой стоит оптимизационная задача и вваливаться в крайности, то в результате ты гарантированно получишь субоптимальное решение.

Когда хомячки совершают подобные ошибки, когда они решают проблему интеллектуальной перегрузки путём вваливания в крайности типа коммунизма или либерализма, когда они начинают предлагать для сложных проблем простые решения типа "панацея" или "серебряная пуля", например, "давайте включим смертную казнь и тогда все проблемы быстро решатся" -- это можно понять, они на то и хомячки. Но если ты хочешь быть инженером, то тебе надо научится справляться с интеллектуальной перегрузкой другими способами.

[1] https://blog.bradfieldcs.com/you-are-not-google-84912cf44afb

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

81. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 09-Май-19, 19:54 
> What we’re all imploring you to do is to think!

Спасибо, отличный комментарий и примечательная ссылка; внимательно ознакомился.  А кому-то ещё предстоит набить энное количество шишек о тщательно топтаные грабли собственным лбом и другими частями тела, чтоб перестать вопить и начать прислушиваться...

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

88. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –2 +/
Сообщение от Аноним (19), 09-Май-19, 20:48 
> чтоб перестать вопить и начать прислушиваться...

к другим вопящим.

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

51. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +1 +/
Сообщение от Annoynymous (ok), 09-Май-19, 16:58 
Надеяться на здравый смысл при разработки проекта, которым пользуются десятки миллионов… ну не стоит. Просто не стоит.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

30. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от Аноним (30), 09-Май-19, 12:51 
alphine-virt уязвимости не подвержен?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Ключевский (?), 09-Май-19, 15:41 
А куда собрались входить, извините?
Если это контейнер, то в него входят через docker exec или там lxc exec, в контейнере нет ssh, он там не только не нужен, но и с точки зрения идеологии контейнеров недопустим.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +2 +/
Сообщение от Аноним (19), 09-Май-19, 15:59 
> в контейнере нет ssh, он там не только не нужен, но и с точки зрения идеологии контейнеров недопустим.

Во-первых, нет никакой «идеологии контейнеров». До появления docker нормально было использовать контейнер как обычную виртуалку (да и сейчас нормально, посмотри, сколько кругом VPS на OpenVZ). Вход туда по SSH — норма. Во-вторых, с точки зрения идеологии docker, ssh в контейнере тоже вполне допустим, если он является ключевой частью контейнеризованного приложения. Мало ли для чего он там может понадобиться кроме администрирования.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

46. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –4 +/
Сообщение от Ключевский (?), 09-Май-19, 16:16 
OpenVZ это чрут на стероидах, его использование — признак принадлежности к интеллектуальному большинству.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

69. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +2 +/
Сообщение от anonymous (??), 09-Май-19, 18:40 
Контейнеры -- это тот же самый chroot на стероидах. Собственно, из OpenVZ namespace-ы (и прочие радости) и перекочевали в ванильное ядро, образовывав основу для создания userland-утилит таких как lxc, docker и подобных.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

83. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 09-Май-19, 20:00 
> OpenVZ это чрут на стероидах

Вы точно с lxc не перепутали?

> его использование — признак принадлежности к интеллектуальному
> большинству.

Это, кстати, неплохой признак.  А вот верещать о том, в чём ни бельмеса, да ещё какие-то якобы "идеологии" приплетать -- плохой.

Ну, мне так _кажется_.

PS: если что, я достаточно разными контейнерами пользуюсь более полутора десятилетий (vserver/openvz с начала нулевых, lxc -- с 2009 или около того).  Как и непривилегированными процессами в чрутах.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

56. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +2 +/
Сообщение от Аноним (-), 09-Май-19, 17:42 
> А куда собрались входить, извините?
> Если это контейнер, то в него входят через docker exec или там
> lxc exec, в контейнере нет ssh, он там не только не нужен, но и с точки зрения идеологии контейнеров недопустим.

А пацаны то и не знали, а оно во как вышло!
https://lists.freebsd.org/pipermail/freebsd-hackers/2005-Nov...
https://www.ixsystems.com/documentation/freenas/11.2/jails.h...


Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

120. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (112), 10-Май-19, 14:57 
> с точки зрения идеологии контейнеров недопустим

А что, разработкой докера теперь руководит товарищ Суслов?
Идеология - дело хорошее, когда она позволяет выстроить систему с чёткой внутренней логикой, благодаря которой в ней легко разобраться, а когда такая идеология связывает руки - тут уж извините, я не буду придерживаться такой идеологии.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

45. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (45), 09-Май-19, 16:09 
новость ни о чем - докер от рута давно не пускают, только через --userns-remap. ssh в докере никто тоже не ставит
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –3 +/
Сообщение от Аноним (55), 09-Май-19, 17:32 
А я то наивный думал, что в docker и так все от root работает...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

60. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от пох (?), 09-Май-19, 17:59 
даже когда и работает (учитывая привычку держать в нем целиком систему, и, чтобы не выполнять мартышечью работу, стараться запускать сервисы в штатных режимах штатными скриптами - это вполне популярный вариант, переделывать часто себе дороже) - от рута обычно работает какой-нибудь uwsgi спавнер - а вот тому что поимев через очередную еженедельную дырку в джанке шелл от nobody, чувак мгновенно стает рутом, хотя и в контейнере (надолго ли? ;) - ты, вероятно, будешь немного не рад.

хотя при кастрированном su и отсутствии других способов в минималистичной системе - проблема, похоже, таки сильно преувеличена. Если, конечно, у них только доскер так собирался, а не образы и для всякой эмбедовки.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

84. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –2 +/
Сообщение от Michael Shigorinemail (ok), 09-Май-19, 20:02 
> через очередную еженедельную дырку в джанке

В смысле Junkins?

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

89. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от пох (?), 09-Май-19, 20:52 
в смысле django - казалось бы, при упоминании рядом uwsgi, особо и выбирать не из чего. почему-то на прекрасном пихоне "только один кандидат, только один выбор" (не считая уж совсем несерьезной хипстоты)
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

90. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (90), 09-Май-19, 20:53 
Подозреваю что django
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

91. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –2 +/
Сообщение от Аноним (90), 09-Май-19, 21:00 
вот я не понимаю людейю... Все кричат docker контейнеры секурити импрумент... а вот результат то - кострированая изоляция некоторых системных вызовов, иллюзия изоляции процессов, корявый  chroot и другие прелести кривого дизайна.
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

121. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от Аноним (112), 10-Май-19, 15:05 
Может быть, когда-то всё это и было про безопасность и изоляцию, но потом стало ясно, что это просто способ сдавать один хост в аренду тысячам хомячков.
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

92. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (92), 09-Май-19, 21:16 
https://alpinelinux.org/posts/Docker-image-vulnerability-CVE...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

96. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от пох (?), 09-Май-19, 21:43 
от оно чо, михалыч...

хотя, конечно, нефиг было выпендриваться. Ишь чего захотели, жить как прям в BSD...

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

105. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от Аноним (105), 10-Май-19, 01:19 
> Unfortunately we missed the case when a user installs shadow and linux-pam instead of using the default tools.

Хм, и что это значит? В их пакетах shadow и linux-pam настройки по умолчанию разрешают пускать root без пароля отовсюду? А причём тут Docker тогда? Такая проблема будет и на железе.

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

136. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +/
Сообщение от пох (?), 13-Май-19, 12:48 
> Хм, и что это значит?

это значит что у них все работало именно как полагается - рут без пароля доступен тем у кого физический доступ к консоли, для эмбедовки логично, или, в случае докера - кому он и так без логина доступен.

Но они не сообразили, что кто-то может из их же репо накатить обычную гнутую версию su и login (сам того причем не желая - завимимостями всего от всего притащит), старательно изуродованные еще молодым Встол-маном, которого больно п-ли универовские админы за попытки их ломануть (вот некисло он им отомстил за брата).

> А причём тут Docker тогда?

при том что "охфициальные образы" как раз на alpine и собраны - как обычно у макак, без траты лишнего времени на ознакомление со спецификой дистрибутива.

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

95. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  –1 +/
Сообщение от Anonymoustus (ok), 09-Май-19, 21:41 
Вот и выросло поколение, не читавшее Эрика Реймонда.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

128. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."  +1 +/
Сообщение от user455 (?), 10-Май-19, 22:37 
никогда не понимал смысла использовать этот альпин вместо centos или debian/ubuntu. экономия трафика довольно сомнительная - образ системы, который кстати не такой уж и большой (меньше 100 метров), качается один раз. а все остальные приложения просто накатывают свои слои поверх.

профит же от использования нормальных дистрибов вместо этого обрубка невероятный.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру