The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в Docker, позволяющая выбраться из контейнера

29.05.2019 11:15

В инструментарии для управления изолированными Linux-контейнерами Docker выявлена уязвимость (CVE-2018-15664), которая при определённом стечении обстоятельств позволяет получить доступ к хост-окружению из контейнера при наличии возможности запуска своих образов в системе или при доступе к выполняемому контейнеру. Проблема проявляется во всех версиях Docker и остаётся неисправленной (предложен, но пока не принят, патч, реализующий приостановку работы контейнера на время выполнения операций с ФС).

Уязвимость позволяет извлечь файлы из контейнера в произвольную часть ФС хост-системы при выполнении команды "docker cp". Извлечение файлов выполняется с правами root, что даёт возможность прочитать или записать любые файлы в хост-окружении, чего достаточно для получения контроля за хост-системой (например, можно переписать /etc/shadow).

Атака может быть совершена только в момент выполнения администратором команды "docker cp" для копирования файлов в контейнер или из него. Таким образом атакующему необходимо каким-то образом убедить администратора Docker в необходимости выполнения этой операции и предугадать используемый при копировании путь. С другой стороны атака может быть совершена, например, при предоставлении облачными сервисами средств для копирования файлов конфигурации в контейнер, построенных с использованием команды "docker cp".

Проблема вызвана недоработкой в применении функции FollowSymlinkInScope, вычисляющей абсолютный путь в основной ФС на основании относительного пути, учитывающего размещение контейнера. В процессе выполнения команды "docker cp" возникает кратковременное состояние гонки, при котором путь уже проверен, но операция ещё не выполнена. Так как копирование производится в контексте основной ФС хост-системы в указанный промежуток времени можно успеть подменить ссылку на другой путь и инициировать копирование данных в произвольное место файловой системы вне контейнера.

Так как временное окно проявления состояния гонки сильно ограничено в подготовленном прототипе эксплоита при выполнении операций копирования из контейнера удалось добиться проведения успешной атаки в менее 1% случаев при цикличной подмене символической ссылки в пути, используемом в операции копирования (успешная атака была совершена после примерно 10 секунд попыток непрерывно в цикле скопировать файл командой "docker cp").

При выполнении операции копирования в контейнер можно добиться повторяемой атаки по перезаписи файла в хост-системе всего в несколько итераций. Возможность атаки связана с тем, что при копировании в контейнер применяется концепция "chrootarchive", в соответствии с которой процесс archive.go извлекает архив не в chroot корня контейнера, а в chroot родительского каталога целевого пути, подконтрольного атакующему и не останавливает при этом выполнение контейнера (chroot используется как признак для эксплуатации состояния гонки).

 
  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: В Docker 1.12.6 устранена уязвимость, позволяющая выбраться из контейнера
  3. OpenNews: Взлом инфраструктуры Docker Hub с возможной компрометацией связанных репозиториев
  4. OpenNews: Уязвимость в runc и LXC, затрагивающая Docker и другие системы контейнерной изоляции
  5. OpenNews: Уязвимость в Docker, связанная с предоставлением доступа к /proc/acpi
  6. OpenNews: Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/50765-docker
Ключевые слова: docker
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (153) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 13:22, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
  • +19 +/
    Ждем комментаторов с искрометными шутками про "девляпсов" и "контейнеры нинужны".
     

     ....большая нить свёрнута, показать (72)

  • 1.4, Аноним (-), 13:26, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
  • +/
    #nobigfatdaemon
     
  • 1.6, ыфективный манагер (?), 13:46, 29/05/2019 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +3 +/
     

  • 1.7, Аноним (7), 13:47, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
  • +3 +/
    #notabug
     
  • 1.12, Sw00p aka Jerom (?), 14:19, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
  • +5 +/
    Ну где тот аноним, который биткоинами разбрасывался? месяц даже не прошел )))
     
     
  • 2.14, пох. (?), 14:26, 29/05/2019 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • +/
    ну он вроде обещался за вылезание из контейнера, а не за эксплуатацию уязвимости в самом дыркере

    тут, как я понимаю, традиционно, нужен доступ к docker socket или лох, который это сделает за тебя в оговоренный момент. А это человеческие отношения, это сложно - проще получить свой биткойн с этих вот - "я вчера взламал твой кампьютер, хакнул твой вебкамера и заснятое разошлю по списку всех тваих кантактов если не пришлешь мне деньгов". Раньше они хоть правда пытались подбирать пароли и иногда даже присылали их, а теперь уже не парятся - видимо, и так неплохо выходит.

    И только я, как дурак, сижу без вебкамеры :-(

     
     
  • 3.22, Fyjybv755 (?), 15:09, 29/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • –1 +/
    > лох, который это сделает за тебя в оговоренный момент.

    И вероятность удачи порядка 1% на попытку. Очень долго придется несчастного лоха мучить...

     
  • 2.18, Fyjybv755 (?), 15:06, 29/05/2019 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • –1 +/
    > Ну где тот аноним, который биткоинами разбрасывался? месяц даже не прошел )))

    Он обещал за выход из контейнера. А сабжевая жуткая мега-уязвимость предполагает, что вы уже вне контейнера и имеете полномочия для управления докером (группа docker, в которую обычно входят только админы).

     
     
  • 3.34, пох. (?), 16:08, 29/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    так каждый дурак может, тут идея что полномочия-то не у тебя, а используешь их - ты, без спросу.

     
     
  • 4.113, Fyjybv755 (?), 12:42, 30/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • –1 +/
    Фигасе "без спросу" - сотню-другую раз подряд просить админа "ну скопируй мне файл, ну позяяяязя".
     

  • 1.15, Аноним (15), 14:37, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
  • +1 +/
    Systemd, dockers, не хватает только реестра для полного счастья.
     
     
  • 2.17, Аноним (17), 14:42, 29/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +2 +/
    dconf
     
  • 2.19, Аноним84701 (ok), 15:06, 29/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +2 +/
    > dockers

    C буквой "s" это будет другой, неправильный докер.


     
  • 2.28, Аноним (28), 15:23, 29/05/2019 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • –1 +/
    Wayland же, причем тут реестр.
     
     
  • 3.30, Andrey Mitrofanov_N0 (?), 15:44, 29/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +1 +/
    > Wayland же, причем тут реестр.

    "-- Тому не надо #Windows искать, у кого он за спиной стоит. "(почти)

     
     
  • 4.35, пох. (?), 16:09, 29/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    "на 'десктопе' стоит"

     
     
  • 5.158, Andrey Mitrofanov_N0 (?), 09:27, 31/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    > "на 'десктопе' стоит"

    не, за "спиной rh ^W ibmel-а".

     
  • 2.92, Gannet (ok), 23:22, 29/05/2019 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • –1 +/
    В топике ничего не сказано про systemd, чудик.
     

  • 1.16, corvuscor (ok), 14:40, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
  • +/
    >Атака может быть совершена только в момент выполнения администратором команды "docker cp" для копирования файлов в контейнер или из него.

    Вот уязвимость так уязвимость... Я аж забоялся...

     
  • 1.20, Fyjybv755 (?), 15:08, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]      [к модератору]
  • +1 +/
    > Таким образом атакующему необходимо каким-то образом убедить администратора Docker в необходимости выполнения этой операции и предугадать используемый при копировании путь.

    Может, проще сразу попросить рутовый доступ? А что, неплохая уязвимость получается - любой линукс взломать можно. И *bsd тоже. "Каким-то образом убедить админа, что вам нужен рутовый шелл".

     
  • 1.21, Аноним (21), 15:08, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
  • –1 +/
    А когда выберетесь из докера, то что дальше делать будете ?
     
     
  • 2.24, Fyjybv755 (?), 15:15, 29/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +1 +/
    Если говорить о реалистичных сценариях атаки, то это не "выбраться из контейнера", а "получить рута, если у тебя есть полномочия докер-админа".
    На практике обычно управление докером и так выполняется из-под рута, поэтому можно даже за попкорном не ходить, скукотища.
     

  • 1.25, Какаянахренразница (ok), 15:20, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
  • +9 +/
    Снова ночь и снова демоны приподнимают крышки контейнеров, оглядываются вокруг и едва слышно, по-одному, вылазят наружу...
     
  • 1.31, zurapa (ok), 15:58, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
  • +10 +/
    Вот читаю комментарии, и удивляюсь. Никогда столь дырявая вещь не захватывала умы IP сообщества. Видимо это новый миллениум - сначала ставишь в прод, потом отлавливаешь баги, дыры и всё такое. Нам же некода, быстро надо.
    Это:
    и про докер,
    и про pulseaudio, как он внедрялся,
    и про systemd, как он внедрялся, без которого docker не столь привлекательным становится.

    Странно это. Без докера, помоему и обсуждать то не пришлось бы. Сейчас все разговоры только о том, какие дырки в докере, как эти дырки латают, как swarm придумал, как научили контейнеры контактировать друг с другом, какой плохой swarm, закроем swar, сделаем kubernetis, и т.д...

    Технология на столько бурно развивается. и на столько плохо обкатана, что тот кто его потрогал год назад, сейчас уже занова должен всё читать и разбираться.

    В сети взяли на вооружение BGP, раздали всем желающим рукожопам по AS, и сейчас ноют, что делать с интернетом. Распродали IP-адреса всем подряд, бесконтрольно, получили целые подсети spam, ddos, прочего флуда.

    У меня одного впечатление, что всем IT рулит стадо детей лет 12-ти, которым вообще не хочется думать о завтрашнем дне?

    Где мозги у людей?!

    Даже уже шутить по поводу Docker не хочется. Это реально не смешно становится. Постригусь в BSD'уны.

     
     
  • 2.36, пох. (?), 16:16, 29/05/2019 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • +/
    вот сейчас обидно получилось доскер с системд - не то что не близнецы-братья, а... большой текст свёрнут, показать
     
     
  • 3.44, Ёж (?), 17:05, 29/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    > хотя ежу понятно что это решение всем хуже

    Мне не понятно! Объясни!

     
     
  • 4.47, пох. (?), 17:54, 29/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    у тебя есть демон, работает с поднятыми привиллегиями, запускается тем у кого он... большой текст свёрнут, показать
     
  • 2.70, вИКТОР АГН (?), 20:01, 29/05/2019 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • –2 +/
    >и про systemd, как он внедрялся, без которого docker не столь привлекательным становится.

    да при чём тут докер то? :E у меня за 2 года прода багов докера было ровно два, с пермиссиями и extended acl. второй баг возник из-за лимитов. В systemd они задаются отдельно от /etc/security/limits.d/
    Других проблем не было. и это прод, 2к рпс/наносекунду.


     
     
  • 3.99, Аноним (99), 02:37, 30/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +1 +/
    > у меня

    да-да-да, "если у меня работает, значит не гoвно".

     
  • 3.150, Аноним (150), 06:37, 31/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +1 +/
    2K рпс/наносекунду. Толсто однако.

    РПС - RPS - requests per second.

    Даже если забыть этот ляп. И это 2K запросов в наносекунду,  Гугл в сторонке курит.

    Иди уроки учи. Завтра в школу

     
  • 3.151, Аноним (150), 06:39, 31/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +1 +/
    Другими словами вы pizdobol сэр.
     
  • 3.159, zurapa (ok), 11:56, 31/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • –1 +/
    Я в своём комментарии, как бы намека явно говорю , что без systemd, с которым т... большой текст свёрнут, показать
     

  • 1.38, Гномспецназ (?), 16:22, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
  • +/
    Нео путь избранного
     
  • 1.41, Аноним (41), 16:47, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
  • –1 +/
    А что Freebsd с её джейламм?
     
     
  • 2.46, Sw00p aka Jerom (?), 17:47, 29/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • –1 +/
    > А что Freebsd с её джейламм?

    какой был 100 лет назад, такой и остался, пусть таким и остается

     
     
  • 3.48, пох. (?), 17:55, 29/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    кое-что все же успели испортить за последние пять - в погоне за косплеем доскера, ага.
     
     
  • 4.75, abi (?), 20:21, 29/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    vnet что-ли? На 11.2 все ещё кидал систему в панику если в разных клетках свой pf запустить.
     
     
  • 5.83, Sw00p aka Jerom (?), 21:58, 29/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    > vnet что-ли? На 11.2 все ещё кидал систему в панику если в
    > разных клетках свой pf запустить.

    в клетках пф? о Боже

     
     
  • 6.89, пох. (?), 22:08, 29/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    >> vnet что-ли? На 11.2 все ещё кидал систему в панику если в
    >> разных клетках свой pf запустить.
    > в клетках пф? о Боже

    ну а зачем вообще тебе vnet?

    с разделяемой физической сетевухой и так все работает.

     
     
  • 7.94, Sw00p aka Jerom (?), 00:19, 30/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    > ну а зачем вообще тебе vnet?
    > с разделяемой физической сетевухой и так все работает.

    алиасов хватает )

     
     
  • 8.119, Аноним (114), 13:33, 30/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    Алиасы не нужны vhid практичней ... текст свёрнут, показать
     
  • 8.136, пох. (?), 17:44, 30/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    так это и есть разделение физической сетевухи - хошь алиасами, а не хошь просто ... текст свёрнут, показать
     
     
  • 9.140, Sw00p aka Jerom (?), 17:56, 30/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    а зачем тогда pf тянуть в джейл ... текст свёрнут, показать
     
     
  • 10.143, пох. (?), 18:23, 30/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +1 +/
    в смысле Это способы его туда не тянуть А pf в jail можно хотеть тянуть по мил... текст свёрнут, показать
     
     
  • 11.163, Дон Ягон (ok), 01:14, 04/06/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +1 +/
    О да Сорян за лёгкий некропостинг, но да, это прекрасно Ты закоммитишь - и ... текст свёрнут, показать
     

  • 1.54, Аноним (55), 18:14, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
  • +/
    Для всех в этом чатике изоляция бывает только аппаратная. И то там работает социоинженерия. Все остальное фикция. То что докер не может решить эту проблему это только потому что никто такой задачи решить не может.
     
     
  • 2.66, Онаним (?), 19:45, 29/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • –1 +/
    Ещё дыры в интеловских процах там ничего так работают.
     
  • 2.67, Анонимус2 (?), 19:46, 29/05/2019 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • +/
    Эту вашу аппаратную изоляцию ломают чаще чем в докере дыры находят. При этом её ещё и исправить можно только покупкой новой железяки, которая появится только через год.
     
     
  • 3.120, Аноним (114), 13:36, 30/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    > вашу аппаратную изоляцию ломают чаще чем в докере дыры находят.

    Это изоляция .. , она такая же наша как и твоя.
    И почему изоляцию ломают, а дыры в докере находят? Может всё ровно наоборот? Дыры в твоей аппаратной изоляции находят, а докер ломают?

    > При этом её ещё и исправить можно только покупкой новой железяки, которая появится только через год.

    И какой же ты делаешь из этого вывод? Что, надо использовать докер без аппаратной изоляции?

     
     
  • 4.160, zurapa (ok), 12:03, 31/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    Вот тут ты очень смешно протролил. Надо запомнить. Буду теперь всем DevOps'ам говорить, чтобы использовали Docker без аппаратной изоляции в чистом виде, прямо на железе. Какой там на железе?! Прямо в уме пускай это делают. В мозгу то дыр нет. Хотя...
    Ха-ха-ха-ха-ха! (сдох)
     
  • 2.82, Аноним (-), 21:05, 29/05/2019 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • +/
    > И то там работает социоинженерия.

    И хорошо работает. Аппаратная изоляция - это программная, реализованная на уровне фирмвари проца. Тот же программный код, притом проприетарные. Да уж, изоляция с открытым кодом - фикция, только проприетарная изоляция настоящая.

     

  • 1.63, Аноним (63), 19:20, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
  • +/
    Вспомнил забавный киноляп из недавнего фильма, как чел, кажется раз 7 сбегал из немецкого концлагеря во время второй мировой.
     
     
  • 2.76, Аноним84701 (ok), 20:48, 29/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +2 +/
    > Вспомнил забавный киноляп из недавнего фильма, как чел, кажется раз 7 сбегал
    > из немецкого концлагеря во время второй мировой.

    Был такой. Тони Ролт. Прославился еще как гонщик (и тем, что для последнего побега, из замка Кольдиц, построили с группой заключенных планер).
    Сбегал 7 раз (вроде как подтверждено документально самими немцами).
    Просто был британским офицером (более мягкие условия содержания в начале второй мировой), да и последний его побег был еще до 1943.

     

  • 1.68, sleeply4cat (ok), 19:48, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
  • +/
    Почему баг обработки симлинков исправляется приостановкой контейнера????
     
     
  • 2.71, вИКТОР АГН (?), 20:06, 29/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • –2 +/
    >Почему баг обработки симлинков исправляется приостановкой контейнера????

    потому что твой супер контейнер должен быть stateless, и их должно быть два минимум.
    statefull прикладухи для докера это такое себе, mysql в докере поднимать не следует, если ты не псих и не разраб.

     
  • 2.74, пох. (?), 20:17, 29/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • –1 +/
    > Почему баг обработки симлинков исправляется приостановкой контейнера????

    потому что макака по другому просто не умеет. Контейнер стопнула - опа, вот и race condition сам собой рассосался, с гарантией. А что он в тот момент может на запрос отвечал (от чего никакое "stateless" не спасет) - да пофигу, вон, девляпс уже верещит что это верно и правильно, у него 5krps ненужно - "всеработает".

     

  • 1.77, mumu (ok), 20:49, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
  • +4 +/
    Девопсненько так. В lxc проблемы нет, но девопсяры же в неё не умеют, им решетокер нужен))
     
     
  • 2.78, Анонимный эксперт (?), 20:52, 29/05/2019 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • +3 +/
    lxc очень сложно, нужно проходить курсы для запуска hello world
     
     
  • 3.90, пох. (?), 22:11, 29/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    > lxc очень сложно, нужно проходить курсы для запуска hello world

    lxc еще и очень криво, неудачный косплей виртуальной машины.
    К ней бы runc от clear приделал кто - была бы неплохая в общем альтернатива qemu.


     
  • 2.80, Аноним (-), 21:00, 29/05/2019 [^] [^^] [^^^] [ответить]  [] []     [к модератору]
  • –2 +/
    В podman тоже нет проблемы, но во многом аналогичен докеру по использованию. Да и runc лучше lxd по безопасности, потому как хотя-бы для части контейнеров в нем можно обходиться без прав рута.
     
     
  • 3.108, Аноним (108), 11:41, 30/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +1 +/
    https://github.com/rgroux/exemples/wiki/Howto:-LXC---container-without-root-pr
     
  • 2.81, Аноним (-), 21:01, 29/05/2019 [^] [^^] [^^^] [ответить]  [] []     [к модератору]
  • +/
    Вообще этих контейнеров вагон и маленький вагон, но бабки нашептали только три буквы - LXC.
     
     
  • 3.105, mumu (ok), 10:05, 30/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    Вопрос в том, как много из них прошли аудит безопасности и стали готовы для продакшена.
     
     
  • 4.134, пох. (?), 16:14, 30/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    > Вопрос в том, как много из них прошли аудит безопасности и стали

    лолшта? Конечно ноль!
    > готовы для продакшена.

    ВСЕ!
    (каравай-каравай, каку хочешь? Выбирай!)

     
     
  • 5.149, Анонимный эксперт (?), 04:30, 31/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    Только то что запускают в реальной VM, как например VMware Photon.
     
     
  • 6.152, пох. (?), 07:19, 31/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    > Только то что запускают в реальной VM, как например VMware Photon.

    ты еще скажи, что она проходила какой-то там "аудит".

    или что секретная технология x-як-х-як и в продакшн не освоена китайцами вмвари в достаточной степени.

    или что такая же виртуалка с atomic shit (или как там его) чем-то по надежности будет хуже?


     
  • 2.93, Gannet (ok), 23:27, 29/05/2019 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • –1 +/
    В systemd-nspawn тоже проблемы нет.
     

  • 1.95, Погонщик (?), 01:05, 30/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
  • +/
    Ну что, сколько уже смузихлебов выбралось из своего картонного контейнера? Уже есть статистика?
     
  • 1.96, Аноним (96), 02:23, 30/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
  • +1 +/
    ШОК, СЕНСАЦИЯ!!! Найдена уязвимость во всех ОС: Если иметь права root\админа, то можно убить систему!!!
    Уязвимость ещё не исправлена!
     
     
  • 2.100, Аноним (100), 03:26, 30/05/2019 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • +/
    А можно поподробнее? Хочу УБИТЬ СИСТЕМУ!
     
     
  • 3.104, Пишу из ванны (?), 08:57, 30/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • –1 +/
    Имей систему - переходи на красный.
     
  • 3.121, Аноним (114), 13:38, 30/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    Можно: killall system
    Дерзай.
     
     
  • 4.124, анонн (?), 14:14, 30/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    > Можно: killall system
    > Дерзай.

    # killall system                                                                  
    No matching processes were found

    А что должно было произойти?

     
  • 2.106, mumu (ok), 10:06, 30/05/2019 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • +/
    Если на каждый шмокер приходится ровно по одному хосту, то не страшно конечно. Но нафига тогда он нужен?
     
     
  • 3.109, пох. (?), 12:05, 30/05/2019 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    для деплоя же ж...

    но так красиво получается только первые три дня - а дальше контейнеров становится пара сотен, вручную рулить ими ты быстро задолбаешься, а ответственность за безопасность и надежность решения уже успешно переложена на никого, так что и плакать не о чем.

     

  • 1.161, Аноним (161), 18:20, 01/06/2019 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
  • +/
    > убедить админа

    Убедить? Да сейчас каждая вторая приблуда - "нет времени объяснять, качай docker". Или еще хуже "curl https://vasyapupkin.com -sSf | sh"

     
  • 1.164, Anonim (??), 10:12, 10/06/2019 [ответить] [﹢﹢﹢] [ · · · ]      [к модератору]
  • +/
    Используйте для изоляции харденед chroot от grsecurity.net
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру