Чем бы изолировать программу на дедике?

Докер подойдет. Да и я сомневаюсь что openfire будет дырявее похапе-параши, в которой скорее всего и загрузка файлов имеется.

Докер для кого придумали?

Докер подойдет. Да и я сомневаюсь что openfire будет дырявее похапе-параши,

Вам легко советовать :)) А если бы у вас на кону стоял продакшн-сервак, вы бы десять раз подумали.
И где-то вы видели жаву на сервере? Мне не попадались, значит, не зря ее побаиваются.

Ок, если этот докер так хорош и надежен, то почему он кофе не подает не наблюдается на арендуемых серверах?
Ну ни разу ни одного с ним не видел, одни Xen/KVM/Виртуозо, и пожалуй, все...

Докер для кого придумали?

Да вот сколько не читал о нем, в основном для удобной миграции софта

Ок, если этот докер так хорош и надежен, то почему он кофе не подает не наблюдается на арендуемых серверах? Ну ни разу ни одного с ним не видел, одни Xen/KVM/Виртуозо, и пожалуй, все...

Наверно, не видел потому, что docker, это больше для разработки, или для масшатбирования больших приложений. А для твоего случая: lxc/systemd container/chroot. Ну как-то вот так, наверно...

Наверно, не видел потому, что docker, это больше для разработки, или для масшатбирования больших приложений.

Так и об этом же талдычу. Взят хотя бы вику https://ru.wikipedia.org/wiki/Docker или это https://habrahabr.ru/post/253877/ или это https://habrahabr.ru/post/267441/ и т.д. - нигде о применении Докера как изолятора.

А для твоего случая: lxc/systemd container/chroot. Ну как-то вот так, наверно...

Т.е. таки не Докер, получается? А что же это за зверушка такая?

Чукча, для кого джаву придумали? Как раз для таких как ты - с серваками. А PHP твой - вообще «Personal Home Page», какие могут быть сравнения?

И где-то вы видели жаву на сервере

Прямо за спиной стоит стойка, вся под эту вашу жаву.
И кстати ты сейчас пишешь на форум, который как раз на жаве.

И где-то вы видели жаву на сервере?

удали коммент пока не поздно, удивляешь даже такого радикально-экстримального джава-хейтера как я.

А PHP твой - вообще «Personal Home Page»,

Ну прямо уж! На чем же, по вашему, работают все веб-серваки, как не как не на ПХП, мускулами и прочими апачами?
И все цмс, форумы, блоги и пр. выпускаются под них.

Прямо за спиной стоит стойка, вся под эту вашу жаву.

И что, она вот так прямо голяком выставлена в тырнет???

И кстати ты сейчас пишешь на форум, который как раз на жаве.

Шутишь, что ли? :) Но сегодня же не 1 Апреля.

Софт

Мы работаем на

    CentOS 7.x
    СУБД PostgreSQL 9.4
    OpenJDK 1.8.0
    Scala 2.11
    Apache Tomcat 7
    ActiveMQ 5.11
    Spring 4.2
    Поиск: Elasticsearch 2.2
    Nginx 1.8

Ну и где тут твоя жава?

Фу как толсто, даже неприлично толсто. Или ты настолько тупой? Не-не, этого просто не может быть.

А для твоего случая: lxc

Если что, докер и есть обёртка над LXC.

С вами, онанимусами, не только отупеешь..

Да понимаешь, одни хвалят lxc за совершенство и до хрипоты ругают докер за недоделанность и глючность, и столько же наоборот.
Голова уже кругом идеть...

Если что, докер и есть обёртка над LXC.

Это не мешает ему быть неюзабельным говном для целей ТС.

Ну и где тут твоя жава?

OpenJDK 1.8.0 - это и есть жава.

А вот это вот работает поверх неё: скала, томкат, спринг, эластик...

Ты цели ТС читал?

Как бы замутить нечто такое, чтобы «оно» надежно изолировало такую сомнительную программулину от остального

OpenJDK 1.8.0 - это и есть жава.

Блин, а ведь действительно!... Что-то я туплю сегодня, однако, все-таки ночь не спал, и в такой абревиатуре жаву не признал, хотя до боли что-то знакомое.

Ну хорошо, предположим, что OpenFire без всякой там виртуализации и контейнеризации еще можно рассмотреть, но если через нее ломанут сервак, меня уволят нафиг без выходного пособия.... :(

А на подходе еще FireTalk, проект зависший с 2011 года, и нему никакого доверия, он уже не на жаве, и чего с ним делать?

Чет толстовато даже для админа локалхоста.

Что именно?

И где-то вы видели жаву на сервере?

Почти все банковское ПО крутится на «дырявой» жаве.

Мне не попадались, значит, не зря ее побаиваются.

Наверно, потому что одни локалхосты с пэхапы админишь.

А по делу: docker , lxc.

Ты цели ТС читал?

А ты знаешь что такое докер? Он в первую очередь про доставку и развертывание приложений, что несколько усложняет тривиальный кейз «чтобы «оно» надежно изолировало такую сомнительную программулину от остального». Секс со стораджем и настройкой, все такое.

Не мог пройти мимо, дико плюсую.

Ну, если пара команд для поднятия и привязки каталога с данными - это называется «усложняет», то трудно сказать, что в таком случае упрощает.

Мне кажется, в треде слишком много шиндусятников.

Почему-то в основном только перманентно дико тупящие товарищи стремятся обвинить в этом совершенно незнакомых им людей, причём, по надуманному признаку. Попытка переложить ответственность на других с целью оправдаться хотя бы в собственных глазах — крайне распространённое явление конечно, однако это всего лишь попытка убежать от реальности, признайте. И я говорю сейчас даже не про тот ответ, который Вы, уважаемый, удосужились прокомментировать.

Обесните, как эти докеровые контейнеры потом обновлять? Допустим, там дебиан. Приходят обновления безопасности - надо весь контейнер опять пересобирать через docker build? Не многовато ли гемора?

Да вот сколько не читал о нем, в основном для удобной миграции софта

А в чём удобство миграции? Данные в контейнеры не хранятся - то есть, их надо как-то мигрировать-синхронизировать отдельно. Как это сделать без даунтайма - вообще слабо представляю.

Docker

Работает - не трогай, взломали - ищи виноватого

Ок, если этот докер так хорош и надежен, то почему он не наблюдается на арендуемых серверах?

Потому-что он не для замены виртуалок, а для разворачивания однотипных окружений. VPS хостингу он может понадобиться разве-что для привлечения хипстеров.
Для лёгких «как-бы виртуалок» есть LXC (ну или OpenVZ/Virtuozzo, тот-же LXC только более ынтырпрайзный и со своим ядром).

И где-то вы видели жаву на сервере?

Чего? А где ты видишь жабу за пределами сервера? Java сейчас это в основном серверная тема. В браузерах (слава Макаронному Монстру) она так и не взелетела, на десктопе ослалась в основном только в корпоративны приложениях (да и то не особо, ибо .NET). Ну вот на Андроидах разве-что.
Hadoop, Cassandra, Jira… вот это всё.

Второе, что вроде бы подходит для этой затеи - это chroot, но с ним так и не смог разобраться, не для средних умов, видать.

chroot это вообще не про безопасность. Если от использования chroot для изоляции уязвимого софта тебя удерживает только сложность настройки то беспокоиться тебе нужно не о «недостаточной проверенности временем» того или иного решения. «Узкое место» безопасности это не потенциальные уязвимости в LXC/Docker или тем более JRE, узкое место это твоя неопытность.

эээ не понял, у тебя конечные сервисы на хост-системе пашут???

Если что, докер и есть обёртка над LXC.

Говорят уже нет. Сам долго был в этом уверен, но переубедили. Если интересно, здесь же почитайте комменты к последней новости о выходе lxc.

chroot это вообще не про безопасность.

Ну не скажите, столько лет жили и тут фигак «вообще не про безопасность»

узкое место это твоя неопытность.

Вот тут согласен.
ТС юзай пока VM и попутно набирайся опыта.
Хотя конечно сама формулировка задачи смешная, саму по себе VM отправить еще раз в VM.

• Берёшь,ставишь lxc-utils.
• Делаешь br0
• В одну команду поднимаешь lxc контейнер с выделенным ip, или через NAT.
• Кидаешь в автозапуск свой контейнер.
• Не колотишь мозг. И просто пользуешься.

Docker, это про разработку, про быстрое масштабирование. А для лёгкой виртуализации/изоляции - ИМХО, ближе lxc, или может даже systemd

Приходят обновления безопасности - надо весь контейнер опять пересобирать через docker build?

Насколько я понимаю, надо. Надо будет всё пересобрать, ещё плюс добавится слой в файловую систему. Всё это выложить в репозиторий, и потом пересоздать контейнеры. Это круто и удобно, для больших, распределённых систем. ИМХО.

Не для этого, докер не изолирует практически.

OpenJDK 1.8.0
Scala 2.11
Apache Tomcat 7
ActiveMQ 5.11
Spring 4.2
Поиск: Elasticsearch

Это все джава.

Берёшь,ставишь lxc-utils.
.....

Не согласен, lxc все-таки надо уметь готовить. Вынести систему с ним достаточно легко, чуть промахнулся с cgroup и в ноге пуля.

Ну не скажите, столько лет жили и тут фигак «вообще не про безопасность»

Дашь мне шел изолированный от твоего боевого сервера только chroot-ом? Да? Нет?

Написал сейчас многабукф про то что такое чрут, как он может помочь в обеспечении безопасности и почему не стоит полагаться на него (или во всяком случае только на него). Но что я тебе лечить буду, ты и сам это всё знаешь.
Чрут тука хорошая, но это даже близко не альтернатива контейнеру, про VM молчу.

Ты про актуальные версии? В старых из коробки был адЪ и Израиль, контейнер могвыключать хостовые интерфейсы, да и сам хост. Но в актуальных всё хорошо из коробки.

Ядерная составляющая та-же самая. А юзерспейсные утилиты это так, вишенка на тортике.

Дашь мне шел изолированный от твоего боевого сервера только chroot-ом? Да? Нет?

Легко и даже без патча sshd Только не конкретно тебе, но такое у меня организовано. Не сложная процедура, хоть и через Ж. Если интересно можеш погуглить.

Чрут тука хорошая, но это даже близко не альтернатива контейнеру, про VM молчу.

Тут даже спорить не о чем. Полностью согласен.
ЗЫ В былые времена контейнеров не существовало а vm было слишком накладно, так что обходились chroot.

Ты про актуальные версии? В старых из коробки был адЪ и Израиль, контейнер могвыключать хостовые интерфейсы, да и сам хост. Но в актуальных всё хорошо из коробки.

Ну мб не прав. И уже поменялось что-то. Я «обжегшись на воду дую» заранее.

Ядерная составляющая та-же самая.

Ну это никуда не денеш. Но все равно говорить что docker надстройка над lxc не правильно, это уже параллельные галактики хоть и в одной вселенной.

докер проще чем lxc, хотя некоторые вещи я например пока не освоил, тк железо дома не позволяет.

lxc - «тк железо дома не позволяет.»
erzent уймись уже и не смеши людей.

На чём обжигался? И какая это была версия хоть примерно?

На чём обжигался? И какая это была версия хоть примерно?

По версии не скажу, давно было. А так, проблемы уже и выше описали, интерфейс на себя внезапно захапать, причем при одинаковом конфиге, т.е. рядом такой же сцуко работает, а этот себе его забирает. Доступ к хост фс когда ее можно перемонтировать и т.д.
Все выше сказанное про вариант «из каробки» так что теперь я ооочень внимательно конфиги смотрю :)