| 1.1, anonymous (??), 10:00, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Нормально, что. Докер образ - это же как отдельное приложение статически слинкованное в статическом окружении. Никто не ставит пароли на приложения.
| | |
| 1.2, A.Stahl (ok), 10:04, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 >"root:!::0:::::", "root:::0:::::"
Т.е. проблема в наркоманском формате конфигов, который делает невозможным нецеленаправленное обнаружение ошибки.
| | |
| |
| 2.19, Аноним (19), 12:13, 09/05/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
Полвека жили с DSV, и никому даже в голову не приходило, что с ним что-то не так, пока, наконец, Астахл не открыл нам глаза. Спаситель ты наш!
| | |
| |
| |
| 4.34, Аноним (19), 13:09, 09/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Конечно разрешён, это нормальный синтаксис DSV. Что с ним не так?
Ну, конечно, если отвлечься от его конкретного приложения, в котором могут быть обязательные поля.
| | |
| |
| 5.47, Sw00p aka Jerom (?), 16:26, 09/05/2019 [^] [^^] [^^^] [ответить]
| –3 +/– | |
>в котором могут быть обязательные поля.
так все к этому и сводится, строгости нет, вот и такие беды, у рута нет пароля ппц, рута без пароля теоретически существовать не должно, представьте Бога который не все властен :) или его властью обладает каждый смертный, существовало бы понятие Бога?
| | |
| |
| 6.48, L.P. (?), 16:44, 09/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
>>в котором могут быть обязательные поля.
> так все к этому и сводится, строгости нет, вот и такие беды,
Yea, you got it! But don't worry! They call me Superlennart and I'm here to rescue you all! There will be one true, binary format soon.
> у рута нет пароля ппц, рута без пароля теоретически существовать не должно
You don't know about biometric, BT/USB-key/NFC and other passwordless authentification methods, do you?
| | |
| |
| 7.49, Sw00p aka Jerom (?), 16:54, 09/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>You don't know about biometric, BT/USB-key/NFC and other passwordless authentification methods, do you?
кхмм в смысле без парольные методы? вы хоть представляете, что из себя представляют эти механизмы? или для юсби брелка вы там пинкод для разблокировки ключа не вводите?
| | |
| |
| 8.52, Аноним (-), 17:00, 09/05/2019 [^] [^^] [^^^] [ответить] | +1 +/– | Не только представляю, но и использую Причем тут пароль в etc shadow и какие б... текст свёрнут, показать | | |
| |
| |
| 10.62, Аноним (-), 18:14, 09/05/2019 [^] [^^] [^^^] [ответить] | +1 +/– | Внезапно, при той же биометрической аутентификации никакого пароля для рута не т... текст свёрнут, показать | | |
|
|
|
|
| 6.66, Аноним (66), 18:21, 09/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
>у рута нет пароля ппц, рута без пароля теоретически существовать не должно
Не ставлю пароли руту (выключаю их штатным образом, см. passwd -l) уже лет пять, если не больше. Где твой бог теперь?
| | |
| |
| 7.67, анонн (?), 18:25, 09/05/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
>>у рута нет пароля ппц, рута без пароля теоретически существовать не должно
> Не ставлю пароли руту (выключаю их штатным образом, см. passwd -l)
Ставишь.
Почитай уже ман, что ли:
-l
This option is used to lock the specified account and it is available to root only. [b]The locking is performed by rendering the encrypted password into an invalid string[/b] (by prefixing the encrypted string with an !).
| | |
|
| 6.76, Michael Shigorin (ok), 19:11, 09/05/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
 > у рута нет пароля ппц, рута без пароля теоретически
> существовать не должно
Почему? Бывают системы, где у рута не существует действительного пароля (односимвольная заглушка вместо хэша) -- а стать им можно, например, по ssh со своим ключиком. И с яичницей тоже путать вовсе не обязательно. :)
| | |
| |
| 7.79, Sw00p aka Jerom (?), 19:26, 09/05/2019 [^] [^^] [^^^] [ответить]
| –2 +/– | |
>по ssh со своим ключиком
ага, но не без аутентификации, читаем выше про понятие "рут без пароля (ключа)"
пс: у вас и ключик без пароля? (то есть не зашифрован)
| | |
| |
| 8.122, пох (?), 17:03, 10/05/2019 [^] [^^] [^^^] [ответить] | +1 +/– | специально для sw00p ответ на закрытую ветку нет, не всем Список имеющих физич... текст свёрнут, показать | | |
| |
| |
| 10.127, пох (?), 20:51, 10/05/2019 [^] [^^] [^^^] [ответить] | +/– | затем, что доступ к внутриос имеют или могут некстати заиметь не только те, ко... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 3.75, дядя (?), 19:02, 09/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
1. deep submergence vehicle - глубоководный аппарат; 2. diffused silicon varactor - диффузионный кремниевый варактор; 3. double-silk-varnish insulation - двухслойная шёлковая и лаковая изоляция; 4. drilling support vessel - вспомогательное судно для морского бурения
| | |
|
| 2.50, анонн (?), 16:57, 09/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
>>"root:!::0:::::", "root:::0:::::"
> Т.е. проблема в наркоманском формате конфигов, который делает невозможным нецеленаправленное обнаружение ошибки.
Проблема в том, что ты вовремя не только не реализовал, но даже и не предложил альтернативу! Стыдись!
А еще проблема не в самом формате, а в опциональности его параметров.
Ну и походу автогенерация там была,
> а после из-за прекращения использования флага "-d" стала добавляться строка
так что вряд ли формат
"user=
password="
сильно помог бы.
| | |
| |
| |
| 4.94, пох (?), 21:35, 09/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
вы что, совсем уже - с этой немодной вонючей древней портянкой?
Вы еще dtd предложите с мертвым адресом на яхе, ага.
Предлагаю json - yaml, не смотря на прекрасную идеологию превращения в тыкву лишним пробелом, представляется мне черезмерно удобочитаемым, поэтому провоцирующим на ручное редактирование и использование омерзительных мамонтовых инструментов типа sed. Модные и современные админы должны давно о нем забыть!
| | |
| |
| 5.97, rshadow (ok), 22:26, 09/05/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
 > json - yaml
Хочется решить не только конкретно эту проблему, а иметь +/- одинаковые конфиги во всем. К сожалению json и yaml придумали исключительно для сериализации данных. Для конфигов не покатит. Да и общий синтаксис, запрещенные символы и т.д. больше палок в колеса поставит при реальном использовании. И еще в конфигах частенько требуется if.
| | |
| |
| 6.101, Аноним (19), 22:44, 09/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Прикинь, многие до сих пор ini используют!
> И еще в конфигах частенько требуется if.
Отсыпь, а?
| | |
| 6.112, Аноним (112), 12:42, 10/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> одинаковые конфиги во всем
То есть, один выбрал какой-то формат конфигов и тем самым лишил всех остальных возможности выбирать формат конфигов?
| | |
|
| 5.133, А (??), 15:30, 11/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
В серьезных реализациях чего-либо xml уже by default много-много лет. json-скобочки и yaml-отступы для студентов и их подделок.
| | |
|
|
|
| 2.107, freehck (ok), 05:23, 10/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
 >> "root:!::0:::::", "root:::0:::::"
> Т.е. проблема в наркоманском формате конфигов, который делает невозможным нецеленаправленное обнаружение ошибки.
Тебе-то, стахл, какое дело, что там за разделитель? Твоя проблема в том, что ты лезешь текстовым редактором туда, куда не надо им лезть.
| | |
| |
| 3.114, JL2001 (ok), 13:05, 10/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
 > что ты лезешь текстовым редактором туда, куда не надо им лезть.
то текстовые логи требуете (journald), то запрещаете текстовым редактором править, не угодишь!
| | |
| |
| |
| |
| 6.135, freehck (ok), 05:08, 13/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> тулза вида zcat отдаст всё, что прочла и подсветит ошибки формата
Ну если Вам zcat всё так успешно подсветит -- юзайте на здоровье, и да храни Вас Бог. =)
| | |
|
|
| 4.118, Аноним (19), 13:37, 10/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Текстовый формат хорош тем, что его можно читать и править в случае аварии при посредстве ломика и небезызвестной матери. Это не значит, однако, что при штатной работе системы надо пользоваться теми же средствами. Чтобы не накосячить, придуманы другие.
| | |
| |
| 5.130, JL2001 (ok), 10:39, 11/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Текстовый формат хорош тем, что его можно читать и править в случае
> аварии при посредстве ломика и небезызвестной матери. Это не значит, однако,
> что при штатной работе системы надо пользоваться теми же средствами. Чтобы
> не накосячить, придуманы другие.
а зазипованные текстовые логи это ещё текстовый формат с ломиком или уже нет?
иль дело в том что в сам момент всеобщего падения текст "безопаснее", а без падения через 1 минуту уже можно зиповать? тоесть если journald будет одновременно писать 1-минутный кусок текстового лога все претензии снялись бы?
| | |
| |
| 6.134, freehck (ok), 05:05, 13/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> а зазипованные текстовые логи это ещё текстовый формат с ломиком или уже нет?
По умолчанию логи не зипуются. Настройки же зипования выбираются (если вообще включаются) для каждого приложения в отдельности, в зависимости от скорости заполнения лога.
> иль дело в том что в сам момент всеобщего падения текст "безопаснее", а без падения через 1 минуту уже можно зиповать?
Если у Вас logrotate производит ротацию ежеминутно, значит он у Вас неправильно сконфигурирован.
| | |
|
|
|
|
|
| 1.4, Ъ (?), 10:06, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
на официальном сайте огромными буквами написано "Small. Simple. Secure."
| | |
| |
| 2.37, microcoder (ok), 13:36, 09/05/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
 На заборах тоже много чего написано и даже нарисовано. Это для тех, кто верует в буквы, картинки, а не в продукт. Продукт по сути для таких не важен. Движение которое ловит таких, называется - Маркетинг.
| | |
|
| 1.5, Аноним (5), 10:28, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +11 +/– |
Исследователям безопасности Cisco стоит стоит вспомнить про curl...
| | |
| |
| 2.21, Аноним (19), 12:15, 09/05/2019 [^] [^^] [^^^] [ответить]
| +4 +/– |
Пусть уж лучше ковыряют то, чем люди пользуются, а не свои ненужносвичи.
| | |
|
| 1.6, Аноним (6), 10:31, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>Проблема была изначально выявлена и исправлена в ноябре 2015 года, но в декабре по ошибке опять всплыла в сборочных файлах эксперментальной ветки, а затем была перенесена в стабильные сборки.
Как-то слишком незатейливо они бэкдоры внедряют.
| | |
| |
| 2.32, OpenEcho (?), 13:02, 09/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> но в декабре по ошибке опять всплыла в сборочных файлах
Никто их не внедряет, они сами "всплывают", чего не понятного, барабашки однако...
| | |
|
| 1.7, Аноним (7), 10:46, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> позволяло по умолчанию подключиться к контейнеру без пароля
Интересно, про какой способ подключиться, доступный по-умолчанию, они говорят?
| | |
| |
| 2.8, Аноним (7), 10:49, 09/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Оказывается, в оригинальной статье не говорят такого, это фантазия переводчика.
| | |
|
| 1.9, kvaps (ok), 10:58, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 К слову, тот же su не пустит (в alpine он также требует установки sticky bit на /bin/su перед тестом):
$ su
su: incorrect password
Pam с PAM_DISALLOW_NULL_AUTHTOK тоже не работает:
$ pamtester login root "authenticate(PAM_DISALLOW_NULL_AUTHTOK)"
Password:
pamtester: Authentication failure
| | |
| |
| 2.39, Аноним (39), 14:52, 09/05/2019 [^] [^^] [^^^] [ответить]
| –3 +/– |
SUID на su? Что? Да так любую систему можно поломать, на которой не отрублено нафиг USB и в которой монтируюся флешки с ext2
| | |
| |
| 3.77, Michael Shigorin (ok), 19:15, 09/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> SUID на su? Что?
Давно его в глаза не видели (ну, если у Вас не Owl какой)?..
PS: но su без SUID действительно бывает -- кстати, в том же Owl и альте это один из штатных вариантов, см. http://altlinux.org/control -- и служит исключительно для _понижения_ привилегий, не давая при этом лазейки для их повышения ни при каких известных обстоятельствах.
| | |
| |
| 4.138, Аноним (137), 15:37, 14/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Впрочем, как подсказал товарищ, udisks всегда монтирует с nosuid. Так что отбой.
| | |
|
|
|
| 1.11, Аноним (112), 11:08, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Что за бред? Такой образ и должен поставляться с пустым паролем - пользователь _обязан_ поставить свой пароль в любом случае, независимо от того, пустой или не пустой пароль поставил создатель имиджа.
Или, по мнению "исследователей, обнаруживших уязвимость", непустой пароль, указанный в документации, намного безопаснее?
А вот то, что руту разрешён вход напрямую - это да, это косяк.
| | |
| |
| 2.17, Аноним (19), 12:02, 09/05/2019 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> пользователь _обязан_ поставить свой пароль в любом случае
Ничем пользователь никому не обязан. В большинстве случаев вход по паролю там на фиг не нужен, руту — и подавно. А пароль должен быть залочен, что технически реализуется указанием невалидного хеша пароля.
| | |
| |
| |
| 4.23, Аноним (19), 12:23, 09/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> ...для чего там и стоял "!".
Не видать тебе повышения, сержант Очевидность.
| | |
|
|
| 2.18, Fyjybv755 (?), 12:07, 09/05/2019 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> пользователь _обязан_ поставить свой пароль в любом случае
Ну задайте пароль рута в Dockerfile.
| | |
| |
| 3.35, Аноним (112), 13:24, 09/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Видишь, тебе уже кто-то из юных девляпсов минус влепил. Рихтовать имиджи докерфайлом у новой поросли IT-макак считается неприличным.
| | |
| |
| 4.38, Аноним (19), 14:20, 09/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Удивлён, что среди недокорчёванной предыдущей поросли ещё встречаются те, кто держит пароли в гите.
| | |
|
|
| 2.31, Аноним (31), 12:54, 09/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Можно генерировать пароль во время разворачивания docker-контейнера. А потом смотреть пароли через docker container logs или как там.
| | |
| |
| 3.44, Аноним (19), 16:03, 09/05/2019 [^] [^^] [^^^] [ответить]
| +4 +/– |
Зачем тебе его генерировать и смотреть? Вот куда ты его вводить собрался?
| | |
|
| 2.82, Аноним (82), 20:00, 09/05/2019 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> А вот то, что руту разрешён вход напрямую - это да, это косяк.
Не разрешен. Его нужно дополнительно настраивать. "Дырка" как бы в том, что если пользователь усталовил внутрь софиют для удаленного доступа, сконфигурировал его, но не задал руту пароль (или не отключил его), то можно заходить под рутом без пароля.
В общем ни о чем эта "уязвимость".
| | |
|
| 1.12, Аноним (12), 11:10, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
так докер пожизни запускается с рутом внутри, и гадит на хост с рутовым UID, не понимаю, чем новость принципиально плоха. Докер - само по себе дыра, о чем говорить. А в таких вещах наличие паролей - ложное чувство безопасности.
| | |
| |
| 2.14, Аноним (14), 11:40, 09/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
У нормальных людей он ничего не гадит на хост.
У не нормальных как написали ниже там и sshd стоит)
| | |
| |
| 3.115, Led (ok), 13:11, 10/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
 > У нормальных людей он ничего не гадит на хост.
... потому что нормальные люди докерами не пользуются?
| | |
|
| |
| |
| |
| 5.68, Аноним (66), 18:27, 09/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Внутри контейнера ты хоть кем можешь быть, но если снаружи привелегий не дали, то они волшебным образом внутри не появляются, хоть ты там UID 0, хоть даже -1.
| | |
| |
| 6.74, anonymous (??), 18:57, 09/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
У root-а гораздо больше возможностей для выхода за пределы контейнера. Например, некогда широкоизвестный баг linux-контейнеров с CAP_DAC_READ_SEARCH неплохо это иллюстрирует :)
| | |
| 6.87, Аноним (19), 20:44, 09/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Так и сабж про рута внутри контейнера. И вылезти из него не так-то просто, если только он не привилегированный.
| | |
|
|
|
|
|
| 1.13, Аноним (13), 11:37, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Куда входа-то. В контейнер ssh ставят только наркоманы. А docker exec итак из-под рута.
В здравом уме на хост ноду alpine тоже никто не поставит
| | |
| |
| 2.15, Аноним (14), 11:44, 09/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Еще очень много старых разработчиков которые помнят времена пришествия контейнеров.
И хотят все старые практики оттуда. composer и npm внутри имейджа, пароли в dockrerfile и тому подобные штуки.
Ломать это все сложно и тяжело, с их точки зрения - работало же, хочу и сейчас как привык.
| | |
| |
| 3.20, Fyjybv755 (?), 12:14, 09/05/2019 [^] [^^] [^^^] [ответить]
| –6 +/– | |
Не пробовали на мороз их выгонять?
Например, есть разрабы, которые везде тянут постргрес, и заосвывают в него значительную часть логики приложения (триггеры, хранимки, etc), и при словах "шардирование" и "балансировка" сплевывают и говорят "свят-свят". Родом прямо из нулевых. Таких на разработку новых приложений брать однозначно не стоит.
Вообще, чем больше человек привык к старым технологиям, тем меньше он стоит как специалист. Конечно, легаси поддерживать кто-то должен, но это гораздо скучнее и ниже оплачивается, чем разработка нового или перевод старого на новые технологии.
| | |
| |
| 4.25, Sw00p aka Jerom (?), 12:36, 09/05/2019 [^] [^^] [^^^] [ответить]
| +4 +/– | |
>Родом прямо из нулевых. Таких на разработку новых приложений брать однозначно не стоит.
а че же так далеко заехали до нулевых, как по мне все то, что вы сейчас используете, было создано еще в 70-ых
>Вообще, чем больше человек привык к старым технологиям, тем меньше он стоит как специалист.
ваш мозг от таких рассуждений быстрее постареет, а чем вы старее, тем вы "меньше он стоит как специалист".
И как ни странно всякие технологии Евклида до сих пор еще работают, привыкли уже?
| | |
| |
| 5.33, Аноним (19), 13:06, 09/05/2019 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> а че же так далеко заехали до нулевых
Просто он сам тоже родом из нулевых. Всё, что было раньше, для него — «до нашей эры», только из учебника истории узнать можно.
| | |
| |
| 6.113, Аноним (112), 12:53, 10/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да не, просто он при трудоустройстве не прошёл беседу со старпёром, съевшим собаку на постргесе и прочем серверном софте, и теперь исходит на форумах тем единственным, что в нём имеется.
| | |
|
|
| 4.26, Аноним (26), 12:38, 09/05/2019 [^] [^^] [^^^] [ответить]
| +10 +/– |
По такой логике самые лучшие специалисты -- мартышки, скачущие с фреймворка на фреймворк.
| | |
| 4.28, Michael Shigorin (ok), 12:44, 09/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
А есть и такие, которых не стоит набирать по объявлениям -- разведут шардинг там, где изначально головой немного надо было думать и не валить всё в одну кучу.
Впрочем, бродячая фраза про радикалов в двадцать, консерваторов в сорок и соотношение с сердцем и умом вроде бы никуда не убегала.
Ну, [I]балансировки[/I] ради.
| | |
| 4.29, Разраб (?), 12:45, 09/05/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
Хочу отвыкнуть от старых технологий. Посоветуй, за что лучше взяться? Монга уже состарилась, или ещё нет?
| | |
| |
| |
| 6.103, Аноним (19), 22:49, 09/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Надо автору статьи, на которую сослались ниже, добавить раздел "You are not Yandex". Впрочем, всё равно целевая аудитория не прочитает…
| | |
| |
| 7.104, anonymous (??), 22:54, 09/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну конкретно в моём случае 100 тыс. запросов в секунду, по которым потом нужно делать аналитические запросы, и тут ClickHouse хорошо подошёл. В целом, много чего хорошо бы подошло, но с этим меньше всего проблем из изученного)
| | |
|
| 6.116, Led (ok), 13:16, 10/05/2019 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> ClickHouse -- вкусная штуковина
Это там где интерфейс/протокол - HTTP-only? Это те, которые даже ODBC-драйвер более-менее приличный сделать не могут, а тот что есть - обёртка над тупым HTTP-клиентом?
| | |
|
|
| 4.36, Аноним (112), 13:36, 09/05/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
И сколько разрабов, умеющих в триггеры и хранимки на ПГ, а также осведомлённых о подводных камнях "шардирования" и "балансировки" вы лично уволили в течение 4 месяцев этого года?
| | |
| 4.41, Ordu (ok), 15:40, 09/05/2019 [^] [^^] [^^^] [ответить] | +3 +/– |  You are not Google 1 Современный мир предлагает широкий спектр решений, и счит... большой текст свёрнут, показать | | |
| |
| 5.81, Michael Shigorin (ok), 19:54, 09/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> What we’re all imploring you to do is to think!
Спасибо, отличный комментарий и примечательная ссылка; внимательно ознакомился. А кому-то ещё предстоит набить энное количество шишек о тщательно топтаные грабли собственным лбом и другими частями тела, чтоб перестать вопить и начать прислушиваться...
| | |
| |
| 6.88, Аноним (19), 20:48, 09/05/2019 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> чтоб перестать вопить и начать прислушиваться...
к другим вопящим.
| | |
|
|
|
|
| 2.51, Annoynymous (ok), 16:58, 09/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Надеяться на здравый смысл при разработки проекта, которым пользуются десятки миллионов… ну не стоит. Просто не стоит.
| | |
|
| 1.42, Ключевский (?), 15:41, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А куда собрались входить, извините?
Если это контейнер, то в него входят через docker exec или там lxc exec, в контейнере нет ssh, он там не только не нужен, но и с точки зрения идеологии контейнеров недопустим.
| | |
| |
| 2.43, Аноним (19), 15:59, 09/05/2019 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> в контейнере нет ssh, он там не только не нужен, но и с точки зрения идеологии контейнеров недопустим.
Во-первых, нет никакой «идеологии контейнеров». До появления docker нормально было использовать контейнер как обычную виртуалку (да и сейчас нормально, посмотри, сколько кругом VPS на OpenVZ). Вход туда по SSH — норма. Во-вторых, с точки зрения идеологии docker, ssh в контейнере тоже вполне допустим, если он является ключевой частью контейнеризованного приложения. Мало ли для чего он там может понадобиться кроме администрирования.
| | |
| |
| 3.46, Ключевский (?), 16:16, 09/05/2019 [^] [^^] [^^^] [ответить]
| –4 +/– |
OpenVZ это чрут на стероидах, его использование — признак принадлежности к интеллектуальному большинству.
| | |
| |
| 4.69, anonymous (??), 18:40, 09/05/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Контейнеры -- это тот же самый chroot на стероидах. Собственно, из OpenVZ namespace-ы (и прочие радости) и перекочевали в ванильное ядро, образовывав основу для создания userland-утилит таких как lxc, docker и подобных.
| | |
| 4.83, Michael Shigorin (ok), 20:00, 09/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> OpenVZ это чрут на стероидах
Вы точно с lxc не перепутали?
> его использование — признак принадлежности к интеллектуальному
> большинству.
Это, кстати, неплохой признак. А вот верещать о том, в чём ни бельмеса, да ещё какие-то якобы "идеологии" приплетать -- плохой.
Ну, мне так _кажется_.
PS: если что, я достаточно разными контейнерами пользуюсь более полутора десятилетий (vserver/openvz с начала нулевых, lxc -- с 2009 или около того). Как и непривилегированными процессами в чрутах.
| | |
|
|
| 2.120, Аноним (112), 14:57, 10/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> с точки зрения идеологии контейнеров недопустим
А что, разработкой докера теперь руководит товарищ Суслов?
Идеология - дело хорошее, когда она позволяет выстроить систему с чёткой внутренней логикой, благодаря которой в ней легко разобраться, а когда такая идеология связывает руки - тут уж извините, я не буду придерживаться такой идеологии.
| | |
|
| 1.45, Аноним (45), 16:09, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
новость ни о чем - докер от рута давно не пускают, только через --userns-remap. ssh в докере никто тоже не ставит
| | |
| |
| 2.60, пох (?), 17:59, 09/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
даже когда и работает (учитывая привычку держать в нем целиком систему, и, чтобы не выполнять мартышечью работу, стараться запускать сервисы в штатных режимах штатными скриптами - это вполне популярный вариант, переделывать часто себе дороже) - от рута обычно работает какой-нибудь uwsgi спавнер - а вот тому что поимев через очередную еженедельную дырку в джанке шелл от nobody, чувак мгновенно стает рутом, хотя и в контейнере (надолго ли? ;) - ты, вероятно, будешь немного не рад.
хотя при кастрированном su и отсутствии других способов в минималистичной системе - проблема, похоже, таки сильно преувеличена. Если, конечно, у них только доскер так собирался, а не образы и для всякой эмбедовки.
| | |
| |
| |
| 4.89, пох (?), 20:52, 09/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
в смысле django - казалось бы, при упоминании рядом uwsgi, особо и выбирать не из чего. почему-то на прекрасном пихоне "только один кандидат, только один выбор" (не считая уж совсем несерьезной хипстоты)
| | |
|
| 3.91, Аноним (90), 21:00, 09/05/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
вот я не понимаю людейю... Все кричат docker контейнеры секурити импрумент... а вот результат то - кострированая изоляция некоторых системных вызовов, иллюзия изоляции процессов, корявый chroot и другие прелести кривого дизайна.
| | |
| |
| 4.121, Аноним (112), 15:05, 10/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Может быть, когда-то всё это и было про безопасность и изоляцию, но потом стало ясно, что это просто способ сдавать один хост в аренду тысячам хомячков.
| | |
|
|
|
| |
| 2.96, пох (?), 21:43, 09/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
от оно чо, михалыч...
хотя, конечно, нефиг было выпендриваться. Ишь чего захотели, жить как прям в BSD...
| | |
| 2.105, Аноним (105), 01:19, 10/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Unfortunately we missed the case when a user installs shadow and linux-pam instead of using the default tools.
Хм, и что это значит? В их пакетах shadow и linux-pam настройки по умолчанию разрешают пускать root без пароля отовсюду? А причём тут Docker тогда? Такая проблема будет и на железе.
| | |
| |
| 3.136, пох (?), 12:48, 13/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Хм, и что это значит?
это значит что у них все работало именно как полагается - рут без пароля доступен тем у кого физический доступ к консоли, для эмбедовки логично, или, в случае докера - кому он и так без логина доступен.
Но они не сообразили, что кто-то может из их же репо накатить обычную гнутую версию su и login (сам того причем не желая - завимимостями всего от всего притащит), старательно изуродованные еще молодым Встол-маном, которого больно п-ли универовские админы за попытки их ломануть (вот некисло он им отомстил за брата).
> А причём тут Docker тогда?
при том что "охфициальные образы" как раз на alpine и собраны - как обычно у макак, без траты лишнего времени на ознакомление со спецификой дистрибутива.
| | |
|
|
| 1.128, user455 (?), 22:37, 10/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
никогда не понимал смысла использовать этот альпин вместо centos или debian/ubuntu. экономия трафика довольно сомнительная - образ системы, который кстати не такой уж и большой (меньше 100 метров), качается один раз. а все остальные приложения просто накатывают свои слои поверх.
профит же от использования нормальных дистрибов вместо этого обрубка невероятный.
| | |
|
