forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Взлом инфраструктуры Docker Hub с возможной компрометацией с..., opennews (?), 27-Апр-19, (0) [смотреть все]

Обо всех этих проектах hub впереди ещё много интересных новостей не всегда рад, Аноим (?), 09:29 , 27-Апр-19, (1) +25 //

кстати, а все оценили что их нескучный бложек называется success docker com - и , пох (?), 10:47 , 30-Апр-19, (40) +1 //

I Дыркер -- не про безопасность и не про продавакшен, и никогда не был , Andrey Mitrofanov (?), 11:21 , 30-Апр-19, (41) +1 //

Точно Про sucks ass , InuYasha (?), 11:22 , 02-Май-19, (43) –1

Вот жесть, целый docker hub , Аноним (3), 10:08 , 27-Апр-19, (3) –2
Вот почему никогда нельзя привязывать друг к другу свои аккаунты на разных серви, Аноним (4), 10:27 , 27-Апр-19, (4) +1 //

Вы только что придумали велосипед - держите в курсе Собирать докер имеджи руками, Аноним (9), 11:30 , 27-Апр-19, (9) –7 //

И давно для Вас Алёна Гиль стала авторитетом по части создания Docker-образов , Аноним (4), 16:26 , 27-Апр-19, (18) –1 //

Это мои чисто практические заключения, из опыта, которого к слову с докером уже , Аноним (9), 17:53 , 27-Апр-19, (22) –1

Ну да, конечно, весь твой опыт с Докером подтверждает, что _на своей_ машине авт, Аноним (4), 09:40 , 28-Апр-19, (33) +1

В _твоём_ собственном интернете, никому, кроме _тебя_ не нужном , Аноним (37), 16:32 , 28-Апр-19, (37) –2

Поделом Хотя, им же нечего скрывать 0, Анун (?), 10:38 , 27-Апр-19, (5) –1
весь докерхаб надо поместить в докер, полученный контейнер засунуть в квм, квм-х, А (??), 10:55 , 27-Апр-19, (6) –5 //

И как же эти действия защитят от взлома , Аноним (7), 10:58 , 27-Апр-19, (7) +5 //

Никак, но будет правильная матрёшка по типу мы засунули тебе браузер в браузер,, Аноним (10), 11:38 , 27-Апр-19, (10) +7

Ну-ну , Аноним (8), 11:09 , 27-Апр-19, (8) +1
Ого, редко встретишь настолько глубоко мыслящего индивидуума, что глубину этой м, barkingwolff (ok), 12:24 , 27-Апр-19, (13) –1 //

показывает, на каких курсах он набирался ума, Аноним (16), 14:38 , 27-Апр-19, (16)
Почему же это не действуют как раз на оборотКакая разница между допустим A xor, Sw00p aka Jerom (?), 18:18 , 27-Апр-19, (24)

Никогда такого небыло и вот опять, UshUsh (?), 11:59 , 27-Апр-19, (11) +9 //

У любого адекватного человека, не родится мысль брать чужие блобы в дом, ну а ес, Аноним (9), 17:49 , 27-Апр-19, (20) //

линукс себе from scratch собрать не забудь, альтернативно-адекватный ты наш а т, нах (?), 09:42 , 29-Апр-19, (38) //

Те чё сказали FROM scratch, Аноним (8), 22:18 , 05-Май-19, (45) –1

Девопсы плакали, но продолжали жрать кактус , zurapa (ok), 12:06 , 27-Апр-19, (12) +9 //

Гражданин Зара у па,Шли бы вы лесом, если не умеете как и большинство тех кто н, Аноним (9), 17:47 , 27-Апр-19, (19) –9 //

Эвона взорвалось у анонимуса Обычно как раз таки наоборот - кучу девопсиков уме, НяшМяш (ok), 22:19 , 27-Апр-19, (29) +6 //

да, это не вершина эволюции это яма деградации , InuYasha (?), 11:26 , 02-Май-19, (44) +1
Всяко бывает, да Приходил один собеседоваться Его спросили зачем докер нужен , Аноним (8), 22:23 , 05-Май-19, (46)

опа, а с этого места поподробнее - что вы ожидали услышать от правильного кандид, нах (?), 13:15 , 06-Май-19, (48)

Это всё равно, что говорить, что git без гитхаба не нужен Никто ведь не мешает , Аноним (49), 15:16 , 06-Май-19, (49)

git и с гихапом не нужен, автоматизируя ненужную деятельность и не автоматизируя, пох (?), 21:42 , 06-Май-19, (51)

Собрал базовый образ, на его основе плодишь всё остальное В чём проблема Да, , Аноним (8), 23:49 , 06-Май-19, (53)

зачем, блин базовый образ ты собирал из своей операционной системы - поздравляю, пох (?), 07:45 , 07-Май-19, (56)

Ты это, заканчивай там с веществами Образ аккуратно собирается в чруте посредст, Аноним (49), 21:57 , 07-Май-19, (57)

больше костылей богу костылей образ, используемый доскером - будем собирать в че, пох (?), 12:37 , 08-Май-19, (58)

Да, всегда так делали На хабе лежат образы, таким же образом собранные Я тебе , Аноним (49), 13:48 , 08-Май-19, (59)

Да ничего не ожидали Просто запарил он про докер вчехлять, вот и спросили , Аноним (49), 15:18 , 06-Май-19, (50)

а, в смысле, вы искали админа а пришел девляпс Ну так ему и не надо знать лишне, пох (?), 21:45 , 06-Май-19, (52)

Искали девопса, а пришёл портовый грузчик , Аноним (8), 23:50 , 06-Май-19, (54)

мляяя, надо было брать тут хранилку пришлось кусками всю из стоек выковыривать и, пох (?), 07:22 , 07-Май-19, (55)

Использую несколько официальных образов, таких как php 7 1-apache и mariadb 10 4, Аноним (14), 13:36 , 27-Апр-19, (14) –3 //

Твои апач, пых и мускуль будут работать не на тебя, а на дядю майнера Это сейча, Аноним (10), 14:10 , 27-Апр-19, (15) +4

Скрыто модератором, Онаним (?), 15:30 , 27-Апр-19, (17) +4 //

Скрыто модератором, Аноним (9), 17:52 , 27-Апр-19, (21) –7 //

Скрыто модератором, нехипстер (?), 21:51 , 27-Апр-19, (27) +3
Скрыто модератором, Led (ok), 21:56 , 27-Апр-19, (28) +3
Скрыто модератором, вот такая вот куйня (?), 04:44 , 28-Апр-19, (32) +1
Скрыто модератором, Онаним (?), 14:15 , 28-Апр-19, (35) +2

Самое главное не прояснили - были ли скомпромитированны образы P S декерхабу не, Аноним (23), 18:11 , 27-Апр-19, (23) +3 //

держи нас в курсе, Аноним (26), 19:49 , 27-Апр-19, (26) –1
В Linux буквы s тоже нет Зато она есть в Windows , Аноним (31), 00:04 , 28-Апр-19, (31) +1

Вы похоже не поняли проблемы, фишка в том, что докер хаб просил токен для гитха, Аноним (34), 13:32 , 28-Апр-19, (34) //

а вот _этих_ ребят - мне нихрена как раз и не жалко Может, наконец научатся сооб, нах (?), 09:45 , 29-Апр-19, (39) +4

Из разговоров - Внимание, комичу пароль в Гит Нууууу, блин, нууу, не хочу у, Аноним (36), 14:41 , 28-Апр-19, (36)
Вот смех смехом, а мне поэтому и нравится LFS прочитал в gnu-announce о новой в, Аноним (-), 19:07 , 30-Апр-19, (42) –1 //

Да, о взломе инфраструктур 100500 проектов, откуда ты тягаешь исходники, ты, ско, Аноним (8), 22:33 , 05-Май-19, (47) +1

Сообщения [Сортировка по времени | RSS]

29. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..." +6 +/–

Сообщение от НяшМяш (ok), 27-Апр-19, 22:19

Эвона взорвалось у анонимуса. Обычно как раз таки наоборот - кучу девопсиков умеет в 3 команды докера, а как только надо запустить локально - так они даже не знают какие пакеты нужно установить (а часто оказывается, что у них венда). С умным видом клацать кнопки в вебморде консоли хостинга и раскатывать готовые имеджи - это не вершина эволюции, уймитесь.

Ответить | Правка | Наверх | Cообщить модератору

44. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..." +1 +/–

Сообщение от InuYasha (?), 02-Май-19, 11:26

да, это не вершина эволюции. это яма деградации.

Ответить | Правка | Наверх | Cообщить модератору

46. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..." +/–

Сообщение от Аноним (8), 05-Май-19, 22:23

Всяко бывает, да. Приходил один собеседоваться. Его спросили: зачем докер нужен? А он: чтобы после обновления сервиса всю систему не перезагружать.
Но из существования таких индивидов не следует, что докер не нужен. Вот нужность хаба под вопросом, ибо кроме пары-тройки официальных образов оттуда ничего брать точно не стоило (а после этого факапа и их не стоит).

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

48. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..." +/–

Сообщение от нах (?), 06-Май-19, 13:15

> Его спросили: зачем докер нужен?
опа, а с этого места поподробнее - что вы ожидали услышать от правильного кандидата?
(меня интересует именно это, а не "правильный ответ")

> Но из существования таких индивидов не следует, что докер не нужен. Вот нужность хаба под
> вопросом,
дыркер без хаба - очевидно не нужен.
поскольку превращается в плохой косплей бсдшного джейла, где солнце надо закатывать вручную.

Ответить | Правка | Наверх | Cообщить модератору

49. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..." +/–

Сообщение от Аноним (49), 06-Май-19, 15:16

> дыркер без хаба - очевидно не нужен.
Это всё равно, что говорить, что git без гитхаба не нужен. Никто ведь не мешает держать свой уютный реестр со своими образами.
> поскольку превращается в плохой косплей бсдшного джейла, где солнце надо закатывать вручную.
А что, у бсдешного джейла есть API, позволяющий его легко интегрировать с чем вздумается? И что, он умеет наплодить >9000 контейнеров из одного образа за считаные секунды с минимальным оверхедом? Да, подобное можно реализовать с помощью jail, но поверх придётся наворотить ещё вагон кода.

Ответить | Правка | Наверх | Cообщить модератору

51. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..." +/–

Сообщение от пох (?), 06-Май-19, 21:42

> Это всё равно, что говорить, что git без гитхаба не нужен.
git и с гихапом не нужен, автоматизируя ненужную деятельность и не автоматизируя нужную, но это ладно.
> Никто ведь не мешает держать свой уютный реестр со своими образами.
только смысл в этом какой?
весь смысл и польза от дыркера в том что наружу ничего лишнего не торчит и не может быть просыпано на пол.
А для этого надо иметь FROM что. Иначе (если оно у тебя уже отдельно от доскера собрано и лежит на общей fs) - нахрена городить этажерку с ее глюками, падениями и тормозами? (и s for security)
> А что, у бсдешного джейла есть API, позволяющий его легко интегрировать с чем вздумается?
а зачем он ему, если он не является монстром без ручек с ниасиленными exit codes, не говоря уж о чем сложнее?
> И что, он умеет наплодить >9000 контейнеров из одного образа за считаные секунды с минимальным
> оверхедом?
он умеет запустить 9000 процессов с тем же самым оверхедом, с которым их запустила бы операционная система без всякого контейнера (потому что для нее нет разницы).
В отличие от доскера, где старт контейнера весьма и весьма уныл из-за создания ненужно-матрешки оверлеев - у меня мониторинг успевает заорать.
> Да, подобное можно реализовать с помощью jail
но ведь ненужно.
> но поверх придётся наворотить ещё вагон кода.
ну и к дыркеру пришлось. причем это еще и вагон очень плохого кода - начиная от swarm (внезапно ломающего build, казалось бы, никак не связанный с ним) и заканчивая k8s и менее популярными затыкалками явных косяков дизайна и неумения разработчиков доделывать до работоспособного в массовом проекте состояния, а не "запускается!"
P.S. вот кто-нибудь знает как ЭТО можно употребить с ну хоть какой-нибудь практической пользой?
https://github.com/gentoo/gentoo-docker-images
(на build error не обращайте внимания - это как раз последствия взлома)

Ответить | Правка | Наверх | Cообщить модератору

53. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..." +/–

Сообщение от Аноним (8), 06-Май-19, 23:49

> А для этого надо иметь FROM что
Собрал базовый образ, на его основе плодишь всё остальное. В чём проблема? (Да, я, как и большинство других, ленив, и до сих пор большую часть базовых образов тягал с хаба, сам собирал только то, чего там нет.)
>> А что, у бсдешного джейла есть API, позволяющий его легко интегрировать с чем вздумается?
> а зачем он ему, если он не является монстром без ручек с ниасиленными exit codes, не говоря уж о чем сложнее?
Затем, чтобы твоё сравнение его с докером имело право на существование.
> он умеет запустить 9000 процессов с тем же самым оверхедом, с которым их запустила бы операционная система без всякого контейнера (потому что для нее нет разницы).
> В отличие от доскера, где старт контейнера весьма и весьма уныл из-за создания ненужно-матрешки оверлеев - у меня мониторинг успевает заорать.
Оверлеи для того и нужны, чтобы запускать не просто процессы, а разные контейнеры, не копируя образ. И это как раз то, для чего есть смысл использовать докер.
> но ведь ненужно.
Тебе не нужно — ну и молчи в тряпочку. А я бы порадовался, если бы давние потуги запилить jail-бекенд для докера привели бы к созданию чего-то работоспособного.

Ответить | Правка | Наверх | Cообщить модератору

56. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..." +/–

Сообщение от пох (?), 07-Май-19, 07:45

> Собрал базовый образ, на его основе плодишь всё остальное. В чём проблема?
зачем, блин?
базовый образ ты собирал из своей операционной системы - поздравляю, она у тебя и так есть - теперь еще и со всем нужным для работы того что предполагалось в образе.
Какой теперь смысл громоздить подпорки и костыли?
У jail смысл остается - в изоляции, доскер и ее обеспечивает на от...сь.
> (Да, я, как и большинство других, ленив, и до сих пор
> большую часть базовых образов тягал с хаба, сам собирал только то,
с хабом все как и с обычными дистрибутивами линукса - большая часть работы проделана за тебя - это и обновления, и сборка-упаковка. (да, все сделано не теми руками и через анус, но "и так сойдет" в эпоху девляпса)
Ты _экономишь_ свое время и усилия, написав FROM какаятонёх и добавив пару своих конфигов или специально-кривособранный бинарник, и вообще не парясь о том, что там в нижних слоях. (потом обратно тратишь на выпрямление изначально кривого, но это см выше - можно и не тратить)
Не говоря уже о том что у меня полно такого, что просто не соберешь или оно соберется криво - разработчики уже напрочь разучились думать верхней головой, и эти поделки существуют вообще только в виде готовых образов.
> Затем, чтобы твоё сравнение его с докером имело право на существование.
у него есть api, unix называется.
у дыркера, что характерно, нету, вмешаться можно через несколько кривых и уродливых механизмов, иначе все сломаешь (читал тут про страдания с ipv6 - плакал - там именно все сломали, а зачем - непонятно, не в смысле причин, а в смысле результата).
> Оверлеи для того и нужны, чтобы запускать не просто процессы, а разные
> контейнеры, не копируя образ. И это как раз то, для чего
man mount_unionfs что-ли?
> есть смысл использовать докер.
приведи пример хоть одного использования по назначению - и зачем оно в принципе надо, отдельно от кривизны самой технологии.
у меня вот смысл что это средство деплоя. Я не могу поставить ту систему, которая там внутри, оно гнилое и дырявое. раздать subtree с ней для jail'ов через nfs - мог бы ничуть не сложнее чем громоздить обертки для "контейнеров", еще и работало бы быстрее.
>> но ведь ненужно.
> Тебе не нужно — ну и молчи в тряпочку. А я бы
никому ненужно - поэтому и не написали (альтернативно-одаренные не в счет - им всегда нужно, но написать ничего не могут). В линуксе другого пути не было просто - весь миллион low-level api, задействуемых дыркером при создании контейнера, практически невозможно использовать вручную, поэтому и наклепали игогошную поделку, кое-как соединяющую их в то, что во фре делает утилита на 16k.
> порадовался, если бы давние потуги запилить jail-бекенд для докера привели бы
так в нем линукс-помойки все равно нормально работать не будут.

Ответить | Правка | Наверх | Cообщить модератору

57. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..." +/–

Сообщение от Аноним (49), 07-Май-19, 21:57

> базовый образ ты собирал из своей операционной системы - поздравляю, она у тебя и так есть - теперь еще и со всем нужным для работы того что предполагалось в образе.
Ты это, заканчивай там с веществами. Образ аккуратно собирается в чруте посредством debootstrap или rinse, в зависимости от дистрибутива, который надо упаковать. И в нём далеко не обязательно тот же самый дистрибутив, под которым это делается.
> с хабом все как и с обычными дистрибутивами линукса - большая часть работы проделана за тебя - это и обновления, и сборка-упаковка.
Ага, только, в отличие от дистрибутива, ты понятия не имеешь, кто и как всю эту работу проделал. Нет рецензирования, нет подписывания, нет никаких гарантий. В случае дистрибутива ты доверяешь команде его разработчиков, в случае хаба — сборщику каждого отдельного образа индивидуально. Всех надо проверять, если ты хоть немножко парано^W не самоубийца.
> Ты _экономишь_ свое время и усилия, написав FROM какаятонёх
Не помню уже, когда писал что-нибудь отличное от FROM debian или FROM alpine.
> приведи пример хоть одного использования по назначению - и зачем оно в принципе надо, отдельно от кривизны самой технологии.
> у меня вот смысл что это средство деплоя.
А у меня это средство для сборки. Они получаются на 100% воспроизводимыми, потому что окружение всегда одно и то же. И docker интегрирован со всеми, какие только бывают, CI (см. выше про API).
> никому ненужно - поэтому и не написали
Вообще-то написали, только пока писали, docker уже настолько переколбасили, что надо было начинать всё сначала.
> так в нем линукс-помойки все равно нормально работать не будут.
А мне фрю надо.

Ответить | Правка | Наверх | Cообщить модератору

58. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..." +/–

Сообщение от пох (?), 08-Май-19, 12:37

> Ты это, заканчивай там с веществами. Образ аккуратно собирается в чруте посредством debootstrap
> или rinse,
больше костылей богу костылей.
образ, используемый доскером - будем собирать в чем угодно, только не в доскере, ну а чо, всегда так делали ж.
>> с хабом все как и с обычными дистрибутивами линукса - большая часть работы проделана за тебя -
>> это и обновления, и сборка-упаковка.
> Ага, только, в отличие от дистрибутива, ты понятия не имеешь, кто и как всю эту работу проделал.
как будто ты в дистрибутиве имеешь?
Ну и наклейка "official image" как бы имеется. https://docs.docker.com/docker-hub/official_images/
На фоне взлома инфраструктуры вот очень полезная - сразу можно угадать тех, у кого точно утекли и гитхабовые ключи ;-)
А когда там нечто, что и собрать-то толком невозможно - так и тем более нет смысла ковыряться - ну его нах запускать билдскрипты и костыли того же автора, хрен знает каких червей он сам нахватался (да и не запускается обычно нифига просто так). Проще сразу запускать его бинарник.
> А у меня это средство для сборки.
а кто только что для сборки использовал поделку с чрут? Я обычно использую (если это нельзя просто взять и поставить или хотя бы просто взять и собрать штатными инструментами) vm, поскольку для сборки все равно понадобится весь интернет, и делать это в разы удобнее в полноценном дистрибутиве, а не в кастрированном уродце.
Но мне воспроизводимость этой сборки нахрен не уперлась (хотя она и воспроизводится - в той же vm) - зачем мне ее воспроизводить чтобы получить то что у меня уже есть?
А с новой версией того же кала (или, что чаще - под новую версию системного кала) - какое ж оно нахрен воспроизводимое? То ли соберется, то ли, скорее всего, нет.
> А мне фрю надо.
ну так во фре есть jail. Правда, я давно уже сам не ковырялся с современными CI, но когда еще да - докер им был совершенно фиолетов.
Не говоря уже о том что он как-то плохо умеет запускать винду для тестирования со стороны юзера, и все равно это делал когда-то xen, нынче вмварь.

Ответить | Правка | Наверх | Cообщить модератору

59. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..." +/–

Сообщение от Аноним (49), 08-Май-19, 13:48

> больше костылей богу костылей.
> образ, используемый доскером - будем собирать в чем угодно, только не в
> доскере, ну а чо, всегда так делали ж.
Да, всегда так делали. На хабе лежат образы, таким же образом собранные. Я тебе больше скажу, с докером в комплекте идёт скрипт, который это делает.
>>> с хабом все как и с обычными дистрибутивами линукса - большая часть работы проделана за тебя -
>>> это и обновления, и сборка-упаковка.
>> Ага, только, в отличие от дистрибутива, ты понятия не имеешь, кто и как всю эту работу проделал.
> как будто ты в дистрибутиве имеешь?
Да, имею. Есть команда майнтейнеров, есть ченжлог, есть все логи сборок. Но главное — это всё делает одна команда, а не отдельный Вася Пупкин для каждого пакета, который сам по себе, и о котором никто ничего не знает.
> Ну и наклейка "official image" как бы имеется. https://docs.docker.com/docker-hub/official_images/
Есть, да. До этой новости даже была иллюзия, что она чего-то стоит. Но всё равно за каждым официальным образом — своя команда. Чем больше образов используешь, тем больше народу, которому соглашаешься доверять, а значит выше вероятность, что доверишься кому-то, кому не стоило.

>> А у меня это средство для сборки.
> а кто только что для сборки использовал поделку с чрут?
Для сборки не docker-образов, а самых обычных пакетов — rpm, deb, всё такое.
> Я обычно
> использую (если это нельзя просто взять и поставить или хотя бы
> просто взять и собрать штатными инструментами) vm, поскольку для сборки все
> равно понадобится весь интернет, и делать это в разы удобнее в
> полноценном дистрибутиве, а не в кастрированном уродце.
Рад за тебя, тебе не приходится поддерживать >9000 разных сборочных окружений. Держать по виртуалке для каждого довольно накладно выходит.
> Но мне воспроизводимость этой сборки нахрен не уперлась (хотя она и воспроизводится
> - в той же vm) - зачем мне ее воспроизводить чтобы
> получить то что у меня уже есть?
Чтобы не вылез на следующей сборке из тех же исходников внезапный баг, невесть откуда взявшийся.
>> А мне фрю надо.
> ну так во фре есть jail. Правда, я давно уже сам не
> ковырялся с современными CI, но когда еще да - докер им
> был совершенно фиолетов.
Не знаю, как тогда, а сейчас им jail совершенно фиолетов. К тому же поддерживать принципиально разные наборы костылей для разных ОС — так себе развлечение.

Ответить | Правка | Наверх | Cообщить модератору

50. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..." +/–

Сообщение от Аноним (49), 06-Май-19, 15:18

> опа, а с этого места поподробнее - что вы ожидали услышать от правильного кандидата?
Да ничего не ожидали. Просто запарил он про докер вчехлять, вот и спросили.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

52. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..." +/–

Сообщение от пох (?), 06-Май-19, 21:45

>> опа, а с этого места поподробнее - что вы ожидали услышать от правильного кандидата?
> Да ничего не ожидали. Просто запарил он про докер вчехлять, вот и
а, в смысле, вы искали админа а пришел девляпс? Ну так ему и не надо знать лишнего, ему надо быстрей-быстрей 9000 контейнеров разворачивать.

Ответить | Правка | Наверх | Cообщить модератору

54. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..." +/–

Сообщение от Аноним (8), 06-Май-19, 23:50

Искали девопса, а пришёл портовый грузчик.

Ответить | Правка | Наверх | Cообщить модератору

55. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..." +/–

Сообщение от пох (?), 07-Май-19, 07:22

мляяя, надо было брать!
тут хранилку пришлось кусками всю из стоек выковыривать и обратно совать - это тебе не доскер в доскере под доскером, где каждая обезьяна справится, там юниты килограмм по сорок и "вот тут просунь руку - дальше, дальше, еще дальше...так, теперь подержи всю хреновину на весу, там винтик".

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	29. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."	+6 +/–
	Сообщение от НяшМяш (ok), 27-Апр-19, 22:19
	Эвона взорвалось у анонимуса. Обычно как раз таки наоборот - кучу девопсиков умеет в 3 команды докера, а как только надо запустить локально - так они даже не знают какие пакеты нужно установить (а часто оказывается, что у них венда). С умным видом клацать кнопки в вебморде консоли хостинга и раскатывать готовые имеджи - это не вершина эволюции, уймитесь.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."	+1 +/–
	Сообщение от InuYasha (?), 02-Май-19, 11:26
	да, это не вершина эволюции. это яма деградации.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."	+/–
	Сообщение от Аноним (8), 05-Май-19, 22:23
	Всяко бывает, да. Приходил один собеседоваться. Его спросили: зачем докер нужен? А он: чтобы после обновления сервиса всю систему не перезагружать. Но из существования таких индивидов не следует, что докер не нужен. Вот нужность хаба под вопросом, ибо кроме пары-тройки официальных образов оттуда ничего брать точно не стоило (а после этого факапа и их не стоит).
	Ответить \| Правка \| К родителю #29 \| Наверх \| Cообщить модератору


	48. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."	+/–
	Сообщение от нах (?), 06-Май-19, 13:15
	> Его спросили: зачем докер нужен? опа, а с этого места поподробнее - что вы ожидали услышать от правильного кандидата? (меня интересует именно это, а не "правильный ответ") > Но из существования таких индивидов не следует, что докер не нужен. Вот нужность хаба под > вопросом, дыркер без хаба - очевидно не нужен. поскольку превращается в плохой косплей бсдшного джейла, где солнце надо закатывать вручную.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."	+/–
	Сообщение от Аноним (49), 06-Май-19, 15:16
	> дыркер без хаба - очевидно не нужен. Это всё равно, что говорить, что git без гитхаба не нужен. Никто ведь не мешает держать свой уютный реестр со своими образами. > поскольку превращается в плохой косплей бсдшного джейла, где солнце надо закатывать вручную. А что, у бсдешного джейла есть API, позволяющий его легко интегрировать с чем вздумается? И что, он умеет наплодить >9000 контейнеров из одного образа за считаные секунды с минимальным оверхедом? Да, подобное можно реализовать с помощью jail, но поверх придётся наворотить ещё вагон кода.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."	+/–
	Сообщение от пох (?), 06-Май-19, 21:42
	> Это всё равно, что говорить, что git без гитхаба не нужен. git и с гихапом не нужен, автоматизируя ненужную деятельность и не автоматизируя нужную, но это ладно. > Никто ведь не мешает держать свой уютный реестр со своими образами. только смысл в этом какой? весь смысл и польза от дыркера в том что наружу ничего лишнего не торчит и не может быть просыпано на пол. А для этого надо иметь FROM что. Иначе (если оно у тебя уже отдельно от доскера собрано и лежит на общей fs) - нахрена городить этажерку с ее глюками, падениями и тормозами? (и s for security) > А что, у бсдешного джейла есть API, позволяющий его легко интегрировать с чем вздумается? а зачем он ему, если он не является монстром без ручек с ниасиленными exit codes, не говоря уж о чем сложнее? > И что, он умеет наплодить >9000 контейнеров из одного образа за считаные секунды с минимальным > оверхедом? он умеет запустить 9000 процессов с тем же самым оверхедом, с которым их запустила бы операционная система без всякого контейнера (потому что для нее нет разницы). В отличие от доскера, где старт контейнера весьма и весьма уныл из-за создания ненужно-матрешки оверлеев - у меня мониторинг успевает заорать. > Да, подобное можно реализовать с помощью jail но ведь ненужно. > но поверх придётся наворотить ещё вагон кода. ну и к дыркеру пришлось. причем это еще и вагон очень плохого кода - начиная от swarm (внезапно ломающего build, казалось бы, никак не связанный с ним) и заканчивая k8s и менее популярными затыкалками явных косяков дизайна и неумения разработчиков доделывать до работоспособного в массовом проекте состояния, а не "запускается!" P.S. вот кто-нибудь знает как ЭТО можно употребить с ну хоть какой-нибудь практической пользой? https://github.com/gentoo/gentoo-docker-images (на build error не обращайте внимания - это как раз последствия взлома)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."	+/–
	Сообщение от Аноним (8), 06-Май-19, 23:49
	> А для этого надо иметь FROM что Собрал базовый образ, на его основе плодишь всё остальное. В чём проблема? (Да, я, как и большинство других, ленив, и до сих пор большую часть базовых образов тягал с хаба, сам собирал только то, чего там нет.) >> А что, у бсдешного джейла есть API, позволяющий его легко интегрировать с чем вздумается? > а зачем он ему, если он не является монстром без ручек с ниасиленными exit codes, не говоря уж о чем сложнее? Затем, чтобы твоё сравнение его с докером имело право на существование. > он умеет запустить 9000 процессов с тем же самым оверхедом, с которым их запустила бы операционная система без всякого контейнера (потому что для нее нет разницы). > В отличие от доскера, где старт контейнера весьма и весьма уныл из-за создания ненужно-матрешки оверлеев - у меня мониторинг успевает заорать. Оверлеи для того и нужны, чтобы запускать не просто процессы, а разные контейнеры, не копируя образ. И это как раз то, для чего есть смысл использовать докер. > но ведь ненужно. Тебе не нужно — ну и молчи в тряпочку. А я бы порадовался, если бы давние потуги запилить jail-бекенд для докера привели бы к созданию чего-то работоспособного.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."	+/–
	Сообщение от пох (?), 07-Май-19, 07:45
	> Собрал базовый образ, на его основе плодишь всё остальное. В чём проблема? зачем, блин? базовый образ ты собирал из своей операционной системы - поздравляю, она у тебя и так есть - теперь еще и со всем нужным для работы того что предполагалось в образе. Какой теперь смысл громоздить подпорки и костыли? У jail смысл остается - в изоляции, доскер и ее обеспечивает на от...сь. > (Да, я, как и большинство других, ленив, и до сих пор > большую часть базовых образов тягал с хаба, сам собирал только то, с хабом все как и с обычными дистрибутивами линукса - большая часть работы проделана за тебя - это и обновления, и сборка-упаковка. (да, все сделано не теми руками и через анус, но "и так сойдет" в эпоху девляпса) Ты _экономишь_ свое время и усилия, написав FROM какаятонёх и добавив пару своих конфигов или специально-кривособранный бинарник, и вообще не парясь о том, что там в нижних слоях. (потом обратно тратишь на выпрямление изначально кривого, но это см выше - можно и не тратить) Не говоря уже о том что у меня полно такого, что просто не соберешь или оно соберется криво - разработчики уже напрочь разучились думать верхней головой, и эти поделки существуют вообще только в виде готовых образов. > Затем, чтобы твоё сравнение его с докером имело право на существование. у него есть api, unix называется. у дыркера, что характерно, нету, вмешаться можно через несколько кривых и уродливых механизмов, иначе все сломаешь (читал тут про страдания с ipv6 - плакал - там именно все сломали, а зачем - непонятно, не в смысле причин, а в смысле результата). > Оверлеи для того и нужны, чтобы запускать не просто процессы, а разные > контейнеры, не копируя образ. И это как раз то, для чего man mount_unionfs что-ли? > есть смысл использовать докер. приведи пример хоть одного использования по назначению - и зачем оно в принципе надо, отдельно от кривизны самой технологии. у меня вот смысл что это средство деплоя. Я не могу поставить ту систему, которая там внутри, оно гнилое и дырявое. раздать subtree с ней для jail'ов через nfs - мог бы ничуть не сложнее чем громоздить обертки для "контейнеров", еще и работало бы быстрее. >> но ведь ненужно. > Тебе не нужно — ну и молчи в тряпочку. А я бы никому ненужно - поэтому и не написали (альтернативно-одаренные не в счет - им всегда нужно, но написать ничего не могут). В линуксе другого пути не было просто - весь миллион low-level api, задействуемых дыркером при создании контейнера, практически невозможно использовать вручную, поэтому и наклепали игогошную поделку, кое-как соединяющую их в то, что во фре делает утилита на 16k. > порадовался, если бы давние потуги запилить jail-бекенд для докера привели бы так в нем линукс-помойки все равно нормально работать не будут.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	57. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."	+/–
	Сообщение от Аноним (49), 07-Май-19, 21:57
	> базовый образ ты собирал из своей операционной системы - поздравляю, она у тебя и так есть - теперь еще и со всем нужным для работы того что предполагалось в образе. Ты это, заканчивай там с веществами. Образ аккуратно собирается в чруте посредством debootstrap или rinse, в зависимости от дистрибутива, который надо упаковать. И в нём далеко не обязательно тот же самый дистрибутив, под которым это делается. > с хабом все как и с обычными дистрибутивами линукса - большая часть работы проделана за тебя - это и обновления, и сборка-упаковка. Ага, только, в отличие от дистрибутива, ты понятия не имеешь, кто и как всю эту работу проделал. Нет рецензирования, нет подписывания, нет никаких гарантий. В случае дистрибутива ты доверяешь команде его разработчиков, в случае хаба — сборщику каждого отдельного образа индивидуально. Всех надо проверять, если ты хоть немножко парано^W не самоубийца. > Ты _экономишь_ свое время и усилия, написав FROM какаятонёх Не помню уже, когда писал что-нибудь отличное от FROM debian или FROM alpine. > приведи пример хоть одного использования по назначению - и зачем оно в принципе надо, отдельно от кривизны самой технологии. > у меня вот смысл что это средство деплоя. А у меня это средство для сборки. Они получаются на 100% воспроизводимыми, потому что окружение всегда одно и то же. И docker интегрирован со всеми, какие только бывают, CI (см. выше про API). > никому ненужно - поэтому и не написали Вообще-то написали, только пока писали, docker уже настолько переколбасили, что надо было начинать всё сначала. > так в нем линукс-помойки все равно нормально работать не будут. А мне фрю надо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	58. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."	+/–
	Сообщение от пох (?), 08-Май-19, 12:37
	> Ты это, заканчивай там с веществами. Образ аккуратно собирается в чруте посредством debootstrap > или rinse, больше костылей богу костылей. образ, используемый доскером - будем собирать в чем угодно, только не в доскере, ну а чо, всегда так делали ж. >> с хабом все как и с обычными дистрибутивами линукса - большая часть работы проделана за тебя - >> это и обновления, и сборка-упаковка. > Ага, только, в отличие от дистрибутива, ты понятия не имеешь, кто и как всю эту работу проделал. как будто ты в дистрибутиве имеешь? Ну и наклейка "official image" как бы имеется. https://docs.docker.com/docker-hub/official_images/ На фоне взлома инфраструктуры вот очень полезная - сразу можно угадать тех, у кого точно утекли и гитхабовые ключи ;-) А когда там нечто, что и собрать-то толком невозможно - так и тем более нет смысла ковыряться - ну его нах запускать билдскрипты и костыли того же автора, хрен знает каких червей он сам нахватался (да и не запускается обычно нифига просто так). Проще сразу запускать его бинарник. > А у меня это средство для сборки. а кто только что для сборки использовал поделку с чрут? Я обычно использую (если это нельзя просто взять и поставить или хотя бы просто взять и собрать штатными инструментами) vm, поскольку для сборки все равно понадобится весь интернет, и делать это в разы удобнее в полноценном дистрибутиве, а не в кастрированном уродце. Но мне воспроизводимость этой сборки нахрен не уперлась (хотя она и воспроизводится - в той же vm) - зачем мне ее воспроизводить чтобы получить то что у меня уже есть? А с новой версией того же кала (или, что чаще - под новую версию системного кала) - какое ж оно нахрен воспроизводимое? То ли соберется, то ли, скорее всего, нет. > А мне фрю надо. ну так во фре есть jail. Правда, я давно уже сам не ковырялся с современными CI, но когда еще да - докер им был совершенно фиолетов. Не говоря уже о том что он как-то плохо умеет запускать винду для тестирования со стороны юзера, и все равно это делал когда-то xen, нынче вмварь.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	59. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."	+/–
	Сообщение от Аноним (49), 08-Май-19, 13:48
	> больше костылей богу костылей. > образ, используемый доскером - будем собирать в чем угодно, только не в > доскере, ну а чо, всегда так делали ж. Да, всегда так делали. На хабе лежат образы, таким же образом собранные. Я тебе больше скажу, с докером в комплекте идёт скрипт, который это делает. >>> с хабом все как и с обычными дистрибутивами линукса - большая часть работы проделана за тебя - >>> это и обновления, и сборка-упаковка. >> Ага, только, в отличие от дистрибутива, ты понятия не имеешь, кто и как всю эту работу проделал. > как будто ты в дистрибутиве имеешь? Да, имею. Есть команда майнтейнеров, есть ченжлог, есть все логи сборок. Но главное — это всё делает одна команда, а не отдельный Вася Пупкин для каждого пакета, который сам по себе, и о котором никто ничего не знает. > Ну и наклейка "official image" как бы имеется. https://docs.docker.com/docker-hub/official_images/ Есть, да. До этой новости даже была иллюзия, что она чего-то стоит. Но всё равно за каждым официальным образом — своя команда. Чем больше образов используешь, тем больше народу, которому соглашаешься доверять, а значит выше вероятность, что доверишься кому-то, кому не стоило. >> А у меня это средство для сборки. > а кто только что для сборки использовал поделку с чрут? Для сборки не docker-образов, а самых обычных пакетов — rpm, deb, всё такое. > Я обычно > использую (если это нельзя просто взять и поставить или хотя бы > просто взять и собрать штатными инструментами) vm, поскольку для сборки все > равно понадобится весь интернет, и делать это в разы удобнее в > полноценном дистрибутиве, а не в кастрированном уродце. Рад за тебя, тебе не приходится поддерживать >9000 разных сборочных окружений. Держать по виртуалке для каждого довольно накладно выходит. > Но мне воспроизводимость этой сборки нахрен не уперлась (хотя она и воспроизводится > - в той же vm) - зачем мне ее воспроизводить чтобы > получить то что у меня уже есть? Чтобы не вылез на следующей сборке из тех же исходников внезапный баг, невесть откуда взявшийся. >> А мне фрю надо. > ну так во фре есть jail. Правда, я давно уже сам не > ковырялся с современными CI, но когда еще да - докер им > был совершенно фиолетов. Не знаю, как тогда, а сейчас им jail совершенно фиолетов. К тому же поддерживать принципиально разные наборы костылей для разных ОС — так себе развлечение.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	50. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."	+/–
	Сообщение от Аноним (49), 06-Май-19, 15:18
	> опа, а с этого места поподробнее - что вы ожидали услышать от правильного кандидата? Да ничего не ожидали. Просто запарил он про докер вчехлять, вот и спросили.
	Ответить \| Правка \| К родителю #48 \| Наверх \| Cообщить модератору


	52. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."	+/–
	Сообщение от пох (?), 06-Май-19, 21:45
	>> опа, а с этого места поподробнее - что вы ожидали услышать от правильного кандидата? > Да ничего не ожидали. Просто запарил он про докер вчехлять, вот и а, в смысле, вы искали админа а пришел девляпс? Ну так ему и не надо знать лишнего, ему надо быстрей-быстрей 9000 контейнеров разворачивать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	54. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."	+/–
	Сообщение от Аноним (8), 06-Май-19, 23:50
	Искали девопса, а пришёл портовый грузчик.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	55. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."	+/–
	Сообщение от пох (?), 07-Май-19, 07:22
	мляяя, надо было брать! тут хранилку пришлось кусками всю из стоек выковыривать и обратно совать - это тебе не доскер в доскере под доскером, где каждая обезьяна справится, там юниты килограмм по сорок и "вот тут просунь руку - дальше, дальше, еще дальше...так, теперь подержи всю хреновину на весу, там винтик".
	Ответить \| Правка \| Наверх \| Cообщить модератору