https://www.opennet.me/openforum/vsluhforumID3/99473.html Представлен (https://blog.docker.com/2014/10/docker-1-3-signed-images-process-injection-security-options-mac-shared-directories/) релиз инструментария для управления изолированными Linux-контейнерами Docker 1.3, предоставляющего высокоуровневый API для манипуляции контейнерами на уровне изоляции отдельных приложений. В частности, Docker позволяет не заботясь о формировании начинки контейнера запускать произвольные процессы в режиме изоляции и затем переносить и клонировать сформированные для данных процессов контейнеры на другие серверы, беря на себя всю работу по созданию, обслуживанию и сопровождению контейнеров. Код Docker написан на языке Go и распространяется (https://github.com/dotcloud/docker/) под лицензией Apache 2.0. <br><br><br><br>Инструментарий базируется на применении встроенных в ядро Linux штатных механизмов изоляции на основе пространств имён (namespaces) и групп управления (cgroups). Для создания контейнеров предлагается использовать libcontainer (обёртка над namespaces и cgroups), также возможно пр https://www.opennet.me/openforum/vsluhforumID3/99473.html#21 Wed, 22 Oct 2014 16:19:41 GMT Там VirtualBox унутре<br> https://www.opennet.me/openforum/vsluhforumID3/99473.html#20 Fri, 17 Oct 2014 21:22:24 GMT &gt; Для отличных от Linux систем, таких как OS X, в состав включен минималистичный Linux-дистрибутив boot2docker, специально подготовленный для запуска контейнеров Docker. <br><br>Интересно, а под Вайном работает?<br><br>ЗЫ<br>Я знаю толк в извращениях )))<br> https://www.opennet.me/openforum/vsluhforumID3/99473.html#19 Fri, 17 Oct 2014 19:05:47 GMT Ну а тут даже и не обещают ничего.. Даже честно признаются что изоляции полной нет и векторов атаки на систему -- весьма много.<br> https://www.opennet.me/openforum/vsluhforumID3/99473.html#18 Fri, 17 Oct 2014 19:04:27 GMT &gt; Как же быть?<br><br>Очень хороший вопрос.:)<br>Просто наплодить обычных unix-пользователей и разграничивать кто чем занимается?<br>Накатить selinux / grsecurity / .. ?<br>Проанализировать годятся ли для твоей задачи ОС на микроядрах (идеологически делающие упор на секьюрность) ?<br>???<br> https://www.opennet.me/openforum/vsluhforumID3/99473.html#17 Fri, 17 Oct 2014 19:01:41 GMT Потому что система собственно не ориентирована на секьюрность..<br><br>В чем она хороша: в быстрой выкатке обновлений, в лёгкости и интересных подходах к формированию "образов" (из-за aufs), в том что требует мало ресурсов.<br><br>Вот это -- и есть те цели которая компания перед собой ставит (фактически). Секьюрность -- лишь в разумных пределах, "по пути" и насколько это возможно. Сама странице docker-а о security честно говорит что нельзя на докер полагаться в этом плане. И даёт советы не использовать root внутри docker-а...<br> https://www.opennet.me/openforum/vsluhforumID3/99473.html#16 Fri, 17 Oct 2014 18:56:02 GMT Не неизвестными парнями из интернета - а с вполне устоявшимся комьюнити которое образовалось вокруг открытого пакетного менеджера.<br> https://www.opennet.me/openforum/vsluhforumID3/99473.html#15 Fri, 17 Oct 2014 17:33:07 GMT &gt; Используйте vagrant <br><br>...и ваши волосы станут дущистыми и пущистыми?<br> https://www.opennet.me/openforum/vsluhforumID3/99473.html#14 Fri, 17 Oct 2014 16:23:37 GMT с репозиториями они поступили еще эпичнее - скооперировались с какими-то вообще неизвестными типами из интернета, и теперь в чистой windows 10 можно будет набрать в консоли "install-package google-chrome"<br> https://www.opennet.me/openforum/vsluhforumID3/99473.html#13 Fri, 17 Oct 2014 15:55:37 GMT Как и все прочие контейнеры. Да и гипервизоры ломают, бывает. то, что разработчики заявляют свою ориентацию на безопасность, еще не гарантирует наличие оной.<br>