forum.opennet.ru

"Docker-образы Alpine поставлялись с пустым паролем пользоват..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для слежения за появлением новых сообщений в нити, нажмите "Проследить за развитием треда".

. "Docker-образы Alpine поставлялись с пустым паролем пользоват..."	–1 +/–
Сообщение от Sw00p aka Jerom (?), 09-Май-19, 22:36
>не имеет никакого отношения к /etc/shadow как раз таки /etc/shadow и есть один из механизмов аутентификации, и он ничем не отличается от ключей, биометрии и других механизмов. А суть в том, что нельзя рута оставлять без механизма аутентификации. Даже пустой пароль в механизме /etc/shadow равносилен, что нет никакого механизма аутентификации. То же самое и про прочие методы, ключ (пароль) во всех этих механизмах и есть ключевая часть к предоставлению доступа к пользователю рут. >(хотя `head /etc/shadow` я могу хоть прям сюда положить, не жалко). ну если только вы отключили данный механизм, я тоже могу отпечаток сетчатки глаза тут оставить, только данный механизм у меня нигде не используется и что?
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Docker-образы Alpine поставлялись с пустым паролем пользоват..., opennews, 09-Май-19, 10:00 [смотреть все]

Нормально, что Докер образ - это же как отдельное приложение статически слинков, anonymous, 09-Май-19, 10:00 (1)
Т е проблема в наркоманском формате конфигов, который делает невозможным нецеле, A.Stahl, 09-Май-19, 10:04 (2) //
- Полвека жили с DSV, и никому даже в голову не приходило, что с ним что-то не так, Аноним, 09-Май-19, 12:13 (19) //
  - а шо, он от части прав, хотите сказать вот такой вот синтаксис не разрешен , Sw00p aka Jerom, 09-Май-19, 12:30 (24) //
    - Конечно разрешён, это нормальный синтаксис DSV Что с ним не так Ну, конечно, ес, Аноним, 09-Май-19, 13:09 (34)
      - так все к этому и сводится, строгости нет, вот и такие беды, у рута нет пароля п, Sw00p aka Jerom, 09-Май-19, 16:26 (47)
        
        Yea, you got it But don t worry They call me Superlennart and I m here to resc, L.P., 09-Май-19, 16:44 (48)
        
        кхмм в смысле без парольные методы вы хоть представляете, что из себя представл, Sw00p aka Jerom, 09-Май-19, 16:54 (49)
        
        Не только представляю, но и использую Причем тут пароль в etc shadow и какие бу, Аноним, 09-Май-19, 17:00 (52)
        
        при том, что читаем выше, рута без пароля существовать не должно , вот и мне го, Sw00p aka Jerom, 09-Май-19, 18:03 (61)
        
        Внезапно, при той же биометрической аутентификации никакого пароля для рута не т, Аноним, 09-Май-19, 18:14 (62)
        
        то есть ваш рут без пароля и любой может им пользоваться , Sw00p aka Jerom, 09-Май-19, 18:42 (70)
        понятие рут без пароля или рут без пальца или рут без глаза всё это равнос, Sw00p aka Jerom, 09-Май-19, 18:54 (73)
        
        Понятие болтолог опеннета подходит гораздо лучше Забыл с кем имею дело, прошу, Аноним, 09-Май-19, 20:10 (85)
        нуну, че нить полезного написали бы, и так знаю что болтология - это наука изу, Sw00p aka Jerom, 09-Май-19, 22:44 (102)
        
        Не ставлю пароли руту выключаю их штатным образом, см passwd -l уже лет пять,, Аноним, 09-Май-19, 18:21 (66)
        
        Ставишь Почитай уже ман, что ли code -l This option is used to lock the specifi, анонн, 09-Май-19, 18:25 (67)
        
        Там пустота на месте 171 encrypted password 187 Могу нотариально заверенный, Аноним, 14-Май-19, 18:40 (139)
        
        Почему Бывают системы, где у рута не существует действительного пароля односи, Michael Shigorin, 09-Май-19, 19:11 (76)
        
        ага, но не без аутентификации, читаем выше про понятие рут без пароля ключа п, Sw00p aka Jerom, 09-Май-19, 19:26 (79)
        
        В скобках -- _расширение_ темы Нет Но пароль к ключику не имеет никакого отнош, Michael Shigorin, 09-Май-19, 20:17 (86)
        
        как раз таки etc shadow и есть один из механизмов аутентификации, и он ничем не , Sw00p aka Jerom, 09-Май-19, 22:36 (98)
        
        специально для sw00p ответ на закрытую ветку нет, не всем Список имеющих физич, пох, 10-Май-19, 17:03 (122)
        
        Ну зачем тогда порождать ненужные сущности Access Control-ы внутри ОС Дам сра, Sw00p aka Jerom, 10-Май-19, 17:15 (123)
        
