https://www.opennet.ru/openforum/vsluhforumID3/117218.html Пользователи Docker Hub (https://hub.docker.com/), официального каталога контейнеров для системы Docker, получили уведомление (https://news.ycombinator.com/item?id=19763413) о взломе инфраструктуры проекта. В результате атаки в руки злоумышленников попала база учётных записей, включающая сведения о 190 тысячах пользователей сервиса, включая хэши их паролей и токены для доступа к репозиториям на GitHub и Bitbucket. Для предотвращения распространения атаки формирование сборок приостановлено, а токены к GitHub и Bitbucket отозваны. <br><br><br>Всем пользователям Docker Hub рекомендуется срочно поменять свои пароли, особенно если один пароль используется на нескольких разных ресурсах. В случае использования автоматизированных сборок с привязкой к репозиторию на GitHub или Bitbucket также рекомендуется включить двухфакторную аутентификацию и обновить идентификатор подключения OAuth (нужно (https://docs.docker.com/docker-hub/builds/link-source/) отсоединить и заново привязать репозиторий). <br><br><br>В случае привязки к репоз https://www.opennet.ru/openforum/vsluhforumID3/117218.html#59 Wed, 08 May 2019 10:48:24 GMT &gt; больше костылей богу костылей.<br>&gt; образ, используемый доскером - будем собирать в чем угодно, только не в <br>&gt; доскере, ну а чо, всегда так делали ж.<br><br>Да, всегда так делали. На хабе лежат образы, таким же образом собранные. Я тебе больше скажу, с докером в комплекте идёт скрипт, который это делает.<br><br>&gt;&gt;&gt; с хабом все как и с обычными дистрибутивами линукса - большая часть работы проделана за тебя - <br>&gt;&gt;&gt; это и обновления, и сборка-упаковка.<br>&gt;&gt; Ага, только, в отличие от дистрибутива, ты понятия не имеешь, кто и как всю эту работу проделал.<br>&gt; как будто ты в дистрибутиве имеешь?<br><br>Да, имею. Есть команда майнтейнеров, есть ченжлог, есть все логи сборок. Но главное &#8212; это всё делает одна команда, а не отдельный Вася Пупкин для каждого пакета, который сам по себе, и о котором никто ничего не знает.<br><br>&gt; Ну и наклейка "official image" как бы имеется. https://docs.docker.com/docker-hub/official_images/ <br><br>Есть, да. До этой новости даже была иллюзия, что она чего-то стоит. Но всё равно за каждым официальным о https://www.opennet.ru/openforum/vsluhforumID3/117218.html#58 Wed, 08 May 2019 09:37:33 GMT &gt; Ты это, заканчивай там с веществами. Образ аккуратно собирается в чруте посредством debootstrap<br>&gt; или rinse,<br><br>больше костылей богу костылей.<br>образ, используемый доскером - будем собирать в чем угодно, только не в доскере, ну а чо, всегда так делали ж.<br><br>&gt;&gt; с хабом все как и с обычными дистрибутивами линукса - большая часть работы проделана за тебя -<br>&gt;&gt; это и обновления, и сборка-упаковка.<br>&gt; Ага, только, в отличие от дистрибутива, ты понятия не имеешь, кто и как всю эту работу проделал.<br><br>как будто ты в дистрибутиве имеешь?<br>Ну и наклейка "official image" как бы имеется. https://docs.docker.com/docker-hub/official_images/<br>На фоне взлома инфраструктуры вот очень полезная - сразу можно угадать тех, у кого точно утекли и гитхабовые ключи ;-)<br><br>А когда там нечто, что и собрать-то толком невозможно - так и тем более нет смысла ковыряться - ну его нах запускать билдскрипты и костыли того же автора, хрен знает каких червей он сам нахватался (да и не запускается обычно нифига просто так). Проще сразу запуска https://www.opennet.ru/openforum/vsluhforumID3/117218.html#57 Tue, 07 May 2019 18:57:32 GMT &gt; базовый образ ты собирал из своей операционной системы - поздравляю, она у тебя и так есть - теперь еще и со всем нужным для работы того что предполагалось в образе.<br><br>Ты это, заканчивай там с веществами. Образ аккуратно собирается в чруте посредством debootstrap или rinse, в зависимости от дистрибутива, который надо упаковать. И в нём далеко не обязательно тот же самый дистрибутив, под которым это делается.<br><br>&gt; с хабом все как и с обычными дистрибутивами линукса - большая часть работы проделана за тебя - это и обновления, и сборка-упаковка.<br><br>Ага, только, в отличие от дистрибутива, ты понятия не имеешь, кто и как всю эту работу проделал. Нет рецензирования, нет подписывания, нет никаких гарантий. В случае дистрибутива ты доверяешь команде его разработчиков, в случае хаба &#8212; сборщику каждого отдельного образа индивидуально. Всех надо проверять, если ты хоть немножко парано^W не самоубийца.<br><br>&gt; Ты _экономишь_ свое время и усилия, написав FROM какаятонёх<br><br>Не помню уже, когда писал что-нибудь отличное https://www.opennet.ru/openforum/vsluhforumID3/117218.html#56 Tue, 07 May 2019 04:45:57 GMT &gt; Собрал базовый образ, на его основе плодишь всё остальное. В чём проблема? <br><br>зачем, блин? <br><br>базовый образ ты собирал из своей операционной системы - поздравляю, она у тебя и так есть - теперь еще и со всем нужным для работы того что предполагалось в образе.<br>Какой теперь смысл громоздить подпорки и костыли? <br>У jail смысл остается - в изоляции, доскер и ее обеспечивает на от...сь.<br><br>&gt; (Да, я, как и большинство других, ленив, и до сих пор <br>&gt; большую часть базовых образов тягал с хаба, сам собирал только то, <br><br>с хабом все как и с обычными дистрибутивами линукса - большая часть работы проделана за тебя - это и обновления, и сборка-упаковка. (да, все сделано не теми руками и через анус, но "и так сойдет" в эпоху девляпса)<br><br>Ты _экономишь_ свое время и усилия, написав FROM какаятонёх и добавив пару своих конфигов или специально-кривособранный бинарник, и вообще не парясь о том, что там в нижних слоях. (потом обратно тратишь на выпрямление изначально кривого, но это см выше - можно и не тратить)<br><br>Не гов https://www.opennet.ru/openforum/vsluhforumID3/117218.html#55 Tue, 07 May 2019 04:22:14 GMT мляяя, надо было брать!<br><br>тут хранилку пришлось кусками всю из стоек выковыривать и обратно совать - это тебе не доскер в доскере под доскером, где каждая обезьяна справится, там юниты килограмм по сорок и "вот тут просунь руку - дальше, дальше, еще дальше...так, теперь подержи всю хреновину на весу, там винтик".<br><br> https://www.opennet.ru/openforum/vsluhforumID3/117218.html#54 Mon, 06 May 2019 20:50:23 GMT Искали девопса, а пришёл портовый грузчик.<br> https://www.opennet.ru/openforum/vsluhforumID3/117218.html#53 Mon, 06 May 2019 20:49:04 GMT &gt; А для этого надо иметь FROM что<br><br>Собрал базовый образ, на его основе плодишь всё остальное. В чём проблема? (Да, я, как и большинство других, ленив, и до сих пор большую часть базовых образов тягал с хаба, сам собирал только то, чего там нет.)<br><br>&gt;&gt; А что, у бсдешного джейла есть API, позволяющий его легко интегрировать с чем вздумается?<br>&gt; а зачем он ему, если он не является монстром без ручек с ниасиленными exit codes, не говоря уж о чем сложнее?<br><br>Затем, чтобы твоё сравнение его с докером имело право на существование.<br><br>&gt; он умеет запустить 9000 процессов с тем же самым оверхедом, с которым их запустила бы операционная система без всякого контейнера (потому что для нее нет разницы).<br>&gt; В отличие от доскера, где старт контейнера весьма и весьма уныл из-за создания ненужно-матрешки оверлеев - у меня мониторинг успевает заорать.<br><br>Оверлеи для того и нужны, чтобы запускать не просто процессы, а разные контейнеры, не копируя образ. И это как раз то, для чего есть смысл использовать докер.<br><br>&gt; но ведь ненуж https://www.opennet.ru/openforum/vsluhforumID3/117218.html#52 Mon, 06 May 2019 18:45:37 GMT &gt;&gt; опа, а с этого места поподробнее - что вы ожидали услышать от правильного кандидата?<br>&gt; Да ничего не ожидали. Просто запарил он про докер вчехлять, вот и <br><br>а, в смысле, вы искали админа а пришел девляпс? Ну так ему и не надо знать лишнего, ему надо быстрей-быстрей 9000 контейнеров разворачивать.<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/117218.html#51 Mon, 06 May 2019 18:42:31 GMT &gt; Это всё равно, что говорить, что git без гитхаба не нужен. <br><br>git и с гихапом не нужен, автоматизируя ненужную деятельность и не автоматизируя нужную, но это ладно.<br><br>&gt; Никто ведь не мешает держать свой уютный реестр со своими образами.<br><br>только смысл в этом какой? <br><br>весь смысл и польза от дыркера в том что наружу ничего лишнего не торчит и не может быть просыпано на пол.<br>А для этого надо иметь FROM что. Иначе (если оно у тебя уже отдельно от доскера собрано и лежит на общей fs) - нахрена городить этажерку с ее глюками, падениями и тормозами? (и s for security)<br><br>&gt; А что, у бсдешного джейла есть API, позволяющий его легко интегрировать с чем вздумается?<br><br>а зачем он ему, если он не является монстром без ручек с ниасиленными exit codes, не говоря уж о чем сложнее?<br><br>&gt; И что, он умеет наплодить &gt;9000 контейнеров из одного образа за считаные секунды с минимальным<br>&gt; оверхедом?<br><br>он умеет запустить 9000 процессов с тем же самым оверхедом, с которым их запустила бы операционная система без всякого контейне