The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Уязвимость в Docker, позволяющая выбраться из контейнера, opennews (??), 29-Май-19, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +19 +/
Сообщение от Аноним (1), 29-Май-19, 13:22 
Ждем комментаторов с искрометными шутками про "девляпсов" и "контейнеры нинужны".
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +10 +/
Сообщение от КэГэБэ эСэСэСэР (?), 29-Май-19, 13:25 
Контейнеры нинужны, у меня на Windows 10 ничего не изолировано и работает.
Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +8 +/
Сообщение от Аноним (42), 29-Май-19, 16:54 
И тебе нечего скрывать.
Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в Docker, позволяющая выбраться из контейнера"  –2 +/
Сообщение от VINRARUS (ok), 29-Май-19, 18:32 
> у меня на Windows 10 ничего не изолировано

Ничего кроме тебя самого.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от Andrey Mitrofanov_N0 (?), 29-Май-19, 13:26 
> Ждем комментаторов с искрометными шутками про "девляпсов" и "контейнеры нинужны".

"" Дыркер -- он про сак-сцесс и искромётные комментарии! ""
++https://www.opennet.ru/openforum/vsluhforumID3/117218.html#41

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

64. "Уязвимость в Docker, позволяющая выбраться из контейнера"  –1 +/
Сообщение от Аноним (64), 29-Май-19, 19:35 
"" поставил тебе [-] ""
///"" -- первый -- безумный!  -- Текст. ""
///второй безумный "Текст" -- ${вставить_еще_один_безумный_текст}
<///>
(с)
Ответить | Правка | Наверх | Cообщить модератору

137. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от Васян (?), 30-Май-19, 17:47 
Митрофаныч, у тебя учетку на опеннетике угнали что ли?
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

138. "Уязвимость в Docker, позволяющая выбраться из контейнера"  –1 +/
Сообщение от Васян (?), 30-Май-19, 17:49 
Граждане, это поддельный Митрофанушко!
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +5 +/
Сообщение от Аноним (5), 29-Май-19, 13:30 
Почему это не нужны? Это хорошый способ предотвратить возможность какому-нибудь софтверному каловому монстру засрать твою систему кривыми либами зависимостей. А те кто пытается использовать решения, изначально не разрабатывавшиеся безопасными, для изоляции - сами себе злобные буратина.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

40. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +3 +/
Сообщение от Аноним (40), 29-Май-19, 16:37 
>Это хорошый способ предотвратить возможность какому-нибудь софтверному каловому монстру засрать твою систему кривыми либами зависимостей.

Этот кейс требует изоляции только на уровне файловой системы, что легко решается более легковесными средствами, чем контейнеры (если, конечно, софт скачивается из доверенного источника, однако новости показывают, что качать докер-образы откуда попало так себе идея - возможность эксплуатации уязвимостей в докере, пустые рутовые пароли, древние либы с уязвимостями внутри контейнера, и т.д.)

Вот если для запуска дерьмодемона нужна еще какая-то нетривиальная настройка системы, тогда без контейнера не обойтись.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +1 +/
Сообщение от freehckemail (ok), 29-Май-19, 18:31 
> Этот кейс требует изоляции только на уровне файловой системы, что легко решается более легковесными средствами, чем контейнеры

Да, но инфраструктура более легковесных в плане ресурсов решений оказывается более тяжеловесной в использовании. У докера, вон, большое сообщество, есть готовые базовые имиджи чуть ли не для всего на свете. А в случае schroot, например, мне надо дебутстрапить предварительно окружения самостоятельно, и это не делается одной командой, увы.

С учётом того, что продакшен нынче пошёл активно в контейнерах существовать, использовать докер для подобной изоляции становится более простым и удобным решением: всегда легче заюзать инструмент, который используешь на постоянной основе. И это хорошо и правильно.

Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от Anonymoustus (ok), 29-Май-19, 19:03 
Вопрос лишь о том, зачем под доскер подстилать большую юникс-подобную систему, причём искорёженную и переломанную ради этого самого доскера до полной потери черт юникса. Не проще ли было написать специальные мелкие пускали для доскера, не портя линукс и целую прорву ГНУтого софта? Более того — а не лучше ли было для задач, которые суют в доскер, писать отдельные специальные маленькие системки для виртуальных машин? И не ломать, опять же, линукс и целую кучу ГНУтого софта.
Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимость в Docker, позволяющая выбраться из контейнера"  –2 +/
Сообщение от freehckemail (ok), 29-Май-19, 19:53 
> Вопрос лишь о том, зачем под доскер подстилать большую юникс-подобную систему, причём
> искорёженную и переломанную ради этого самого доскера до полной потери черт
> юникса.

Анонимаустус, а каким боком и что именно докер сломал-то? =/

Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +1 +/
Сообщение от Anonymoustus (ok), 29-Май-19, 20:12 
Не доскер сломал, а те, кто из линукса делают корпоративную пускалку для доскеров-шмоскеров.
Ответить | Правка | Наверх | Cообщить модератору

98. "Уязвимость в Docker, позволяющая выбраться из контейнера"  –4 +/
Сообщение от IRASoldier_registered (ok), 30-Май-19, 02:34 
> не портя линукс и целую прорву ГНУтого софта
> корпоративную пускалку

Никсы нужны для того, чтобы ими пользоваться, причём - как _угодно_, так и пользоваться, в т.ч. и для корпоративных задач. А не для того, чтобы молиться на ГНУ.

Ответить | Правка | Наверх | Cообщить модератору

102. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от Anonymoustus (ok), 30-Май-19, 07:17 
>> не портя линукс и целую прорву ГНУтого софта
>> корпоративную пускалку
> Никсы нужны для того, чтобы ими пользоваться, причём - как _угодно_, так
> и пользоваться, в т.ч. и для корпоративных задач. А не для
> того, чтобы молиться на ГНУ.

Здесь у нас, похоже, ещё один опоздавший родиться, не читавший ни Реймонда, ни Кернигана, ни других старейшин, причастных к Юниксу, и, следовательно, не понявший, что такое Юникс и в чём его _главное_ предназначение.

Такие вот специалисты и превратили линукс в «ваш новый стандарт», залитый свержу системдой полужидкой консистенции.

Ответить | Правка | Наверх | Cообщить модератору

114. "Уязвимость в Docker, позволяющая выбраться из контейнера"  –2 +/
Сообщение от Аноним (114), 30-Май-19, 13:25 
Ой, а в чём, расскажИте? А то вы может тоже похоже не читали.
Ответить | Правка | Наверх | Cообщить модератору

116. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от Anonymoustus (ok), 30-Май-19, 13:28 
Эти ссылки не для тебя, невежливый аноним, ты всё равно читать не будешь. Это для редких на опеннете искренне интересующихся знаниями молодых людей:

https://www.opennet.ru/openforum/vsluhforumID3/117471.html#58

https://www.opennet.ru/openforum/vsluhforumID3/117471.html#59

Ответить | Правка | Наверх | Cообщить модератору

154. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от Andrey Mitrofanov_N0 (?), 31-Май-19, 08:49 
> Эти ссылки не для тебя, невежливый аноним, ты всё равно читать не
> будешь. Это для редких на опеннете искренне интересующихся знаниями молодых людей:
> https://www.opennet.ru/openforum/vsluhforumID3/117471.html#58
> https://www.opennet.ru/openforum/vsluhforumID3/117471.html#59

Про macOS и "Все те маленькие (sh, awk, sed, vi/vim и пр.) и не очень маленькие (Perl, Python, GCC, Emacs) средства" в нём -- сильно.  Отдел Эппле горлится тобой.  И не один!

Ответить | Правка | Наверх | Cообщить модератору

155. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от Anonymoustus (ok), 31-Май-19, 09:03 
https://www.opengroup.org/openbrand/register

Если бы ты пользовался Маком, ты бы знал, почему именно его, а не линукс, предпочитают большинство разработчиков для линукса по всему миру. Удивительное рядом, Андрюша, ты просто не стесняйся замечать.

Ответить | Правка | Наверх | Cообщить модератору

141. "Уязвимость в Docker, позволяющая выбраться из контейнера"  –3 +/
Сообщение от IRASoldier_registered (ok), 30-Май-19, 18:09 
...И не для того, чтобы молиться на священные книги предков и основателей. Предназначение операционной системы в том, в чём его видит пользователь операционной системы.

Такие вот знатоки и пытаются сделать из практической полезняшки религию.

>линукс в «ваш новый стандарт», залитый свержу системдой полужидкой консистенции

А, ты нашёл Фатальный Недостаток? Иди и пили свой собственный тру-Юникс, IDE, сборочную машину и запускалку С-программ. Выкладывай на гитхаб, гитлаб или куда-нибудь ещё. Люди посмотрят, потыкают палочкой.

Ответить | Правка | К родителю #102 | Наверх | Cообщить модератору

144. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от Anonymoustus (ok), 30-Май-19, 18:28 
> ...И не для того, чтобы молиться на священные книги предков и основателей.
> Предназначение операционной системы в том, в чём его видит пользователь операционной
> системы.
> Такие вот знатоки и пытаются сделать из практической полезняшки религию.

Ты книжки почитай по моим ссылкам, проникнись, _пойми_ наконец, _что такое_ Юникс и для чего он вообще был _таким_ создан — тогда возвращайся и продолжим дискуссию. Пока что на твоём нынешнем уровне ты пытаешься заколачивать гвозди микроскопом, то есть из совершенной системы сделать пускалку для тупых доскеров или десктопов. А если бы ты понимал философию Юникса, то тебя бы от этого извращения коробило.


>>линукс в «ваш новый стандарт», залитый свержу системдой полужидкой консистенции
> А, ты нашёл Фатальный Недостаток? Иди и пили свой собственный тру-Юникс, IDE,
> сборочную машину и запускалку С-программ. Выкладывай на гитхаб, гитлаб или куда-нибудь
> ещё. Люди посмотрят, потыкают палочкой.

Нет, я просто знаю, чем закончили свой путь другие юникс-подобные системы, в которые вкорячили «системный менеджер». Корпорастам и любителям доскеров невдомёк, что если портить и ломать такую систему, то однажды она таки сломается и закончится, под неё перестанут писать программы, её не будут больше использовать, поскольку ценностью любого юникса является именно то, что он юникс. Это непреходящая и самодостаточная ценность, совершенная концепция и философия ОС и её средств.

Лучше бы вы FrеeDOS какой-нибудь для своих фантазий приспособили.

Ответить | Правка | Наверх | Cообщить модератору

145. "Уязвимость в Docker, позволяющая выбраться из контейнера"  –2 +/
Сообщение от IRASoldier_registered (ok), 30-Май-19, 20:10 
>книжки почитай
>тогда возвращайся и продолжим дискуссию
>то тебя бы от этого извращения коробило
>из совершенной системы сделать

Книжки-то интересные. И читанные. Но _дискуссия_ не имеет никакого реального смысла. Потому что все эти твои стенания про "извращения" - это архитектурная вкусовщина. Систему МОЖНО использовать как пускалку для десктопов и докеров? Можно. Точка. Дискутировать можно по ДРУГОМУ вопросу - насколько ЭФФЕКТИВНО решение по использованию этой системы для запуска десктопов и докеров. Эффективно для наилучшего функционирования этих самых десктопов и докеров, разумеется.

И, кстати, раз система совершенная - это подразумевает её универсальность, как одну из составляющих совершенности или нет? Если подразумевает - то не удивительно её широкое использование для РАЗНЫХ задач, а не сеансы фапания на её совершенство.

Так что возьми себя в руки, уймись и не забудь принять таблетки.

>FrеeDOS какой-нибудь для своих фантазий приспособили

DOS -> ... -> Windows. Тоже нормальный вариант для десктопа. Если религия позволяет.

Ответить | Правка | Наверх | Cообщить модератору

153. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от Andrey Mitrofanov_N0 (?), 31-Май-19, 08:41 
> Здесь у нас, похоже, ещё один опоздавший родиться, не читавший ни Реймонда,
> ни Кернигана, ни других старейшин, причастных к Юниксу, и, следовательно, не
> понявший, что такое Юникс и в чём его _главное_ предназначение.

"Главное" было в рисёрче на авось продажникам AT&T прокатит.

Чего бы там академия с примкнувшим к ним реймондом ни говорили.


> Такие вот специалисты и превратили линукс в «ваш новый стандарт», залитый свержу
> системдой полужидкой консистенции.

Да, названия ярлычков и корпораций поменялись с тех пор.

В маркетинге и манипуляциях толпой они поднаторели.  Всё во славу Тельца.

Ответить | Правка | К родителю #102 | Наверх | Cообщить модератору

156. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от Anonymoustus (ok), 31-Май-19, 09:12 
>> Здесь у нас, похоже, ещё один опоздавший родиться, не читавший ни Реймонда,
>> ни Кернигана, ни других старейшин, причастных к Юниксу, и, следовательно, не
>> понявший, что такое Юникс и в чём его _главное_ предназначение.
> "Главное" было в рисёрче на авось продажникам AT&T прокатит.
> Чего бы там академия с примкнувшим к ним реймондом ни говорили.

Юникс изначально делали не для продажи (для продажи там были другие товары и услуги), а для себя. Именно по этой причине он таким спроектирован — как IDE и ОС «два-в-одном». В те годы даже самой идеи такой не было — продавать софт.

Читайте правильные книжки, товарищи.


>> Такие вот специалисты и превратили линукс в «ваш новый стандарт», залитый свержу
>> системдой полужидкой консистенции.
> Да, названия ярлычков и корпораций поменялись с тех пор.
> В маркетинге и манипуляциях толпой они поднаторели.  Всё во славу Тельца.

Что говорить, если сам Столлман и его гоп-компания столько лет за мзду малую умышленно не разрабатывают ядро собственной ГНУ-системы. Корифеи.

Ответить | Правка | Наверх | Cообщить модератору

117. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +1 +/
Сообщение от анонн (?), 30-Май-19, 13:28 

> Никсы нужны для того, чтобы ими пользоваться, причём - как _угодно_, так
> и пользоваться, в т.ч. и для корпоративных задач.

И где теперь все те никсы "для корпоративных задач" которыми пользовались? (Гусары, молчать!)


Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

139. "Уязвимость в Docker, позволяющая выбраться из контейнера"  –1 +/
Сообщение от IRASoldier_registered (ok), 30-Май-19, 17:55 
> И где теперь все те никсы "для корпоративных задач" которыми пользовались? (Гусары,
> молчать!)

Самые распространенные в этом сегменте дистрибутивы линуксов / бсд - ну да ты ж и сам можешь названия поискать - вот прямо на этом сайте.

Ответить | Правка | Наверх | Cообщить модератору

142. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от анонн (?), 30-Май-19, 18:11 
>> И где теперь все те никсы "для корпоративных задач" которыми пользовались? (Гусары,
>> молчать!)
> Самые распространенные в этом сегменте дистрибутивы линуксов

И это отвечает на какой вопрос?

Помимо того, что если даже забыть о "Linux is not Unix", то все равно - "дистрибутивы линуксов" это не "никсы", а один "никс", но в разных обертках.
И речь шла как бы о
> не ломать, опять же, линукс

и ваш же ответ
> Никсы нужны для того, чтобы ими пользоваться, причём - как _угодно_, так и пользоваться, в т.ч. и для корпоративных задач.

А "все те никсы для корпоративных задач" - это про HP-UX, SunOS, Xenix, Irix.
Ими пользовались "для корпоративных задач", да. Интересно, где они теперь и не повторится ли та же история (тем более, то же System V было пропихнуто в качестве нового стандарта то ли перед, то ли во время Unix Wars - ничего не напоминает?)

Ответить | Правка | Наверх | Cообщить модератору

146. "Уязвимость в Docker, позволяющая выбраться из контейнера"  –1 +/
Сообщение от IRASoldier_registered (ok), 30-Май-19, 20:29 
>"Linux is not Unix" (...) один "никс", но в разных обертках

Какой-то уход разговора в сторону и кашеобразие. С чего началось? Началось с того, что тут товарища бомбит от того, что б-жественный Юникс используют типа неправильно и б-гохульно.

>это про HP-UX, SunOS, Xenix, Irix
>и не повторится ли та же история

В корпоративном сегменте вовсю используют, OMG, Убунточку. И имеют с того ништяки и профит. Так что о чём ты? А то, что история юниксофорков древовидна и находится в динамике, где какие-то ветви растут и делятся, а какие-то отмирают - ну так это Кэп. Это ни плохо, ни хорошо. It's life.


Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимость в Docker, позволяющая выбраться из контейнера"  –2 +/
Сообщение от Anonymouss (?), 29-Май-19, 20:53 
Сделали уже.
Маленькая пускалка для docker
https://rancher.com/rancher-os/
Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

103. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от Аноним (103), 30-Май-19, 08:29 
>Да, но инфраструктура более легковесных в плане ресурсов решений оказывается более тяжеловесной в использовании. У докера, вон, большое сообщество, есть готовые базовые имиджи чуть ли не для всего на свете. А в случае schroot, например, мне надо дебутстрапить предварительно окружения самостоятельно, и это не делается одной командой, увы.

Потому что это не правильный подход. Надо не систему бутстрапить, а сбандлить с приложением либы, которое оно использует, с помощью инструментов вроде linuxdeploy

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

56. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от freehckemail (ok), 29-Май-19, 18:28 
> Почему это не нужны? Это хорошый способ предотвратить возможность какому-нибудь софтверному каловому монстру засрать твою систему кривыми либами зависимостей.

Плюсую. А ещё деплой удобнее в разы становится.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

72. Скрыто модератором  +1 +/
Сообщение от пох. (?), 29-Май-19, 20:11 
Ответить | Правка | Наверх | Cообщить модератору

86. Скрыто модератором  +/
Сообщение от хотел спросить (?), 29-Май-19, 22:05 
Ответить | Правка | Наверх | Cообщить модератору

91. Скрыто модератором  +/
Сообщение от пох. (?), 29-Май-19, 22:13 
Ответить | Правка | Наверх | Cообщить модератору

97. Скрыто модератором  –2 +/
Сообщение от хотел спросить (?), 30-Май-19, 02:28 
Ответить | Правка | Наверх | Cообщить модератору

122. Скрыто модератором  +/
Сообщение от пох. (?), 30-Май-19, 13:54 
Ответить | Правка | Наверх | Cообщить модератору

147. Скрыто модератором  –2 +/
Сообщение от хотел спросить (?), 30-Май-19, 21:54 
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +3 +/
Сообщение от Аноним (8), 29-Май-19, 13:49 
Если писать код абсолютно правильно, то контейнеры не особо то и нужны. Но с ними проще, на многое можно забить.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

10. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +1 +/
Сообщение от kai3341 (ok), 29-Май-19, 14:07 
>  Если писать код абсолютно правильно, то контейнеры не особо то и нужны. Но с ними проще, на многое можно забить.
> абсолютно

максималист детектед. Возвращайся в мир собственных фантазий

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +1 +/
Сообщение от Аноним (40), 29-Май-19, 16:27 
>Если писать код абсолютно правильно, то контейнеры не особо то и нужны.

Контейнеры были придуманы для разделения ресурсов между сервисами, выполняющимися в облачной инфраструктуре. И в этой нише конкуренция идет в основном между различными типами этих самых контейнеров, так как виртуализация всегда имеет больше накладных расходов. А то, что некоторые макаки забивают гвозди микроскопами - это как бы совсем не означает, что микроскопы не нужны и их легко заменить молотками.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

87. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +3 +/
Сообщение от пох. (?), 29-Май-19, 22:06 
> Контейнеры были придуманы для разделения ресурсов между сервисами, выполняющимися в облачной

да ну нах? Я-то думал для разделения ресурсов были придуманы многозадачные операционные системы, где-то лет пятьдесят назад (и да, они умели э...как это..."облачную инфраструктуру". В смысле, можно было собрать "кластер" из двух EC1045)

> инфраструктуре. И в этой нише конкуренция идет в основном между различными
> типами этих самых контейнеров, так как виртуализация всегда имеет больше накладных

серьезно? Вы где видите в продакшн какие-то еще "контейнеры"? Вообще контейнеры, я уж не уточняю "отличные от доскера", а не впопенштифт поверх къебенетеса.

виртуализация имеет помимо накладных расходов (которые хрен померяешь на фоне накладных расходов, ну,например, операционной системы с доскером в доскере в доскере - кто менял производительность прекрасной overlayfs, ась?) определенные бонусы - например, таки обеспечивая относительно надежную изоляцию - дальше poc эксплойты пока не продвинулись.

> расходов. А то, что некоторые макаки забивают гвозди микроскопами - это

это неизбежно следствие массового выпуска микроскопов без линз, с большой деревянной ручкой и металлической херней на конце. Для изучения микромира непригодных в принципе. Гвозди тоже хреново забивают, тут согласен.


Ответить | Правка | Наверх | Cообщить модератору

135. "Уязвимость в Docker, позволяющая выбраться из контейнера"  –1 +/
Сообщение от SysA (?), 30-Май-19, 17:27 
systemd-nspawn
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

59. "Уязвимость в Docker, позволяющая выбраться из контейнера"  –3 +/
Сообщение от лютый жабист__ (?), 29-Май-19, 18:44 
>Если писать код абсолютно правильно, то контейнеры не особо то и нужны

Если использовать java EE, то доцкер не нужен. Может есть и другие вменяемые платформы, хз.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

123. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +1 +/
Сообщение от пох. (?), 30-Май-19, 14:09 
>>Если писать код абсолютно правильно, то контейнеры не особо то и нужны
> Если использовать java EE, то доцкер не нужен.

угу, вместо сравнительно дешевого девляпса надо кормить наглого и распухшего от собственной важности жабиста.

Иначе в любой момент можно получить в морду бэктрейсом, и ни одна живая душа на свете не сможет объяснить, чего тут сломалось и чего этой уродине надо.

> Может есть и другие вменяемые платформы, хз.

есть, но жабка в их список не входит.

P.S. утром рассыпался filr - да-да, все как ты любишь, томкэт, жабка-ээ, поиски по всему диску кривыми башевскими скриптами запчастей и жалобы что нашла не то не так и не там вместо нормальных логов. Повезло - "починил" вручную запустив сдохший сервис. Почему он не загружался автоматически - жабист его знает.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +1 +/
Сообщение от Fyjybv755 (?), 29-Май-19, 15:22 
> Ждем комментаторов с искрометными шутками про "девляпсов" и "контейнеры нинужны".

У "девляпсов" копирование файлов в контейнер (точнее, образ) выполняется только при docker build, когда контейнер, внезапно, не выполняется. Для всего остального есть volumes.

Менять что-то в контейнере вручную - крайне бессмысленная задача, так они обычно создаются и уничтожаются автоматически при деплое.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

33. "Уязвимость в Docker, позволяющая выбраться из контейнера"  –2 +/
Сообщение от пох. (?), 29-Май-19, 16:07 
> Для всего остального есть volumes.

объявленные (те что персистентны, а не каждый раз вручную) deprecated пять лет назад и с тех пор по этому поводу толком не поддерживаемые (оставляют неудобообнаруживаемый и неудобоудаляемый мусор в системе, не видны обычными инструментами если не знать и не спросить специально)? Отличное решение, так держать.

Ну и вот ни разу не поверю, что копирование файлов ИЗ контейнера - никогда-никогда не случается у девляпсов. А баг, как я понимаю, эксплойтится и этим способом замечательно.

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от Анониим (?), 29-Май-19, 17:00 
> deprecated

И чем заменять предлагают?

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в Docker, позволяющая выбраться из контейнера"  –1 +/
Сообщение от пох. (?), 29-Май-19, 17:58 
> И чем заменять предлагают?

как обычно, ничем - "как, вы не слышали? в какой криокамере вы спали? standalone docker давно уже ж немодно, все на k8s, бегом, бегом, некогда разбираться, ляпай давай!"

его, разумеется, тоже будет некогда доделывать - "все бегом в впопенштифт, управлять кластером руками ересь и предрассудки!"

Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +2 +/
Сообщение от Аноним (53), 29-Май-19, 18:13 
в k8s все тем более через volume-ы делается
Ответить | Правка | Наверх | Cообщить модератору

112. "Уязвимость в Docker, позволяющая выбраться из контейнера"  –1 +/
Сообщение от Fyjybv755 (?), 30-Май-19, 12:41 
Судя по его комментам в этом обсуждении, докер он видел только на картин^Wвинде, а про кубер и сварм вообще только слышал.
Ответить | Правка | Наверх | Cообщить модератору

125. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от пох. (?), 30-Май-19, 14:16 
> Судя по его комментам в этом обсуждении, докер он видел только на
> картин^Wвинде, а про кубер и сварм вообще только слышал.

ваш сварм - такое же устаревшее ненужно, уже выкинутое ляпателями доскера в помойку, не доделывать же его, в самом-то деле?

Работает оно примерно вот так:
https://github.com/docker/docker-credential-helpers/issues/103
(да, проблема не в непосредственно его коде, но она, как видим, вылезла на куче систем и у кучи людей - просто потому что ляпалки не умеют тестировать прежде чем пихать что попало в зависимости)

и  ничего, пол-года никого не беспокоило - а чо, подумаешь, билд ломается, pull-то не ломается, зачем что собирать, вон тащи с хаба, уже за тебя собрали как попало что попало!

А новые-модные пацанчики им не пользуются - устаревшая негодная технология, не иначе.


P.S. отдельно доставил девляпский способ "решения" проблемы - тоже, судя по комментом, радостно подхваченный миллионами мух. Не буду объяснять что с ним не так, вам не надо лишних знаний.

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от sailorCat (?), 29-Май-19, 17:37 
> у и вот ни разу не поверю, что копирование файлов ИЗ контейнера - никогда-никогда не случается у девляпсов.

Осталось найти девопса и убедить его сто раз скачать файл из работающего контейнера. Если повезёт, этого хватит, чтобы сработала уязвимость.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

50. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от пох. (?), 29-Май-19, 18:00 
ну нет, зачем же так - надо найти девопса с десятью тысячами контейнеров, и как-то развести на нужный и полезный файл где-то в одном из. Вероятность попадания резко увеличивается.

Ответить | Правка | Наверх | Cообщить модератору

111. "Уязвимость в Docker, позволяющая выбраться из контейнера"  –1 +/
Сообщение от Fyjybv755 (?), 30-Май-19, 12:39 
Ага, админ десяти тысяч контейнеров не имеет никакой автоматизации и чуть что - сам лезет чинить.
Десять тысяч раз в день, ага.

Ну и бред вы несете.

На практике, если с каким-то контейнером проблема - его проще редеплойнуть, чем ковыряться в его потрохах и выяснять, кто там pid-файл забыл убрать.

Ответить | Правка | Наверх | Cообщить модератору

118. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от Аноним (114), 30-Май-19, 13:31 
> Ага, админ десяти тысяч контейнеров не имеет никакой автоматизации и чуть что - сам лезет чинить.

Зачем ты приписываешь свои слова другим?

> проще редеплойнуть, чем ковыряться

На практике проще.
Но не правильней.
Потому, что если всё делать как проще, то получится:

> Ну и бред вы несете.

Ответить | Правка | Наверх | Cообщить модератору

126. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от пох. (?), 30-Май-19, 14:22 
> Ага, админ десяти тысяч контейнеров не имеет никакой автоматизации

ну нет, зачем же - он как раз автоматически наш эксплойт и запустит, вручную-то хрен разведешь на такую тяжкую работу. Возможно даже и не зная о том - мало ли кто и когда чего заавтоматизировал еще до него - разбираться некогда, давай еще сорок подов поднимай.

> На практике, если с каким-то контейнером проблема - его проще редеплойнуть, чем

а оно вот, опять. И еще в пятистах, и число их растет.
Не, не будем ковыряться, какая нам разница что там не работает - проще редеплойнуть, ага?

А потом прод лежит, потому что число "не совсем так работающих" превысило запас прочности системы, и они продолжают валиться.

Мы за это (в смысле - перезапуск автоматикой без попыток разобраться, что именно в этом инстансе пошло не так), кстати, дежурную смену штрафовали, именно по этой причине. Надеюсь, они все уже развились в девопсов, а самые умные - сменили профессию.

Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

128. "Уязвимость в Docker, позволяющая выбраться из контейнера"  –1 +/
Сообщение от Fyjybv755 (?), 30-Май-19, 15:52 
> ну нет, зачем же - он как раз автоматически наш эксплойт и запустит

docker cp? Нет, не запустит. В процессе продового деплоя отладочным операциям не место.

> Не, не будем ковыряться, какая нам разница что там не работает - проще редеплойнуть, ага?

Для ветеран-админов из девяностых, у которых одновременно в ведении было максимум десяток демонов, сложно понять, как можно работать с десятком тысяч контейнеров. Вы все время проецируете SOHO-методы - вручную чинить каждый сбой каждого приложения.
Действительно, зачем нужны системы мониторинга и коллекторы ошибок - админ сам зайдет, посмотрит и починит, лично, на всех ста серваках одновременно, ага.

Ответить | Правка | Наверх | Cообщить модератору

132. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от пох. (?), 30-Май-19, 16:08 
> docker cp? Нет, не запустит. В процессе продового деплоя отладочным операциям не
> место.

ага, перезапускать до посинения прода, после - обновить резюме.

>> Не, не будем ковыряться, какая нам разница что там не работает - проще редеплойнуть, ага?
> Для ветеран-админов из девяностых, у которых одновременно в ведении было максимум десяток
> демонов, сложно понять, как можно работать с десятком тысяч контейнеров. Вы

так же, как мы работали с тысячей-другой физических хостов без всяких контейнеров - ничего ужасного в этом нет.

> все время проецируете SOHO-методы - вручную чинить каждый сбой каждого приложения.

это как раз промышленные методы - _сбоям_, а не отладке,  на проде не место. Как и лечению перезапуском.

Если нельзя откатиться на заведомо исправную версию - да, идешь и разбираешься, что сломалось. Если делаешь это вручную - достаточно одного инстанса каждого типа, затронутого ошибкой.
Ну а если все переавтоматизировал так, что ручного доступа вообще нет - получай в свой канализационный коллектор терабайт ненужного мусора и ищи там, как хочешь.

хотя да, зачем - надо просто перезапустить, потом еще два раза перезапустить, потом обновить резюме и еще раз перезапустить.

В резюме, разумеется, не забыть упомянуть опыт обслуживания продакшн-систем с миллионом инстансов.


Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +1 +/
Сообщение от Анонимус2 (?), 29-Май-19, 19:38 
Где вы такую траву берете? Или вы машину времени украли и пишете из 2030 года?
Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

115. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от Аноним (114), 30-Май-19, 13:27 
Не машину, а вагон времени. Всё это ваше ГНУ именно про вагон бесплатного чужого времени.
Ответить | Правка | Наверх | Cообщить модератору

157. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от Andrey Mitrofanov_N0 (?), 31-Май-19, 09:21 
> Не машину, а вагон времени. Всё это ваше ГНУ именно про вагон
> бесплатного чужого времени.

Сестра, тампоны!  В треде ушибленный ГНУ!1

У тебя ушиб, если ты "девляпсы" выше по треду или "дыркер" из новости "перевёл" на гну.

Прикладывай лёд.

Ответить | Правка | Наверх | Cообщить модератору

110. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от Fyjybv755 (?), 30-Май-19, 12:35 
> объявленные (те что персистентны, а не каждый раз вручную)

О, сразу видно великого спеца по девляпсам. Контейнеры, значит, вручную создаете.

На практике, где-либо, кроме тестового стенда, никто такой фигней не занимаются. Контейнеры со всеми томами, портами и лимитами создаются автоматически системой деплоя, поэтому никаких "вручную" быть не может по определению. Более того, в нормальной инфраструктуре система мониторинга выявляет все созданные и измененные "вручную" контейнеры на продовых серваках и поднимает critical alert.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

127. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от пох. (?), 30-Май-19, 14:25 
>> объявленные (те что персистентны, а не каждый раз вручную)
> О, сразу видно великого спеца по девляпсам. Контейнеры, значит, вручную создаете.

сразу видно великого спеца-девляпса, он даже не понял что речь о персистентных томах, а не контейнерах.

> На практике, где-либо, кроме тестового стенда, никто такой фигней не занимаются. Контейнеры
> со всеми томами, портами и лимитами создаются автоматически системой деплоя, поэтому

поэтому docker cp их незаменимый помощник, когда что-то где-то пойдет не так, ага, ага (ну и наш тоже, если придет в голову их немного поломать).

какие еще персистентные тома, они об этом ведь не успели дочитать, а если бы и успели - модная система "орхестрации" все равно не даст.

Ответить | Правка | Наверх | Cообщить модератору

131. "Уязвимость в Docker, позволяющая выбраться из контейнера"  –2 +/
Сообщение от Fyjybv755 (?), 30-Май-19, 16:07 
> сразу видно великого спеца-девляпса, он даже не понял что речь о персистентных томах, а не контейнерах.

Нет, я не понял, нафига вообще нужны персистентные тома. Еще раз: список томов в виде пар "каталог хоста"-"каталог контейнера" (+опционально ro) автоматически формируется при создании каждого нового контейнера. Зачем в этой схеме нужен механизм docker persistent volumes?

> поэтому docker cp их незаменимый помощник, когда что-то где-то пойдет не так, ага, ага (ну и наш тоже, если придет в голову их немного поломать).

Ну удачи залезть на тестовый стенд. Конечно, специально для вас его откроют в мир. Если очень-очень попросить.

Ответить | Правка | Наверх | Cообщить модератору

133. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +1 +/
Сообщение от пох. (?), 30-Май-19, 16:11 
> Нет, я не понял, нафига вообще нужны персистентные тома. Еще раз: список
> томов в виде пар "каталог хоста"-"каталог контейнера" (+опционально ro) автоматически
> формируется при создании каждого нового контейнера. Зачем в этой схеме нужен

в этой-  низачем, поэтому поломано и починено не будет. Как и много чего еще, брошенное недоделанным, потому что стая макак ускакала за новыми, более блестящими погремушками.
(тот же swarm, как показала практика)


Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +11 +/
Сообщение от Канделябры (?), 29-Май-19, 16:02 
> с искрометными шутками

Не каждому разработчику удаётся выбраться из контейнера на оплачиваемую работу.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

52. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +2 +/
Сообщение от Аноним (52), 29-Май-19, 18:10 
Хьело фрём Индия, дрюгь! Ми написале харёши кёд для твая видиёкартачкя, дрюгь! Тама сто милиёнь строкь! (неразборчиво говорит дальше на хинглише)
Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +2 +/
Сообщение от Дон Ягон (?), 29-Май-19, 16:17 
> Ждем комментаторов с искрометными шутками про "девляпсов" и "контейнеры нинужны".

Жаль, что тебе и подобным не понятно, что это не шутки в целом.
Контейнеры сами по себе может и ок концепция, со своей областью применения, но то, как эта концепция реализована в дрокере - это провал. Да и вечнодырявые линуксовые неймспейсы доверия не добавляют.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

101. "Уязвимость в Docker, позволяющая выбраться из контейнера"  –1 +/
Сообщение от виндотролль (ok), 30-Май-19, 06:44 
какая разница между концепцией контейнеров, ее реализацией в докере и линуксовыми неймспейсами?
Ответить | Правка | Наверх | Cообщить модератору

130. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от Дон Ягон (?), 30-Май-19, 16:00 
> какая разница между концепцией контейнеров, ее реализацией в докере и линуксовыми неймспейсами?

Это, на самом деле, непростой вопрос, на который развёрнуто отвечать можно очень долго и наверняка можно что-то пропустить.

Контейнеры в Linux претендуют на то, чтобы быть гибкими до невозможности. Ты можешь запустить приложение только в сетевом или только в PID неймспейсе, например, и, в теории, как угодно хитро управлять наборами неймспейсов для контейнеров.

На практике - бесконечные дыры из-за того, что реализация переусложнена во имя той самой гибкости.
При этом, необходимость этой гибкости под огромным вопросом.
Нужно изолировать приложение? ИЗОЛИРУЙ! Не нужно этих полумер с общими для N контейнеров неймспейсов. Это никогда не будет безопасной конструкцией.

В этом плане неплохой пример того, какие контейнеры ОК - старые джейлы во FreeBSD. Гораздо более куцые в плане функционала, но свою задачу - запуск приложений в изолированном контейнере решающими отлично. Сейчас и их слегка переусложнили...

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +2 +/
Сообщение от Аноним (55), 29-Май-19, 18:18 
Ты про вебмакак забыл без них никуда.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

162. "Уязвимость в Docker, позволяющая выбраться из контейнера"  +/
Сообщение от псевонимус (?), 02-Июн-19, 15:53 
"Контейнеры2 НЕ НУЖНЫ. дЕВЛЯПСЫ И ХИПСТОТА ЗЛО.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру