forum.opennet.ru

"Уязвимость в Docker, связанная с предоставление доступа к /p..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Уязвимость в Docker, связанная с предоставление доступа к /p..."	+7 +/–
Сообщение от Аноним (-), 20-Авг-18, 11:58
> А самое главное - чтобы софт в контейнере мог писать что-то в > /proc/acpi, он должен выполняться под root, что само по себе дыра в безопасности. Вообще-то задумка в изоляции как раз и была в том, чтобы можно было спокойно дать софту виртуального рута или ограничить ущерб при взломе. Но то ведь было в старперских джейлах, зонах и прочем крапе, когда ничего не понимали в проектировании и поддержке современных систем! И только потом пришло просветление и все умные люди внезапно поняли, что контейнерам поддержка изоляции приложений не нужна, ведь они не для этого!
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в Docker, связанная с предоставление доступа к /p..., opennews, 20-Авг-18, 10:07 [смотреть все]

Epic Fail товарищи, Аноним, 20-Авг-18, 10:07 (1) //
- Контейнеры Изоляция LOL , Аноним, 20-Авг-18, 11:13 (11) //
  - Так недавно ж снова всплыла уязвимость в процессорах Foreshadow , ставящая под , Аноним, 20-Авг-18, 11:34 (17) //
    - Так с интела пора валить , Ivan_83, 20-Авг-18, 13:26 (46)
      - На докер, да , Anonymouss, 20-Авг-18, 16:33 (61)
  - The s in Docker stands for security , Аноним, 20-Авг-18, 11:41 (20)
  - Контейнер изоляция Docker контейнер, но без изоляции , anonymous, 20-Авг-18, 16:14 (58) //
    - какой смысл тогда в контейнере вот у vz и изоляция, и контейнеры настоящие , Аноним, 20-Авг-18, 16:18 (59)
      - И где все ваши vz, zones, jails Теоретические академподелки, не приспособленные, Аноним, 20-Авг-18, 17:33 (65)
        
        А docker прямо приспособлен к прудукшену по самые помидоры Щаз https habr co, Аноним, 20-Авг-18, 18:04 (66)
        
        Докер используют в основном для шедулинга ресурсов тысяч серверов, например одно, лютый охохоня, 21-Авг-18, 07:28 (85)
        
        OpenVZ используется тучей хостеров vds vpsВыходите из погреба , шухер, 20-Авг-18, 20:43 (73)
        Смотрите, люди, на практика Он-то наверняка знает уш-у, карате и много други, Michael Shigorin, 21-Авг-18, 23:23 (119)
      - Переносимость Изоляция часто мешает, например без танцев с бубнов нельзя получи, Аноний, 20-Авг-18, 18:20 (67)
      - давайте вы не будете раскатывать о VZ который по сути прослойка поверх namespace, Аноним, 21-Авг-18, 17:33 (110)
        
        Во-первых, VZ появился задолго до namespaces cgroups, во-вторых, Parallels хорош, Wladmis, 21-Авг-18, 19:51 (111)
  - Ну покажите мне такое на openvz А дыркер -- он и есть дыркер , Michael Shigorin, 21-Авг-18, 23:21 (118)
- Container Linux by CoreOS stable 1800 5 0 docker exec -it d911de0408c3 bin a, имя, 20-Авг-18, 11:13 (12)
- Epic Fail тем, кто при настройке cервера отключает SeLinux Изучить как им польз, Харитон, 20-Авг-18, 13:21 (45) //
  - я отключаю селинукс сложный домен-роль-тип-контекст, чегобль, не ну наx, ОМЖ, 22-Авг-18, 01:08 (126)
- Ну, да Не понятно только почему она в мини , SysA, 20-Авг-18, 14:07 (50)
in the word Docker s letter means security P S уязвимость раскрыта на прошлой, Аноним, 20-Авг-18, 10:21 (2) //
- Вообще-то в начале прошлого месяца , SysA, 21-Авг-18, 15:31 (104)
Кто просветит, почему всегда качественные системы уходят в забвение, а всякое де, Аноним, 20-Авг-18, 10:36 (4) //
- какие , Аноним, 20-Авг-18, 10:41 (5) //
  - BeoS, Аноним, 20-Авг-18, 10:54 (7)
  - Знавал чела, который на полном серьезе считал качественным аналогом докера Ope, Аноним, 20-Авг-18, 11:36 (18) //
    - OpenVZ - аналог Docker а Это он отжог У OpenVZ изоляция настоящая , Аноним, 20-Авг-18, 16:21 (60)
    - Так он, поди, какой-нить мехмат ВГУ кончал, а не факультет словоблудия , Michael Shigorin, 21-Авг-18, 23:25 (120)
  - LXC , lxc, 20-Авг-18, 14:14 (52)
- что по вашему качественная система, peacemaker , Некто, 20-Авг-18, 10:41 (6) //
  - Solaris Zone, Аноним, 20-Авг-18, 11:16 (13) //
    - И чем оно лучше докера Чем армяне Вроде бы нет, потому что соплярис больше ник, Аноним, 20-Авг-18, 11:51 (22)
      - Потому что просто работает, стабильно и на любой нагрузке, а не падает, глючит и, Аноним, 20-Авг-18, 11:59 (27)
        
        Ай да шутник, и где же оно у тебя работает В Серьёзном Бизнесе Где 96 вычислит, Аноним, 20-Авг-18, 12:02 (28)
        
        Вот про шкаф Вы зря Старые шкафы, бывает, уже лет 50 живут, на них могут прыгат, ABATAPA, 21-Авг-18, 08:39 (87)
        
        Это чудо, поди, не видело советских холодильников Которые по те же полвека не , Michael Shigorin, 21-Авг-18, 23:27 (121)
      - А паровые турбины не лучше электровелосипеда, потому что паровозы больше никому , Аноним, 20-Авг-18, 12:04 (29)
- Решил я как-то перевести прод на докер 10 минут потыкал что-то там и все готово, Аноним, 20-Авг-18, 10:56 (8) //
  - А вы уже пробовали, на своем севрере блютуз выключать на моем что то не срабат, Ага, 20-Авг-18, 10:58 (9) //
    - У тебя докер притянул в зависимостях блютуз, и ты больше не можешь без блютуза р, Аноним, 20-Авг-18, 11:52 (23)
      - ДА Уже заказал трансфер донгла в ДЦ, чортов докер не заводится , Ага, 20-Авг-18, 13:46 (49)
    - А кроме блютуза там ничего больше нет Ни fan, ни cpu , ни sleep , Аноним, 20-Авг-18, 15:02 (56)
      - А вы проверьте сами Я ничего из этого не нашёл Только wakeup и PCI0 root c8b039, имя, 20-Авг-18, 15:29 (57)
- качественные - сложный дизайн, языки программирования для взрослых, часто надо з, нах, 20-Авг-18, 13:05 (42) //
  - действительно, почему же ими не пользуются красноглaзие для фана - это иногда по, имя, 21-Авг-18, 11:57 (92) //
    - Чудес на свете не бывает, простых решений для сложных задач тоже, это всё сказки, Аноним, 21-Авг-18, 12:13 (95)
      - ответ один - легаси У миноборны США до сих пор в строю остались компьютеры из 70, имя, 21-Авг-18, 13:11 (96)
        
        Один вопрос в мире клепается тонны кода для всякой вебни на сваггерах, голынгах, Аноним, 21-Авг-18, 14:07 (100)
        
        не переписывается по нескольким причинам 1 работает не трожь 2 как оно работа, имя, 21-Авг-18, 15:38 (105)
        
        В случае с докером-это объявлено в рекламных буклетах В реальности же оно совсе, Аноним, 21-Авг-18, 16:35 (108)
        Разрабы же докера-это особый прикол Чаще всего они тупо игнорируют репорты, не , Аноним, 21-Авг-18, 16:44 (109)
        
        ответ прост до безобразия а кто и сколько мне за это заплатит , ОМЖ, 22-Авг-18, 01:13 (127)
      - В банках транзакции обрабатывают не реляционные СУБД, по крайней мере в современ, лютый охохоня, 21-Авг-18, 13:19 (97)
        
        А что там обрабатывает Уж не не то ли поделие на gridgain hadoop, которое сберт, Аноним, 21-Авг-18, 14:03 (99)
        
        Кем признан провальным Экспертами опеннета Я так тоже могу наплести что у сбер, лютый охохоня, 23-Авг-18, 07:24 (135)
      - Если где-то стоит в продакшоне шкаф снятый с поддержки вендором, это признак бол, лютый охохоня, 21-Авг-18, 13:22 (98)
        
        Скажите это амерканцам, у которых эти шкафы обрабатывают 80 всех финтранзакций,, Аноним, 21-Авг-18, 14:10 (101)
        
        Шкафы стоят потому что софт, который на них крутиться слишком старый и работает , Тьфу, 21-Авг-18, 15:08 (102)
        
        Как так, а где та куча некрасноглызых, умеющих делать просто, с голынгом и докер, Аноним, 21-Авг-18, 15:26 (103)
        
        Аппаратно-программная платформа на базе COBOL, еще вопросы есть Принцип работа, Тьфу, 21-Авг-18, 16:07 (107)
- Вопрос риторический, конечно, но я всё равно отвечу 1 Херовое продвижение Прим, topin89, 23-Авг-18, 21:30 (137)
Удобно для хостера, удобно для клиента Только надо помнить, что ничего важного , Аноним, 20-Авг-18, 10:58 (10)
Банально, включая и выключая блютус, можно морзянкой , по нескольку байт в мину, Аноняшка, 20-Авг-18, 11:20 (14)
Очень актуально для серверов, да , Аноним, 20-Авг-18, 11:23 (15) //
- а это смотря чего-серверов и из чего Как тебе такая красота apt-get -s remove, нах, 20-Авг-18, 12:57 (39) //
  - Что то, товарищ, делаете не то Или систему менять надо root evm apt remove, Anonymus, 21-Авг-18, 10:40 (89)
- Вообще-то этот пример был дан из расчета на уровень домохозяек, чтобы внушительн, SysA, 20-Авг-18, 13:34 (47)
А самое главное - чтобы софт в контейнере мог писать что-то в proc acpi, он дол, Аноним, 20-Авг-18, 11:26 (16) //
- От задачи зависит Это же фича контейнера - изолировать приложения в юзерспейсе , Аноним, 20-Авг-18, 11:44 (21) //
  - Идиоты, которые верят что docker хоть какое-то отношение имеет к безопасности, о, anonymous, 20-Авг-18, 11:58 (26)
- Ха, как будто кто-то из смузихлебателей знает про ключ -u или смотрят в Dockerfi, anonymous, 20-Авг-18, 11:57 (24)
- Вообще-то задумка в изоляции как раз и была в том, чтобы можно было спокойно дат , Аноним, 20-Авг-18, 11:58 (25) //
  - Докеры для того, чтобы даже тот, кто не умеет читать и писать конфиг, мог почувс, Аноним, 20-Авг-18, 20:29 (71) //
    - потому что те кто умеют - заглянут в dockerfile - и обоср ся это запустить - , пох, 21-Авг-18, 20:43 (116)
centos 6 docker --versionDocker version 17 12 0-ce, build c97c6d6 docker run -, имя, 20-Авг-18, 11:36 (19)
А где же эта хваленая изоляция Где она Мы говорим о ней постоянно , Аноним, 20-Авг-18, 13:04 (41) //
- синенькая Так вот же ж она, щас подмотаем опа, proc acpi добавлен в список , нах, 20-Авг-18, 13:08 (43)
- Для изоляции приложения есть специально заточенный под это дело, простой, понятн, Аноним, 20-Авг-18, 13:15 (44) //
  - LXD-docker пашет на rhel, Аноним, 20-Авг-18, 14:12 (51)
  - Я вот уже давно мучаюсь одним вопросом А что если изоляция нужна не руту, а про, anonymous, 20-Авг-18, 14:42 (54) //
    - Не все Кое-что можно без рута Bubblewrap на это дело и пилят , Animemous, 20-Авг-18, 19:15 (68)
    - fakeroot , mikhailnov, 20-Авг-18, 23:11 (76)
    - посмотрите на firejail, Аноним, 20-Авг-18, 23:56 (77)
  - лолшто а, понял, понял Вы бы эта, тег сарказм аккуратнее расставляли специал, нах, 20-Авг-18, 14:46 (55)
  - Вы крашеная, простите PS s на s нн н для большей понятности вопроса, а то ма, Michael Shigorin, 21-Авг-18, 23:33 (122)
запустите на одном хосте 5 приложений, каждое из которых будет требовать свою ве, Alex_hha, 20-Авг-18, 16:45 (62) //
- Это был сарказм в ином случае простым и понятным selinux назвать не получится, Аноним, 20-Авг-18, 17:22 (64)
- 1 а можно вместо этого один раз выпороть пять разработчиков, чтобы они не требо, пох, 20-Авг-18, 20:21 (70) //
  - если я правильно понял, то разрабам из-за жопорукости админа приходиться кодить , Gemorroj, 20-Авг-18, 21:03 (74) //
    - Уволить задним числом заранее кинув на последнюю зарплату и без возможности восс, DevOps, 20-Авг-18, 23:57 (78)
    - разрабам предлагается объяснить, письменно, какие бенефиты компании принесет пер, пох, 21-Авг-18, 20:39 (115)
  - Если у вас на локалхосте используется одна версия, то это ещё не значит, что и в, ALex_hha, 21-Авг-18, 00:07 (79) //
    - lsPHP умеет вроде , DevOps, 21-Авг-18, 00:11 (80)
    - выделили Переводят Именно со словами поддерживать старый хлам - слишком дорог, пох, 21-Авг-18, 07:44 (86)
      - оно и понятно, в рога и копыта на локалхосте такого и не нужно Дальше можно н, ALex_hha, 21-Авг-18, 11:00 (90)
        
        модули апача - это именно уровень ваших рогов и копыт fpm ниасилен, понятен , пох, 21-Авг-18, 20:07 (113)
      - в нормальных фирмах она переложена на devops, но у вас по ходу такого не слышали, ALex_hha, 21-Авг-18, 11:02 (91)
        
        это и есть никто Админы-недоучки, для которых, о ужас, две версии пехепе на одн, пох, 21-Авг-18, 20:21 (114)
        
        Э как бомбануло у админа D, ALex_hha, 21-Авг-18, 23:53 (124)
        
        И в чём же она выражается , Michael Shigorin, 21-Авг-18, 23:38 (123)
        
        да во всем том же, в чем и у обычных сисадминов В отслеживании уязвимостей и ус, ALex_hha, 22-Авг-18, 09:02 (129)
        
        За исключением того что у них девопсов этих ваших как правило нет для этого ни, anonymous, 22-Авг-18, 12:01 (131)
        
        с какого перепуга Я вот проработал 10 лет сисадмином, последние 3 года работаю , Alex_hha, 22-Авг-18, 13:52 (133)
        
        И за всё это время не сталкивался с chroot, jail, vserver, openvz, lxc, а также , angra, 22-Авг-18, 23:45 (134)
        
        Конечно сталкивался, просто в докере это на порядок удобнее Я вот посмотрел бы,, ALex_hha, 23-Авг-18, 12:22 (136)
- А нахрена их запускать на одном хосте , anonymous, 22-Авг-18, 11:55 (130)
О какой изоляции тут можно говорить, после Meltdown Spectre Foreshadow , Alex_hha, 20-Авг-18, 16:47 (63) //
- AMD, Аноним, 20-Авг-18, 20:30 (72)
Что самое интересное, что изначально Docker начинался, как песочница для разрабо, Аноним, 21-Авг-18, 03:34 (84) //
- ну так они - сэкономили Теперь то, что они разработали, прекрасно работает не, пох, 21-Авг-18, 21:52 (117)
Давненько я присылал на kernel org патчик с испправлением некоторых пермишенов в, ПавелС, 21-Авг-18, 09:20 (88) //
- Agile, Ant, 21-Авг-18, 12:09 (93)
У меня уживаются вместе и docker и lxc, до этого использовал openvz Везде свои , Аноним, 21-Авг-18, 12:12 (94) //
- А теперь представь себе что что-то пошло не так и тебе нужно вытянуть из докера , anonymous, 21-Авг-18, 15:48 (106) //
  - ну docker cp же ж только вот что-то пошло не так в случае докера обычно - , пох, 21-Авг-18, 20:04 (112)
  - И в чем проблема Базы как правило выносятся на volume, так что если что то пошл, ALex_hha, 22-Авг-18, 00:14 (125) //
    - volume небезопасны от команды docker pruneнужно монтировать как папку, Аноним, 22-Авг-18, 04:26 (128)
      - С таким же успехом обычные базы не безопасны от rm -fr, но мы тут держимся D, Alex_hha, 22-Авг-18, 13:44 (132)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру