The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Docker-контейнеры для запуска популярных декстоп-приложений"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Docker-контейнеры для запуска популярных декстоп-приложений"  +/
Сообщение от opennews (??) on 22-Фев-15, 08:59 
Джессика Фразили (Jessica Frazelle), работающая в компании Docker inc, опубликовала (https://blog.jessfraz.com/posts/docker-containers-on-the-des...) подборку  docker-контейнеров (http://github.com/jfrazelle/dockerfiles) для запуска популярных консольных и графических пользовательских приложений в режиме изоляции от основной системы. Готовые контейнеры доступны для установки через hub.docker.com (http://hub.docker.com/u/jess). Среди приложений: Skype, Chrome, Spotify, Gparted, Tor Browser,

Для организации ввода и вывода на экран осуществляется проброс сокета X11 в контейнер ("-v /tmp/.X11-unix:/tmp/.X11-unix -e DISPLAY=unix$DISPLAY"), для сохранения файлов в основной системе применяется bind-монтирование директорий ("-v $HOME/Downloads:/root/Downloads"). Организация вывода звука пока требует запуска контейнера в привилегированном режиме ("-v /dev/snd:/dev/snd --privileged"), что ставит вопрос о безопасности предложенного метода, так как выполнение в контейнере кода с правами root открывает дополнительные возможности по организации доступа к ресурсам основного хоста (например, в прошлом году была исправлена (http://www.opennet.ru/opennews/art.shtml?num=40046) уязвимость, позволяющая  обращаться в внешним файлам через прямой доступ к inode). В следующем выпуске Docker для проброса звука можно будет использовать "--device /dev/snd". При запуске Gparted используется полный проброс в контейнер блочного устройства ("--device /dev/sda:/dev/sda"), что делает бессмысленным использования контейнера в этом случае.

Александр Ларсон (Alexander Larsson), известный разработчик GNOME, развивающий собственную систему контейнеров (http://www.opennet.ru/opennews/art.shtml?num=41514) для запуска графических приложений, выступил (https://news.ycombinator.com/item?id=9087293) с критикой предложенного подхода, указав на то, что это не изоляция, а способ предоставления приложениям root-доступа. Основные аргументы сводятся к небезопасности X11: приложение запускается в изолированном контейнере, но по-прежнему имеет полный доступ ко всем X11-клиентам, что позволяет атакующему воспользоваться техниками перехвата (https://github.com/magcius/keylog) событий ввода или подстановки ввода в терминал. Второй проблемой является выполнение управляющего демона docker с правами root, что даёт пользователю, имеющему доступ к запуску контейнеров, получить широкие возможности по манипуляции системными данными (например, можно запустить контейнер "docker run -v /:/tmp ubuntu rм -rf /tmp/*", который удалит все файлы в системе).

URL: https://news.ycombinator.com/item?id=9086751
Новость: http://www.opennet.ru/opennews/art.shtml?num=41709

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Docker-контейнеры для запуска популярных декстоп-приложений"  +6 +/
Сообщение от Аноним (??) on 22-Фев-15, 08:59 
контейнеры, но с дырочками.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Docker-контейнеры для запуска популярных декстоп-приложений"  –3 +/
Сообщение от angra (ok) on 22-Фев-15, 09:16 
cgroups никогда не предназначались для полной изоляции. Хочется нормальной безопасности - используйте OpenVZ/Virtuozzo.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Docker-контейнеры для запуска популярных декстоп-приложений"  –1 +/
Сообщение от Аноним (??) on 22-Фев-15, 09:22 
тогда почему хипсторы так радостно взялись использовать именно докер для изоляции сервисов? чтобы анб порадовать?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Docker-контейнеры для запуска популярных декстоп-приложений"  +8 +/
Сообщение от Аноныч on 22-Фев-15, 09:33 
Дык название "прикольное", молодёжное, а не эти ваши аббревиатуры из рекурсивных акронимов.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "Docker-контейнеры для запуска популярных декстоп-приложений"  –2 +/
Сообщение от Аноним (??) on 22-Фев-15, 10:41 
> Дык название "прикольное", молодёжное, а не эти ваши аббревиатуры из рекурсивных акронимов.

Докерищи когда (хоть половину) закроют?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Docker-контейнеры для запуска популярных декстоп-приложений"  +5 +/
Сообщение от _KUL (ok) on 22-Фев-15, 10:04 
Контейнерная виртаулизация давным давно была придумана, а сейчас сделали обертку, чтобы смогли школьники разобраться. Далее прошел пиар, на всяких хабрах, лорах, опеннетах, и вот, молодёжь ссытся, что появилось, что то, якобы которого не было.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Docker-контейнеры для запуска популярных декстоп-приложений"  +/
Сообщение от angra (ok) on 22-Фев-15, 10:40 
Откуда мне знать, почему они это делают. Я ведь не хипстер. Могу лишь отметить, что у OpenVZ есть свои недостатки, а большинство предпочитает удобство безопасности.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

15. "Docker-контейнеры для запуска популярных декстоп-приложений"  +7 +/
Сообщение от Аноним (??) on 22-Фев-15, 10:54 
> лишь отметить, что у OpenVZ есть свои недостатки,

При том абсолютно фатальный для десктопа - требует кастомное ядро. Доисторическое.

При этом уже пофигу какая там безопасность: это ядро мое железо не поддерживает.


Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

22. "Docker-контейнеры для запуска популярных декстоп-приложений"  –2 +/
Сообщение от Владимир email(??) on 22-Фев-15, 13:15 
Ничего что новые OpenVZ уже вполне себе на ванильных ядрах работают с небольшими ограничениями?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

48. "Docker-контейнеры для запуска популярных декстоп-приложений"  +/
Сообщение от SunXE (ok) on 22-Фев-15, 21:11 
С разморозкой
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

55. "Docker-контейнеры для запуска популярных декстоп-приложений"  +1 +/
Сообщение от Аноним (??) on 23-Фев-15, 18:57 
> Откуда мне знать, почему они это делают. Я ведь не хипстер.

Я тоже. Но я ффтыкнул отчего такой hype :)
Они его юзают как инсталлер 8-0
Ну то есть воткнул контейнер с софтиной, поигрался, не пошло - выкинул. Без последствий для базовой системы. А на безопасности у них прибор лежит что с Docker-ом что без :)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

19. "Docker-контейнеры для запуска популярных декстоп-приложений"  +5 +/
Сообщение от Аноним (??) on 22-Фев-15, 11:52 
Потому что хипсторы. Орешки кешью, узкие джинсы, борода, очки, айфончик, systemd, теперь вот docker.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

25. "Docker-контейнеры для запуска популярных декстоп-приложений"  +1 +/
Сообщение от cmp (ok) on 22-Фев-15, 14:51 
Рэпчик забыл)). Названия прочих публикаций просто кричат об этом.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

31. "Docker-контейнеры для запуска популярных декстоп-приложений"  –1 +/
Сообщение от Xasd (ok) on 22-Фев-15, 15:54 
>> узкие джинсы
> Рэпчик

ды вы что, ребят? что-то тут не так

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

21. "Docker-контейнеры для запуска популярных декстоп-приложений"  +/
Сообщение от Аноним (??) on 22-Фев-15, 12:40 
поясняю специально для экспертов-нехипсторов: запуск контейнеров по дефолту требует прав рута. И если вы привыкли раздавать их всем подряд, то вы ССЗБ
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

34. "Docker-контейнеры для запуска популярных декстоп-приложений"  +/
Сообщение от Аноним (??) on 22-Фев-15, 16:22 
> поясняю специально для экспертов-нехипсторов: запуск контейнеров по дефолту требует прав
> рута. И если вы привыкли раздавать их всем подряд, то вы
> ССЗБ

а ещё месяц назад была новость, что подписывается в докеровом репозитории не сам образ контейнера, а его описание, так что с правами рута хипстор запускает радость какира

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

59. "Docker-контейнеры для запуска популярных декстоп-приложений"  +/
Сообщение от Dmitry77 email(ok) on 27-Фев-15, 18:58 
>тогда почему хипсторы так радостно взялись
>использовать именно докер для изоляции сервисов?
>чтобы анб порадовать?

докер делается не для безопасности, он позволяет легко развёртывать приложения. Например нужно устанвить джумлу:
1 установить бд, задать пароль администратора, пользователя
2 установить апч
3 устанвить джумлу прописать пароль к бд

с докером всё сводится к одному шагу - установить джумлу с зависимостями

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Docker-контейнеры для запуска популярных декстоп-приложений"  +2 +/
Сообщение от Алексей (??) on 22-Фев-15, 10:30 
cgroups ограничивает ресурсы, а изоляцией занимается namespaces
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

12. "Docker-контейнеры для запуска популярных декстоп-приложений"  –2 +/
Сообщение от Аноним (??) on 22-Фев-15, 10:42 
> cgroups ограничивает ресурсы, а изоляцией занимается namespaces

Нет. Все это уровни абстракции. А изоляцией занимается ядро.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "Docker-контейнеры для запуска популярных декстоп-приложений"  +/
Сообщение от Аноним (??) on 22-Фев-15, 10:52 
> Нет. Все это уровни абстракции. А изоляцией занимается ядро.

А cgroups и namespaces - это интерфейсы ядра, ВНЕЗАПНО. Но в ванили для 100% изоляции некоторых вещей не хватает, вот потому для ovz в нормальнмо виде и надо кастомное патченое ядро, где дополнительно запатчены лазейки из ванили.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "Docker-контейнеры для запуска популярных декстоп-приложений"  +/
Сообщение от Аноним (??) on 22-Фев-15, 11:09 
>> Нет. Все это уровни абстракции. А изоляцией занимается ядро.
> А cgroups и namespaces - это интерфейсы ядра, ВНЕЗАПНО. Но в ванили
> для 100% изоляции некоторых вещей не хватает, вот потому для ovz
> в нормальнмо виде и надо кастомное патченое ядро, где дополнительно запатчены
> лазейки из ванили.

Не спорю (по многим причинам). У них в разработке ядра своя кухня, и свой веник есть ;)

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

46. "Docker-контейнеры для запуска популярных декстоп-приложений"  –1 +/
Сообщение от Аноним (??) on 22-Фев-15, 20:00 
>> Нет. Все это уровни абстракции. А изоляцией занимается ядро.
> А cgroups и namespaces - это интерфейсы ядра, ВНЕЗАПНО. Но в ванили
> для 100% изоляции некоторых вещей не хватает, вот потому для ovz
> в нормальнмо виде и надо кастомное патченое ядро, где дополнительно запатчены
> лазейки из ванили.

сказки не будем рассказывать ?:) хоть бы код посмотрели, а не верили в маркетинг.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

13. "Docker-контейнеры для запуска популярных декстоп-приложений"  +/
Сообщение от Аноним (??) on 22-Фев-15, 10:51 
> cgroups никогда не предназначались для полной изоляции.

Вообще-то namespaces, ламо. И таки для именно этого они и предназначаются, только недопилены пока.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

45. "Docker-контейнеры для запуска популярных декстоп-приложений"  +/
Сообщение от Аноним (??) on 22-Фев-15, 19:59 
а чем openvz отличается от cgroups ? тем что оно на них основано ?:)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

16. "Docker-контейнеры для запуска популярных декстоп-приложений"  +1 +/
Сообщение от Аноним (??) on 22-Фев-15, 10:54 
> контейнеры, но с дырочками.

Забавно смотрится /root/Downloads. Нормальное такое размещение диры...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

20. "Docker-контейнеры для запуска популярных декстоп-приложений"  +/
Сообщение от Andrey email(??) on 22-Фев-15, 12:37 
Ага, друшлак :)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

24. "Docker-контейнеры для запуска популярных декстоп-приложений"  +/
Сообщение от kleemhead on 22-Фев-15, 14:41 
Дуршлякер
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

32. "Docker-контейнеры для запуска популярных декстоп-приложений"  –1 +/
Сообщение от Отче on 22-Фев-15, 15:55 
> контейнеры, но с дырочками.

А ты как хотел?
Сейчас даже ложки дырявые в моде.


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

49. "Docker-контейнеры для запуска популярных декстоп-приложений"  –1 +/
Сообщение от Тот ещё аноним on 22-Фев-15, 21:44 
Как ламер спрашиваю - как создать свой докер контейнер с нуля? Не предлагайте скачать от доброжелателей.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

51. "Docker-контейнеры для запуска популярных декстоп-приложений"  +/
Сообщение от epicfile on 23-Фев-15, 11:02 
гугли 'creating docker base image'. Вообще, частный случай для дебиана, например, это debootstrap.
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

54. "Docker-контейнеры для запуска популярных декстоп-приложений"  +/
Сообщение от Аноним (??) on 23-Фев-15, 18:30 
Когда хипстеров это останавливало? https://www.youtube.com/watch?v=j2n0d7AZNug
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

23. "Docker-контейнеры для запуска популярных декстоп-приложений"  +3 +/
Сообщение от Stax (ok) on 22-Фев-15, 14:03 
> Организация вывода звука пока требует запуска контейнера в привилегированном режиме ("-v /dev/snd:/dev/snd --privileged"),

Бред они какой-то написали. Рут ради /dev/snd?? Нужно пробрасывать сокет pulse и ключ для dbus: "-v /run/user/${UID}/pulse:/run/user/${UID}/pulse -v /dev/shm:/dev/shm -v /etc/machine-id:/etc/machine-id" - работает идеально и никаких лишних прав не требуется.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Docker-контейнеры для запуска популярных декстоп-приложений"  –4 +/
Сообщение от XXasd on 22-Фев-15, 15:29 
> При запуске Gparted используется полный проброс в контейнер блочного устройства ("--device /dev/sda:/dev/sda"), что делает бессмысленным использования контейнера в этом случае.

При чём тут sda ? Может я sdb хочу разметмть?

врядли я стал бы использовать gparted ... Но всё равно -- где тут небезопасность?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Docker-контейнеры для запуска популярных декстоп-приложений"  +3 +/
Сообщение от ebuild_destroyer on 22-Фев-15, 15:41 
>где тут небезопасность?

Везде тут небезопасность!

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

35. "Docker-контейнеры для запуска популярных декстоп-приложений"  +3 +/
Сообщение от Аноним (??) on 22-Фев-15, 16:23 
наверное sdb будет в следующей версии хипстоинноваций, когда эппл запатентует sdb, и его станет модно размечать
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

37. "Docker-контейнеры для запуска популярных декстоп-приложений"  –1 +/
Сообщение от Нанобот (ok) on 22-Фев-15, 16:45 
>При запуске Gparted используется полный проброс в контейнер блочного устройства ("--device /dev/sda:/dev/sda"), что делает бессмысленным использования контейнера в этом случае.

не совсем. если вдруг какой-то параноик захочет разметить один диск, а при этом боится, что gparted сольёт порн^W важную информацию в АНБ/MI-6/ZoG с другого, то докер поможет. хотя лично я считаю, что в этом случае следует  бороться с причиной, а не со следствиями, т.е. лечить паранойю

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Docker-контейнеры для запуска популярных декстоп-приложений"  +/
Сообщение от Аноним (??) on 22-Фев-15, 16:59 
Контейнеры ради контейнеров, отсутствие безопасности и лишние неудобства.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Docker-контейнеры для запуска популярных декстоп-приложений"  +2 +/
Сообщение от EuPhobos (ok) on 22-Фев-15, 17:41 
> "docker run -v /:/tmp ubuntu rм -rf /tmp/*"

Какой автор заботливый, комманда "rм" явно не отработает ))

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Docker-контейнеры для запуска популярных декстоп-приложений"  +1 +/
Сообщение от MPEG LA (ok) on 22-Фев-15, 17:45 
>Среди приложений: Skype, Chrome, Spotify, Gparted, Tor Browser,

т.е. я не должен доверять всем этим приложениям, а запускать от рута контейнеры с бугра, собранные непонятно кем - это Ъ-way?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Docker-контейнеры для запуска популярных декстоп-приложений"  +2 +/
Сообщение от Аноним (??) on 22-Фев-15, 17:49 
Верить, в наше время, нельзя никому. Порой даже, самому себе. Мне - можно. (с)
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

43. "Docker-контейнеры для запуска популярных декстоп-приложений"  +1 +/
Сообщение от th3m3 (ok) on 22-Фев-15, 18:10 
Эти контейнеры на самом деле нужны для узкого круга задач. Во всяком случае в таком виде, в котором они есть сейчас.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Docker-контейнеры для запуска популярных декстоп-приложений"  +1 +/
Сообщение от earfin (??) on 22-Фев-15, 20:26 
Наркоманы. А как же насчет "Docker not about security in production" или как там их главный недавно вещал?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Docker-контейнеры для запуска популярных декстоп-приложений"  –3 +/
Сообщение от Михрютка (ok) on 22-Фев-15, 22:28 
найдите в словах Skype Spotify и Tor browser хоть одну букву из слова продакшн
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

52. "Docker-контейнеры для запуска популярных декстоп-приложений"  +/
Сообщение от scorry (ok) on 23-Фев-15, 11:48 
> При запуске Gparted используется полный проброс в контейнер блочного устройства ("--device /dev/sda:/dev/sda"), что делает бессмысленным использования контейнера в этом случае.

На хрена тогда контейнер было делать? Чего же не сделали ещё контейнер, внутри первого?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

53. "Docker-контейнеры для запуска популярных декстоп-приложений"  +/
Сообщение от Аноним (??) on 23-Фев-15, 12:01 
Контейнеры GNOME это статически собранный бинарник c конфигом SELinux?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

56. "Docker-контейнеры для запуска популярных декстоп-приложений"  +/
Сообщение от Аноним (??) on 24-Фев-15, 00:37 
Чудовищно. Давно есть вменяемые средства дря запуска "всего и вся" в изоляции друг от друга. Нахрена этот баян? Ну для хостера да, я согласен. Но взрывать мозг хомякам каким-то скайпом в какойм-то докере? Очень мило.  
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

57. "Docker-контейнеры для запуска популярных декстоп-приложений"  +/
Сообщение от rex (??) on 26-Фев-15, 01:09 
Вполне нормальный кейс, не связанный с безопасностью:

развернуть кучу проектов с конфликтующими зависимостями;

писать
port = 1048
вместо
port = portAllocator.reservedRangeXXFor(currentProjectId).from + 44

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру