The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в Docker, позволяющая выбраться из контейнера

29.05.2019 11:15

В инструментарии для управления изолированными Linux-контейнерами Docker выявлена уязвимость (CVE-2018-15664), которая при определённом стечении обстоятельств позволяет получить доступ к хост-окружению из контейнера при наличии возможности запуска своих образов в системе или при доступе к выполняемому контейнеру. Проблема проявляется во всех версиях Docker и остаётся неисправленной (предложен, но пока не принят, патч, реализующий приостановку работы контейнера на время выполнения операций с ФС).

Уязвимость позволяет извлечь файлы из контейнера в произвольную часть ФС хост-системы при выполнении команды "docker cp". Извлечение файлов выполняется с правами root, что даёт возможность прочитать или записать любые файлы в хост-окружении, чего достаточно для получения контроля за хост-системой (например, можно переписать /etc/shadow).

Атака может быть совершена только в момент выполнения администратором команды "docker cp" для копирования файлов в контейнер или из него. Таким образом атакующему необходимо каким-то образом убедить администратора Docker в необходимости выполнения этой операции и предугадать используемый при копировании путь. С другой стороны атака может быть совершена, например, при предоставлении облачными сервисами средств для копирования файлов конфигурации в контейнер, построенных с использованием команды "docker cp".

Проблема вызвана недоработкой в применении функции FollowSymlinkInScope, вычисляющей абсолютный путь в основной ФС на основании относительного пути, учитывающего размещение контейнера. В процессе выполнения команды "docker cp" возникает кратковременное состояние гонки, при котором путь уже проверен, но операция ещё не выполнена. Так как копирование производится в контексте основной ФС хост-системы в указанный промежуток времени можно успеть подменить ссылку на другой путь и инициировать копирование данных в произвольное место файловой системы вне контейнера.

Так как временное окно проявления состояния гонки сильно ограничено в подготовленном прототипе эксплоита при выполнении операций копирования из контейнера удалось добиться проведения успешной атаки в менее 1% случаев при цикличной подмене символической ссылки в пути, используемом в операции копирования (успешная атака была совершена после примерно 10 секунд попыток непрерывно в цикле скопировать файл командой "docker cp").

При выполнении операции копирования в контейнер можно добиться повторяемой атаки по перезаписи файла в хост-системе всего в несколько итераций. Возможность атаки связана с тем, что при копировании в контейнер применяется концепция "chrootarchive", в соответствии с которой процесс archive.go извлекает архив не в chroot корня контейнера, а в chroot родительского каталога целевого пути, подконтрольного атакующему и не останавливает при этом выполнение контейнера (chroot используется как признак для эксплуатации состояния гонки).

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: В Docker 1.12.6 устранена уязвимость, позволяющая выбраться из контейнера
  3. OpenNews: Взлом инфраструктуры Docker Hub с возможной компрометацией связанных репозиториев
  4. OpenNews: Уязвимость в runc и LXC, затрагивающая Docker и другие системы контейнерной изоляции
  5. OpenNews: Уязвимость в Docker, связанная с предоставлением доступа к /proc/acpi
  6. OpenNews: Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/50765-docker
Ключевые слова: docker
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (153) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 13:22, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +19 +/
    Ждем комментаторов с искрометными шутками про "девляпсов" и "контейнеры нинужны".
     
     
  • 2.2, КэГэБэ эСэСэСэР (?), 13:25, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Контейнеры нинужны, у меня на Windows 10 ничего не изолировано и работает.
     
     
  • 3.42, Аноним (42), 16:54, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +8 +/
    И тебе нечего скрывать.
     
  • 3.58, VINRARUS (ok), 18:32, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > у меня на Windows 10 ничего не изолировано

    Ничего кроме тебя самого.

     
  • 2.3, Andrey Mitrofanov_N0 (?), 13:26, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ждем комментаторов с искрометными шутками про "девляпсов" и "контейнеры нинужны".

    "" Дыркер -- он про сак-сцесс и искромётные комментарии! ""
    ++https://www.opennet.ru/openforum/vsluhforumID3/117218.html#41

     
     
  • 3.64, Аноним (64), 19:35, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "" поставил тебе [-] ""
    ///"" -- первый -- безумный!  -- Текст. ""
    ///второй безумный "Текст" -- ${вставить_еще_один_безумный_текст}
    <///>
    (с)
     
  • 3.137, Васян (?), 17:47, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Митрофаныч, у тебя учетку на опеннетике угнали что ли?
     
     
  • 4.138, Васян (?), 17:49, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Граждане, это поддельный Митрофанушко!
     
  • 2.5, Аноним (5), 13:30, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Почему это не нужны? Это хорошый способ предотвратить возможность какому-нибудь софтверному каловому монстру засрать твою систему кривыми либами зависимостей. А те кто пытается использовать решения, изначально не разрабатывавшиеся безопасными, для изоляции - сами себе злобные буратина.
     
     
  • 3.40, Аноним (40), 16:37, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Это хорошый способ предотвратить возможность какому-нибудь софтверному каловому монстру засрать твою систему кривыми либами зависимостей.

    Этот кейс требует изоляции только на уровне файловой системы, что легко решается более легковесными средствами, чем контейнеры (если, конечно, софт скачивается из доверенного источника, однако новости показывают, что качать докер-образы откуда попало так себе идея - возможность эксплуатации уязвимостей в докере, пустые рутовые пароли, древние либы с уязвимостями внутри контейнера, и т.д.)

    Вот если для запуска дерьмодемона нужна еще какая-то нетривиальная настройка системы, тогда без контейнера не обойтись.

     
     
  • 4.57, freehck (ok), 18:31, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Этот кейс требует изоляции только на уровне файловой системы, что легко решается более легковесными средствами, чем контейнеры

    Да, но инфраструктура более легковесных в плане ресурсов решений оказывается более тяжеловесной в использовании. У докера, вон, большое сообщество, есть готовые базовые имиджи чуть ли не для всего на свете. А в случае schroot, например, мне надо дебутстрапить предварительно окружения самостоятельно, и это не делается одной командой, увы.

    С учётом того, что продакшен нынче пошёл активно в контейнерах существовать, использовать докер для подобной изоляции становится более простым и удобным решением: всегда легче заюзать инструмент, который используешь на постоянной основе. И это хорошо и правильно.

     
     
  • 5.60, Anonymoustus (ok), 19:03, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вопрос лишь о том, зачем под доскер подстилать большую юникс-подобную систему, причём искорёженную и переломанную ради этого самого доскера до полной потери черт юникса. Не проще ли было написать специальные мелкие пускали для доскера, не портя линукс и целую прорву ГНУтого софта? Более того — а не лучше ли было для задач, которые суют в доскер, писать отдельные специальные маленькие системки для виртуальных машин? И не ломать, опять же, линукс и целую кучу ГНУтого софта.
     
     
  • 6.69, freehck (ok), 19:53, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Вопрос лишь о том, зачем под доскер подстилать большую юникс-подобную систему, причём
    > искорёженную и переломанную ради этого самого доскера до полной потери черт
    > юникса.

    Анонимаустус, а каким боком и что именно докер сломал-то? =/

     
     
  • 7.73, Anonymoustus (ok), 20:12, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не доскер сломал, а те, кто из линукса делают корпоративную пускалку для доскеров-шмоскеров.
     
     
  • 8.98, IRASoldier_registered (ok), 02:34, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Никсы нужны для того, чтобы ими пользоваться, причём - как _угодно_, так и польз... текст свёрнут, показать
     
     
  • 9.102, Anonymoustus (ok), 07:17, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Здесь у нас, похоже, ещё один опоздавший родиться, не читавший ни Реймонда, ни К... текст свёрнут, показать
     
     
  • 10.114, Аноним (114), 13:25, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ой, а в чём, расскажИте А то вы может тоже похоже не читали ... текст свёрнут, показать
     
     
  • 11.116, Anonymoustus (ok), 13:28, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Эти ссылки не для тебя, невежливый аноним, ты всё равно читать не будешь Это дл... текст свёрнут, показать
     
     
  • 12.154, Andrey Mitrofanov_N0 (?), 08:49, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Про macOS и Все те маленькие sh, awk, sed, vi vim и пр и не очень маленькие ... текст свёрнут, показать
     
     
  • 13.155, Anonymoustus (ok), 09:03, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    https www opengroup org openbrand register Если бы ты пользовался Маком, ты бы... текст свёрнут, показать
     
  • 10.141, IRASoldier_registered (ok), 18:09, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    И не для того, чтобы молиться на священные книги предков и основателей Предн... текст свёрнут, показать
     
     
  • 11.144, Anonymoustus (ok), 18:28, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ты книжки почитай по моим ссылкам, проникнись, _пойми_ наконец, _что такое_ Юник... большой текст свёрнут, показать
     
     
  • 12.145, IRASoldier_registered (ok), 20:10, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Книжки-то интересные И читанные Но _дискуссия_ не имеет никакого реального смы... большой текст свёрнут, показать
     
  • 10.153, Andrey Mitrofanov_N0 (?), 08:41, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Главное было в рисёрче на авось продажникам AT T прокатит Чего бы там академи... текст свёрнут, показать
     
     
  • 11.156, Anonymoustus (ok), 09:12, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Юникс изначально делали не для продажи для продажи там были другие товары и усл... большой текст свёрнут, показать
     
  • 9.117, анонн (?), 13:28, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И где теперь все те никсы для корпоративных задач которыми пользовались Гуса... текст свёрнут, показать
     
     
  • 10.139, IRASoldier_registered (ok), 17:55, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Самые распространенные в этом сегменте дистрибутивы линуксов бсд - ну да ты ж ... текст свёрнут, показать
     
     
  • 11.142, анонн (?), 18:11, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И это отвечает на какой вопрос Помимо того, что если даже забыть о Linux is no... большой текст свёрнут, показать
     
     
  • 12.146, IRASoldier_registered (ok), 20:29, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Какой-то уход разговора в сторону и кашеобразие С чего началось Началось с тог... текст свёрнут, показать
     
  • 6.79, Anonymouss (?), 20:53, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Сделали уже.
    Маленькая пускалка для docker
    https://rancher.com/rancher-os/
     
  • 5.103, Аноним (103), 08:29, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Да, но инфраструктура более легковесных в плане ресурсов решений оказывается более тяжеловесной в использовании. У докера, вон, большое сообщество, есть готовые базовые имиджи чуть ли не для всего на свете. А в случае schroot, например, мне надо дебутстрапить предварительно окружения самостоятельно, и это не делается одной командой, увы.

    Потому что это не правильный подход. Надо не систему бутстрапить, а сбандлить с приложением либы, которое оно использует, с помощью инструментов вроде linuxdeploy

     
  • 3.56, freehck (ok), 18:28, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Почему это не нужны? Это хорошый способ предотвратить возможность какому-нибудь софтверному каловому монстру засрать твою систему кривыми либами зависимостей.

    Плюсую. А ещё деплой удобнее в разы становится.

     
     
  • 4.72, пох. (?), 20:11, 29/05/2019 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 5.86, хотел спросить (?), 22:05, 29/05/2019 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 6.91, пох. (?), 22:13, 29/05/2019 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 7.97, хотел спросить (?), 02:28, 30/05/2019 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
     
  • 8.122, пох. (?), 13:54, 30/05/2019 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 9.147, хотел спросить (?), 21:54, 30/05/2019 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
  • 2.8, Аноним (8), 13:49, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Если писать код абсолютно правильно, то контейнеры не особо то и нужны. Но с ними проще, на многое можно забить.
     
     
  • 3.10, kai3341 (ok), 14:07, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  Если писать код абсолютно правильно, то контейнеры не особо то и нужны. Но с ними проще, на многое можно забить.
    > абсолютно

    максималист детектед. Возвращайся в мир собственных фантазий

     
  • 3.39, Аноним (40), 16:27, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Если писать код абсолютно правильно, то контейнеры не особо то и нужны.

    Контейнеры были придуманы для разделения ресурсов между сервисами, выполняющимися в облачной инфраструктуре. И в этой нише конкуренция идет в основном между различными типами этих самых контейнеров, так как виртуализация всегда имеет больше накладных расходов. А то, что некоторые макаки забивают гвозди микроскопами - это как бы совсем не означает, что микроскопы не нужны и их легко заменить молотками.

     
     
  • 4.87, пох. (?), 22:06, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    да ну нах Я-то думал для разделения ресурсов были придуманы многозадачные опера... большой текст свёрнут, показать
     
  • 4.135, SysA (?), 17:27, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    systemd-nspawn
     
  • 3.59, лютый жабист__ (?), 18:44, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >Если писать код абсолютно правильно, то контейнеры не особо то и нужны

    Если использовать java EE, то доцкер не нужен. Может есть и другие вменяемые платформы, хз.

     
     
  • 4.123, пох. (?), 14:09, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    угу, вместо сравнительно дешевого девляпса надо кормить наглого и распухшего от ... большой текст свёрнут, показать
     
  • 2.27, Fyjybv755 (?), 15:22, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ждем комментаторов с искрометными шутками про "девляпсов" и "контейнеры нинужны".

    У "девляпсов" копирование файлов в контейнер (точнее, образ) выполняется только при docker build, когда контейнер, внезапно, не выполняется. Для всего остального есть volumes.

    Менять что-то в контейнере вручную - крайне бессмысленная задача, так они обычно создаются и уничтожаются автоматически при деплое.

     
     
  • 3.33, пох. (?), 16:07, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Для всего остального есть volumes.

    объявленные (те что персистентны, а не каждый раз вручную) deprecated пять лет назад и с тех пор по этому поводу толком не поддерживаемые (оставляют неудобообнаруживаемый и неудобоудаляемый мусор в системе, не видны обычными инструментами если не знать и не спросить специально)? Отличное решение, так держать.

    Ну и вот ни разу не поверю, что копирование файлов ИЗ контейнера - никогда-никогда не случается у девляпсов. А баг, как я понимаю, эксплойтится и этим способом замечательно.

     
     
  • 4.43, Анониим (?), 17:00, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > deprecated

    И чем заменять предлагают?

     
     
  • 5.49, пох. (?), 17:58, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И чем заменять предлагают?

    как обычно, ничем - "как, вы не слышали? в какой криокамере вы спали? standalone docker давно уже ж немодно, все на k8s, бегом, бегом, некогда разбираться, ляпай давай!"

    его, разумеется, тоже будет некогда доделывать - "все бегом в впопенштифт, управлять кластером руками ересь и предрассудки!"

     
     
  • 6.53, Аноним (53), 18:13, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    в k8s все тем более через volume-ы делается
     
     
  • 7.112, Fyjybv755 (?), 12:41, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Судя по его комментам в этом обсуждении, докер он видел только на картин^Wвинде, а про кубер и сварм вообще только слышал.
     
     
  • 8.125, пох. (?), 14:16, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ваш сварм - такое же устаревшее ненужно, уже выкинутое ляпателями доскера в помо... большой текст свёрнут, показать
     
  • 4.45, sailorCat (?), 17:37, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > у и вот ни разу не поверю, что копирование файлов ИЗ контейнера - никогда-никогда не случается у девляпсов.

    Осталось найти девопса и убедить его сто раз скачать файл из работающего контейнера. Если повезёт, этого хватит, чтобы сработала уязвимость.

     
     
  • 5.50, пох. (?), 18:00, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну нет, зачем же так - надо найти девопса с десятью тысячами контейнеров, и как-то развести на нужный и полезный файл где-то в одном из. Вероятность попадания резко увеличивается.

     
     
  • 6.111, Fyjybv755 (?), 12:39, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ага, админ десяти тысяч контейнеров не имеет никакой автоматизации и чуть что - сам лезет чинить.
    Десять тысяч раз в день, ага.

    Ну и бред вы несете.

    На практике, если с каким-то контейнером проблема - его проще редеплойнуть, чем ковыряться в его потрохах и выяснять, кто там pid-файл забыл убрать.

     
     
  • 7.118, Аноним (114), 13:31, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага, админ десяти тысяч контейнеров не имеет никакой автоматизации и чуть что - сам лезет чинить.

    Зачем ты приписываешь свои слова другим?

    > проще редеплойнуть, чем ковыряться

    На практике проще.
    Но не правильней.
    Потому, что если всё делать как проще, то получится:

    > Ну и бред вы несете.

     
  • 7.126, пох. (?), 14:22, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну нет, зачем же - он как раз автоматически наш эксплойт и запустит, вручную-то ... большой текст свёрнут, показать
     
     
  • 8.128, Fyjybv755 (?), 15:52, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    docker cp Нет, не запустит В процессе продового деплоя отладочным операциям не... текст свёрнут, показать
     
     
  • 9.132, пох. (?), 16:08, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ага, перезапускать до посинения прода, после - обновить резюме так же, как мы р... большой текст свёрнут, показать
     
  • 4.65, Анонимус2 (?), 19:38, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Где вы такую траву берете? Или вы машину времени украли и пишете из 2030 года?
     
     
  • 5.115, Аноним (114), 13:27, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не машину, а вагон времени. Всё это ваше ГНУ именно про вагон бесплатного чужого времени.
     
     
  • 6.157, Andrey Mitrofanov_N0 (?), 09:21, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Не машину, а вагон времени. Всё это ваше ГНУ именно про вагон
    > бесплатного чужого времени.

    Сестра, тампоны!  В треде ушибленный ГНУ!1

    У тебя ушиб, если ты "девляпсы" выше по треду или "дыркер" из новости "перевёл" на гну.

    Прикладывай лёд.

     
  • 4.110, Fyjybv755 (?), 12:35, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > объявленные (те что персистентны, а не каждый раз вручную)

    О, сразу видно великого спеца по девляпсам. Контейнеры, значит, вручную создаете.

    На практике, где-либо, кроме тестового стенда, никто такой фигней не занимаются. Контейнеры со всеми томами, портами и лимитами создаются автоматически системой деплоя, поэтому никаких "вручную" быть не может по определению. Более того, в нормальной инфраструктуре система мониторинга выявляет все созданные и измененные "вручную" контейнеры на продовых серваках и поднимает critical alert.

     
     
  • 5.127, пох. (?), 14:25, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> объявленные (те что персистентны, а не каждый раз вручную)
    > О, сразу видно великого спеца по девляпсам. Контейнеры, значит, вручную создаете.

    сразу видно великого спеца-девляпса, он даже не понял что речь о персистентных томах, а не контейнерах.

    > На практике, где-либо, кроме тестового стенда, никто такой фигней не занимаются. Контейнеры
    > со всеми томами, портами и лимитами создаются автоматически системой деплоя, поэтому

    поэтому docker cp их незаменимый помощник, когда что-то где-то пойдет не так, ага, ага (ну и наш тоже, если придет в голову их немного поломать).

    какие еще персистентные тома, они об этом ведь не успели дочитать, а если бы и успели - модная система "орхестрации" все равно не даст.

     
     
  • 6.131, Fyjybv755 (?), 16:07, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > сразу видно великого спеца-девляпса, он даже не понял что речь о персистентных томах, а не контейнерах.

    Нет, я не понял, нафига вообще нужны персистентные тома. Еще раз: список томов в виде пар "каталог хоста"-"каталог контейнера" (+опционально ro) автоматически формируется при создании каждого нового контейнера. Зачем в этой схеме нужен механизм docker persistent volumes?

    > поэтому docker cp их незаменимый помощник, когда что-то где-то пойдет не так, ага, ага (ну и наш тоже, если придет в голову их немного поломать).

    Ну удачи залезть на тестовый стенд. Конечно, специально для вас его откроют в мир. Если очень-очень попросить.

     
     
  • 7.133, пох. (?), 16:11, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Нет, я не понял, нафига вообще нужны персистентные тома. Еще раз: список
    > томов в виде пар "каталог хоста"-"каталог контейнера" (+опционально ro) автоматически
    > формируется при создании каждого нового контейнера. Зачем в этой схеме нужен

    в этой-  низачем, поэтому поломано и починено не будет. Как и много чего еще, брошенное недоделанным, потому что стая макак ускакала за новыми, более блестящими погремушками.
    (тот же swarm, как показала практика)


     
  • 2.32, Канделябры (?), 16:02, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +11 +/
    > с искрометными шутками

    Не каждому разработчику удаётся выбраться из контейнера на оплачиваемую работу.

     
     
  • 3.52, Аноним (52), 18:10, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Хьело фрём Индия, дрюгь! Ми написале харёши кёд для твая видиёкартачкя, дрюгь! Тама сто милиёнь строкь! (неразборчиво говорит дальше на хинглише)
     
  • 2.37, Дон Ягон (?), 16:17, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ждем комментаторов с искрометными шутками про "девляпсов" и "контейнеры нинужны".

    Жаль, что тебе и подобным не понятно, что это не шутки в целом.
    Контейнеры сами по себе может и ок концепция, со своей областью применения, но то, как эта концепция реализована в дрокере - это провал. Да и вечнодырявые линуксовые неймспейсы доверия не добавляют.

     
     
  • 3.101, виндотролль (ok), 06:44, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    какая разница между концепцией контейнеров, ее реализацией в докере и линуксовыми неймспейсами?
     
     
  • 4.130, Дон Ягон (?), 16:00, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это, на самом деле, непростой вопрос, на который развёрнуто отвечать можно очень... большой текст свёрнут, показать
     
  • 2.55, Аноним (55), 18:18, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты про вебмакак забыл без них никуда.
     
  • 2.162, псевонимус (?), 15:53, 02/06/2019 [^] [^^] [^^^] [ответить]  
  • +/
    "Контейнеры2 НЕ НУЖНЫ. дЕВЛЯПСЫ И ХИПСТОТА ЗЛО.
     

     ....большая нить свёрнута, показать (72)

  • 1.4, Аноним (-), 13:26, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    #nobigfatdaemon
     
  • 1.6, ыфективный манагер (?), 13:46, 29/05/2019 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +3 +/
     

     ....ответы скрыты (4)

  • 1.7, Аноним (7), 13:47, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    #notabug
     
  • 1.12, Sw00p aka Jerom (?), 14:19, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Ну где тот аноним, который биткоинами разбрасывался? месяц даже не прошел )))
     
     
  • 2.14, пох. (?), 14:26, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну он вроде обещался за вылезание из контейнера, а не за эксплуатацию уязвимости в самом дыркере

    тут, как я понимаю, традиционно, нужен доступ к docker socket или лох, который это сделает за тебя в оговоренный момент. А это человеческие отношения, это сложно - проще получить свой биткойн с этих вот - "я вчера взламал твой кампьютер, хакнул твой вебкамера и заснятое разошлю по списку всех тваих кантактов если не пришлешь мне деньгов". Раньше они хоть правда пытались подбирать пароли и иногда даже присылали их, а теперь уже не парятся - видимо, и так неплохо выходит.

    И только я, как дурак, сижу без вебкамеры :-(

     
     
  • 3.22, Fyjybv755 (?), 15:09, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > лох, который это сделает за тебя в оговоренный момент.

    И вероятность удачи порядка 1% на попытку. Очень долго придется несчастного лоха мучить...

     
  • 2.18, Fyjybv755 (?), 15:06, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну где тот аноним, который биткоинами разбрасывался? месяц даже не прошел )))

    Он обещал за выход из контейнера. А сабжевая жуткая мега-уязвимость предполагает, что вы уже вне контейнера и имеете полномочия для управления докером (группа docker, в которую обычно входят только админы).

     
     
  • 3.34, пох. (?), 16:08, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    так каждый дурак может, тут идея что полномочия-то не у тебя, а используешь их - ты, без спросу.

     
     
  • 4.113, Fyjybv755 (?), 12:42, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Фигасе "без спросу" - сотню-другую раз подряд просить админа "ну скопируй мне файл, ну позяяяязя".
     

  • 1.15, Аноним (15), 14:37, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Systemd, dockers, не хватает только реестра для полного счастья.
     
     
  • 2.17, Аноним (17), 14:42, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    dconf
     
  • 2.19, Аноним84701 (ok), 15:06, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > dockers

    C буквой "s" это будет другой, неправильный докер.


     
  • 2.28, Аноним (28), 15:23, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Wayland же, причем тут реестр.
     
     
  • 3.30, Andrey Mitrofanov_N0 (?), 15:44, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Wayland же, причем тут реестр.

    "-- Тому не надо #Windows искать, у кого он за спиной стоит. "(почти)

     
     
  • 4.35, пох. (?), 16:09, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    "на 'десктопе' стоит"

     
     
  • 5.158, Andrey Mitrofanov_N0 (?), 09:27, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > "на 'десктопе' стоит"

    не, за "спиной rh ^W ibmel-а".

     
  • 2.92, Gannet (ok), 23:22, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В топике ничего не сказано про systemd, чудик.
     

  • 1.16, corvuscor (ok), 14:40, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Атака может быть совершена только в момент выполнения администратором команды "docker cp" для копирования файлов в контейнер или из него.

    Вот уязвимость так уязвимость... Я аж забоялся...

     
  • 1.20, Fyjybv755 (?), 15:08, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Таким образом атакующему необходимо каким-то образом убедить администратора Docker в необходимости выполнения этой операции и предугадать используемый при копировании путь.

    Может, проще сразу попросить рутовый доступ? А что, неплохая уязвимость получается - любой линукс взломать можно. И *bsd тоже. "Каким-то образом убедить админа, что вам нужен рутовый шелл".

     
  • 1.21, Аноним (21), 15:08, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А когда выберетесь из докера, то что дальше делать будете ?
     
     
  • 2.24, Fyjybv755 (?), 15:15, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если говорить о реалистичных сценариях атаки, то это не "выбраться из контейнера", а "получить рута, если у тебя есть полномочия докер-админа".
    На практике обычно управление докером и так выполняется из-под рута, поэтому можно даже за попкорном не ходить, скукотища.
     

  • 1.25, Какаянахренразница (ok), 15:20, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Снова ночь и снова демоны приподнимают крышки контейнеров, оглядываются вокруг и едва слышно, по-одному, вылазят наружу...
     
  • 1.31, zurapa (ok), 15:58, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Вот читаю комментарии, и удивляюсь. Никогда столь дырявая вещь не захватывала умы IP сообщества. Видимо это новый миллениум - сначала ставишь в прод, потом отлавливаешь баги, дыры и всё такое. Нам же некода, быстро надо.
    Это:
    и про докер,
    и про pulseaudio, как он внедрялся,
    и про systemd, как он внедрялся, без которого docker не столь привлекательным становится.

    Странно это. Без докера, помоему и обсуждать то не пришлось бы. Сейчас все разговоры только о том, какие дырки в докере, как эти дырки латают, как swarm придумал, как научили контейнеры контактировать друг с другом, какой плохой swarm, закроем swar, сделаем kubernetis, и т.д...

    Технология на столько бурно развивается. и на столько плохо обкатана, что тот кто его потрогал год назад, сейчас уже занова должен всё читать и разбираться.

    В сети взяли на вооружение BGP, раздали всем желающим рукожопам по AS, и сейчас ноют, что делать с интернетом. Распродали IP-адреса всем подряд, бесконтрольно, получили целые подсети spam, ddos, прочего флуда.

    У меня одного впечатление, что всем IT рулит стадо детей лет 12-ти, которым вообще не хочется думать о завтрашнем дне?

    Где мозги у людей?!

    Даже уже шутить по поводу Docker не хочется. Это реально не смешно становится. Постригусь в BSD'уны.

     
     
  • 2.36, пох. (?), 16:16, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    вот сейчас обидно получилось доскер с системд - не то что не близнецы-братья, а... большой текст свёрнут, показать
     
     
  • 3.44, Ёж (?), 17:05, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > хотя ежу понятно что это решение всем хуже

    Мне не понятно! Объясни!

     
     
  • 4.47, пох. (?), 17:54, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    у тебя есть демон, работает с поднятыми привиллегиями, запускается тем у кого он... большой текст свёрнут, показать
     
  • 2.70, вИКТОР АГН (?), 20:01, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >и про systemd, как он внедрялся, без которого docker не столь привлекательным становится.

    да при чём тут докер то? :E у меня за 2 года прода багов докера было ровно два, с пермиссиями и extended acl. второй баг возник из-за лимитов. В systemd они задаются отдельно от /etc/security/limits.d/
    Других проблем не было. и это прод, 2к рпс/наносекунду.


     
     
  • 3.99, Аноним (99), 02:37, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > у меня

    да-да-да, "если у меня работает, значит не гoвно".

     
  • 3.150, Аноним (150), 06:37, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    2K рпс/наносекунду. Толсто однако.

    РПС - RPS - requests per second.

    Даже если забыть этот ляп. И это 2K запросов в наносекунду,  Гугл в сторонке курит.

    Иди уроки учи. Завтра в школу

     
  • 3.151, Аноним (150), 06:39, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Другими словами вы pizdobol сэр.
     
  • 3.159, zurapa (ok), 11:56, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я в своём комментарии, как бы намека явно говорю , что без systemd, с которым т... большой текст свёрнут, показать
     

  • 1.38, Гномспецназ (?), 16:22, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нео путь избранного
     
  • 1.41, Аноним (41), 16:47, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А что Freebsd с её джейламм?
     
     
  • 2.46, Sw00p aka Jerom (?), 17:47, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А что Freebsd с её джейламм?

    какой был 100 лет назад, такой и остался, пусть таким и остается

     
     
  • 3.48, пох. (?), 17:55, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    кое-что все же успели испортить за последние пять - в погоне за косплеем доскера, ага.
     
     
  • 4.75, abi (?), 20:21, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    vnet что-ли? На 11.2 все ещё кидал систему в панику если в разных клетках свой pf запустить.
     
     
  • 5.83, Sw00p aka Jerom (?), 21:58, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > vnet что-ли? На 11.2 все ещё кидал систему в панику если в
    > разных клетках свой pf запустить.

    в клетках пф? о Боже

     
     
  • 6.89, пох. (?), 22:08, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> vnet что-ли? На 11.2 все ещё кидал систему в панику если в
    >> разных клетках свой pf запустить.
    > в клетках пф? о Боже

    ну а зачем вообще тебе vnet?

    с разделяемой физической сетевухой и так все работает.

     
     
  • 7.94, Sw00p aka Jerom (?), 00:19, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > ну а зачем вообще тебе vnet?
    > с разделяемой физической сетевухой и так все работает.

    алиасов хватает )

     
     
  • 8.119, Аноним (114), 13:33, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Алиасы не нужны vhid практичней ... текст свёрнут, показать
     
  • 8.136, пох. (?), 17:44, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    так это и есть разделение физической сетевухи - хошь алиасами, а не хошь просто ... текст свёрнут, показать
     
     
  • 9.140, Sw00p aka Jerom (?), 17:56, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    а зачем тогда pf тянуть в джейл ... текст свёрнут, показать
     
     
  • 10.143, пох. (?), 18:23, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в смысле Это способы его туда не тянуть А pf в jail можно хотеть тянуть по мил... текст свёрнут, показать
     
     
  • 11.163, Дон Ягон (ok), 01:14, 04/06/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    О да Сорян за лёгкий некропостинг, но да, это прекрасно Ты закоммитишь - и ... текст свёрнут, показать
     

  • 1.54, Аноним (55), 18:14, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Для всех в этом чатике изоляция бывает только аппаратная. И то там работает социоинженерия. Все остальное фикция. То что докер не может решить эту проблему это только потому что никто такой задачи решить не может.
     
     
  • 2.66, Онаним (?), 19:45, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ещё дыры в интеловских процах там ничего так работают.
     
  • 2.67, Анонимус2 (?), 19:46, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Эту вашу аппаратную изоляцию ломают чаще чем в докере дыры находят. При этом её ещё и исправить можно только покупкой новой железяки, которая появится только через год.
     
     
  • 3.120, Аноним (114), 13:36, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > вашу аппаратную изоляцию ломают чаще чем в докере дыры находят.

    Это изоляция .. , она такая же наша как и твоя.
    И почему изоляцию ломают, а дыры в докере находят? Может всё ровно наоборот? Дыры в твоей аппаратной изоляции находят, а докер ломают?

    > При этом её ещё и исправить можно только покупкой новой железяки, которая появится только через год.

    И какой же ты делаешь из этого вывод? Что, надо использовать докер без аппаратной изоляции?

     
     
  • 4.160, zurapa (ok), 12:03, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вот тут ты очень смешно протролил. Надо запомнить. Буду теперь всем DevOps'ам говорить, чтобы использовали Docker без аппаратной изоляции в чистом виде, прямо на железе. Какой там на железе?! Прямо в уме пускай это делают. В мозгу то дыр нет. Хотя...
    Ха-ха-ха-ха-ха! (сдох)
     
  • 2.82, Аноним (-), 21:05, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > И то там работает социоинженерия.

    И хорошо работает. Аппаратная изоляция - это программная, реализованная на уровне фирмвари проца. Тот же программный код, притом проприетарные. Да уж, изоляция с открытым кодом - фикция, только проприетарная изоляция настоящая.

     

  • 1.63, Аноним (63), 19:20, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вспомнил забавный киноляп из недавнего фильма, как чел, кажется раз 7 сбегал из немецкого концлагеря во время второй мировой.
     
     
  • 2.76, Аноним84701 (ok), 20:48, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Вспомнил забавный киноляп из недавнего фильма, как чел, кажется раз 7 сбегал
    > из немецкого концлагеря во время второй мировой.

    Был такой. Тони Ролт. Прославился еще как гонщик (и тем, что для последнего побега, из замка Кольдиц, построили с группой заключенных планер).
    Сбегал 7 раз (вроде как подтверждено документально самими немцами).
    Просто был британским офицером (более мягкие условия содержания в начале второй мировой), да и последний его побег был еще до 1943.

     

  • 1.68, sleeply4cat (ok), 19:48, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему баг обработки симлинков исправляется приостановкой контейнера????
     
     
  • 2.71, вИКТОР АГН (?), 20:06, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Почему баг обработки симлинков исправляется приостановкой контейнера????

    потому что твой супер контейнер должен быть stateless, и их должно быть два минимум.
    statefull прикладухи для докера это такое себе, mysql в докере поднимать не следует, если ты не псих и не разраб.

     
  • 2.74, пох. (?), 20:17, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Почему баг обработки симлинков исправляется приостановкой контейнера????

    потому что макака по другому просто не умеет. Контейнер стопнула - опа, вот и race condition сам собой рассосался, с гарантией. А что он в тот момент может на запрос отвечал (от чего никакое "stateless" не спасет) - да пофигу, вон, девляпс уже верещит что это верно и правильно, у него 5krps ненужно - "всеработает".

     

  • 1.77, mumu (ok), 20:49, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Девопсненько так. В lxc проблемы нет, но девопсяры же в неё не умеют, им решетокер нужен))
     
     
  • 2.78, Анонимный эксперт (?), 20:52, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    lxc очень сложно, нужно проходить курсы для запуска hello world
     
     
  • 3.90, пох. (?), 22:11, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > lxc очень сложно, нужно проходить курсы для запуска hello world

    lxc еще и очень криво, неудачный косплей виртуальной машины.
    К ней бы runc от clear приделал кто - была бы неплохая в общем альтернатива qemu.


     
  • 2.80, Аноним (-), 21:00, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В podman тоже нет проблемы, но во многом аналогичен докеру по использованию. Да и runc лучше lxd по безопасности, потому как хотя-бы для части контейнеров в нем можно обходиться без прав рута.
     
     
  • 3.108, Аноним (108), 11:41, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://github.com/rgroux/exemples/wiki/Howto:-LXC---container-without-root-pr
     
  • 2.81, Аноним (-), 21:01, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще этих контейнеров вагон и маленький вагон, но бабки нашептали только три буквы - LXC.
     
     
  • 3.105, mumu (ok), 10:05, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вопрос в том, как много из них прошли аудит безопасности и стали готовы для продакшена.
     
     
  • 4.134, пох. (?), 16:14, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Вопрос в том, как много из них прошли аудит безопасности и стали

    лолшта? Конечно ноль!
    > готовы для продакшена.

    ВСЕ!
    (каравай-каравай, каку хочешь? Выбирай!)

     
     
  • 5.149, Анонимный эксперт (?), 04:30, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Только то что запускают в реальной VM, как например VMware Photon.
     
     
  • 6.152, пох. (?), 07:19, 31/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Только то что запускают в реальной VM, как например VMware Photon.

    ты еще скажи, что она проходила какой-то там "аудит".

    или что секретная технология x-як-х-як и в продакшн не освоена китайцами вмвари в достаточной степени.

    или что такая же виртуалка с atomic shit (или как там его) чем-то по надежности будет хуже?


     
  • 2.93, Gannet (ok), 23:27, 29/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В systemd-nspawn тоже проблемы нет.
     

  • 1.95, Погонщик (?), 01:05, 30/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну что, сколько уже смузихлебов выбралось из своего картонного контейнера? Уже есть статистика?
     
  • 1.96, Аноним (96), 02:23, 30/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ШОК, СЕНСАЦИЯ!!! Найдена уязвимость во всех ОС: Если иметь права root\админа, то можно убить систему!!!
    Уязвимость ещё не исправлена!
     
     
  • 2.100, Аноним (100), 03:26, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А можно поподробнее? Хочу УБИТЬ СИСТЕМУ!
     
     
  • 3.104, Пишу из ванны (?), 08:57, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Имей систему - переходи на красный.
     
  • 3.121, Аноним (114), 13:38, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Можно: killall system
    Дерзай.
     
     
  • 4.124, анонн (?), 14:14, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Можно: killall system
    > Дерзай.

    # killall system                                                                  
    No matching processes were found

    А что должно было произойти?

     
  • 2.106, mumu (ok), 10:06, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Если на каждый шмокер приходится ровно по одному хосту, то не страшно конечно. Но нафига тогда он нужен?
     
     
  • 3.109, пох. (?), 12:05, 30/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    для деплоя же ж...

    но так красиво получается только первые три дня - а дальше контейнеров становится пара сотен, вручную рулить ими ты быстро задолбаешься, а ответственность за безопасность и надежность решения уже успешно переложена на никого, так что и плакать не о чем.

     

  • 1.161, Аноним (161), 18:20, 01/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > убедить админа

    Убедить? Да сейчас каждая вторая приблуда - "нет времени объяснять, качай docker". Или еще хуже "curl https://vasyapupkin.com -sSf | sh"

     
  • 1.164, Anonim (??), 10:12, 10/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Используйте для изоляции харденед chroot от grsecurity.net
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру