- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 10:07 , 20-Авг-18 (1) +3
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 11:13 , 20-Авг-18 (11) +15 [^]
Контейнеры... Изоляция... LOL.
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 11:34 , 20-Авг-18 (17)
>>Контейнеры... Изоляция... LOL.Так недавно ж снова всплыла уязвимость в процессорах (Foreshadow), ставящая под угрозу безопасность vps и облачных хостингов.
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 11:41 , 20-Авг-18 (20) +20 [^]
> Контейнеры... Изоляция... LOL.The 's' in Docker stands for security! - Уязвимость в Docker, связанная с предоставление доступа к /p..., anonymous, 16:14 , 20-Авг-18 (58)
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 16:18 , 20-Авг-18 (59) +2
какой смысл тогда в контейнере? вот у vz и изоляция, и контейнеры настоящие.
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 17:33 , 20-Авг-18 (65) –1
> какой смысл тогда в контейнере? вот у vz и изоляция, и контейнеры настоящие.И где все ваши vz, zones, jails? Теоретические академподелки, не приспособленные для продакшена, хайлода в кластерах на кубернете с битчейном, вымерли естественным путем, как динозавры и остались лишь у немногих надутых гусей и ветеран-админов!
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 18:04 , 20-Авг-18 (66) +6 [^]
А docker прямо приспособлен к прудукшену по самые помидоры! Щаз: https://habr.com/post/346430 . Агрессивной рекламой запудрили мозг умам неокрепшим, пока поймут, что этот docker-фуфел чистейшей воды, пройдёт время. И да, jail-ы и zone-ы где надо, во-первых, как раз используются, во вторых, только они и используются. Но фанатам docker-a об этом неизвестно ибо таковых к тем системам на пушечный выстрел не подпускают, не доросли ещё.
- Уязвимость в Docker, связанная с предоставление доступа к /p..., шухер, 20:43 , 20-Авг-18 (73) +3
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Michael Shigorin, 23:23 , 21-Авг-18 (119) +1
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноний, 18:20 , 20-Авг-18 (67) +1
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 17:33 , 21-Авг-18 (110) –2
давайте вы не будете раскатывать о VZ который по сути прослойка поверх namespace + cgroups..
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Michael Shigorin, 23:21 , 21-Авг-18 (118) +1
- Уязвимость в Docker, связанная с предоставление доступа к /p..., имя, 11:13 , 20-Авг-18 (12) –1
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Харитон, 13:21 , 20-Авг-18 (45)
- Уязвимость в Docker, связанная с предоставление доступа к /p..., SysA, 14:07 , 20-Авг-18 (50)
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 10:21 , 20-Авг-18 (2) +2
in the word Docker `s` letter means security! P.S. уязвимость раскрыта на прошлой неделе, с разморозочкой
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 10:36 , 20-Авг-18 (4) +4
Кто просветит, почему всегда качественные системы уходят в забвение, а всякое дерьмо вроде docker-а занимает рынок и приобретает кучу фанатичных поколонников? Все мухи?
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 10:41 , 20-Авг-18 (5)
> качественные системыкакие?
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 10:54 , 20-Авг-18 (7) +5
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 11:36 , 20-Авг-18 (18) –2
Знавал чела, который на полном серьезе считал "качественным аналогом" докера OpenVZ =)) Еще и админом в небольшом воронежском банке при этом работал.
- Уязвимость в Docker, связанная с предоставление доступа к /p..., lxc, 14:14 , 20-Авг-18 (52) +1
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Некто, 10:41 , 20-Авг-18 (6)
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 11:16 , 20-Авг-18 (13) +2
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 11:51 , 20-Авг-18 (22)
И чем оно лучше докера? Чем армяне? Вроде бы нет, потому что соплярис больше никому не нужен, кроме терпил, посаженных на иглу 20 лет назад.
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 11:59 , 20-Авг-18 (27) –2
Потому что просто работает, стабильно и на любой нагрузке, а не падает, глючит и сыпется как docker.
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 12:04 , 20-Авг-18 (29) +8 [^]
> Вроде бы нет, потому что соплярис больше никому не нужен, кроме терпил, посаженных на иглу 20 лет назад.А паровые турбины не лучше электровелосипеда, потому что паровозы больше никому не нужны, а вот велосипеды совсем наоборот! Альтернативная логика фанатов видна во всей красе.
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 10:56 , 20-Авг-18 (8)
Решил я как-то перевести прод на докер. 10 минут потыкал что-то там и все готово. Выглядит удобно и чистенько. Безопасность - как минимум не хуже чем было до этого, а во многих местах - лучше.
