forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость в Docker, позволяющая выбраться из контейнера"
Отправлено пох., 29-Май-19 16:16

> и про systemd, как он внедрялся, без которого docker не столь привлекательным становится.
вот сейчас обидно получилось!
доскер с системд - не то что не близнецы-братья, а вообще друг-друга не любят. При запуске изнутри доскера, у системды есть специальный детект, который при этом ее ломает нахрен (можно починить но не нужно - для того и сделано ,чтоб так не запускали - просто так работать не будет, нужен костылепердолинг. one true init, заметьте, будет) Менеджмент доскер-контейнеров системдой невозможен нормально by design, только кривыми костылепрокладками - что и вызвало к жизни редхатовский "почти такой же, только не демон" (хотя ежу понятно что это решение всем хуже).
Поменять параметры запуска доскеру до системды можно было отдельным человекочитаемым конфигом (поскольку их читал скрипт), сейчас - только оверрайдом юнита, со всеми побочными эффектами (включая и то что человекочитаемым это не является, поскольку потроха сцыстемды перемешиваются с настройками приложения), ведь сцыстемда не умеет файлы с параметрами, а доскер как обычно недоделан, и не все то что можно пооверрайдить командной строкой, допустимо в конфиге.

Исходное сообщение
"Уязвимость в Docker, позволяющая выбраться из контейнера" Отправлено пох., 29-Май-19 16:16
> и про systemd, как он внедрялся, без которого docker не столь привлекательным становится. вот сейчас обидно получилось! доскер с системд - не то что не близнецы-братья, а вообще друг-друга не любят. При запуске изнутри доскера, у системды есть специальный детект, который при этом ее ломает нахрен (можно починить но не нужно - для того и сделано ,чтоб так не запускали - просто так работать не будет, нужен костылепердолинг. one true init, заметьте, будет) Менеджмент доскер-контейнеров системдой невозможен нормально by design, только кривыми костылепрокладками - что и вызвало к жизни редхатовский "почти такой же, только не демон" (хотя ежу понятно что это решение всем хуже). Поменять параметры запуска доскеру до системды можно было отдельным человекочитаемым конфигом (поскольку их читал скрипт), сейчас - только оверрайдом юнита, со всеми побочными эффектами (включая и то что человекочитаемым это не является, поскольку потроха сцыстемды перемешиваются с настройками приложения), ведь сцыстемда не умеет файлы с параметрами, а доскер как обычно недоделан, и не все то что можно пооверрайдить командной строкой, допустимо в конфиге.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> и про systemd, как он внедрялся, без которого docker не столь привлекательным становится.

> вот сейчас обидно получилось!

> доскер с системд - не то что не близнецы-братья, а вообще друг-друга 
> не любят. При запуске изнутри доскера, у системды есть специальный детект, 
> который при этом ее ломает нахрен (можно починить но не нужно 
> - для того и сделано ,чтоб так не запускали - просто 
> так работать не будет, нужен костылепердолинг. one true init, заметьте, будет) 
> Менеджмент доскер-контейнеров системдой невозможен нормально by design, только кривыми 
> костылепрокладками - что и вызвало к жизни редхатовский "почти такой же, 
> только не демон" (хотя ежу понятно что это решение всем хуже). 
 
> Поменять параметры запуска доскеру до системды можно было отдельным человекочитаемым конфигом 
> (поскольку их читал скрипт), сейчас - только оверрайдом юнита, со всеми 
> побочными эффектами (включая и то что человекочитаемым это не является, поскольку 
> потроха сцыстемды перемешиваются с настройками приложения), ведь сцыстемда не умеет файлы 
> с параметрами, а доскер как обычно недоделан, и не все то 
> что можно пооверрайдить командной строкой, допустимо в конфиге.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру