Так все-таки как защитить хост от докера?

2

4

Есть разрабы которым нужен докер, и соответственно любой из них может запустить образ пробросить корень и делать все что хочет и системой, что очень неприятно. Раньше я не особо понимал глубину и не придавал этому значение, но сейчас на работе очень сильно бьют за такие дыры в безопасности и оттягивали использование докера на сколько можно.

Ссылка

←	3proxy защита от брута, как установить лимит ошибок ввода пароля

Зачем нужен DNSCrypt, получается VPN шифрует не все?

→

Запускать докер внутри настоящей виртуальной машины. KVM, например.

Deleted
(17.11.17 16:54:23 MSK)

Ссылка

не вижу проблем. говнокодеры запускают докер на локалохосте или minicube а команда эксплуатации запускает на проде

прод хостах с докером - ничего ценного. в идеале какойнить CoreOS или RancherOS

anonymous
(17.11.17 17:07:18 MSK)

Ссылка

Сам отдаю код в докерах. Если заказчик дает доступ на сам хост - Д.Б. Обычно в виртуалке.

Ща вообще думаю через moby загрузочные образа сразу делать, вы там на своей стороне в гипервизоре запускаете и все довольны.

BigAlex ★★★
(17.11.17 19:57:20 MSK)

Ссылка

Помести в пространоство имен пользователя только тот раздел винта который выделен для пользователя и он никогда не узнает о системе за пределами своего пространства имен. Тоже самое с сетевухами и прочим.

cvv ★★★★★
(18.11.17 17:25:30 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	3proxy защита от брута, как установить лимит ошибок ввода пароля

Security

Зачем нужен DNSCrypt, получается VPN шифрует не все?

→

Похожие темы