The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

20.08.2018 08:43  Уязвимость в Docker, связанная с предоставлением доступа к /proc/acpi

Раскрыты сведения об уязвимости (CVE-2018-10892) в инструментарии управления контейнерами Docker. Проблема вызвана тем, что Docker не фильтрует из отображаемого внутри контейнеров пространства /proc подкаталог /proc/acpi, что позволяет из контейнера изменять режимы работы оборудования, например, включать и выключать Bluetooth (echo "enable" >/proc/acpi/ibm/bluetooth), активировать подсветку клавиатуры (echo 2 >/proc/acpi/ibm/kbdlight) и т.п. Дистрибутивы с AppArmor и SELinux, включенном в режиме "enforcing", эффективно блокируют данную проблему.

  1. Главная ссылка к новости (https://access.redhat.com/erra...)
Автор новости: Аноним
Тип: Проблемы безопасности
Ключевые слова: docker
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 10:07, 20/08/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +3 +/
    Epic Fail товарищи
     
     
  • 2.11, Аноним (-), 11:13, 20/08/2018 [^] [ответить]    [к модератору]
  • +15 +/
    Контейнеры... Изоляция... LOL.
     
     
  • 3.17, Аноним (17), 11:34, 20/08/2018 [^] [ответить]    [к модератору]
  • +/
    >>Контейнеры... Изоляция... LOL.

    Так недавно ж снова всплыла уязвимость в процессорах (Foreshadow), ставящая под угрозу безопасность vps и облачных хостингов.

     
     
  • 4.46, Ivan_83 (ok), 13:26, 20/08/2018 [^] [ответить]    [к модератору]
  • +/
    Так с интела пора валить.
     
     
  • 5.61, Anonymouss (?), 16:33, 20/08/2018 [^] [ответить]    [к модератору]
  • +3 +/
    На докер, да.
     
  • 3.20, Аноним (-), 11:41, 20/08/2018 [^] [ответить]    [к модератору]  
  • +20 +/
    > Контейнеры... Изоляция... LOL.

    The 's' in Docker stands for security!

     
  • 3.58, anonymous (??), 16:14, 20/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Контейнер != изоляция. Docker контейнер, но без изоляции.
     
     
  • 4.59, Аноним (59), 16:18, 20/08/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    какой смысл тогда в контейнере? вот у vz и изоляция, и контейнеры настоящие.
     
     
  • 5.65, Аноним (-), 17:33, 20/08/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    И где все ваши vz, zones, jails Теоретические академподелки, не приспособленны... весь текст скрыт [показать]
     
     
  • 6.66, Аноним (66), 18:04, 20/08/2018 [^] [ответить]    [к модератору]  
  • +6 +/
    А docker прямо приспособлен к прудукшену по самые помидоры! Щаз: https://habr.com/post/346430 . Агрессивной рекламой запудрили мозг умам неокрепшим, пока поймут, что этот docker-фуфел чистейшей воды, пройдёт время. И да, jail-ы и zone-ы где надо, во-первых, как раз используются, во вторых, только они и используются. Но фанатам docker-a об этом неизвестно ибо таковых к тем системам на пушечный выстрел не подпускают, не доросли ещё.  
     
     
  • 7.85, лютый охохоня (?), 07:28, 21/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Докер используют в основном для шедулинга ресурсов тысяч серверов, например одноглазики ру, а изоляция там особо не нужна. ОпенВЗ на дешёвых впс тарифах приплетать не надо, оно совсем для другого
     
  • 6.73, шухер (?), 20:43, 20/08/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    OpenVZ используется тучей хостеров vds/vps
    Выходите из погреба.
     
  • 6.119, Michael Shigorin (ok), 23:23, 21/08/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Смотрите, люди, на практика Он-то наверняка знает уш-у, карате и много други... весь текст скрыт [показать]
     
  • 5.67, Аноний (?), 18:20, 20/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Переносимость. Изоляция часто мешает, например без танцев с бубнов нельзя получить доступ к файлам.
     
  • 5.110, Аноним (110), 17:33, 21/08/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    давайте вы не будете раскатывать о VZ который по сути прослойка поверх namespace + cgroups..
     
     
  • 6.111, Wladmis (ok), 19:51, 21/08/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Во-первых, VZ появился задолго до namespaces cgroups, во-вторых, Parallels хорош... весь текст скрыт [показать]
     
  • 3.118, Michael Shigorin (ok), 23:21, 21/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Контейнеры... Изоляция... LOL.

    Ну покажите мне такое на openvz.  А дыркер -- он и есть дыркер.

     
  • 2.12, имя (?), 11:13, 20/08/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Container Linux by CoreOS stable 1800 5 0 docker exec -it d911de0408c3 bin ... весь текст скрыт [показать]
     
  • 2.45, Харитон (?), 13:21, 20/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Epic Fail тем, кто при настройке cервера отключает SeLinux.
    Изучить как им пользоваться видать собственная важность запрещает.
     
     
  • 3.126, ОМЖ (?), 01:08, 22/08/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    я отключаю.
    селинукс сложный.
    домен-роль-тип-контекст, чегобль, не ну наx
     
  • 2.50, SysA (?), 14:07, 20/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну, да! Не понятно только почему она в мини... :)
     
  • 1.2, Аноним (2), 10:21, 20/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    in the word Docker 's' letter means security!
    P.S. уязвимость раскрыта на прошлой неделе, с разморозочкой
     
     
  • 2.104, SysA (?), 15:31, 21/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Вообще-то в начале прошлого месяца!.. :)
     
  • 1.4, Аноним (66), 10:36, 20/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Кто просветит, почему всегда качественные системы уходят в забвение, а всякое дерьмо вроде docker-а занимает рынок и приобретает кучу фанатичных поколонников? Все мухи?
     
     
  • 2.5, Аноним (5), 10:41, 20/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > качественные системы

    какие?

     
     
  • 3.7, Аноним (7), 10:54, 20/08/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    BeoS
     
  • 3.18, Аноним (17), 11:36, 20/08/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Знавал чела, который на полном серьезе считал "качественным аналогом" докера OpenVZ =)) Еще и админом в небольшом воронежском банке при этом работал.
     
     
  • 4.60, Аноним (59), 16:21, 20/08/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    OpenVZ - аналог Docker'а? Это он отжог! У OpenVZ изоляция настоящая.
     
  • 4.120, Michael Shigorin (ok), 23:25, 21/08/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Так он, поди, какой-нить мехмат ВГУ кончал, а не факультет словоблудия ... весь текст скрыт [показать]
     
  • 3.52, lxc (?), 14:14, 20/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    LXC?
     
  • 2.6, Некто (??), 10:41, 20/08/2018 [^] [ответить]    [к модератору]  
  • +/
    что по вашему качественная система, peacemaker ?
     
     
  • 3.13, Аноним (66), 11:16, 20/08/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Solaris Zone
     
     
  • 4.22, Аноним (22), 11:51, 20/08/2018 [^] [ответить]    [к модератору]  
  • +/
    И чем оно лучше докера? Чем армяне? Вроде бы нет, потому что соплярис больше никому не нужен, кроме терпил, посаженных на иглу 20 лет назад.
     
     
  • 5.27, Аноним (66), 11:59, 20/08/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Потому что просто работает, стабильно и на любой нагрузке, а не падает, глючит и сыпется как docker.
     
     
  • 6.28, Аноним (22), 12:02, 20/08/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Ай да шутник, и где же оно у тебя работает? В Серьёзном Бизнесе? Где 96 вычислительных ядер занимают шкаф размером с советский платяной шкаф?
     
     
  • 7.87, ABATAPA (ok), 08:39, 21/08/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Вот про шкаф Вы зря Старые шкафы, бывает, уже лет 50 живут, на них могут прыгат... весь текст скрыт [показать]
     
     
  • 8.121, Michael Shigorin (ok), 23:27, 21/08/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    Это чудо, поди, не видело советских холодильников Которые по те же полвека не ... весь текст скрыт [показать]
     
  • 5.29, Аноним (-), 12:04, 20/08/2018 [^] [ответить]    [к модератору]  
  • +8 +/
    > Вроде бы нет, потому что соплярис больше никому не нужен, кроме терпил, посаженных на иглу 20 лет назад.

    А паровые турбины не лучше электровелосипеда, потому что паровозы больше никому не нужны, а вот велосипеды совсем наоборот!
    Альтернативная логика фанатов видна во всей красе.

     
  • 2.8, Аноним (8), 10:56, 20/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Решил я как-то перевести прод на докер. 10 минут потыкал что-то там и все готово. Выглядит удобно и чистенько. Безопасность - как минимум не хуже чем было до этого, а во многих местах - лучше.
     
     
  • 3.9, Ага (?), 10:58, 20/08/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    А вы уже пробовали, на своем севрере блютуз выключать ? на моем что то не срабатывает, может блютуза нет
     
     
  • 4.23, Аноним (22), 11:52, 20/08/2018 [^] [ответить]    [к модератору]  
  • +/
    У тебя докер притянул в зависимостях блютуз, и ты больше не можешь без блютуза работать?
     
     
  • 5.49, Ага (?), 13:46, 20/08/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    ДА! Уже заказал трансфер донгла в ДЦ, чортов докер не заводится :(
     
  • 4.56, Аноним (56), 15:02, 20/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > А вы уже пробовали, на своем севрере блютуз выключать ? на моем что то не срабатывает, может блютуза нет

    А кроме блютуза там ничего больше нет? Ни fan, ни cpu/, ни /sleep?


     
     
  • 5.57, имя (?), 15:29, 20/08/2018 [^] [ответить]     [к модератору]  
  • +/
    А вы проверьте сами Я ничего из этого не нашёл Только wakeup и PCI0 root c8b0... весь текст скрыт [показать]
     
  • 2.42, нах (?), 13:05, 20/08/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    качественные - сложный дизайн, языки программирования для взрослых, часто надо з... весь текст скрыт [показать]
     
     
  • 3.92, имя (?), 11:57, 21/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    >Настраивать простые вещи сложно

    действительно, почему же ими не пользуются?
    красноглaзие для фана - это иногда полезно
    красноглaзие на продакшене - это диагноз.

     
     
  • 4.95, Аноним (66), 12:13, 21/08/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Чудес на свете не бывает, простых решений для сложных задач тоже, это всё сказки... весь текст скрыт [показать]
     
     
  • 5.96, имя (?), 13:11, 21/08/2018 [^] [ответить]    [к модератору]  
  • +/
    ответ один - легаси.

    У миноборны США до сих пор в строю остались компьютеры из 70-х, вы же не кажете, что они лучше современных?

     
     
  • 6.100, Аноним (66), 14:07, 21/08/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Один вопрос в мире клепается тонны кода для всякой вебни на сваггерах, голынгах... весь текст скрыт [показать]
     
     
  • 7.105, имя (?), 15:38, 21/08/2018 [^] [ответить]     [к модератору]  
  • +/
    не переписывается по нескольким причинам 1 работает не трожь 2 как оно рабо... весь текст скрыт [показать]
     
     
  • 8.108, Аноним (66), 16:35, 21/08/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    В случае с докером-это объявлено в рекламных буклетах В реальности же оно совсе... весь текст скрыт [показать]
     
  • 8.109, Аноним (66), 16:44, 21/08/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Разрабы же докера-это особый прикол Чаще всего они тупо игнорируют репорты, не ... весь текст скрыт [показать]
     
  • 7.127, ОМЖ (?), 01:13, 22/08/2018 [^] [ответить]    [к модератору]  
  • +/
    ответ прост до безобразия: а кто и сколько мне за это заплатит?
     
  • 5.97, лютый охохоня (?), 13:19, 21/08/2018 [^] [ответить]    [к модератору]  
  • +/
    В банках транзакции обрабатывают не реляционные СУБД, по крайней мере в современных как например сбербанг ,)
     
     
  • 6.99, Аноним (66), 14:03, 21/08/2018 [^] [ответить]     [к модератору]  
  • +/
    А что там обрабатывает Уж не не то ли поделие на gridgain hadoop, которое сберт... весь текст скрыт [показать]
     
     
  • 7.135, лютый охохоня (?), 07:24, 23/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Кем признан провальным? Экспертами опеннета? Я так тоже могу наплести что у сбера от оракле только железо и легаси, а процессинг в жабе. И доказывал что не верблюд ,)
     
  • 5.98, лютый охохоня (?), 13:22, 21/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Если где-то стоит в продакшоне шкаф снятый с поддержки вендором, это признак болота загнившего. Шкафы от междельмаша уже давно проиграли бой
     
     
  • 6.101, Аноним (66), 14:10, 21/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Скажите это амерканцам, у которых эти шкафы обрабатывают 80% всех финтранзакций, и заменить-то нечем. Тазики с убунтой попадают в первые же секунды той нагрузки.
     
     
  • 7.102, Тьфу (?), 15:08, 21/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Шкафы стоят потому что софт, который на них крутиться слишком старый и работает только на этих шкафах. Софт старый и переписать некому, многие разработчики уже померли или с деменцией дружат крепко.
     
     
  • 8.103, Аноним (66), 15:26, 21/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    >>Софт старый и переписать некому

    Как так, а где та куча некрасноглызых, умеющих делать просто, с голынгом и докером наперевес? Локалхост админять?

     
     
  • 9.107, Тьфу (?), 16:07, 21/08/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Аппаратно-программная платформа на базе COBOL, еще вопросы есть Принцип работ... весь текст скрыт [показать]
     
  • 2.137, topin89 (?), 21:30, 23/08/2018 [^] [ответить]     [к модератору]  
  • +/
    Вопрос риторический, конечно, но я всё равно отвечу 1 Херовое продвижение При... весь текст скрыт [показать]
     
     ....нить скрыта, показать (38)

  • 1.10, Аноним (10), 10:58, 20/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Удобно для хостера, удобно для клиента. Только надо помнить, что ничего важного там держать не следует.
     
  • 1.14, Аноняшка (?), 11:20, 20/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +8 +/
    Банально, включая и выключая блютус, можно "морзянкой", по нескольку байт в минуту, "сливать" пароли, куки, /etc/shadow....
     
  • 1.15, Аноним (17), 11:23, 20/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >>включать и выключать Bluetooth
    >>активировать подсветку клавиатуры

    Очень актуально для серверов, да.

     
     
  • 2.39, нах (?), 12:57, 20/08/2018 [^] [ответить]     [к модератору]  
  • +/
    а это смотря чего-серверов и из чего Как тебе такая красота apt-get -s remo... весь текст скрыт [показать]
     
     
  • 3.89, Anonymus (?), 10:40, 21/08/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Что то, товарищ, делаете не то Или систему менять надо root evm apt remov... весь текст скрыт [показать]
     
  • 2.47, SysA (?), 13:34, 20/08/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Вообще-то этот пример был дан из расчета на уровень домохозяек, чтобы внушительн... весь текст скрыт [показать]
     
  • 1.16, Аноним (17), 11:26, 20/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А самое главное - чтобы софт в контейнере мог писать что-то в /proc/acpi, он должен выполняться под root, что само по себе дыра в безопасности.
     
     
  • 2.21, Аноним (21), 11:44, 20/08/2018 [^] [ответить]    [к модератору]  
  • +/
    От задачи зависит. Это же фича контейнера - изолировать приложения в юзерспейсе и предоставлять возможность запускать их даже в *изолированном* руте.
     
     
  • 3.26, anonymous (??), 11:58, 20/08/2018 [^] [ответить]    [к модератору]  
  • +8 +/
    > Это же фича контейнера - изолировать приложения в юзерспейсе

    Идиоты, которые верят что docker хоть какое-то отношение имеет к безопасности, обречены майнить чужие коины.

     
  • 2.24, anonymous (??), 11:57, 20/08/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Ха, как будто кто-то из смузихлебателей знает про ключ -u или смотрят в Dockerfi... весь текст скрыт [показать]
     
  • 2.25, Аноним (-), 11:58, 20/08/2018 [^] [ответить]    [к модератору]  
  • +7 +/
    > А самое главное - чтобы софт в контейнере мог писать что-то в
    > /proc/acpi, он должен выполняться под root, что само по себе дыра в безопасности.

    Вообще-то задумка в изоляции как раз и была в том, чтобы можно было спокойно дать софту виртуального рута или ограничить ущерб при взломе.
    Но то ведь было в старперских джейлах, зонах и прочем крапе, когда ничего не понимали в проектировании и поддержке современных систем! И только потом пришло просветление и все умные люди внезапно поняли, что контейнерам поддержка изоляции приложений не нужна, ведь они не для этого!

     
     
  • 3.71, Аноним (71), 20:29, 20/08/2018 [^] [ответить]    [к модератору]  
  • +6 +/
    Докеры для того, чтобы даже тот, кто не умеет читать и писать конфиг, мог почувствовать себя девопсом.
     
     
  • 4.116, пох (?), 20:43, 21/08/2018 [^] [ответить]    [к модератору]  
  • +/
    потому что те кто умеют - заглянут в dockerfile - и обоср..ся это запустить ;-)

     
  • 1.19, имя (?), 11:36, 20/08/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    centos 6 docker --version Docker version 17 12 0-ce, build c97c6d6 docker ru... весь текст скрыт [показать]
     
  • 1.41, Аноним (41), 13:04, 20/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    А где же эта хваленая изоляция? Где она? Мы говорим о ней постоянно!
     
     
  • 2.43, нах (?), 13:08, 20/08/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    синенькая? Так вот же ж она, щас подмотаем... опа, /proc/acpi добавлен в список неположенного докерам, всем обновляться! До следующего (из миллиона того что может оказаться в /proc) спим спокойно.

     
  • 2.44, Аноним (-), 13:15, 20/08/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Для изоляции приложения есть специально заточенный под это дело, простой, понятн... весь текст скрыт [показать]
     
     
  • 3.51, Аноним (51), 14:12, 20/08/2018 [^] [ответить]    [к модератору]  
  • +/
    LXD-docker пашет на rhel
     
  • 3.54, anonymous (??), 14:42, 20/08/2018 [^] [ответить]     [к модератору]  
  • +/
    Я вот уже давно мучаюсь одним вопросом А что если изоляция нужна не руту, а про... весь текст скрыт [показать]
     
     
  • 4.68, Animemous (?), 19:15, 20/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Не все. Кое-что можно без рута. Bubblewrap на это дело и пилят.
     
  • 4.76, mikhailnov (ok), 23:11, 20/08/2018 [^] [ответить]    [к модератору]  
  • +/
    fakeroot?
     
  • 4.77, Аноним (77), 23:56, 20/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    посмотрите на firejail
     
  • 3.55, нах (?), 14:46, 20/08/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    лолшто а, понял, понял Вы бы эта, тег сарказм аккуратнее расставляли специ... весь текст скрыт [показать]
     
  • 3.122, Michael Shigorin (ok), 23:33, 21/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > Для изоляции приложения есть специально заточенный под это дело, простой,
    > понятный и безбаговый SELinux. А изоляция в контейнерах не нужна
    > (знают все умные люди)!

    Вы крашеная, простите?

    PS: s/на//;s/нн/н/ для большей понятности вопроса, а то мало ли...

     
  • 1.62, Alex_hha (?), 16:45, 20/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > Для изоляции приложения есть специально заточенный под это дело, простой, понятный и безбаговый SELinux

    запустите на одном хосте 5 приложений, каждое из которых будет требовать свою версию glibc/ruby/python/php

     
     
  • 2.64, Аноним (64), 17:22, 20/08/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    Это был сарказм в ином случае простым и понятным selinux назвать не получится... весь текст скрыт [показать]
     
  • 2.70, пох (?), 20:21, 20/08/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    1 а можно вместо этого один раз выпороть пять разработчиков, чтобы они не требо... весь текст скрыт [показать]
     
     
  • 3.74, Gemorroj (ok), 21:03, 20/08/2018 [^] [ответить]     [к модератору]  
  • +/
    если я правильно понял, то разрабам из-за жопорукости админа приходиться кодить ... весь текст скрыт [показать]
     
     
  • 4.78, DevOps (?), 23:57, 20/08/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Уволить задним числом заранее кинув на последнюю зарплату и без возможности восстановления.
     
  • 4.115, пох (?), 20:39, 21/08/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    разрабам предлагается объяснить, письменно, какие бенефиты компании принесет пер... весь текст скрыт [показать]
     
  • 3.79, ALex_hha (ok), 00:07, 21/08/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    Если у вас на локалхосте используется одна версия, то это ещё не значит, что и в... весь текст скрыт [показать]
     
     
  • 4.80, DevOps (?), 00:11, 21/08/2018 [^] [ответить]    [к модератору]  
  • +/
    lsPHP умеет вроде.
     
  • 4.86, пох (?), 07:44, 21/08/2018 [^] [ответить]     [к модератору]  
  • +/
    выделили Переводят Именно со словами поддерживать старый хлам - слишком дорог... весь текст скрыт [показать]
     
     
  • 5.90, ALex_hha (ok), 11:00, 21/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > слишком дорого для нашей компании".

    оно и понятно, в "рога и копыта" на локалхосте такого и не нужно. Дальше можно не продолжать

     
     
  • 6.113, пох (?), 20:07, 21/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    модули апача - это именно уровень ваших рогов и копыт. fpm ниасилен, понятен.

     
  • 5.91, ALex_hha (ok), 11:02, 21/08/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    > а ответственность за стабильность, безопасность и контролируемость - переложена на никого?(с)

    в нормальных фирмах она переложена на devops, но у вас по ходу такого не слышали. Ну ничего, бывает.

     
     
  • 6.114, пох (?), 20:21, 21/08/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    это и есть никто Админы-недоучки, для которых, о ужас, две версии пехепе на одн... весь текст скрыт [показать]
     
     
  • 7.124, ALex_hha (ok), 23:53, 21/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Э как бомбануло у админа :D
     
  • 6.123, Michael Shigorin (ok), 23:38, 21/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    >> ответственность
    > devops

    И в чём же она выражается?

     
     
  • 7.129, ALex_hha (ok), 09:02, 22/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > И в чём же она выражается?

    да во всем том же, в чем и у обычных сисадминов. В отслеживании уязвимостей и устранении их. А вот каким способом, это уже вопрос другой. Если обычный сисадмин, условно, сделает yum update и /или наложит патч и соберет новый rpm, то девопс по сути сделает тоже самое, просто запустит соотв джобу в CI/CD, которая сделает тоже самое, только внутри докера ;)

    Очень давно был проект на php 4, который просто работал и все, естественно перевести на 5ку его не реально, там по сути заново надо было бы все переписать, так и работал в докере и отлично себя чувствовал.

    А совсем недавно был у меня проект на ruby 1.8, который был в докере, ибо там такое легаси, что туда лучше не смотреть. Но как тут рассказывают некоторые сказочники локалхостов, что всех разработчиков таких систем надо уволить и переписать на современные версии, в том случае это было не реально, от слова совсем. При этом это был один из крупнейших сервисов америки по продажам gift карточек, а там крутится много много денег. И все отлично работало и работает, насколько я знаю, проблем с безопасностью не было.

    Так что реальный мир он такой и немного отличается от розовых фантазий :)

     
     
  • 8.131, anonymous (??), 12:01, 22/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > да во всем том же, в чем и у обычных сисадминов. В отслеживании уязвимостей и устранении их.

    За исключением того что у них (девопсов этих ваших) как правило нет для этого ни знаний, ни умений.

     
     
  • 9.133, Alex_hha (?), 13:52, 22/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > За исключением того что у них (девопсов этих ваших) как правило нет
    > для этого ни знаний, ни умений.

    с какого перепуга? Я вот проработал 10 лет сисадмином, последние 3 года работаю девопс. Никаких проблем не испытываю. Возвращаться к скучной работе сисдамина нет никакого желания :)

    P.S.
    вы ведь понимаете, что devops это лишь методология разработки и доставки продукта, а не какая то новая чудо специальность? Но тут стоит учитывать, что многие админы локалхостов, которые хоть раз в жизни запускали docker и установили nginx через ansible на две виртуалки, гордо бьют себя в грудь и кричат, что они devops инженеры. А потом ты начинаешь их собеседовать, а там полный мрак.

     
     
  • 10.134, angra (ok), 23:45, 22/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Я вот проработал 10 лет сисадмином, последние 3 года работаю девопс.

    И за всё это время не сталкивался с chroot, jail, vserver, openvz, lxc, а также kvm и xen? Только с появлением docker смог решить задачу запуска в изолированном окружении?

     
     
  • 11.136, ALex_hha (ok), 12:22, 23/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > И за всё это время не сталкивался с chroot, jail, vserver, openvz, lxc, а также kvm и xen?

    Конечно сталкивался, просто в докере это на порядок удобнее. Я вот посмотрел бы, сколько у вас ушло времени на поднятие elk стека в chroot/jail/openvz. А в докере это одна команда и минута времени. И таких примеров очень много. При этом я не утверждаю, что docker это панацея и всем срочно надо на него переходить. Но во многих моментах разработки - он очень здорово облегчает жизнь.

    Так и представляю ситуацию - выходит к вам новый qa/developer/devops, ему надо поднять у себя на машине тестовое окружения, чтобы понять что и как, или что то проверить. А вы ему такие - ставь себе  openvz/kvm/xen, потом ставь и настраивай 100500 программ, в лучшем случае будет bash скрипт для сборки всего этого добра. Ведь тут некоторые кричали, что ansible это новомодная хипстерская подделка девопсов и не нужна от слова совсем, так что только хардкор, только bash скрипты.

    В моем случае, я даю человеку docker-compose файл и через 5-15 минут у него уже готовое окружение. И у нас не бывает случаев - "а у меня на машине все работает" :D Единственный случай, когда в докере реально могут быть различия, это когда ваш софт сильно завязан на версию ядра, тогда могут быть проблемы.

     
  • 2.130, anonymous (??), 11:55, 22/08/2018 [^] [ответить]    [к модератору]  
  • +/
    А нахрена их запускать на одном хосте ?
     
     ....нить скрыта, показать (20)

  • 1.63, Alex_hha (?), 16:47, 20/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > Идиоты, которые верят что docker хоть какое-то отношение имеет к безопасности, обречены майнить чужие коины.

    О какой изоляции тут можно говорить, после Meltdown/Spectre/Foreshadow ?!

     
     
  • 2.72, Аноним (72), 20:30, 20/08/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    AMD
     
  • 1.84, Аноним (84), 03:34, 21/08/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +3 +/
    Что самое интересное, что изначально Docker начинался, как песочница для разрабо... весь текст скрыт [показать]
     
     
  • 2.117, пох (?), 21:52, 21/08/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    ну так они - сэкономили Теперь то, что они разработали, прекрасно работает не... весь текст скрыт [показать]
     
  • 1.88, ПавелС (ok), 09:20, 21/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Давненько я присылал на kernel.org патчик с испправлением некоторых пермишенов в /proc. И мне отказали как раз по причине "будут проблеммы с виртуализацией".
    Вобщем с пермишенами в /proc следовало бы поразобраться, а то там как сделано так и годами никто не пересматривал.
     
     
  • 2.93, Ant (??), 12:09, 21/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Agile
     
  • 1.94, Аноним (94), 12:12, 21/08/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +2 +/
    У меня уживаются вместе и docker и lxc, до этого использовал openvz Везде свои ... весь текст скрыт [показать]
     
     
  • 2.106, anonymous (??), 15:48, 21/08/2018 [^] [ответить]    [к модератору]  
  • +/
    А теперь представь себе что что-то пошло не так и тебе нужно вытянуть из докера базу.
     
     
  • 3.112, пох (?), 20:04, 21/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    ну docker cp же ж... только вот "что-то пошло не так" в случае докера обычно - "навернулась overlayfs и ваша база превратилась в тыкву".
    вытаскивай, не вытаскивай...
     
  • 3.125, ALex_hha (ok), 00:14, 22/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    И в чем проблема? Базы как правило выносятся на volume, так что если что то пошло нет так, то проблем не будет от слова совсем.
     
     
  • 4.128, Аноним (72), 04:26, 22/08/2018 [^] [ответить]    [к модератору]  
  • +/
    volume небезопасны от команды docker ... prune
    нужно монтировать как папку
     
     
  • 5.132, Alex_hha (?), 13:44, 22/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > volume небезопасны от команды docker ... prune

    С таким же успехом "обычные" базы не безопасны от rm -fr, но мы тут держимся :D

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor