LINUX.ORG.RU

Чета даже ржу.

Похоже действительно нужна какая-то совсем другая архитектура и железа и ОС, чтобы дыры чуть не каждый день не вылазили.

praseodim ★★★ ()
Ответ на: комментарий от praseodim

Нужны какие-то совсем другие люди, чтобы не считали нагромождение слоёв решением любой проблемы. Контейнеры могут быть хороши для определённых сценариев (e.g. простой редеплоймент с окружением для быстрого развёртывания), но городить лишний слой поверх хостовой системы прав ради безопасности — это идеальный пример костыля.

dimgel ()
Ответ на: комментарий от dimgel

тут скорее проблема в том что народ стал использовать докер для того для чего он не предназначен. если использовать его как средство разработки локально то проблем 0.

Slackware_user ★★★★★ ()
Ответ на: комментарий от Slackware_user

+1, именно об этом я и говорю. :)

UPD. Слака говно! Не знаю, не юзал, гента наше всё. Но если ты со слаки на чё-нить другое переедешь, будешь просить админа ЛОРа ник поменять?

dimgel ()
Последнее исправление: dimgel (всего исправлений: 2)
Ответ на: комментарий от dimgel

городить лишний слой поверх хостовой системы прав ради безопасности

это нормально, таких слоев тьма.

а вот применять для изоляции контейнеры - это плохая идея.

t184256 ★★★★★ ()
Ответ на: комментарий от t184256

Полагаю, имеются в виду всякие SELinux и AppArmor. Тоже сложные костыли поверх для-кого-то-недостаточно-прошаренной системы прав лялиха. Но если они чем и лучше контейнеризации, так это толщиной слоя. Хотя ЕМНИП и в них дыры находили размером с жопу Саши Грей.

dimgel ()
Ответ на: комментарий от commagray

Думал, что проблема в самой виртуализации, но прочитал ссылку и понял, что на самом деле она в обвязке. Тогда да.

Хотя libpod тоже не застрахован от таких косяков.

slvrn ★★★ ()
Ответ на: комментарий от Slackware_user

если использовать его как средство разработки локально то проблем 0.

Ну разработал ты локально, потом ЭТИ контейнеры запускается в каком нибудь кибернате в продакшене, их юзают по сети и что дальше ?

mx__ ★★★★★ ()
Ответ на: комментарий от t184256

Полная виртуализация или ничего.

Расскажи вкратце о принципиальных отличиях полной виртуализации от контейнеризации. Особенно интересует та часть, где волшебный единорог гарантирует ошибки в софте.

anonymous ()
Ответ на: комментарий от Slackware_user

я имел в виду когда в продакшене запускается не в докере.

Не очень понял. Ладно спрошу чуть по другому. Где в продакшене юзера имеют доступ к хосту с докером ?

mx__ ★★★★★ ()
Ответ на: комментарий от anonymous

Для её эксплуатации нужен человек с рутом на сервере.

Я вам больше скажу. Малого что там нужен чел с рутом в хосте, так этот чел в этот момент должен делать - docker cp.

Не спорю что дыра, но заюзать ЭТО в продакшене практически не возможно.

mx__ ★★★★★ ()
Последнее исправление: mx__ (всего исправлений: 1)

Для эксплойта нужен только доступ к docker run и docker cp. Рут для этого не нужен, обычно только роль docker или иной эквивалент чтобы пользоваться докерным сокетом.

Похоже эксплуатируемо и при tcp протоколе, проблема в реализации команды, которую триггерит docker cp.

Однако в любом случае эксплойты возможны только при доступе к управлению докерным демоном. Это не помешает большинству продакшеновых деплоев, в тех же кубернейтсах, поскольку их кластеры неплохо изолированы, но может легко поломать целую серию CI-площадок, вроде гитлабовых, где можно запускать любые контейнеры и докер-в-докере.

anonymous ()