forum.opennet.ru - "Docker предоставил бесплатный доступ к защищённым образам контейнеров" (33)

"Docker предоставил бесплатный доступ к защищённым образам контейнеров"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Docker предоставил бесплатный доступ к защищённым образам контейнеров"	+/–
Сообщение от opennews (??), 10-Фев-26, 19:23
Компания Docker объявила о предоставлении бесплатного доступа к коллекции защищённых образов контейнеров DHI (Docker Hardened Images), насчитывающей более тысячи минималистичных сборок на базе Alpine и Debian c готовыми преднастроенными окружениями для запуска различных приложений, инструментариев, runtime и платформ. Образы распространяются под лицензией Apache 2.0 и сопровождаются силами Docker... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64766
Ответить \| Правка \| Cообщить модератору

Оглавление

Скрыто модератором, Аноним (1), 19:23 , 10-Фев-26, (1) –5

Скрыто модератором, Аноним (4), 19:43 , 10-Фев-26, (4) +1

Скрыто модератором, Аноним (34), 09:25 , 11-Фев-26, (34) +1

Скрыто модератором, Аноним (25), 22:36 , 10-Фев-26, (25) +2
Скрыто модератором, Аноним (34), 09:29 , 11-Фев-26, (35)
Скрыто модератором, Аноним (39), 10:03 , 11-Фев-26, (39)

Нет, спасибо, я доверяю сборку rootfs и контейнера родными средствами дистрибути, Аноним (2), 19:29 , 10-Фев-26, (2) +3

а где берешь базовый контейнер, ну ту хрень которая в поле FROM в Dockerfile ука, Аноним (4), 19:46 , 10-Фев-26, (5) –3

Ты про FROM scratch что ли А так, контейнеры можно и без Dockerfile собирать , Аноним (8), 20:02 , 10-Фев-26, (8) +12

И shell совсем не обязателен В образе контейнера Linux процесса может быть т, анонимс (?), 22:27 , 10-Фев-26, (24) +3

И даже в такой контейнер можно войти из другого контейнера , Аноним (39), 09:57 , 11-Фев-26, (37)

А где её берут они 128565 8205 128171 FROM scratch, pashev.ru (?), 20:04 , 10-Фев-26, (10)
Ну так делаешь один раз базовый rootfs и с него новые образы делаешь , Аноним (2), 21:26 , 10-Фев-26, (15)

А дистрибутив вам боги собирают , Аноним (13), 20:17 , 10-Фев-26, (13) +2

Современный девопс не в курсе, что дистрибутивы-то, оказывается, людьми деланы , Tron is Whistling (?), 22:12 , 10-Фев-26, (21) +5

Большинство дистров не умеют в воспроизводимую сборку Вероятно, ты как раз пише, q (ok), 21:00 , 10-Фев-26, (14)

У дистрибутивов 90 воспроизводимость У этого докера сколько Они тоже откуда-, Аноним (2), 21:27 , 10-Фев-26, (16)

Зависит от того, как написан конфиг Если там apt update install, то сам понимае, Аноним (13), 21:45 , 10-Фев-26, (19) –2

Откуда вы такие берётесь Что-нибудь почитай про кросс-компиляцию , Аноним (17), 21:28 , 10-Фев-26, (17) –3
Да тут даже не это Правда опять сейчас потребуют доказательств на очевидные п, Витюшка (?), 21:33 , 10-Фев-26, (18) –2
Как запущенно https en wikipedia org wiki Bootstrapping_ compilers , ptr (ok), 22:47 , 10-Фев-26, (26)

Пример башскриптов для создания минимального Hardened Chroothttps wiki gentoo , Аноним (34), 09:21 , 11-Фев-26, (33)

Какую задачу это решает, что не решает официальный докер образ от разработчиков , Аноним (13), 20:16 , 10-Фев-26, (12)

Можете спросить у ИИ Вкратце все сводится к тому что вам доверенные лица делают, Джон Титор (ok), 22:25 , 10-Фев-26, (23)

Ммм Дальше будут миллионы сборок для приложений с конкретными конфигами Для , Аноним (20), 22:02 , 10-Фев-26, (20)

Там есть переменные для шлюза, вообще там много чего есть Да, Джон Титор (ok), 22:12 , 10-Фев-26, (22)
Звучит как nixos под белой горячкой , kusb (?), 23:12 , 10-Фев-26, (27) +1

а завтра будем читать новость, как их хакнули и пробекдорили все эти харденед , Аноним (28), 23:17 , 10-Фев-26, (28) –1

Они сразу с нужной телеметрией идёт для кого надо, Аноним (39), 10:01 , 11-Фев-26, (38)

Не нужно Через несколько лет эти же скажут мы сворачиваем эту программу, кто з, Аноним (30), 00:55 , 11-Фев-26, (30)

Ничего страшного, через Docket Takeout можно будет спокойно стянуть наверное, Аноним (31), 05:37 , 11-Фев-26, (31) +1

И что теперь из-за этой вашей безопасности каждый день пересобирать образы Нет , Аноним (39), 09:55 , 11-Фев-26, (36) +1
На свадьбу докеры надели со страшным скрипом башмаки с Богословский, Аноним (40), 10:49 , 11-Фев-26, (40)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 10-Фев-26, 19:23 Скрыто ботом-модератором –5 +/–

Зачем нужен этот блоатвейр когда все задачи которые решает и он и весь прочий ворох нескучных велосипедов типа кубернетеса в 10 раз проще и быстрее решают старые добрые баш скрипты?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #25, #35, #39

2. Сообщение от Аноним (2), 10-Фев-26, 19:29 +3 +/–

Нет, спасибо, я доверяю сборку rootfs и контейнера родными средствами дистрибутива, а не непонятным мутным сборкам от компании.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #13, #14, #33

4. Сообщение от Аноним (4), 10-Фев-26, 19:43 +1 +/–

да ссылку на проект с баш скрипта, которые будут управлять жизненным циклом сотенями контейнеризованных приложений, а то я искал и чёй-то не нашел?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #34

5. Сообщение от Аноним (4), 10-Фев-26, 19:46 –3 +/–

а где берешь базовый контейнер, ну ту хрень которая в поле FROM в Dockerfile указана?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #8, #10, #15

8. Сообщение от Аноним (8), 10-Фев-26, 20:02 +12 +/–

Ты про FROM: scratch что ли? А так, контейнеры можно и без Dockerfile собирать. Но это секретные технологии, веб-кодерам про них знать не положено.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #24

10. Сообщение от pashev.ru (?), 10-Фев-26, 20:04 +/–

А где её берут они? 😵‍💫
FROM scratch

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

12. Сообщение от Аноним (13), 10-Фев-26, 20:16 +/–

Какую задачу это решает, что не решает официальный докер образ от разработчиков софта?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

13. Сообщение от Аноним (13), 10-Фев-26, 20:17 +2 +/–

А дистрибутив вам боги собирают?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #21

14. Сообщение от q (ok), 10-Фев-26, 21:00 +/–

Большинство дистров не умеют в воспроизводимую сборку. Вероятно, ты как раз пишешь из такого дистра, чьи пакеты собраны блобом си-компилятора из предыдущей версии этого же дистра. И так далее, пока не дойдем до самой первой версии твоего дистра, для которой си-компилятор принес на дискете непонятный чувак непонятно откуда, в виде бинарного блобаря, без исходников, и ему поверили на слово.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #16, #17, #18, #26

15. Сообщение от Аноним (2), 10-Фев-26, 21:26 +/–

Ну так делаешь один раз базовый rootfs и с него новые образы делаешь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

16. Сообщение от Аноним (2), 10-Фев-26, 21:27 +/–

У дистрибутивов >90% воспроизводимость. У этого докера сколько? Они тоже откуда-то взяли компилятор.
И gcc с нуля можно раскрутить, если вы не в курсе. Из исходников.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #19

17. Сообщение от Аноним (17), 10-Фев-26, 21:28 –3 +/–

Откуда вы такие берётесь? Что-нибудь почитай про кросс-компиляцию.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

18. Сообщение от Витюшка (?), 10-Фев-26, 21:33 –2 +/–

Да тут даже не это. Правда опять сейчас потребуют "доказательств" на очевидные профессионалу вещи.
Эти инструменты, пакеты, компиляторы и т.д. в дистрибутивах созданы либо сотрудником компании, либо энтузиастом.
И оба ведут по 400 проектов (пакетов). О чём вообще можно при этом говорить? О какой надёжности, каком качестве? Какой проверке?
Там не то что исходники смотрят, там наверное руками tar.gz распаковывают только когда сборка сломалась.
Народ кто держал всё это (предполагаю) уходит, стареет, пенсия, семья, дети, работа.
Новых не появляется. Оставшиеся тянут непомерную неблагодарную нагрузку.
Поэтому считать что там "проприетарная блоатварь", а вот тут надёжный теплый ламповый..

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

19. Сообщение от Аноним (13), 10-Фев-26, 21:45 –2 +/–

> У этого докера сколько?
Зависит от того, как написан конфиг. Если там apt update/install, то сам понимаешь.
Если полагаться на собранный образ, то 100 будет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

20. Сообщение от Аноним (20), 10-Фев-26, 22:02 +/–

> более тысячи минималистичных сборок на базе Alpine и Debian c готовыми преднастроенными окружениями для запуска различных приложений
Ммм... Дальше будут миллионы сборок для приложений с конкретными конфигами? Для шлюза 10.0.0.1, для шлюза 10.0.0.2, для шлюза ...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22, #27

21. Сообщение от Tron is Whistling (?), 10-Фев-26, 22:12 +5 +/–

Современный девопс не в курсе, что дистрибутивы-то, оказывается, людьми деланы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

22. Сообщение от Джон Титор (ok), 10-Фев-26, 22:12 +/–

Там есть переменные для шлюза, вообще там много чего есть. Да

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

23. Сообщение от Джон Титор (ok), 10-Фев-26, 22:25 +/–

Можете спросить у ИИ. Вкратце все сводится к тому что вам доверенные лица делают минимальные контейнеры которые сделаны от кого надо и стучат куда надо ради безопасности и ради того чтобы вам помочь найти проблемы через мониторинг.
Ну вот типа такого ответа:
Разница между Hardened Images и официальными образами
1. Снижение поверхности атаки
Hardened Images минимизируют количество пакетов и зависимостей, которые могут быть потенциальными уязвимостями. Официальные образы могут содержать множество компонентов, которые не всегда необходимы для работы приложения, увеличивая риск.
2. Обновления безопасности
В Hardened Images регулярно интегрируются последние обновления безопасности и патчи, что помогает предотвратить использование известных уязвимостей. Официальные образы могут не всегда обновляться сразу после выпуска новых исправлений.
3. Принципы наименьших прав
Hardened Images настраиваются с учетом принципа наименьших прав, например, исполняя приложения от непользовательских (non-root) учетных записей. Это ограничивает возможность злоумышленников получить доступ к системе. Официальные образы иногда запускаются от привилегированных учетных записей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

24. Сообщение от анонимс (?), 10-Фев-26, 22:27 +3 +/–

И shell совсем не обязателен:) В образе контейнера (Linux процесса) может быть только программа с библиотеками либо вообще один статичный исполняемый файл. Крайне безопасно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #37

25. Сообщение от Аноним (25), 10-Фев-26, 22:36 +2 +/–

> старые добрые баш скрипты
Ты не поверишь, в 95% случаев в контейнере запускается этот самый башскрипт. Просто все остальное тоже имеет значение.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

26. Сообщение от ptr (ok), 10-Фев-26, 22:47 +/–

Как запущенно. https://en.wikipedia.org/wiki/Bootstrapping_(compilers)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

27. Сообщение от kusb (?), 10-Фев-26, 23:12 +1 +/–

Звучит как nixos под белой горячкой.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

28. Сообщение от Аноним (28), 10-Фев-26, 23:17 –1 +/–

а завтра будем читать новость, как их хакнули и пробекдорили все эти "харденед" образы, закономерно.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38

30. Сообщение от Аноним (30), 11-Фев-26, 00:55 +/–

Не нужно. Через несколько лет эти же скажут "мы сворачиваем эту программу, кто завязался на эти образы сорян, все превратится в тыкву"

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31

31. Сообщение от Аноним (31), 11-Фев-26, 05:37 +1 +/–

Ничего страшного, через Docket Takeout можно будет спокойно стянуть наверное

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

33. Сообщение от Аноним (34), 11-Фев-26, 09:21 +/–

Пример башскриптов для создания минимального Hardened Chroot
https://wiki.gentoo.org/wiki/Chrooting_proxy_services
Контейнеры не нужны.
Ещё раз:
* hardened chroot https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity...
* setpriv https://www.linux.org/docs/man1/setpriv.html
В инит запускается сервис командой:
setpriv ...опции... chroot ...опции... /сервис ...опции...
Жаль пионеры параметр --configure выкинули с emerge.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

34. Сообщение от Аноним (34), 11-Фев-26, 09:25 +1 +/–

https://wiki.gentoo.org/wiki/Chrooting_proxy_services
В Gentoo в середине нулевих создание минимального chroot было штатной фичей пакетного менеджера, например:
emerge --configure net-dns/bind

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

35. Сообщение от Аноним (34), 11-Фев-26, 09:29 +/–

Да, минимальное chroot окружение просто создаётся и поддерживается bash скриптом. Но эти bash скрипом никто не хочет создавать.
В Gentoo в средине нулевих в ebuild была интегрирована функция configure, которая как раз и содержала такой скрипт.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

36. Сообщение от Аноним (39), 11-Фев-26, 09:55 +1 +/–

И что теперь из-за этой вашей безопасности каждый день пересобирать образы? Нет спасибо, один раз собранный образ будет работать до конца проекта, сколько бы там не было дыр.

Ответить | Правка | Наверх | Cообщить модератору

37. Сообщение от Аноним (39), 11-Фев-26, 09:57 +/–

И даже в такой контейнер можно войти из другого контейнера!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

38. Сообщение от Аноним (39), 11-Фев-26, 10:01 +/–

Они сразу с нужной телеметрией идёт для кого надо

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

39. Сообщение от Аноним (39), 11-Фев-26, 10:03 +/–

> Зачем нужен этот блоатвейр когда все задачи которые решает и он и
> весь прочий ворох нескучных велосипедов типа кубернетеса в 10 раз проще
> и быстрее решают старые добрые баш скрипты?
На баш скрипт ты не найдешь приматика для поддержки. С докером любой студент медик прочитавший инструкцию подойдёт.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

40. Сообщение от Аноним (40), 11-Фев-26, 10:49 +/–

"На свадьбу докеры надели со страшным скрипом башмаки." (с) Богословский

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 10-Фев-26, 19:23 Скрыто ботом-модератором	–5 +/–
Зачем нужен этот блоатвейр когда все задачи которые решает и он и весь прочий ворох нескучных велосипедов типа кубернетеса в 10 раз проще и быстрее решают старые добрые баш скрипты?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4, #25, #35, #39

2. Сообщение от Аноним (2), 10-Фев-26, 19:29	+3 +/–
Нет, спасибо, я доверяю сборку rootfs и контейнера родными средствами дистрибутива, а не непонятным мутным сборкам от компании.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #5, #13, #14, #33

4. Сообщение от Аноним (4), 10-Фев-26, 19:43	+1 +/–
да ссылку на проект с баш скрипта, которые будут управлять жизненным циклом сотенями контейнеризованных приложений, а то я искал и чёй-то не нашел?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #34

5. Сообщение от Аноним (4), 10-Фев-26, 19:46	–3 +/–
а где берешь базовый контейнер, ну ту хрень которая в поле FROM в Dockerfile указана?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #8, #10, #15

8. Сообщение от Аноним (8), 10-Фев-26, 20:02	+12 +/–
Ты про FROM: scratch что ли? А так, контейнеры можно и без Dockerfile собирать. Но это секретные технологии, веб-кодерам про них знать не положено.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #24

10. Сообщение от pashev.ru (?), 10-Фев-26, 20:04	+/–
А где её берут они? 😵‍💫 FROM scratch
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

12. Сообщение от Аноним (13), 10-Фев-26, 20:16	+/–
Какую задачу это решает, что не решает официальный докер образ от разработчиков софта?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #23

13. Сообщение от Аноним (13), 10-Фев-26, 20:17	+2 +/–
А дистрибутив вам боги собирают?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #21

14. Сообщение от q (ok), 10-Фев-26, 21:00	+/–
Большинство дистров не умеют в воспроизводимую сборку. Вероятно, ты как раз пишешь из такого дистра, чьи пакеты собраны блобом си-компилятора из предыдущей версии этого же дистра. И так далее, пока не дойдем до самой первой версии твоего дистра, для которой си-компилятор принес на дискете непонятный чувак непонятно откуда, в виде бинарного блобаря, без исходников, и ему поверили на слово.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #16, #17, #18, #26

15. Сообщение от Аноним (2), 10-Фев-26, 21:26	+/–
Ну так делаешь один раз базовый rootfs и с него новые образы делаешь.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

16. Сообщение от Аноним (2), 10-Фев-26, 21:27	+/–
У дистрибутивов >90% воспроизводимость. У этого докера сколько? Они тоже откуда-то взяли компилятор. И gcc с нуля можно раскрутить, если вы не в курсе. Из исходников.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #19

17. Сообщение от Аноним (17), 10-Фев-26, 21:28	–3 +/–
Откуда вы такие берётесь? Что-нибудь почитай про кросс-компиляцию.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14

18. Сообщение от Витюшка (?), 10-Фев-26, 21:33	–2 +/–
Да тут даже не это. Правда опять сейчас потребуют "доказательств" на очевидные профессионалу вещи. Эти инструменты, пакеты, компиляторы и т.д. в дистрибутивах созданы либо сотрудником компании, либо энтузиастом. И оба ведут по 400 проектов (пакетов). О чём вообще можно при этом говорить? О какой надёжности, каком качестве? Какой проверке? Там не то что исходники смотрят, там наверное руками tar.gz распаковывают только когда сборка сломалась. Народ кто держал всё это (предполагаю) уходит, стареет, пенсия, семья, дети, работа. Новых не появляется. Оставшиеся тянут непомерную неблагодарную нагрузку. Поэтому считать что там "проприетарная блоатварь", а вот тут надёжный теплый ламповый..
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14

19. Сообщение от Аноним (13), 10-Фев-26, 21:45	–2 +/–
> У этого докера сколько? Зависит от того, как написан конфиг. Если там apt update/install, то сам понимаешь. Если полагаться на собранный образ, то 100 будет.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16

20. Сообщение от Аноним (20), 10-Фев-26, 22:02	+/–
> более тысячи минималистичных сборок на базе Alpine и Debian c готовыми преднастроенными окружениями для запуска различных приложений Ммм... Дальше будут миллионы сборок для приложений с конкретными конфигами? Для шлюза 10.0.0.1, для шлюза 10.0.0.2, для шлюза ...
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #22, #27

21. Сообщение от Tron is Whistling (?), 10-Фев-26, 22:12	+5 +/–
Современный девопс не в курсе, что дистрибутивы-то, оказывается, людьми деланы.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

22. Сообщение от Джон Титор (ok), 10-Фев-26, 22:12	+/–
Там есть переменные для шлюза, вообще там много чего есть. Да
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20

23. Сообщение от Джон Титор (ok), 10-Фев-26, 22:25	+/–
Можете спросить у ИИ. Вкратце все сводится к тому что вам доверенные лица делают минимальные контейнеры которые сделаны от кого надо и стучат куда надо ради безопасности и ради того чтобы вам помочь найти проблемы через мониторинг. Ну вот типа такого ответа: Разница между Hardened Images и официальными образами 1. Снижение поверхности атаки Hardened Images минимизируют количество пакетов и зависимостей, которые могут быть потенциальными уязвимостями. Официальные образы могут содержать множество компонентов, которые не всегда необходимы для работы приложения, увеличивая риск. 2. Обновления безопасности В Hardened Images регулярно интегрируются последние обновления безопасности и патчи, что помогает предотвратить использование известных уязвимостей. Официальные образы могут не всегда обновляться сразу после выпуска новых исправлений. 3. Принципы наименьших прав Hardened Images настраиваются с учетом принципа наименьших прав, например, исполняя приложения от непользовательских (non-root) учетных записей. Это ограничивает возможность злоумышленников получить доступ к системе. Официальные образы иногда запускаются от привилегированных учетных записей.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

24. Сообщение от анонимс (?), 10-Фев-26, 22:27	+3 +/–
И shell совсем не обязателен:) В образе контейнера (Linux процесса) может быть только программа с библиотеками либо вообще один статичный исполняемый файл. Крайне безопасно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #37

25. Сообщение от Аноним (25), 10-Фев-26, 22:36	+2 +/–
> старые добрые баш скрипты Ты не поверишь, в 95% случаев в контейнере запускается этот самый башскрипт. Просто все остальное тоже имеет значение.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

26. Сообщение от ptr (ok), 10-Фев-26, 22:47	+/–
Как запущенно. https://en.wikipedia.org/wiki/Bootstrapping_(compilers)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14

27. Сообщение от kusb (?), 10-Фев-26, 23:12	+1 +/–
Звучит как nixos под белой горячкой.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20

28. Сообщение от Аноним (28), 10-Фев-26, 23:17	–1 +/–
а завтра будем читать новость, как их хакнули и пробекдорили все эти "харденед" образы, закономерно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #38

30. Сообщение от Аноним (30), 11-Фев-26, 00:55	+/–
Не нужно. Через несколько лет эти же скажут "мы сворачиваем эту программу, кто завязался на эти образы сорян, все превратится в тыкву"
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #31

31. Сообщение от Аноним (31), 11-Фев-26, 05:37	+1 +/–
Ничего страшного, через Docket Takeout можно будет спокойно стянуть наверное
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #30

33. Сообщение от Аноним (34), 11-Фев-26, 09:21	+/–
Пример башскриптов для создания минимального Hardened Chroot https://wiki.gentoo.org/wiki/Chrooting_proxy_services Контейнеры не нужны. Ещё раз: * hardened chroot https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity... * setpriv https://www.linux.org/docs/man1/setpriv.html В инит запускается сервис командой: setpriv ...опции... chroot ...опции... /сервис ...опции... Жаль пионеры параметр --configure выкинули с emerge.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

34. Сообщение от Аноним (34), 11-Фев-26, 09:25	+1 +/–
https://wiki.gentoo.org/wiki/Chrooting_proxy_services В Gentoo в середине нулевих создание минимального chroot было штатной фичей пакетного менеджера, например: emerge --configure net-dns/bind
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

35. Сообщение от Аноним (34), 11-Фев-26, 09:29	+/–
Да, минимальное chroot окружение просто создаётся и поддерживается bash скриптом. Но эти bash скрипом никто не хочет создавать. В Gentoo в средине нулевих в ebuild была интегрирована функция configure, которая как раз и содержала такой скрипт.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

36. Сообщение от Аноним (39), 11-Фев-26, 09:55	+1 +/–
И что теперь из-за этой вашей безопасности каждый день пересобирать образы? Нет спасибо, один раз собранный образ будет работать до конца проекта, сколько бы там не было дыр.
Ответить \| Правка \| Наверх \| Cообщить модератору

37. Сообщение от Аноним (39), 11-Фев-26, 09:57	+/–
И даже в такой контейнер можно войти из другого контейнера!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24