LINUX.ORG.RU

Выход из контейнера

 ,


2

3

В менеджере контейнеров Docker обнаружена критическая уязвимость. Она позволяет писать в хост-систему с правами root.

>>> Подробности



Проверено: Shaman007 ()
Последнее исправление: cetjs2 (всего исправлений: 5)

Ответ на: комментарий от anonymous

VM умеют мигрировать между узлами кластера без остановки процессов и потери уже сделанной работы.

Miha
() автор топика
Ответ на: комментарий от sT331h0rs3

Ну проблема не в питоне, а в его низком уровне вхождения. Последствия уже не один раз наблюдаю на работе. Написаный мной питоновский скрипт за последний год ломали трижды. Исключительно с того что хотят кодить и не хотят разбираться.

Slackware_user ★★★★★
()
Ответ на: комментарий от Slackware_user

А если тестами покрыть питоновский скрипт, то это не решит проблему? Например, в Gitlab настроить так, чтобы в мастер нельзя было пушить. Все изменения к мастеру приливаются из других веток - через мерж реквест. Одним из условий принятия мерж-реквеста можно сделать успешное прохождение тестов (там же в Gitlab в pipelines можно их запускать). То есть если они и поломают тебе скрипт, то в мастер поломанную версию прилить все равно не смогут.

dimuska139 ★★
()
Ответ на: комментарий от mx__

А можно и наоборот, менять Ситилинк и ждать пока запустят docker cp

anonymous
()

В менеджере контейнеров Docker обнаружена критическая уязвимость.

Docker

Всё ясно. Расходимся. Это норма для docker👍

anonymous
()
Ответ на: комментарий от kostyarin_

Контейнеры, микросервисы, безопасность. Ах-ха-ха.

Давайте будем последовательны. Это конкретная реализация. А то что из неправильно приготовленного контейнера можно грохнуть хост систему, для вас тоже удивительно? Но и так же можно кошерно приготовить, что бы такого не произошло.

anc ★★★★★
()
Ответ на: комментарий от anc

Но и так же можно кошерно приготовить, что бы такого не произошло

Ага, только для этого нужно нанимать инженера по контейнерам с опытом работы 1000 лет и тремя высшими. Чего нет нигде, где есть контейнеры и микросервисы. Ваше «можно кошерно приготовить» – не более чем простая условность. «Типа», «можно» – бред – безопасность требует гарантий и простоты. Ни того ни другого нету. В том смысле, что со знаниями и умениями можно обойтись и без контейнеров. Смысл в контейнерах пропадает. Просто они становятся ненужны. Вот и вся последовательность.

kostyarin_ ★★
()
Ответ на: комментарий от kostyarin_

безопасность требует гарантий и простоты

взаимо исключающие

В том смысле, что со знаниями и умениями можно обойтись и без контейнеров.

Та нет. Ну вот как мне на слаке раскатать deb или centos ?

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anonymous

ну тоесть дали пользовательские права и права администратора БД ну или вебсервера (на непривелигированном порту). И? няш получает рута? что это как не дыра?

anonymous
()
Ответ на: комментарий от WitcherGeralt

Главная фича Докера, благодаря которой он взлет, — удобная дистрибуция софта.

И какой процент софта, установленного на вашем компе, удобно сдистрибуцирован через докер? У меня почему-то ноль. В чём будет заключаться удобство дистрибуции какого-нибудь vim или bash через докер мне придумать, например, не удалось.

slonopotamus
()
Ответ на: комментарий от slonopotamus

Але, секундочку, мне нужен подопытный deb, хост слака, чяднт? вполне нормально раскатывается в lxc и мои волосы «мягкие и шелковистые».

anc ★★★★★
()
Ответ на: комментарий от WitcherGeralt

нет. что бы неосциляторы пишущие на джабаскрипте вместо «а у меня работает» говорили «возмите мой докер». вместо джабаскрипт можно подставить любой другой язык не имеющей полной сильной статической типизации.

anonymous
()
Ответ на: комментарий от anonymous

Нет, это чтобы я хост не захламлял говном типа нодежс (ещё и определённой версии со всеми ее модулями), а запускал в докере.

anonymous
()
Ответ на: комментарий от anonymous

Нет, тебе докер точно не нужен.

Я в курсе, что докер не нужен. Но тут рассказывают что он что-то там удобно дистрибуцирует, вдруг правда?

slonopotamus
()
Ответ на: комментарий от anonymous

Ну и каша у тебя в голове. Докер, типизация… Как ты это связал?

WitcherGeralt ★★
()
Ответ на: комментарий от slonopotamus

Тебе с самбой и фтп как серверным софтом - точно не нужен.

Пишешь ты, а стыдно за тебя мне.

anonymous
()
Ответ на: комментарий от slonopotamus

А, только заметил аватарку. Ну да, фтп, самба, ssh с клиентом putty.exe - все логично. Приношу извинения.

anonymous
()
Ответ на: комментарий от anonymous

Ad hominem, как это банально. Нет чтобы взять и рассказать что ж такого вы удобно запускаете в докере, что это прям безусловно лучше чем поднять тот же самый сервис на хосте.

slonopotamus
()
Ответ на: комментарий от kostyarin_

Та нет. Ну вот как мне на слаке раскатать deb или centos ?

Chroot, FUSE.

Ну расскажите прямо с примерами. Что бы у меня вот прямо отдельный хост был, «якобы» сам по себе в отдельной сети и т.д. и т.п. ЗЫ И таки напоминаю, на хосте у меня слака и никакого непотребства в виде *d нет, однако в контейнере systemd робит.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от slonopotamus

Тебе рассказывали, что толку? Ты уже все решил.

anonymous
()
Ответ на: комментарий от anc

Хоть в связи с последними событиями я перестал тебя уважать (who cares), рекомендую не метать бисер перед ними. В этом треде выше, или в соседнем, уже наноядро кто-то хотел собирать под kvm.

И смех, и грех.

anonymous
()
Ответ на: комментарий от anonymous

Сейчас очень мало тренируюсь, вполне могу себе позволить. Только не в ближайшую неделю. Я на работе загружен, а работаю в основно вечером. Прямо сейчас только ещё иду (оочнее прогуливаюсь) домой из коворкинга.

А ты кто-то из забаненых?

WitcherGeralt ★★
()
Ответ на: комментарий от WitcherGeralt

xtraeft, но вроде мы не общались с тобой на ЛОРе.

У меня тут вчера друзья из Перми приехали, и что-то ностальгия накатила.

А насчёт нельсона - конечно не сегодня-завтра, я сейчас вообще в паре сотен километров оттуда.

Приятно твои комментарии читать, хоть и чсв огромное (но у качков это норма)

anonymous
()
Ответ на: комментарий от King_Carlo

Это не ржака, это суровая реальность деплоймента всяких штук вроде анодота

pekmop1024 ★★★★★
()
Ответ на: комментарий от anonymous

[offtop]

Хоть в связи с последними событиями я перестал тебя уважать

Просто интересно, на какую именно «любимую мозоль» я вам наступил?
А в целом да, upd скорее так WhoCares.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 2)
Ответ на: комментарий от anonymous

Ну ты пиши, если что.

Я бы ещё кого-нибудь позвал, но никого из местных лоровцев не знаю, кроме Баги, а она точно пить не будет.

@mos, вроде бы, тоже из Екб.

WitcherGeralt ★★
()
Ответ на: комментарий от anc

Да мозоль одна и та же - непомерный пафос. Я понимаю, что на лоре и вообще в этой нише это норма, но.. добрее надо быть, что ли (если что, меня никто не обижал тут).

Оффтоп тоже, не про тебя теперь.

Может я выбился из колеи или что-то ещё, но тенденция не нравится. Вместо того, чтоб запилить нормальный ui, пилят одновременно лоркод и md (с ограничением по звёздам) - в итоге, каждый второй тред в техразделе начинается с коммента «осиль лоркод».

дк и квазара внезапно (и это супер) забанили, зато оставили фрактала и грима.

Шаман участвует в тредах о политике, а потом удаляет их целиком.

Обратной связи толком нет, чётких правил нет.

Кучу полезных и интересных комментариев удаляют целиком вместе с тредом.

Такими темпами тут останется фрактал и зенитур, которые будут делать 95% контента.

Могу ещё много писать, но все равно удалят.

anonymous
()
Ответ на: комментарий от anonymous

Да мозоль одна и та же - непомерный пафос.

Сильно зависит от темы и настроения. upd Когда «долбодятел» предлагает другому выстрелить в ногу, простите удержатся от «грубых слов» тяжело.

если что, меня никто не обижал тут

А вот меня «обижали» заслуженно/не-заслуженно, но это форум. У каждого может быть свой стиль изложения. Если вас «заслуженно» «каками» обкладывают, это одно. Если «не заслуженно», другое. «Никто не идеален» (с) Все могут ошибаться.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 2)
Ответ на: комментарий от anc

Ты сейчас какую-то банальщину написал, зачем?

Я вспомнил (не хотел писать, но раз уж ты ответил): ты разошелся в чьем-то там треде про systemd, а потом просил забанить автора (или снести тред).

Ты считаешь это нормальным?

Некоторые модераторы на букву j тоже бывает трут треды (целиком, с комментами) исходя из личных убеждений.

Спорить об этом я не хочу -правила у форума есть, это разумно. Плохо, когда разные люди общаются и пишут много текста (да, там процентов 80-90 мусора), а потом один человек берет и удаляет _все_.

anonymous
()
Ответ на: комментарий от kostyarin_

А Вам зачем?

Пытаюсь оспорить ваше утверждение

что со знаниями и умениями можно обойтись и без контейнеров

Поэтому просто прошу хоть какие-то пруфы.

anc ★★★★★
()
Ответ на: комментарий от anonymous

Плохо, когда разные люди общаются и пишут много текста (да, там процентов 80-90 мусора), а потом один человек берет и удаляет _все_.

Воспримите правильно, но я не припоминаю что бы сносили «полезный текст». А в теме про systemd, поставил товарища в игнор, это впервые за все мое существование на лоре. Такого тролля в админ имхо еще не было. Частично удивлен был тем, что AS(очень уважаемый мной лично) продолжал его кормить. Но как писал ранее «Сильно зависит от темы и настроения» возможно ему и подкормить интересно было.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Пытаюсь оспорить ваше утверждение

Во-первых, «Вы» при личном обращении пишется с большой буквы. Меня тут не много. А во-вторых, моё утверждение в том, что контейнеры требуют ровно столько же знаний и умений, что и их отсутствие для обеспечения безопасности. И никакое другое.

kostyarin_ ★★
()
Ответ на: комментарий от anonymous

наноядро кто-то хотел собирать под kvm

Его уже давно собрали и оно отлично работает в Docker, каждый контейнер в своей KVM.

anonymous
()
Ответ на: комментарий от kostyarin_

Chroot, FUSE.

Много возни, чтобы получить решение которое будет работать не лучше докера. Хотя, если кому-то хочется поублажать своё эго в свободное от работы время, почему бы и нет.

ugoday ★★★★★
()
Ответ на: комментарий от kostyarin_

Вы(с большой буквы) писали

Контейнеры, микросервисы, безопасность. Ах-ха-ха.

Ваш(с большой буквы) пост был только про последнее слово «безопасность» ? Так никто и не утверждает что «контейнер» == «безопасность» я Вам(с большой буквы) и написал «А то что из неправильно приготовленного контейнера можно грохнуть хост систему...»

А во-вторых, моё утверждение в том, что контейнеры требуют ровно столько же знаний и умений, что и их отсутствие для обеспечения безопасности.

Нет, при использовании контейнеров «знаний и умений» нужно больше, чем при «не использовании контейнеров».

anc ★★★★★
()
Ответ на: комментарий от anc

Да нет, отчего же. Просто нужно будет засунуть в chroot окружение солидный кусок дебиана или центоси. Тут основное отличие в том, что у Dockerfile есть инструкция «FROM», которая позволяет создавать контрольные точки, что радикально упрощает процесс. Но в принципе, можно всё то же самое делать и без этого.

ugoday ★★★★★
()
Ответ на: комментарий от ugoday

та ладно? Повторю мой ответ:

Ну расскажите прямо с примерами. Что бы у меня вот прямо отдельный хост был, «якобы» сам по себе в отдельной сети и т.д. и т.п. ЗЫ И таки напоминаю, на хосте у меня слака и никакого непотребства в виде *d нет, однако в контейнере systemd робит.

PS

Тут основное отличие в том, что у Dockerfile есть инструкция «FROM»

На всякий случай подчеркну, разговор не о докере, а о контейнирах в целом, сюда же можно добавить openvz

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 2)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.