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Ага, 10:58 , 20-Авг-18 (9) +4
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 11:52 , 20-Авг-18 (23)
У тебя докер притянул в зависимостях блютуз, и ты больше не можешь без блютуза работать?
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 15:02 , 20-Авг-18 (56)
> А вы уже пробовали, на своем севрере блютуз выключать ? на моем что то не срабатывает, может блютуза нетА кроме блютуза там ничего больше нет? Ни fan, ни cpu/, ни /sleep?
- Уязвимость в Docker, связанная с предоставление доступа к /p..., нах, 13:05 , 20-Авг-18 (42) +1
- Уязвимость в Docker, связанная с предоставление доступа к /p..., имя, 11:57 , 21-Авг-18 (92) +1
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 12:13 , 21-Авг-18 (95) +1
Чудес на свете не бывает, простых решений для сложных задач тоже, это всё сказки для мелочи пузатой, докеры админящей. Поэтому, с шелухой всякой сваггерной возиться дозволяют докерной мелочи, а для работы с террабайтными rdbms зовут васю-админа соляры, а для работы с тем шкафом от междельмаша, прокручиваующем финтранзакци на лярды в сутки, вообще зовут семидесятилетнего cobol-иста https://habr.com/post/403037/.
- Уязвимость в Docker, связанная с предоставление доступа к /p..., имя, 13:11 , 21-Авг-18 (96)
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 14:07 , 21-Авг-18 (100) +1
Один вопрос: в мире клепается тонны кода для всякой вебни на сваггерах, голынгах и прочих докерах. Если так просто взять и просто решить сложные вещи, то почему любители смузи не клепанут кучу софта, который бы мог обрабатывать миллионы транзакций? анагеры будут только рады. Оно ведь потому легаси везде и держится, потому что замениить нечем. То что наклёпано любителями простоты-работать не будет. Оно работатет только на локалхосте у докерщиков.
- Уязвимость в Docker, связанная с предоставление доступа к /p..., имя, 15:38 , 21-Авг-18 (105)
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 16:35 , 21-Авг-18 (108) +2
>>контейнеры удобны тем, что есть конфиг и настроенное окружение, в котором гарантированно будет >>работать приложение, на какмо бы железе оно не запустилось (не берем, конечно, в расчет ассемблеры) В случае с докером-это объявлено в рекламных буклетах. В реальности же оно совсем не так, работоспособность докера сильно зависит от железа, ОС, системных либ. Чуть в сторону-ловишь странные глюки. И вообще мелких недоделок и багов в докере куча, докер просто лидрует по их количеству в сравнении с другим софтом.
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 16:44 , 21-Авг-18 (109) +2
Разрабы же докера-это особый прикол. Чаще всего они тупо игнорируют репорты, не заводят баги и даже не удосуживаются проверить что-то. Самый частый их ответ-ставить какую-то версию убунты, на которой такая-то бага не воспроизводится. Конечно, взять такую версию убунты, запустить на ней, и некоторой баги действительно уже не будет, только в этом случае уже речи быть не может о наличии в докере тех фич, о которых так кричат докерные буклеты.
- Уязвимость в Docker, связанная с предоставление доступа к /p..., ОМЖ, 01:13 , 22-Авг-18 (127)
- Уязвимость в Docker, связанная с предоставление доступа к /p..., лютый охохоня, 13:19 , 21-Авг-18 (97)
- Уязвимость в Docker, связанная с предоставление доступа к /p..., лютый охохоня, 13:22 , 21-Авг-18 (98)
- Уязвимость в Docker, связанная с предоставление доступа к /p..., topin89, 21:30 , 23-Авг-18 (137)
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 10:58 , 20-Авг-18 (10) +1
Удобно для хостера, удобно для клиента. Только надо помнить, что ничего важного там держать не следует.
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноняшка, 11:20 , 20-Авг-18 (14) +8 [^]
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 11:23 , 20-Авг-18 (15) +1
>>включать и выключать Bluetooth >>активировать подсветку клавиатурыОчень актуально для серверов, да.
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 11:26 , 20-Авг-18 (16)
А самое главное - чтобы софт в контейнере мог писать что-то в /proc/acpi, он должен выполняться под root, что само по себе дыра в безопасности.
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 11:44 , 20-Авг-18 (21)
От задачи зависит. Это же фича контейнера - изолировать приложения в юзерспейсе и предоставлять возможность запускать их даже в *изолированном* руте.