        затем, что доступ к внутриос имеют или могут некстати заиметь не только те, ко, пох, 10-Май-19, 20:51 (127)
        
        Понятие аутентификации по публичному ключу тебе незнакомо , Аноним, 10-Май-19, 17:34 (124)
        
        Ваш приватный ключ тоже не зашифрован и вы не вводите пароля для его расшифровк, Sw00p aka Jerom, 10-Май-19, 18:35 (125)
        
        Какая разница Это не имеет никакого отношения к аутентификации в целевой систем, Аноним, 10-Май-19, 19:54 (126)
        
        ну вот, так к чему же было ваше Понятие аутентификации по публичному ключу тебе, Sw00p aka Jerom, 11-Май-19, 01:21 (129)
        
        я щас лап4атых ввергну в ступор, что бывают, по сей день в продакшне, системы, у, пох, 09-Май-19, 21:26 (93)
        
        это говорит лишь о том, что необходим рут доступ всем, если таковы требования та, Sw00p aka Jerom, 09-Май-19, 22:42 (100)
  - 1 deep submergence vehicle - глубоководный аппарат 2 diffused silicon varacto, дядя, 09-Май-19, 19:02 (75) //
    - http www catb org esr writings taoup html ch05s02 html, Аноним, 09-Май-19, 22:40 (99)
- Проблема в том, что ты вовремя не только не реализовал, но даже и не предложил а, анонн, 09-Май-19, 16:57 (50)
- Правильно, давайте переведем его на смузи-YAML , Аноним, 09-Май-19, 17:52 (59) //
  - на XML-же , Аноним, 09-Май-19, 18:21 (65) //
    - вы что, совсем уже - с этой немодной вонючей древней портянкой Вы еще dtd предло, пох, 09-Май-19, 21:35 (94)
      - Хочется решить не только конкретно эту проблему, а иметь - одинаковые конфиги , rshadow, 09-Май-19, 22:26 (97)
        
        Прикинь, многие до сих пор ini используют Отсыпь, а , Аноним, 09-Май-19, 22:44 (101)
        То есть, один выбрал какой-то формат конфигов и тем самым лишил всех остальных в, Аноним, 10-Май-19, 12:42 (112)
      - В серьезных реализациях чего-либо xml уже by default много-много лет json-скобо, А, 11-Май-19, 15:30 (133)
        
        у тебя серьездность в чём измеряется,в интерпрайзах , Аноним, 21-Май-19, 11:58 (141)
- Тебе-то, стахл, какое дело, что там за разделитель Твоя проблема в том, что ты , freehck, 10-Май-19, 05:23 (107) //
  - то текстовые логи требуете journald , то запрещаете текстовым редактором правит, JL2001, 10-Май-19, 13:05 (114) //
    - Ну блин, опять Нет, мы не об этом говорим https www opennet ru base sys syste, freehck, 10-Май-19, 13:18 (117)
      - там претензии к глючности конкретной программы journald , претензий к бинарному, JL2001, 11-Май-19, 10:45 (131)
        
        Ну если Вам zcat всё так успешно подсветит -- юзайте на здоровье, и да храни Вас, freehck, 13-Май-19, 05:08 (135)
    - Текстовый формат хорош тем, что его можно читать и править в случае аварии при п, Аноним, 10-Май-19, 13:37 (118)
      - а зазипованные текстовые логи это ещё текстовый формат с ломиком или уже нет иль, JL2001, 11-Май-19, 10:39 (130)
        
        По умолчанию логи не зипуются Настройки же зипования выбираются если вообще вк, freehck, 13-Май-19, 05:05 (134)
Буква S в названиях Docker и Alpine обозначает security , Аноним, 09-Май-19, 10:04 (3) //
- А у баяниста песня льётся чисто 8230 , Аноним, 09-Май-19, 12:40 (27)
- Но веть там нету буквы S, Аноним, 09-Май-19, 18:19 (64)
на официальном сайте огромными буквами написано Small Simple Secure , Ъ, 09-Май-19, 10:06 (4) //
- На заборах тоже много чего написано и даже нарисовано Это для тех, кто верует в, microcoder, 09-Май-19, 13:36 (37)
Исследователям безопасности Cisco стоит стоит вспомнить про curl , Аноним, 09-Май-19, 10:28 (5) //
- Пусть уж лучше ковыряют то, чем люди пользуются, а не свои ненужносвичи , Аноним, 09-Май-19, 12:15 (21)
Как-то слишком незатейливо они бэкдоры внедряют , Аноним, 09-Май-19, 10:31 (6) //
- Никто их не внедряет, они сами всплывают , чего не понятного, барабашки однако , OpenEcho, 09-Май-19, 13:02 (32)
Интересно, про какой способ подключиться, доступный по-умолчанию, они говорят , Аноним, 09-Май-19, 10:46 (7) //
- Оказывается, в оригинальной статье не говорят такого, это фантазия переводчика , Аноним, 09-Май-19, 10:49 (8) //
  - Про это в багтрекере докера было упомянуто , Аноним, 09-Май-19, 11:02 (10)
К слову, тот же su не пустит в alpine он также требует установки sticky bit на , kvaps, 09-Май-19, 10:58 (9) //
- SUID на su Что Да так любую систему можно поломать, на которой не отрублено на, Аноним, 09-Май-19, 14:52 (39) //
  - А как еще, по вашему, su должен работать , kvaps, 09-Май-19, 14:55 (40)
  - Давно его в глаза не видели ну, если у Вас не Owl какой PS но su без SUID д, Michael Shigorin, 09-Май-19, 19:15 (77)
  - Добро пожаловать в реальный мир , Аноним, 14-Май-19, 15:28 (137) //
    - Впрочем, как подсказал товарищ, udisks всегда монтирует с nosuid Так что отбой , Аноним, 14-Май-19, 15:37 (138)
Что за бред Такой образ и должен поставляться с пустым паролем - пользователь _, Аноним, 09-Май-19, 11:08 (11) //
- Ничем пользователь никому не обязан В большинстве случаев вход по паролю там на, Аноним, 09-Май-19, 12:02 (17) //
  - для чего там и стоял PS как не сам дыркер, так джокер что выпадет , Michael Shigorin, 09-Май-19, 12:16 (22) //
    - Не видать тебе повышения, сержант Очевидность , Аноним, 09-Май-19, 12:23 (23)
      - Вообще-то лейтенант , Michael Shigorin, 09-Май-19, 19:24 (78)
        
        То, что ты пиджак ВСУ, здесь мало кого волнует , Аноним, 10-Май-19, 10:35 (109)
- Ну задайте пароль рута в Dockerfile , Fyjybv755, 09-Май-19, 12:07 (18) //
  - Видишь, тебе уже кто-то из юных девляпсов минус влепил Рихтовать имиджи докерфа, Аноним, 09-Май-19, 13:24 (35) //
    - Удивлён, что среди недокорчёванной предыдущей поросли ещё встречаются те, кто де, Аноним, 09-Май-19, 14:20 (38)
- Можно генерировать пароль во время разворачивания docker-контейнера А потом смо, Аноним, 09-Май-19, 12:54 (31) //
  - Зачем тебе его генерировать и смотреть Вот куда ты его вводить собрался , Аноним, 09-Май-19, 16:03 (44)
- Не разрешен Его нужно дополнительно настраивать Дырка как бы в том, что если, Аноним, 09-Май-19, 20:00 (82)
так докер пожизни запускается с рутом внутри, и гадит на хост с рутовым UID, не , Аноним, 09-Май-19, 11:10 (12) //
- У нормальных людей он ничего не гадит на хост У не нормальных как написали ниже, Аноним, 09-Май-19, 11:40 (14) //
  - потому что нормальные люди докерами не пользуются , Led, 10-Май-19, 13:11 (115)
- Люди в здравом уме используют директиву USER , Аноним, 09-Май-19, 11:49 (16) //
  - или запускают podman от ограниченного пользователя, Ph0zzy, 09-Май-19, 17:49 (58) //
    - А от этого внутри контейнера не станет рута , Аноним, 09-Май-19, 18:14 (63)
      - Внутри контейнера ты хоть кем можешь быть, но если снаружи привелегий не дали, т, Аноним, 09-Май-19, 18:27 (68)
        
        У root-а гораздо больше возможностей для выхода за пределы контейнера Например,, anonymous, 09-Май-19, 18:57 (74)
        Так и сабж про рута внутри контейнера И вылезти из него не так-то просто, если , Аноним, 09-Май-19, 20:44 (87)
Куда входа-то В контейнер ssh ставят только наркоманы А docker exec итак из-по, Аноним, 09-Май-19, 11:37 (13) //
- Еще очень много старых разработчиков которые помнят времена пришествия контейнер, Аноним, 09-Май-19, 11:44 (15) //
  - Не пробовали на мороз их выгонять Например, есть разрабы, которые везде тянут по, Fyjybv755, 09-Май-19, 12:14 (20) //
    - а че же так далеко заехали до нулевых, как по мне все то, что вы сейчас использу, Sw00p aka Jerom, 09-Май-19, 12:36 (25)
      - Просто он сам тоже родом из нулевых Всё, что было раньше, для него 8212 17, Аноним, 09-Май-19, 13:06 (33)
        
        Да не, просто он при трудоустройстве не прошёл беседу со старпёром, съевшим соба, Аноним, 10-Май-19, 12:53 (113)
    - По такой логике самые лучшие специалисты -- мартышки, скачущие с фреймворка на ф, Аноним, 09-Май-19, 12:38 (26)
    - А есть и такие, которых не стоит набирать по объявлениям -- разведут шардинг там, Michael Shigorin, 09-Май-19, 12:44 (28)
    - Хочу отвыкнуть от старых технологий Посоветуй, за что лучше взяться Монга уже , Разраб, 09-Май-19, 12:45 (29)
      - Если серьёзно, то из нового, ClickHouse -- вкусная штуковина , anonymous, 09-Май-19, 18:44 (72)
        
        Надо автору статьи, на которую сослались ниже, добавить раздел You are not Yand, Аноним, 09-Май-19, 22:49 (103)
        
        Ну конкретно в моём случае 100 тыс запросов в секунду, по которым потом нужно д, anonymous, 09-Май-19, 22:54 (104)
        
        Это там где интерфейс протокол - HTTP-only Это те, которые даже ODBC-драйвер бо, Led, 10-Май-19, 13:16 (116)
    - И сколько разрабов, умеющих в триггеры и хранимки на ПГ, а также осведомлённых о, Аноним, 09-Май-19, 13:36 (36)
    - You are not Google 1 Современный мир предлагает широкий спектр решений, и счит, Ordu, 09-Май-19, 15:40 (41)
      - Спасибо, отличный комментарий и примечательная ссылка внимательно ознакомился , Michael Shigorin, 09-Май-19, 19:54 (81)
        
        к другим вопящим , Аноним, 09-Май-19, 20:48 (88)
- Надеяться на здравый смысл при разработки проекта, которым пользуются десятки ми, Annoynymous, 09-Май-19, 16:58 (51)
alphine-virt уязвимости не подвержен , Аноним, 09-Май-19, 12:51 (30)
А куда собрались входить, извините Если это контейнер, то в него входят через do, Ключевский, 09-Май-19, 15:41 (42) //
- Во-первых, нет никакой 171 идеологии контейнеров 187 До появления docker но, Аноним, 09-Май-19, 15:59 (43) //
  - OpenVZ это чрут на стероидах, его использование 8212 признак принадлежности к, Ключевский, 09-Май-19, 16:16 (46) //
    - Контейнеры -- это тот же самый chroot на стероидах Собственно, из OpenVZ namesp, anonymous, 09-Май-19, 18:40 (69)
    - Вы точно с lxc не перепутали Это, кстати, неплохой признак А вот верещать о то, Michael Shigorin, 09-Май-19, 20:00 (83)
- А пацаны то и не знали, а оно во как вышло https lists freebsd org pipermail f, Аноним, 09-Май-19, 17:42 (56)
- А что, разработкой докера теперь руководит товарищ Суслов Идеология - дело хорош, Аноним, 10-Май-19, 14:57 (120)
новость ни о чем - докер от рута давно не пускают, только через --userns-remap , Аноним, 09-Май-19, 16:09 (45)
А я то наивный думал, что в docker и так все от root работает , Аноним, 09-Май-19, 17:32 (55) //
- даже когда и работает учитывая привычку держать в нем целиком систему, и, чтобы, пох, 09-Май-19, 17:59 (60) //
  - В смысле Junkins , Michael Shigorin, 09-Май-19, 20:02 (84) //
    - в смысле django - казалось бы, при упоминании рядом uwsgi, особо и выбирать не и, пох, 09-Май-19, 20:52 (89)
    - Подозреваю что django, Аноним, 09-Май-19, 20:53 (90)
  - вот я не понимаю людейю Все кричат docker контейнеры секурити импрумент а , Аноним, 09-Май-19, 21:00 (91) //
    - Может быть, когда-то всё это и было про безопасность и изоляцию, но потом стало , Аноним, 10-Май-19, 15:05 (121)
https alpinelinux org posts Docker-image-vulnerability-CVE-2019-5021 html, Аноним, 09-Май-19, 21:16 (92) //
- от оно чо, михалыч хотя, конечно, нефиг было выпендриваться Ишь чего захотели, пох, 09-Май-19, 21:43 (96)
- Хм, и что это значит В их пакетах shadow и linux-pam настройки по умолчанию раз, Аноним, 10-Май-19, 01:19 (105) //
  - это значит что у них все работало именно как полагается - рут без пароля доступе, пох, 13-Май-19, 12:48 (136)
Вот и выросло поколение, не читавшее Эрика Реймонда , Anonymoustus, 09-Май-19, 21:41 (95)
никогда не понимал смысла использовать этот альпин вместо centos или debian ubun, user455, 10-Май-19, 22:37 (128)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру