The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в Docker, связанная с предоставлением доступа к /proc/acpi

20.08.2018 08:43

Раскрыты сведения об уязвимости (CVE-2018-10892) в инструментарии управления контейнерами Docker. Проблема вызвана тем, что Docker не фильтрует из отображаемого внутри контейнеров пространства /proc подкаталог /proc/acpi, что позволяет из контейнера изменять режимы работы оборудования, например, включать и выключать Bluetooth (echo "enable" >/proc/acpi/ibm/bluetooth), активировать подсветку клавиатуры (echo 2 >/proc/acpi/ibm/kbdlight) и т.п. Дистрибутивы с AppArmor и SELinux, включенном в режиме "enforcing", эффективно блокируют данную проблему.

  1. Главная ссылка к новости (https://access.redhat.com/erra...)
Автор новости: Аноним
Тип: Проблемы безопасности
Ключевые слова: docker
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (119) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:07, 20/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Epic Fail товарищи
     
     
  • 2.11, Аноним (-), 11:13, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +15 +/
    Контейнеры... Изоляция... LOL.
     
     
  • 3.17, Аноним (17), 11:34, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>Контейнеры... Изоляция... LOL.

    Так недавно ж снова всплыла уязвимость в процессорах (Foreshadow), ставящая под угрозу безопасность vps и облачных хостингов.

     
     
  • 4.46, Ivan_83 (ok), 13:26, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так с интела пора валить.
     
     
  • 5.61, Anonymouss (?), 16:33, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    На докер, да.
     
  • 3.20, Аноним (-), 11:41, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +20 +/
    > Контейнеры... Изоляция... LOL.

    The 's' in Docker stands for security!

     
  • 3.58, anonymous (??), 16:14, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Контейнер != изоляция. Docker контейнер, но без изоляции.
     
     
  • 4.59, Аноним (59), 16:18, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    какой смысл тогда в контейнере? вот у vz и изоляция, и контейнеры настоящие.
     
     
  • 5.65, Аноним (-), 17:33, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > какой смысл тогда в контейнере? вот у vz и изоляция, и контейнеры настоящие.

    И где все ваши vz, zones, jails?
    Теоретические академподелки, не приспособленные для продакшена, хайлода в кластерах на кубернете с битчейном, вымерли естественным путем, как динозавры и остались лишь у немногих надутых гусей и ветеран-админов!

     
     
  • 6.66, Аноним (66), 18:04, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    А docker прямо приспособлен к прудукшену по самые помидоры! Щаз: https://habr.com/post/346430 . Агрессивной рекламой запудрили мозг умам неокрепшим, пока поймут, что этот docker-фуфел чистейшей воды, пройдёт время. И да, jail-ы и zone-ы где надо, во-первых, как раз используются, во вторых, только они и используются. Но фанатам docker-a об этом неизвестно ибо таковых к тем системам на пушечный выстрел не подпускают, не доросли ещё.  
     
     
  • 7.85, лютый охохоня (?), 07:28, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Докер используют в основном для шедулинга ресурсов тысяч серверов, например одноглазики ру, а изоляция там особо не нужна. ОпенВЗ на дешёвых впс тарифах приплетать не надо, оно совсем для другого
     
  • 6.73, шухер (?), 20:43, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    OpenVZ используется тучей хостеров vds/vps
    Выходите из погреба.
     
  • 6.119, Michael Shigorin (ok), 23:23, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Теоретические академподелки, не приспособленные для продакшена

    Смотрите, люди, на "практика".  Он-то наверняка знает уш-у, карате и много других страшных слов.  Вот только не сечёт ни хрена в том, что несёт, но это ведь и не важно...

     
  • 5.67, Аноний (?), 18:20, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Переносимость. Изоляция часто мешает, например без танцев с бубнов нельзя получить доступ к файлам.
     
  • 5.110, Аноним (110), 17:33, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    давайте вы не будете раскатывать о VZ который по сути прослойка поверх namespace + cgroups..
     
     
  • 6.111, Wladmis (ok), 19:51, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > давайте вы не будете раскатывать о VZ который по сути прослойка поверх namespace + cgroups..

    Во-первых, VZ появился задолго до namespaces+cgroups, во-вторых, Parallels хорошо законтрибьютила в развитие этих самых namespaces для того, чтобы уменьшить объём патч-сета на ядро, которое каждый релиз довольно-таки сложно заредиффить, и побольше использовать нативные ядерные механизмы изоляции, в-третьих, патч-сет на современные VZ-ядра всё ещё внушительный, и там много как раз про настоящую изоляцию.

     
  • 3.118, Michael Shigorin (ok), 23:21, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Контейнеры... Изоляция... LOL.

    Ну покажите мне такое на openvz.  А дыркер -- он и есть дыркер.

     
  • 2.12, имя (?), 11:13, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Container Linux by CoreOS stable (1800.5.0)
    $ docker exec -it d911de0408c3 /bin/ash
    / # ls -la /proc/acpi/
    total 0
    dr-xr-xr-x    2 root     root             0 Aug 20 08:09 .
    dr-xr-xr-x   99 root     root             0 Jul 31 15:37 ..
    -rw-r--r--    1 root     root             0 Aug 20 08:09 wakeup
    / # cat /proc/acpi/wakeup
    Device S-state   Status   Sysfs node
    / #
     
  • 2.45, Харитон (?), 13:21, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Epic Fail тем, кто при настройке cервера отключает SeLinux.
    Изучить как им пользоваться видать собственная важность запрещает.
     
     
  • 3.126, ОМЖ (?), 01:08, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    я отключаю.
    селинукс сложный.
    домен-роль-тип-контекст, чегобль, не ну наx
     
  • 2.50, SysA (?), 14:07, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, да! Не понятно только почему она в мини... :)
     

  • 1.2, Аноним (2), 10:21, 20/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    in the word Docker 's' letter means security!
    P.S. уязвимость раскрыта на прошлой неделе, с разморозочкой
     
     
  • 2.104, SysA (?), 15:31, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то в начале прошлого месяца!.. :)
     

  • 1.4, Аноним (66), 10:36, 20/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Кто просветит, почему всегда качественные системы уходят в забвение, а всякое дерьмо вроде docker-а занимает рынок и приобретает кучу фанатичных поколонников? Все мухи?
     
     
  • 2.5, Аноним (5), 10:41, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > качественные системы

    какие?

     
     
  • 3.7, Аноним (7), 10:54, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    BeoS
     
  • 3.18, Аноним (17), 11:36, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Знавал чела, который на полном серьезе считал "качественным аналогом" докера OpenVZ =)) Еще и админом в небольшом воронежском банке при этом работал.
     
     
  • 4.60, Аноним (59), 16:21, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    OpenVZ - аналог Docker'а? Это он отжог! У OpenVZ изоляция настоящая.
     
  • 4.120, Michael Shigorin (ok), 23:25, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Знавал чела, который на полном серьезе считал "качественным аналогом" докера OpenVZ =))
    > Еще и админом в небольшом воронежском банке при этом работал.

    Так он, поди, какой-нить мехмат ВГУ кончал, а не факультет словоблудия.

     
  • 3.52, lxc (?), 14:14, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    LXC?
     
  • 2.6, Некто (??), 10:41, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    что по вашему качественная система, peacemaker ?
     
     
  • 3.13, Аноним (66), 11:16, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Solaris Zone
     
     
  • 4.22, Аноним (22), 11:51, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И чем оно лучше докера? Чем армяне? Вроде бы нет, потому что соплярис больше никому не нужен, кроме терпил, посаженных на иглу 20 лет назад.
     
     
  • 5.27, Аноним (66), 11:59, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Потому что просто работает, стабильно и на любой нагрузке, а не падает, глючит и сыпется как docker.
     
     
  • 6.28, Аноним (22), 12:02, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ай да шутник, и где же оно у тебя работает? В Серьёзном Бизнесе? Где 96 вычислительных ядер занимают шкаф размером с советский платяной шкаф?
     
     
  • 7.87, ABATAPA (ok), 08:39, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вот про шкаф Вы зря. Старые шкафы, бывает, уже лет 50 живут, на них могут прыгать четверо детей или двое взрослых, и им ничего не будет. Дверцы на сплошных петлях не отвисают за те самые полвека, дети на них вообще катались. А сейчас? Всё из опилок, чуть надавишь — шканты вылетают с мясом.
     
     
  • 8.121, Michael Shigorin (ok), 23:27, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это чудо, поди, не видело советских холодильников Которые по те же полвека не ... текст свёрнут, показать
     
  • 5.29, Аноним (-), 12:04, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > Вроде бы нет, потому что соплярис больше никому не нужен, кроме терпил, посаженных на иглу 20 лет назад.

    А паровые турбины не лучше электровелосипеда, потому что паровозы больше никому не нужны, а вот велосипеды совсем наоборот!
    Альтернативная логика фанатов видна во всей красе.

     
  • 2.8, Аноним (8), 10:56, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Решил я как-то перевести прод на докер. 10 минут потыкал что-то там и все готово. Выглядит удобно и чистенько. Безопасность - как минимум не хуже чем было до этого, а во многих местах - лучше.
     
     
  • 3.9, Ага (?), 10:58, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А вы уже пробовали, на своем севрере блютуз выключать ? на моем что то не срабатывает, может блютуза нет
     
     
  • 4.23, Аноним (22), 11:52, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    У тебя докер притянул в зависимостях блютуз, и ты больше не можешь без блютуза работать?
     
     
  • 5.49, Ага (?), 13:46, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ДА! Уже заказал трансфер донгла в ДЦ, чортов докер не заводится :(
     
  • 4.56, Аноним (56), 15:02, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А вы уже пробовали, на своем севрере блютуз выключать ? на моем что то не срабатывает, может блютуза нет

    А кроме блютуза там ничего больше нет? Ни fan, ни cpu/, ни /sleep?


     
     
  • 5.57, имя (?), 15:29, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А вы проверьте сами. Я ничего из этого не нашёл.
    Только wakeup и PCI0:
    root@c8b0390d3ce6:/# cat /proc/acpi/wakeup
    Device S-state   Status   Sysfs node
    PCI0   S5 *disabled  no-bus:pci0000:00

    и так выключен. Включение ничего не меняет:
    root@c8b0390d3ce6:/# echo PCI0 > /proc/acpi/wakeup
    root@c8b0390d3ce6:/# cat /proc/acpi/wakeup
    Device S-state   Status   Sysfs node
    PCI0   S5 *enabled   no-bus:pci0000:00

    host centos 6.9 на HP ProLiant DL360 G5

    # /sbin/lspci
    00:00.0 Host bridge: Intel Corporation 5000P Chipset Memory Controller Hub (rev b1)
    ...

     
  • 2.42, нах (?), 13:05, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    качественные - сложный дизайн, языки программирования для взрослых, часто надо заплатить денег за удовольствие почитать документацию (не говоря уже про пользоваться). Настраивать простые вещи сложно, надо понимать что делаешь, сложные - примерно так же, но до сложных немногие доходят.

    А всякое дерьмо - любая обезьянка, кое-как научившаяся новому-модному язычку, может принять участие в разработке. Любой деврукиизопс- может осилить docker run, а то и compose.

    Ну и имеем, что имеем. А sun - банкрот.

     
     
  • 3.92, имя (?), 11:57, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Настраивать простые вещи сложно

    действительно, почему же ими не пользуются?
    красноглaзие для фана - это иногда полезно
    красноглaзие на продакшене - это диагноз.

     
     
  • 4.95, Аноним (66), 12:13, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чудес на свете не бывает, простых решений для сложных задач тоже, это всё сказки для мелочи пузатой, докеры админящей. Поэтому, с шелухой всякой сваггерной возиться дозволяют докерной мелочи, а для работы с террабайтными rdbms зовут васю-админа соляры, а для работы с тем шкафом от междельмаша, прокручиваующем финтранзакци на лярды в сутки, вообще зовут семидесятилетнего cobol-иста https://habr.com/post/403037/.
     
     
  • 5.96, имя (?), 13:11, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ответ один - легаси.

    У миноборны США до сих пор в строю остались компьютеры из 70-х, вы же не кажете, что они лучше современных?

     
     
  • 6.100, Аноним (66), 14:07, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Один вопрос: в мире клепается тонны кода для всякой вебни на сваггерах, голынгах и прочих докерах. Если так просто взять и просто решить сложные вещи, то почему любители смузи не клепанут кучу софта, который бы мог обрабатывать миллионы транзакций? анагеры будут только рады. Оно ведь потому легаси везде и держится, потому что замениить нечем. То что наклёпано любителями простоты-работать не будет. Оно работатет только на локалхосте у докерщиков.
     
     
  • 7.105, имя (?), 15:38, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    не переписывается по нескольким причинам:
    1. работает? не трожь.
    2. как оно работает? не трожь.

    контейнеры удобны тем, что есть конфиг и настроенное окружение, в котором гарантированно будет работать приложение, на какмо бы железе оно не запустилось (не берем, конечно, в расчет ассемблеры)

     
     
  • 8.108, Аноним (66), 16:35, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В случае с докером-это объявлено в рекламных буклетах В реальности же оно совсе... текст свёрнут, показать
     
  • 8.109, Аноним (66), 16:44, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Разрабы же докера-это особый прикол Чаще всего они тупо игнорируют репорты, не ... текст свёрнут, показать
     
  • 7.127, ОМЖ (?), 01:13, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ответ прост до безобразия: а кто и сколько мне за это заплатит?
     
  • 5.97, лютый охохоня (?), 13:19, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В банках транзакции обрабатывают не реляционные СУБД, по крайней мере в современных как например сбербанг ,)
     
     
  • 6.99, Аноним (66), 14:03, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А что там обрабатывает? Уж не не то ли поделие на gridgain+hadoop, которое сбертех пилил и проект которого недавно был признан провальным. OLTP  у них на оракеле,  и будет так, пока сам оракел не перекроет поставки.
     