- Уязвимость в Docker, связанная с предоставление доступа к /p..., anonymous, 11:57 , 20-Авг-18 (24) +1
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 11:58 , 20-Авг-18 (25) +7 [^]
> А самое главное - чтобы софт в контейнере мог писать что-то в > /proc/acpi, он должен выполняться под root, что само по себе дыра в безопасности.Вообще-то задумка в изоляции как раз и была в том, чтобы можно было спокойно дать софту виртуального рута или ограничить ущерб при взломе. Но то ведь было в старперских джейлах, зонах и прочем крапе, когда ничего не понимали в проектировании и поддержке современных систем! И только потом пришло просветление и все умные люди внезапно поняли, что контейнерам поддержка изоляции приложений не нужна, ведь они не для этого!
- Уязвимость в Docker, связанная с предоставление доступа к /p..., имя, 11:36 , 20-Авг-18 (19)
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 13:04 , 20-Авг-18 (41) +1
А где же эта хваленая изоляция? Где она? Мы говорим о ней постоянно!
- Уязвимость в Docker, связанная с предоставление доступа к /p..., нах, 13:08 , 20-Авг-18 (43) +3
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 13:15 , 20-Авг-18 (44) –2
> А где же эта хваленая изоляция? Где она? Мы говорим о ней постоянно!Для изоляции приложения есть специально заточенный под это дело, простой, понятный и безбаговый SELinux. А изоляция в контейнерах не нужна (знают все умные люди)!
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 14:12 , 20-Авг-18 (51)
- Уязвимость в Docker, связанная с предоставление доступа к /p..., anonymous, 14:42 , 20-Авг-18 (54)
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Animemous, 19:15 , 20-Авг-18 (68)
- Уязвимость в Docker, связанная с предоставление доступа к /p..., mikhailnov, 23:11 , 20-Авг-18 (76)
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 23:56 , 20-Авг-18 (77) +1
- Уязвимость в Docker, связанная с предоставление доступа к /p..., нах, 14:46 , 20-Авг-18 (55) +3
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Michael Shigorin, 23:33 , 21-Авг-18 (122)
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Alex_hha, 16:45 , 20-Авг-18 (62)
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 17:22 , 20-Авг-18 (64) +3
>> Для изоляции приложения есть специально заточенный под это дело, простой, понятный и безбаговый SELinux > запустите на одном хосте 5 приложений, каждое из которых будет требовать свою версию glibc/ruby/python/php Это был сарказм (в ином случае "простым и понятным" selinux назвать не получится). Потому что чуть выше (правда, уже в удаленных) один из ярых воЕнов, брызгая слюной, доказывал что несогласные с супремностю докера на самом деле суть бзшники-вантузятники-путтиэкзешники, которые не читали новость полностью, ведь там ясно написано, что изоляция делается через селинукс, а не в самом контейнере.
- Уязвимость в Docker, связанная с предоставление доступа к /p..., пох, 20:21 , 20-Авг-18 (70) +2
- Уязвимость в Docker, связанная с предоставление доступа к /p..., anonymous, 11:55 , 22-Авг-18 (130)
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Alex_hha, 16:47 , 20-Авг-18 (63) +1
- Уязвимость в Docker, связанная с предоставление доступа к /p..., Аноним, 03:34 , 21-Авг-18 (84) +3
Что самое интересное, что изначально Docker начинался, как песочница для разработчиков, позволяющая сэкономить время... Потом нашлись "мудрецы", которые посчитали, что этот сырец можно втащить в прод. И понеслась!... Тео Де Раадт давно объяснял причины, почему он не вкладывается в виртуализацию, тем, что на дырявой архитектуре ваять такие же абстракции сверху и потом пытаться добиться общей безопасности хоста и виртуальных машин на нём, это равносильно черпанию воды кружкой из дырявой лодки - если черпать достаточно быстро, то будешь держаться на плаву. Ха-ха-ха! Бизнесу не нужна безопасность - ему нужны деньги. Поэтому мы имеем docker в проде. Поэтому мы имеем целые ботнеты, хостинги спамерские, которые засерают трафик. Бизнесу без разницы, что гонять по сети: спам, ddos, почту, картинки, мультимедиа - всё равно! Лишь бы бабки платили.
- Уязвимость в Docker, связанная с предоставлением доступа к /..., ПавелС, 09:20 , 21-Авг-18 (88) +1
- Уязвимость в Docker, связанная с предоставлением доступа к /..., Аноним, 12:12 , 21-Авг-18 (94) +2
У меня уживаются вместе и docker и lxc, до этого использовал openvz. Везде свои удобства. К примеру на одном из серверов поднята 1С8 + postgres + apache + vnc в Docker и это очень удобно, т.к. можно легко обновлять, деплоить и менять версии или комбинировать в нужном варианте за короткое время. Базы если что за 100Гб. На другом проекте прекрасно живет lxc с проектом. Надо просто делать с понимаем плюсов и минусов, а то получается когда в руках молоток то все вокруг гвозди.
|