| |
| |
| 3.64, Аноним (64), 19:35, 29/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– |
"" поставил тебе [-] ""
///"" -- первый -- безумный! -- Текст. ""
///второй безумный "Текст" -- ${вставить_еще_один_безумный_текст}
<///>
(с)
| | |
|
| 2.5, Аноним (5), 13:30, 29/05/2019 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]
| +5 +/– |
Почему это не нужны? Это хорошый способ предотвратить возможность какому-нибудь софтверному каловому монстру засрать твою систему кривыми либами зависимостей. А те кто пытается использовать решения, изначально не разрабатывавшиеся безопасными, для изоляции - сами себе злобные буратина.
| | |
| |
| 3.40, Аноним (40), 16:37, 29/05/2019 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +3 +/– | |
>Это хорошый способ предотвратить возможность какому-нибудь софтверному каловому монстру засрать твою систему кривыми либами зависимостей.
Этот кейс требует изоляции только на уровне файловой системы, что легко решается более легковесными средствами, чем контейнеры (если, конечно, софт скачивается из доверенного источника, однако новости показывают, что качать докер-образы откуда попало так себе идея - возможность эксплуатации уязвимостей в докере, пустые рутовые пароли, древние либы с уязвимостями внутри контейнера, и т.д.)
Вот если для запуска дерьмодемона нужна еще какая-то нетривиальная настройка системы, тогда без контейнера не обойтись.
| | |
| |
| 4.57, freehck (ok), 18:31, 29/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
 > Этот кейс требует изоляции только на уровне файловой системы, что легко решается более легковесными средствами, чем контейнеры
Да, но инфраструктура более легковесных в плане ресурсов решений оказывается более тяжеловесной в использовании. У докера, вон, большое сообщество, есть готовые базовые имиджи чуть ли не для всего на свете. А в случае schroot, например, мне надо дебутстрапить предварительно окружения самостоятельно, и это не делается одной командой, увы.
С учётом того, что продакшен нынче пошёл активно в контейнерах существовать, использовать докер для подобной изоляции становится более простым и удобным решением: всегда легче заюзать инструмент, который используешь на постоянной основе. И это хорошо и правильно.
| | |
| |
| 5.60, Anonymoustus (ok), 19:03, 29/05/2019 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– |
 Вопрос лишь о том, зачем под доскер подстилать большую юникс-подобную систему, причём искорёженную и переломанную ради этого самого доскера до полной потери черт юникса. Не проще ли было написать специальные мелкие пускали для доскера, не портя линукс и целую прорву ГНУтого софта? Более того — а не лучше ли было для задач, которые суют в доскер, писать отдельные специальные маленькие системки для виртуальных машин? И не ломать, опять же, линукс и целую кучу ГНУтого софта.
| | |
| |
| 6.69, freehck (ok), 19:53, 29/05/2019 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| –2 +/– |
> Вопрос лишь о том, зачем под доскер подстилать большую юникс-подобную систему, причём
> искорёженную и переломанную ради этого самого доскера до полной потери черт
> юникса.
Анонимаустус, а каким боком и что именно докер сломал-то? =/
| | |
|
| 5.103, Аноним (103), 08:29, 30/05/2019 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– | |
>Да, но инфраструктура более легковесных в плане ресурсов решений оказывается более тяжеловесной в использовании. У докера, вон, большое сообщество, есть готовые базовые имиджи чуть ли не для всего на свете. А в случае schroot, например, мне надо дебутстрапить предварительно окружения самостоятельно, и это не делается одной командой, увы.
Потому что это не правильный подход. Надо не систему бутстрапить, а сбандлить с приложением либы, которое оно использует, с помощью инструментов вроде linuxdeploy
| | |
|
|
| 3.56, freehck (ok), 18:28, 29/05/2019 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– | |
> Почему это не нужны? Это хорошый способ предотвратить возможность какому-нибудь софтверному каловому монстру засрать твою систему кривыми либами зависимостей.
Плюсую. А ещё деплой удобнее в разы становится.
| | |
|
| 2.8, Аноним (8), 13:49, 29/05/2019 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]
| +3 +/– |
Если писать код абсолютно правильно, то контейнеры не особо то и нужны. Но с ними проще, на многое можно забить.
| | |
| |
| 3.10, kai3341 (ok), 14:07, 29/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
 > Если писать код абсолютно правильно, то контейнеры не особо то и нужны. Но с ними проще, на многое можно забить.
> абсолютно
максималист детектед. Возвращайся в мир собственных фантазий
| | |
| 3.39, Аноним (40), 16:27, 29/05/2019 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +1 +/– | |
>Если писать код абсолютно правильно, то контейнеры не особо то и нужны.
Контейнеры были придуманы для разделения ресурсов между сервисами, выполняющимися в облачной инфраструктуре. И в этой нише конкуренция идет в основном между различными типами этих самых контейнеров, так как виртуализация всегда имеет больше накладных расходов. А то, что некоторые макаки забивают гвозди микроскопами - это как бы совсем не означает, что микроскопы не нужны и их легко заменить молотками.
| | |
| 3.59, лютый жабист__ (?), 18:44, 29/05/2019 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| –3 +/– | |
>Если писать код абсолютно правильно, то контейнеры не особо то и нужны
Если использовать java EE, то доцкер не нужен. Может есть и другие вменяемые платформы, хз.
| | |
|
| 2.27, Fyjybv755 (?), 15:22, 29/05/2019 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]
| +1 +/– | |
> Ждем комментаторов с искрометными шутками про "девляпсов" и "контейнеры нинужны".
У "девляпсов" копирование файлов в контейнер (точнее, образ) выполняется только при docker build, когда контейнер, внезапно, не выполняется. Для всего остального есть volumes.
Менять что-то в контейнере вручную - крайне бессмысленная задача, так они обычно создаются и уничтожаются автоматически при деплое.
| | |
| |
| 3.33, пох. (?), 16:07, 29/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| –2 +/– | |
> Для всего остального есть volumes.
объявленные (те что персистентны, а не каждый раз вручную) deprecated пять лет назад и с тех пор по этому поводу толком не поддерживаемые (оставляют неудобообнаруживаемый и неудобоудаляемый мусор в системе, не видны обычными инструментами если не знать и не спросить специально)? Отличное решение, так держать.
Ну и вот ни разу не поверю, что копирование файлов ИЗ контейнера - никогда-никогда не случается у девляпсов. А баг, как я понимаю, эксплойтится и этим способом замечательно.
| | |
| |
| |
| 5.49, пох. (?), 17:58, 29/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– | |
> И чем заменять предлагают?
как обычно, ничем - "как, вы не слышали? в какой криокамере вы спали? standalone docker давно уже ж немодно, все на k8s, бегом, бегом, некогда разбираться, ляпай давай!"
его, разумеется, тоже будет некогда доделывать - "все бегом в впопенштифт, управлять кластером руками ересь и предрассудки!"
| | |
| |
| |
| 7.112, Fyjybv755 (?), 12:41, 30/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– |
Судя по его комментам в этом обсуждении, докер он видел только на картин^Wвинде, а про кубер и сварм вообще только слышал.
| | |
|
|
|
| 4.45, sailorCat (?), 17:37, 29/05/2019 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]
| +/– | |
> у и вот ни разу не поверю, что копирование файлов ИЗ контейнера - никогда-никогда не случается у девляпсов.
Осталось найти девопса и убедить его сто раз скачать файл из работающего контейнера. Если повезёт, этого хватит, чтобы сработала уязвимость.
| | |
| |
| 5.50, пох. (?), 18:00, 29/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
ну нет, зачем же так - надо найти девопса с десятью тысячами контейнеров, и как-то развести на нужный и полезный файл где-то в одном из. Вероятность попадания резко увеличивается.
| | |
| |
| 6.111, Fyjybv755 (?), 12:39, 30/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– |
Ага, админ десяти тысяч контейнеров не имеет никакой автоматизации и чуть что - сам лезет чинить.
Десять тысяч раз в день, ага.
Ну и бред вы несете.
На практике, если с каким-то контейнером проблема - его проще редеплойнуть, чем ковыряться в его потрохах и выяснять, кто там pid-файл забыл убрать.
| | |
| |
| 7.118, Аноним (114), 13:31, 30/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> Ага, админ десяти тысяч контейнеров не имеет никакой автоматизации и чуть что - сам лезет чинить.
Зачем ты приписываешь свои слова другим?
> проще редеплойнуть, чем ковыряться
На практике проще.
Но не правильней.
Потому, что если всё делать как проще, то получится:
> Ну и бред вы несете. | | |
|
|
|
| |
| |
| 6.157, Andrey Mitrofanov_N0 (?), 09:21, 31/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> Не машину, а вагон времени. Всё это ваше ГНУ именно про вагон
> бесплатного чужого времени.
Сестра, тампоны! В треде ушибленный ГНУ!1
У тебя ушиб, если ты "девляпсы" выше по треду или "дыркер" из новости "перевёл" на гну.
Прикладывай лёд.
| | |
|
|
| 4.110, Fyjybv755 (?), 12:35, 30/05/2019 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– | |
> объявленные (те что персистентны, а не каждый раз вручную)
О, сразу видно великого спеца по девляпсам. Контейнеры, значит, вручную создаете.
На практике, где-либо, кроме тестового стенда, никто такой фигней не занимаются. Контейнеры со всеми томами, портами и лимитами создаются автоматически системой деплоя, поэтому никаких "вручную" быть не может по определению. Более того, в нормальной инфраструктуре система мониторинга выявляет все созданные и измененные "вручную" контейнеры на продовых серваках и поднимает critical alert.
| | |
| |
| 5.127, пох. (?), 14:25, 30/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
>> объявленные (те что персистентны, а не каждый раз вручную)
> О, сразу видно великого спеца по девляпсам. Контейнеры, значит, вручную создаете.
сразу видно великого спеца-девляпса, он даже не понял что речь о персистентных томах, а не контейнерах.
> На практике, где-либо, кроме тестового стенда, никто такой фигней не занимаются. Контейнеры
> со всеми томами, портами и лимитами создаются автоматически системой деплоя, поэтому
поэтому docker cp их незаменимый помощник, когда что-то где-то пойдет не так, ага, ага (ну и наш тоже, если придет в голову их немного поломать).
какие еще персистентные тома, они об этом ведь не успели дочитать, а если бы и успели - модная система "орхестрации" все равно не даст.
| | |
| |
| 6.131, Fyjybv755 (?), 16:07, 30/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| –2 +/– | |
> сразу видно великого спеца-девляпса, он даже не понял что речь о персистентных томах, а не контейнерах.
Нет, я не понял, нафига вообще нужны персистентные тома. Еще раз: список томов в виде пар "каталог хоста"-"каталог контейнера" (+опционально ro) автоматически формируется при создании каждого нового контейнера. Зачем в этой схеме нужен механизм docker persistent volumes?
> поэтому docker cp их незаменимый помощник, когда что-то где-то пойдет не так, ага, ага (ну и наш тоже, если придет в голову их немного поломать).
Ну удачи залезть на тестовый стенд. Конечно, специально для вас его откроют в мир. Если очень-очень попросить.
| | |
| |
| 7.133, пох. (?), 16:11, 30/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
> Нет, я не понял, нафига вообще нужны персистентные тома. Еще раз: список
> томов в виде пар "каталог хоста"-"каталог контейнера" (+опционально ro) автоматически
> формируется при создании каждого нового контейнера. Зачем в этой схеме нужен
в этой- низачем, поэтому поломано и починено не будет. Как и много чего еще, брошенное недоделанным, потому что стая макак ускакала за новыми, более блестящими погремушками.
(тот же swarm, как показала практика)
| | |
|
|
|
|
|
| |
| 3.52, Аноним (52), 18:10, 29/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| +2 +/– |
Хьело фрём Индия, дрюгь! Ми написале харёши кёд для твая видиёкартачкя, дрюгь! Тама сто милиёнь строкь! (неразборчиво говорит дальше на хинглише)
| | |
|
| 2.37, Дон Ягон (?), 16:17, 29/05/2019 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]
| +2 +/– | |
> Ждем комментаторов с искрометными шутками про "девляпсов" и "контейнеры нинужны".
Жаль, что тебе и подобным не понятно, что это не шутки в целом.
Контейнеры сами по себе может и ок концепция, со своей областью применения, но то, как эта концепция реализована в дрокере - это провал. Да и вечнодырявые линуксовые неймспейсы доверия не добавляют.
| | |
|
| |
| 2.14, пох. (?), 14:26, 29/05/2019 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– | |
ну он вроде обещался за вылезание из контейнера, а не за эксплуатацию уязвимости в самом дыркере
тут, как я понимаю, традиционно, нужен доступ к docker socket или лох, который это сделает за тебя в оговоренный момент. А это человеческие отношения, это сложно - проще получить свой биткойн с этих вот - "я вчера взламал твой кампьютер, хакнул твой вебкамера и заснятое разошлю по списку всех тваих кантактов если не пришлешь мне деньгов". Раньше они хоть правда пытались подбирать пароли и иногда даже присылали их, а теперь уже не парятся - видимо, и так неплохо выходит.
И только я, как дурак, сижу без вебкамеры :-(
| | |
| |
| 3.22, Fyjybv755 (?), 15:09, 29/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– | |
> лох, который это сделает за тебя в оговоренный момент.
И вероятность удачи порядка 1% на попытку. Очень долго придется несчастного лоха мучить...
| | |
|
| 2.18, Fyjybv755 (?), 15:06, 29/05/2019 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| –1 +/– | |
> Ну где тот аноним, который биткоинами разбрасывался? месяц даже не прошел )))
Он обещал за выход из контейнера. А сабжевая жуткая мега-уязвимость предполагает, что вы уже вне контейнера и имеете полномочия для управления докером (группа docker, в которую обычно входят только админы).
| | |
|
| 1.16, corvuscor (ok), 14:40, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]
| +/– |
 >Атака может быть совершена только в момент выполнения администратором команды "docker cp" для копирования файлов в контейнер или из него.
Вот уязвимость так уязвимость... Я аж забоялся...
| | |
| 1.20, Fyjybv755 (?), 15:08, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ] [к модератору]
| +1 +/– | |
> Таким образом атакующему необходимо каким-то образом убедить администратора Docker в необходимости выполнения этой операции и предугадать используемый при копировании путь.
Может, проще сразу попросить рутовый доступ? А что, неплохая уязвимость получается - любой линукс взломать можно. И *bsd тоже. "Каким-то образом убедить админа, что вам нужен рутовый шелл".
| | |
| |
| 2.24, Fyjybv755 (?), 15:15, 29/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
Если говорить о реалистичных сценариях атаки, то это не "выбраться из контейнера", а "получить рута, если у тебя есть полномочия докер-админа".
На практике обычно управление докером и так выполняется из-под рута, поэтому можно даже за попкорном не ходить, скукотища.
| | |
|
| 1.31, zurapa (ok), 15:58, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]
| +10 +/– |
 Вот читаю комментарии, и удивляюсь. Никогда столь дырявая вещь не захватывала умы IP сообщества. Видимо это новый миллениум - сначала ставишь в прод, потом отлавливаешь баги, дыры и всё такое. Нам же некода, быстро надо.
Это:
и про докер,
и про pulseaudio, как он внедрялся,
и про systemd, как он внедрялся, без которого docker не столь привлекательным становится.
Странно это. Без докера, помоему и обсуждать то не пришлось бы. Сейчас все разговоры только о том, какие дырки в докере, как эти дырки латают, как swarm придумал, как научили контейнеры контактировать друг с другом, какой плохой swarm, закроем swar, сделаем kubernetis, и т.д...
Технология на столько бурно развивается. и на столько плохо обкатана, что тот кто его потрогал год назад, сейчас уже занова должен всё читать и разбираться.
В сети взяли на вооружение BGP, раздали всем желающим рукожопам по AS, и сейчас ноют, что делать с интернетом. Распродали IP-адреса всем подряд, бесконтрольно, получили целые подсети spam, ddos, прочего флуда.
У меня одного впечатление, что всем IT рулит стадо детей лет 12-ти, которым вообще не хочется думать о завтрашнем дне?
Где мозги у людей?!
Даже уже шутить по поводу Docker не хочется. Это реально не смешно становится. Постригусь в BSD'уны.
| | |
| |
| 2.70, вИКТОР АГН (?), 20:01, 29/05/2019 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| –2 +/– | |
>и про systemd, как он внедрялся, без которого docker не столь привлекательным становится.
да при чём тут докер то? :E у меня за 2 года прода багов докера было ровно два, с пермиссиями и extended acl. второй баг возник из-за лимитов. В systemd они задаются отдельно от /etc/security/limits.d/
Других проблем не было. и это прод, 2к рпс/наносекунду.
| | |
| |
| 3.150, Аноним (150), 06:37, 31/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– | |
2K рпс/наносекунду. Толсто однако.
РПС - RPS - requests per second.
Даже если забыть этот ляп. И это 2K запросов в наносекунду, Гугл в сторонке курит.
Иди уроки учи. Завтра в школу
| | |
|
|
| |
| |
| |
| |
| |
| 6.89, пох. (?), 22:08, 29/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
>> vnet что-ли? На 11.2 все ещё кидал систему в панику если в
>> разных клетках свой pf запустить.
> в клетках пф? о Боже
ну а зачем вообще тебе vnet?
с разделяемой физической сетевухой и так все работает.
| | |
|
|
|
|
|
| 1.54, Аноним (55), 18:14, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +/– |
Для всех в этом чатике изоляция бывает только аппаратная. И то там работает социоинженерия. Все остальное фикция. То что докер не может решить эту проблему это только потому что никто такой задачи решить не может.
| | |
| |
| 2.67, Анонимус2 (?), 19:46, 29/05/2019 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– |
Эту вашу аппаратную изоляцию ломают чаще чем в докере дыры находят. При этом её ещё и исправить можно только покупкой новой железяки, которая появится только через год.
| | |
| |
| 3.120, Аноним (114), 13:36, 30/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> вашу аппаратную изоляцию ломают чаще чем в докере дыры находят.
Это изоляция .. , она такая же наша как и твоя.
И почему изоляцию ломают, а дыры в докере находят? Может всё ровно наоборот? Дыры в твоей аппаратной изоляции находят, а докер ломают?
> При этом её ещё и исправить можно только покупкой новой железяки, которая появится только через год.
И какой же ты делаешь из этого вывод? Что, надо использовать докер без аппаратной изоляции?
| | |
| |
| 4.160, zurapa (ok), 12:03, 31/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Вот тут ты очень смешно протролил. Надо запомнить. Буду теперь всем DevOps'ам говорить, чтобы использовали Docker без аппаратной изоляции в чистом виде, прямо на железе. Какой там на железе?! Прямо в уме пускай это делают. В мозгу то дыр нет. Хотя...
Ха-ха-ха-ха-ха! (сдох)
| | |
|
|
| 2.82, Аноним (-), 21:05, 29/05/2019 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– | |
> И то там работает социоинженерия.
И хорошо работает. Аппаратная изоляция - это программная, реализованная на уровне фирмвари проца. Тот же программный код, притом проприетарные. Да уж, изоляция с открытым кодом - фикция, только проприетарная изоляция настоящая.
| | |
|
| 1.63, Аноним (63), 19:20, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +/– |
 Вспомнил забавный киноляп из недавнего фильма, как чел, кажется раз 7 сбегал из немецкого концлагеря во время второй мировой.
| | |
| |
| 2.76, Аноним84701 (ok), 20:48, 29/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| +2 +/– |
 > Вспомнил забавный киноляп из недавнего фильма, как чел, кажется раз 7 сбегал
> из немецкого концлагеря во время второй мировой.
Был такой. Тони Ролт. Прославился еще как гонщик (и тем, что для последнего побега, из замка Кольдиц, построили с группой заключенных планер).
Сбегал 7 раз (вроде как подтверждено документально самими немцами).
Просто был британским офицером (более мягкие условия содержания в начале второй мировой), да и последний его побег был еще до 1943.
| | |
|
| |
| 2.71, вИКТОР АГН (?), 20:06, 29/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| –2 +/– | |
>Почему баг обработки симлинков исправляется приостановкой контейнера????
потому что твой супер контейнер должен быть stateless, и их должно быть два минимум.
statefull прикладухи для докера это такое себе, mysql в докере поднимать не следует, если ты не псих и не разраб.
| | |
| 2.74, пох. (?), 20:17, 29/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– | |
> Почему баг обработки симлинков исправляется приостановкой контейнера????
потому что макака по другому просто не умеет. Контейнер стопнула - опа, вот и race condition сам собой рассосался, с гарантией. А что он в тот момент может на запрос отвечал (от чего никакое "stateless" не спасет) - да пофигу, вон, девляпс уже верещит что это верно и правильно, у него 5krps ненужно - "всеработает".
| | |
|
| |
| |
| 3.90, пох. (?), 22:11, 29/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> lxc очень сложно, нужно проходить курсы для запуска hello world
lxc еще и очень криво, неудачный косплей виртуальной машины.
К ней бы runc от clear приделал кто - была бы неплохая в общем альтернатива qemu.
| | |
|
| 2.80, Аноним (-), 21:00, 29/05/2019 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]
| –2 +/– |
В podman тоже нет проблемы, но во многом аналогичен докеру по использованию. Да и runc лучше lxd по безопасности, потому как хотя-бы для части контейнеров в нем можно обходиться без прав рута.
| | |
| |
| |
| 4.134, пох. (?), 16:14, 30/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> Вопрос в том, как много из них прошли аудит безопасности и стали
лолшта? Конечно ноль!
> готовы для продакшена.
ВСЕ!
(каравай-каравай, каку хочешь? Выбирай!)
| | |
| |
| |
| 6.152, пох. (?), 07:19, 31/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> Только то что запускают в реальной VM, как например VMware Photon.
ты еще скажи, что она проходила какой-то там "аудит".
или что секретная технология x-як-х-як и в продакшн не освоена китайцами вмвари в достаточной степени.
или что такая же виртуалка с atomic shit (или как там его) чем-то по надежности будет хуже?
| | |
|
|
|
|
|
| 1.96, Аноним (96), 02:23, 30/05/2019 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]
| +1 +/– |
ШОК, СЕНСАЦИЯ!!! Найдена уязвимость во всех ОС: Если иметь права root\админа, то можно убить систему!!!
Уязвимость ещё не исправлена!
| | |
| |
| |
| |
| 4.124, анонн (?), 14:14, 30/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> Можно: killall system
> Дерзай.
# killall system
No matching processes were found
А что должно было произойти?
| | |
|
|
| |
| 3.109, пох. (?), 12:05, 30/05/2019 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
для деплоя же ж...
но так красиво получается только первые три дня - а дальше контейнеров становится пара сотен, вручную рулить ими ты быстро задолбаешься, а ответственность за безопасность и надежность решения уже успешно переложена на никого, так что и плакать не о чем.
| | |
|
|
|