     
  • 7.135, лютый охохоня (?), 07:24, 23/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Кем признан провальным? Экспертами опеннета? Я так тоже могу наплести что у сбера от оракле только железо и легаси, а процессинг в жабе. И доказывал что не верблюд ,)
     
  • 5.98, лютый охохоня (?), 13:22, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если где-то стоит в продакшоне шкаф снятый с поддержки вендором, это признак болота загнившего. Шкафы от междельмаша уже давно проиграли бой
     
     
  • 6.101, Аноним (66), 14:10, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Скажите это амерканцам, у которых эти шкафы обрабатывают 80% всех финтранзакций, и заменить-то нечем. Тазики с убунтой попадают в первые же секунды той нагрузки.
     
     
  • 7.102, Тьфу (?), 15:08, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Шкафы стоят потому что софт, который на них крутиться слишком старый и работает только на этих шкафах. Софт старый и переписать некому, многие разработчики уже померли или с деменцией дружат крепко.
     
     
  • 8.103, Аноним (66), 15:26, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как так, а где та куча некрасноглызых, умеющих делать просто, с голынгом и докер... текст свёрнут, показать
     
     
  • 9.107, Тьфу (?), 16:07, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Аппаратно-программная платформа на базе COBOL, еще вопросы есть Принцип работ... текст свёрнут, показать
     
  • 2.137, topin89 (?), 21:30, 23/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вопрос риторический, конечно, но я всё равно отвечу 1 Херовое продвижение При... текст свёрнут, показать
     

  • 1.10, Аноним (10), 10:58, 20/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Удобно для хостера, удобно для клиента. Только надо помнить, что ничего важного там держать не следует.
     
  • 1.14, Аноняшка (?), 11:20, 20/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Банально, включая и выключая блютус, можно "морзянкой", по нескольку байт в минуту, "сливать" пароли, куки, /etc/shadow....
     
  • 1.15, Аноним (17), 11:23, 20/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >>включать и выключать Bluetooth
    >>активировать подсветку клавиатуры

    Очень актуально для серверов, да.

     
     
  • 2.39, нах (?), 12:57, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    а это смотря чего-серверов и из чего Как тебе такая красота apt-get -s remo... текст свёрнут, показать
     
     
  • 3.89, Anonymus (?), 10:40, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что то, товарищ, делаете не то Или систему менять надо root evm apt remov... текст свёрнут, показать
     
  • 2.47, SysA (?), 13:34, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то этот пример был дан из расчета на уровень домохозяек, чтобы внушительнее выглядело и не особо пугать...
    На самом деле там можно управлять всем, что на ACPI выходит: например, разгонять/тормозить вентиляторы, выключать питание и пр.
     

  • 1.16, Аноним (17), 11:26, 20/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А самое главное - чтобы софт в контейнере мог писать что-то в /proc/acpi, он должен выполняться под root, что само по себе дыра в безопасности.
     
     
  • 2.21, Аноним (21), 11:44, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    От задачи зависит. Это же фича контейнера - изолировать приложения в юзерспейсе и предоставлять возможность запускать их даже в *изолированном* руте.
     
     
  • 3.26, anonymous (??), 11:58, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > Это же фича контейнера - изолировать приложения в юзерспейсе

    Идиоты, которые верят что docker хоть какое-то отношение имеет к безопасности, обречены майнить чужие коины.

     
  • 2.24, anonymous (??), 11:57, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > он должен выполняться под root

    Ха, как будто кто-то из смузихлебателей знает про ключ -u или смотрят в Dockerfile под каким пользователем запускается entrypoint. В docker-compose до сих пор нет нормального способа задать пользователя. Поэтому считай. что у всех все работает под рутом.

     
  • 2.25, Аноним (-), 11:58, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > А самое главное - чтобы софт в контейнере мог писать что-то в
    > /proc/acpi, он должен выполняться под root, что само по себе дыра в безопасности.

    Вообще-то задумка в изоляции как раз и была в том, чтобы можно было спокойно дать софту виртуального рута или ограничить ущерб при взломе.
    Но то ведь было в старперских джейлах, зонах и прочем крапе, когда ничего не понимали в проектировании и поддержке современных систем! И только потом пришло просветление и все умные люди внезапно поняли, что контейнерам поддержка изоляции приложений не нужна, ведь они не для этого!

     
     
  • 3.71, Аноним (71), 20:29, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Докеры для того, чтобы даже тот, кто не умеет читать и писать конфиг, мог почувствовать себя девопсом.
     
     
  • 4.116, пох (?), 20:43, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    потому что те кто умеют - заглянут в dockerfile - и обоср..ся это запустить ;-)

     

  • 1.19, имя (?), 11:36, 20/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    centos 6
    # docker --version
    Docker version 17.12.0-ce, build c97c6d6

    $ docker run -it ubuntu bash
    Unable to find image 'ubuntu:latest' locally
    latest: Pulling from library/ubuntu
    c64513b74145: Pull complete
    01b8b12bad90: Pull complete
    c5d85cf7a05f: Pull complete
    b6b268720157: Pull complete
    e12192999ff1: Pull complete
    Digest: sha256:3f119dc0737f57f704ebecac8a6d8477b0f6ca1ca0332c7ee1395ed2c6a82be7
    Status: Downloaded newer image for ubuntu:latest
    root@c8b0390d3ce6:/# ls -la /proc/acpi
    total 0
    dr-xr-xr-x   4 root root 0 Aug 20 08:17 .
    dr-xr-xr-x 191 root root 0 Aug 20 08:17 ..
    dr-xr-xr-x   2 root root 0 Aug 20 08:17 ac_adapter
    dr-xr-xr-x   2 root root 0 Aug 20 08:17 battery
    -rw-r--r--   1 root root 0 Aug 20 08:17 wakeup
    root@c8b0390d3ce6:/# ls -la /proc/acpi/wakeup
    -rw-r--r-- 1 root root 0 Aug 20 08:17 /proc/acpi/wakeup
    root@c8b0390d3ce6:/# cat /proc/acpi/wakeup
    Device S-state   Status   Sysfs node
    PCI0   S5 *disabled  no-bus:pci0000:00
    root@c8b0390d3ce6:/# ls -la /proc/acpi/battery/
    total 0
    dr-xr-xr-x 2 root root 0 Aug 20 08:18 .
    dr-xr-xr-x 4 root root 0 Aug 20 08:18 ..
    root@c8b0390d3ce6:/# ls -la /proc/acpi/ac_adapter/
    total 0
    dr-xr-xr-x 2 root root 0 Aug 20 08:18 .
    dr-xr-xr-x 4 root root 0 Aug 20 08:18 ..
    root@c8b0390d3ce6:/# echo PCI0 > /proc/acpi/wakeup
    root@c8b0390d3ce6:/# cat /proc/acpi/wakeup
    Device S-state   Status   Sysfs node
    PCI0   S5 *enabled   no-bus:pci0000:00
    root@c8b0390d3ce6:/# echo PCI0 > /proc/acpi/wakeup
    root@c8b0390d3ce6:/# cat /proc/acpi/wakeup
    Device S-state   Status   Sysfs node
    PCI0   S5 *disabled  no-bus:pci0000:00

    выходим и смотрим на хосте
    # /sbin/lspci
    00:00.0 Host bridge: Intel Corporation 5000P Chipset Memory Controller Hub (rev b1)

     
  • 1.41, Аноним (41), 13:04, 20/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А где же эта хваленая изоляция? Где она? Мы говорим о ней постоянно!
     
     
  • 2.43, нах (?), 13:08, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    синенькая? Так вот же ж она, щас подмотаем... опа, /proc/acpi добавлен в список неположенного докерам, всем обновляться! До следующего (из миллиона того что может оказаться в /proc) спим спокойно.

     
  • 2.44, Аноним (-), 13:15, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А где же эта хваленая изоляция? Где она? Мы говорим о ней постоянно!

    Для изоляции приложения есть специально заточенный под это дело, простой, понятный и безбаговый SELinux. А изоляция в контейнерах не нужна (знают все умные люди)!


     
     
  • 3.51, Аноним (51), 14:12, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    LXD-docker пашет на rhel
     
  • 3.54, anonymous (??), 14:42, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я вот уже давно мучаюсь одним вопросом. А что если изоляция нужна не руту, а простому пользователю. Как он может создать для себя песочницу, если все нужные для этого вызовы - привилегированные?

    Может есть какой-нибудь сервис systemd-namespaces, который проксирует запросы от пользователей и выполняет от имени рута?

     
     
  • 4.68, Animemous (?), 19:15, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не все. Кое-что можно без рута. Bubblewrap на это дело и пилят.
     
  • 4.76, mikhailnov (ok), 23:11, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    fakeroot?
     
  • 4.77, Аноним (77), 23:56, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    посмотрите на firejail
     
  • 3.55, нах (?), 14:46, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Для изоляции приложения есть специально заточенный под это дело, простой, понятный и
    > безбаговый SELinux.

    лолшто?

    >  А изоляция в контейнерах не нужна (знают все умные люди)!

    а, понял, понял.

    Вы бы эта, тег "сарказм" аккуратнее расставляли. "специально заточенный под это дело" должно было быть снаружи.

    кстати, странно что "специально заточенный под это дело, простой и безбаговый apparmor" (у которого есть профиль для докера) не помог. Впрочем, первоисточник новости - rhn, а они такими вещами не особенно интересуются.


     
  • 3.122, Michael Shigorin (ok), 23:33, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Для изоляции приложения есть специально заточенный под это дело, простой,
    > понятный и безбаговый SELinux. А изоляция в контейнерах не нужна
    > (знают все умные люди)!

    Вы крашеная, простите?

    PS: s/на//;s/нн/н/ для большей понятности вопроса, а то мало ли...

     

  • 1.62, Alex_hha (?), 16:45, 20/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Для изоляции приложения есть специально заточенный под это дело, простой, понятный и безбаговый SELinux

    запустите на одном хосте 5 приложений, каждое из которых будет требовать свою версию glibc/ruby/python/php

     
     
  • 2.64, Аноним (64), 17:22, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> Для изоляции приложения есть специально заточенный под это дело, простой, понятный и безбаговый SELinux
    > запустите на одном хосте 5 приложений, каждое из которых будет требовать свою версию glibc/ruby/python/php

    Это был сарказм (в ином случае "простым и понятным" selinux назвать не получится).
    Потому что чуть выше (правда, уже в удаленных) один из ярых воЕнов, брызгая слюной, доказывал что несогласные с супремностю докера на самом деле суть бзшники-вантузятники-путтиэкзешники, которые не читали новость полностью, ведь там ясно написано, что изоляция делается через селинукс, а не в самом контейнере.

     
  • 2.70, пох (?), 20:21, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    1. а можно вместо этого один раз выпороть пять разработчиков, чтобы они не требовали ненужной херни?
    2. в редчайших случаях (когда переходный период, когда мержатся разные проекты и не хватает мощностей) - мы, не поверите, держали две версии и glibc, и пихона, и пехепе. И оно у нас работало без всяких докеров. Вы не умеете? Значит вы безграмотны и криворуки, см пункт 1.
    Работало бы и по пять, но см пункт 1. Зоопарк версий в продакшн - ненужно. Ни в контейнере, ни без него. В том числе и потому, что генитальный разработчик не собирается отвечать за баги и нестабильность в не своем коде.

    И нет, ни один разработчик не уволился потому, что "у вас надо программировать на php5.6, а я хочу 7.2"

    Но вот возможность отделить систему, в которой крутится продукт разработчиков, от системы, предоставляющей ему физические ресурсы - в целом, полезна. К сожалению, докер реализует ее практически никак - из-за кривой overlayfs, сломанной концепции volumes, хранения информации важной для внутренности контейнера - отдельно от контейнера, недоделанной сетевой инфраструктуры, неумения его разработчиков пользоваться shell... и так до бесконечности.

    Часть этих проблем кое-как затыкают ненужные "системы оркестрации", притаскивая взамен еще миллион своих собственных.

     
     
  • 3.74, Gemorroj (ok), 21:03, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    если я правильно понял, то разрабам из-за жопорукости админа приходиться кодить на пхп5.6 без возможности обновиться до 7.2 (ненужная херня, на сколько я понял)?
    это тогда причина не разрабам увольняться, а уволить админа.
     
     
  • 4.78, DevOps (?), 23:57, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Уволить задним числом заранее кинув на последнюю зарплату и без возможности восстановления.
     
  • 4.115, пох (?), 20:39, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    разрабам предлагается объяснить, письменно, какие бенефиты компании принесет переход на другую версию. С графиком разработки в руках - "вот тут мы копались столько, а с новой прекрасной версией все это заняло бы столько, правда вот там и вон там у нас <? и в ем код который еще php4 помнит, его пришлось бы переписать вот за столько". Админам это неинтересно и они в этом даже и участвовать не будут (мы же помним, что у нас - админы, и они поставят новую версию, ничего не сломав в системе, а не будут городить докер на докере в докере, потому что вместе с новым пехепе приехала новая версия дистрибутива, а в ней нет старого пихона, на котором, ой, внезапно, ключевой кусок написан, да еще с какими-то бинарными so от которых уже никто не помнит где правильная версия исходника - все равно его планировалось переделать сто лет назад)

    И дальше - либо переходим, либо нет, потому что еще на этапе написания выясняется, что фича выеденного яйца не стоила, и никакой пользы бизнесу не принесет.

    Чаще, почему-то, оказывается что нет ;-)  Потому что хочухочухочу обламывается о необходимость свои хотелки обосновать а потом отвечать за выполнение этих графиков. А заморачиваться никто не любит.

    Докер используется по назначению - как средство деплоймента фиксированных окружений, слишком замороченных, чтобы обойтись скриптами для пакетного менеджера. В этом качестве даже и можно пользоваться - хотя временами кажется, что во времена bsd'шных jail'ов с unionfs проблем было поменьше в разы.

     
  • 3.79, ALex_hha (ok), 00:07, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Если у вас на локалхосте используется одна версия, то это ещё не значит, что и в реальном мире будет так же. А в реальном мире есть понятие легаси. И никто вам не выделит пару лет, чтобы перевести бекэнд с руби 1.8 на 1.9. Вот так и живем.

    Та можно и 10 версий держать, вопрос лишь удобства и докер справляется с этой задачей на отлично.

    Покажите мне пример запуска 3х версий php как модуля апача, а то я может что то пропустил

     
     
  • 4.80, DevOps (?), 00:11, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    lsPHP умеет вроде.
     
  • 4.86, пох (?), 07:44, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    выделили. Переводят. Именно со словами "поддерживать старый хлам - слишком дорого для нашей компании".
    Причем в "реальном мире" нет никакой задачи сочетать бэкэнд на старой версии с куском кода на новой - не то что в рамках одного хоста, а часто даже в рамках одного кластера - мощностей всегда не хватает, это у локалхостера они в избытке.

    > Та можно и 10 версий держать, вопрос лишь удобства и докер справляется с этой задачей на отлично.

    а ответственность за стабильность, безопасность и контролируемость - переложена на никого?(с)
    Мне вполне хватало геморроя с двумя разными версиями, каждую из которых отдельно кормить апдейтами и затыкать в ней дыры.

    > Покажите мне пример запуска 3х версий php как модуля апача, а то я может что то пропустил

    "production", "реальный мир"... php как модуль апача. Опаньки. Знаете, вы еще очень многое пропустили, нет смысла на вас время тратить.

     
     
  • 5.90, ALex_hha (ok), 11:00, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > слишком дорого для нашей компании".

    оно и понятно, в "рога и копыта" на локалхосте такого и не нужно. Дальше можно не продолжать

     
     
  • 6.113, пох (?), 20:07, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    модули апача - это именно уровень ваших рогов и копыт. fpm ниасилен, понятен.

     
  • 5.91, ALex_hha (ok), 11:02, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > а ответственность за стабильность, безопасность и контролируемость - переложена на никого?(с)

    в нормальных фирмах она переложена на devops, но у вас по ходу такого не слышали. Ну ничего, бывает.

     
     
  • 6.114, пох (?), 20:21, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > в нормальных фирмах она переложена на devops

    это и есть никто. Админы-недоучки, для которых, о ужас, две версии пехепе на одном хосте - неразрешимая проблема, apt-get install так не могёт. Зато они знают докер, къебенетес и много других страшных слов и, самые продвинутые, умеют писать скрипт для ansible.

    что отслеживают проблемы безопасности в давно протухших "пяти версиях libc" и способны пересобрать пакет вручную, сбэкпортив патчи - это вряд ли, те кто на это способны, обычно как раз понимают, что это и бесполезно, и времени не хватит на полезную деятельность. Ждут ебилдов, а если че - "это не мы, это вот пакет гнилой, или в докере s stands for security"...

     
     
  • 7.124, ALex_hha (ok), 23:53, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Э как бомбануло у админа :D
     
  • 6.123, Michael Shigorin (ok), 23:38, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> ответственность
    > devops

    И в чём же она выражается?

     
     
  • 7.129, ALex_hha (ok), 09:02, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И в чём же она выражается?

    да во всем том же, в чем и у обычных сисадминов. В отслеживании уязвимостей и устранении их. А вот каким способом, это уже вопрос другой. Если обычный сисадмин, условно, сделает yum update и /или наложит патч и соберет новый rpm, то девопс по сути сделает тоже самое, просто запустит соотв джобу в CI/CD, которая сделает тоже самое, только внутри докера ;)

    Очень давно был проект на php 4, который просто работал и все, естественно перевести на 5ку его не реально, там по сути заново надо было бы все переписать, так и работал в докере и отлично себя чувствовал.

    А совсем недавно был у меня проект на ruby 1.8, который был в докере, ибо там такое легаси, что туда лучше не смотреть. Но как тут рассказывают некоторые сказочники локалхостов, что всех разработчиков таких систем надо уволить и переписать на современные версии, в том случае это было не реально, от слова совсем. При этом это был один из крупнейших сервисов америки по продажам gift карточек, а там крутится много много денег. И все отлично работало и работает, насколько я знаю, проблем с безопасностью не было.

    Так что реальный мир он такой и немного отличается от розовых фантазий :)

     
     
  • 8.131, anonymous (??), 12:01, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    За исключением того что у них девопсов этих ваших как правило нет для этого ни... текст свёрнут, показать
     
     
  • 9.133, Alex_hha (?), 13:52, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    с какого перепуга Я вот проработал 10 лет сисадмином, последние 3 года работаю ... текст свёрнут, показать
     
     
  • 10.134, angra (ok), 23:45, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И за всё это время не сталкивался с chroot, jail, vserver, openvz, lxc, а также ... текст свёрнут, показать
     
     
  • 11.136, ALex_hha (ok), 12:22, 23/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно сталкивался, просто в докере это на порядок удобнее Я вот посмотрел бы,... текст свёрнут, показать
     
  • 2.130, anonymous (??), 11:55, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А нахрена их запускать на одном хосте ?
     

  • 1.63, Alex_hha (?), 16:47, 20/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Идиоты, которые верят что docker хоть какое-то отношение имеет к безопасности, обречены майнить чужие коины.

    О какой изоляции тут можно говорить, после Meltdown/Spectre/Foreshadow ?!

     
     
  • 2.72, Аноним (72), 20:30, 20/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    AMD
     

  • 1.84, Аноним (84), 03:34, 21/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Что самое интересное, что изначально Docker начинался, как песочница для разрабо... текст свёрнут, показать
     
     
  • 2.117, пох (?), 21:52, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Что самое интересное, что изначально Docker начинался, как песочница для разработчиков,
    > позволяющая сэкономить время...

    ну так они - сэкономили. Теперь то, что они разработали, "прекрасно работает" не "на моем компьютере, а у вас наверное что-то сломано, почините", а "в моем контейнере", переносить на прод бережно, стараясь чтоб крышка не открылась, а то содержимое-то расплещешь, хрен отмоешься.

    Причем писали это именно такие разработчики "мне удобно на моей убунточке, и плевать, что у вас там в проде и почему именно оно", поэтому они и написали "как удобно", половину недоделав и бросив. Поэтому у нас default network - "unsupported legacy", неdefault открывает все порты настеж. Поэтому у нас есть volumes, но пользоваться ими нельзя, заманаешься выгребать потом из системы мусор.
    Поэтому у нас бесконечно растет storage и параллельно растет регистри, не смотря на череззадничные операции по их периодической чистке с риском все поломать.

    > Бизнесу не нужна безопасность - ему нужны деньги

    бизнес разный бывает. Некоторые еще не продают shitAAS, а продают что-то, за что можно подержаться руками. Безопасность ради безопасности им, понятно, не нужна, поделка Тео "двадцать лет без уязвимостей, если не втыкать в розетку" там не котируется, но если очередной монгачервяк пошифрует им данные клиентов - они потеряют деньги, а этого они очень не любят.

     

  • 1.88, ПавелС (ok), 09:20, 21/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Давненько я присылал на kernel.org патчик с испправлением некоторых пермишенов в /proc. И мне отказали как раз по причине "будут проблеммы с виртуализацией".
    Вобщем с пермишенами в /proc следовало бы поразобраться, а то там как сделано так и годами никто не пересматривал.
     
     
  • 2.93, Ant (??), 12:09, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Agile
     

  • 1.94, Аноним (94), 12:12, 21/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    У меня уживаются вместе и docker и lxc, до этого использовал openvz. Везде свои удобства. К примеру на одном из серверов поднята 1С8 + postgres + apache + vnc в Docker и это очень удобно, т.к. можно легко обновлять, деплоить и менять версии или комбинировать в нужном варианте за короткое время. Базы если что за 100Гб. На другом проекте прекрасно живет lxc с проектом. Надо просто делать с понимаем плюсов и минусов, а то получается когда в руках молоток то все вокруг гвозди.
     
     
  • 2.106, anonymous (??), 15:48, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А теперь представь себе что что-то пошло не так и тебе нужно вытянуть из докера базу.
     
     
  • 3.112, пох (?), 20:04, 21/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну docker cp же ж... только вот "что-то пошло не так" в случае докера обычно - "навернулась overlayfs и ваша база превратилась в тыкву".
    вытаскивай, не вытаскивай...
     
  • 3.125, ALex_hha (ok), 00:14, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И в чем проблема? Базы как правило выносятся на volume, так что если что то пошло нет так, то проблем не будет от слова совсем.
     
     
  • 4.128, Аноним (72), 04:26, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    volume небезопасны от команды docker ... prune
    нужно монтировать как папку
     
     
  • 5.132, Alex_hha (?), 13:44, 22/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > volume небезопасны от команды docker ... prune

    С таким же успехом "обычные" базы не безопасны от rm -fr, но мы тут держимся :D

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру