The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Docker-образы Alpine поставлялись с пустым паролем пользователя root

09.05.2019 09:48

Исследователи безопасности из компании Cisco раскрыли сведения об уязвимости (CVE-2019-5021) в сборках дистрибутива Alpine для системы контейнерной изоляции Docker. Суть выявленной проблемы в том, что для пользователя root был задан по умолчанию пустой пароль без блокировки прямого входа под root. Напомним, что Alpine используется для формирования официальных образов от проекта Docker (раньше официальные сборки основывались на Ubuntu, но потом были переведены на Alpine).

Проблема проявляется начиная со сборки Alpine Docker 3.3 и была вызвана регрессивным изменением, добавленным в 2015 году (до версии 3.3 в /etc/shadow использовалась строка "root:!::0:::::", а после из-за прекращения использования флага "-d" стала добавляться строка "root:::0:::::"). Проблема была изначально выявлена и исправлена в ноябре 2015 года, но в декабре по ошибке опять всплыла в сборочных файлах экспериментальной ветки, а затем была перенесена в стабильные сборки.

В сведениях об уязвимости указано, что проблема проявляется в том числе в последней ветке Alpine Docker 3.9. Разработчики Alpine в марте выпустили исправление и уязвимость не проявляется начиная со сборок 3.9.2, 3.8.4, 3.7.3 и 3.6.5, но остаётся в старых ветках 3.4.x и 3.5.x, поддержка которых уже прекращена. Кроме того, разработчики утверждают, что вектор для атаки сильно ограничен и требует наличия у атакующего доступа к той же инфраструктуре.

  1. Главная ссылка к новости (https://talosintelligence.com/...)
  2. OpenNews: Релиз минималистичного дистрибутива Alpine Linux 3.9
  3. OpenNews: Уязвимость в пакетном менеджере APK, позволяющая удалённо выполнить код в Alpine Linux
  4. OpenNews: Выпуск Docker 1.10. Перевод официальных образов Docker с Ubuntu на Alpine
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/50654-alpine
Ключевые слова: alpine, docker
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (129) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, anonymous (??), 10:00, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Нормально, что. Докер образ - это же как отдельное приложение статически слинкованное в статическом окружении. Никто не ставит пароли на приложения.
     
  • 1.2, A.Stahl (ok), 10:04, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >"root:!::0:::::", "root:::0:::::"

    Т.е. проблема в наркоманском формате конфигов, который делает невозможным нецеленаправленное обнаружение ошибки.

     
     
  • 2.19, Аноним (19), 12:13, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Полвека жили с DSV, и никому даже в голову не приходило, что с ним что-то не так, пока, наконец, Астахл не открыл нам глаза. Спаситель ты наш!
     
     
  • 3.24, Sw00p aka Jerom (?), 12:30, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    а шо, он от части прав, хотите сказать вот такой вот синтаксис не разрешен ::::: ?
     
     
  • 4.34, Аноним (19), 13:09, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Конечно разрешён, это нормальный синтаксис DSV. Что с ним не так?
    Ну, конечно, если отвлечься от его конкретного приложения, в котором могут быть обязательные поля.
     
     
  • 5.47, Sw00p aka Jerom (?), 16:26, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >в котором могут быть обязательные поля.

    так все к этому и сводится, строгости нет, вот и такие беды, у рута нет пароля ппц, рута без пароля теоретически существовать не должно, представьте Бога который не все властен :) или его властью обладает каждый смертный, существовало бы понятие Бога?

     
     
  • 6.48, L.P. (?), 16:44, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>в котором могут быть обязательные поля.
    > так все к этому и сводится, строгости нет, вот и такие беды,

    Yea, you got it! But don't worry! They call me Superlennart and I'm here to rescue you all! There will be one true, binary format soon.

    > у рута нет пароля ппц, рута без пароля теоретически существовать не должно

    You don't know about biometric, BT/USB-key/NFC and other passwordless authentification methods, do you?

     
     
  • 7.49, Sw00p aka Jerom (?), 16:54, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >You don't know about biometric, BT/USB-key/NFC and other passwordless authentification methods, do you?

    кхмм в смысле без парольные методы? вы хоть представляете, что из себя представляют эти механизмы? или для юсби брелка вы там пинкод для разблокировки ключа не вводите?

     
     
  • 8.52, Аноним (-), 17:00, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не только представляю, но и использую Причем тут пароль в etc shadow и какие б... текст свёрнут, показать
     
     
  • 9.61, Sw00p aka Jerom (?), 18:03, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    при том, что читаем выше, рута без пароля существовать не должно , вот и мне го... текст свёрнут, показать
     
     
  • 10.62, Аноним (-), 18:14, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Внезапно, при той же биометрической аутентификации никакого пароля для рута не т... текст свёрнут, показать
     
     
  • 11.70, Sw00p aka Jerom (?), 18:42, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    то есть ваш рут без пароля и любой может им пользоваться ... текст свёрнут, показать
     
  • 11.73, Sw00p aka Jerom (?), 18:54, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    понятие рут без пароля или рут без пальца или рут без глаза всё это равнос... текст свёрнут, показать
     
     
  • 12.85, Аноним (-), 20:10, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Понятие болтолог опеннета подходит гораздо лучше Забыл с кем имею дело, прошу... текст свёрнут, показать
     
     
  • 13.102, Sw00p aka Jerom (?), 22:44, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    нуну, че нить полезного написали бы, и так знаю что болтология - это наука изу... текст свёрнут, показать
     
  • 6.66, Аноним (66), 18:21, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >у рута нет пароля ппц, рута без пароля теоретически существовать не должно

    Не ставлю пароли руту (выключаю их штатным образом, см. passwd -l) уже лет пять, если не больше. Где твой бог теперь?

     
     
  • 7.67, анонн (?), 18:25, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>у рута нет пароля ппц, рута без пароля теоретически существовать не должно
    > Не ставлю пароли руту (выключаю их штатным образом, см. passwd -l)

    Ставишь.
    Почитай уже ман, что ли:



    -l
    This option is used to lock the specified account and it is available to root only. The locking is performed by rendering the encrypted password into an invalid string (by prefixing the encrypted string with an !).



     
     
  • 8.139, Аноним (66), 18:40, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Там пустота на месте 171 encrypted password 187 Могу нотариально заверенный... текст свёрнут, показать
     
  • 6.76, Michael Shigorin (ok), 19:11, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > у рута нет пароля ппц, рута без пароля теоретически
    > существовать не должно

    Почему?  Бывают системы, где у рута не существует действительного пароля (односимвольная заглушка вместо хэша) -- а стать им можно, например, по ssh со своим ключиком.  И с яичницей тоже путать вовсе не обязательно. :)

     
     
  • 7.79, Sw00p aka Jerom (?), 19:26, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >по ssh со своим ключиком

    ага, но не без аутентификации, читаем выше про понятие "рут без пароля (ключа)"

    пс: у вас и ключик без пароля? (то есть не зашифрован)

     
     
  • 8.86, Michael Shigorin (ok), 20:17, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В скобках -- _расширение_ темы Нет Но пароль к ключику не имеет никакого отно... текст свёрнут, показать
     
     
  • 9.98, Sw00p aka Jerom (?), 22:36, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    как раз таки etc shadow и есть один из механизмов аутентификации, и он ничем не... текст свёрнут, показать
     
  • 8.122, пох (?), 17:03, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    специально для sw00p ответ на закрытую ветку нет, не всем Список имеющих физич... текст свёрнут, показать
     
     
  • 9.123, Sw00p aka Jerom (?), 17:15, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну зачем тогда порождать ненужные сущности Access Control-ы внутри ОС Дам сра... текст свёрнут, показать
     
     
  • 10.127, пох (?), 20:51, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    затем, что доступ к внутриос имеют или могут некстати заиметь не только те, ко... текст свёрнут, показать
     
  • 8.124, Аноним (19), 17:34, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Понятие аутентификации по публичному ключу тебе незнакомо ... текст свёрнут, показать
     
     
  • 9.125, Sw00p aka Jerom (?), 18:35, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ваш приватный ключ тоже не зашифрован и вы не вводите пароля для его расшифровк... текст свёрнут, показать
     
     
  • 10.126, Аноним (19), 19:54, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Какая разница Это не имеет никакого отношения к аутентификации в целевой систем... текст свёрнут, показать
     
     
  • 11.129, Sw00p aka Jerom (?), 01:21, 11/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну вот, так к чему же было ваше Понятие аутентификации по публичному ключу тебе... текст свёрнут, показать
     
  • 7.93, пох (?), 21:26, 09/05/2019 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 8.100, Sw00p aka Jerom (?), 22:42, 09/05/2019 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 3.75, дядя (?), 19:02, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    1. deep submergence vehicle - глубоководный аппарат; 2. diffused silicon varactor - диффузионный кремниевый варактор; 3. double-silk-varnish insulation - двухслойная шёлковая и лаковая изоляция; 4. drilling support vessel - вспомогательное судно для морского бурения
     
     
  • 4.99, Аноним (19), 22:40, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    http://www.catb.org/~esr/writings/taoup/html/ch05s02.html
     
  • 2.50, анонн (?), 16:57, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>"root:!::0:::::", "root:::0:::::"
    > Т.е. проблема в наркоманском формате конфигов, который делает невозможным нецеленаправленное обнаружение ошибки.

    Проблема в том, что ты вовремя не только не реализовал, но даже и не предложил альтернативу! Стыдись!
    А еще проблема не в самом формате, а в опциональности его параметров.
    Ну и походу автогенерация там была,
    > а после из-за прекращения использования флага "-d" стала добавляться строка

    так что вряд ли формат
    "user=
    password="
    сильно помог бы.


     
  • 2.59, Аноним (59), 17:52, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Правильно, давайте переведем его на смузи-YAML!
     
     
  • 3.65, Аноним (65), 18:21, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    на XML-же!
     
     
  • 4.94, пох (?), 21:35, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    вы что, совсем уже - с этой немодной вонючей древней портянкой?
    Вы еще dtd предложите с мертвым адресом на яхе, ага.

    Предлагаю json - yaml, не смотря на прекрасную идеологию превращения в тыкву лишним пробелом, представляется мне черезмерно удобочитаемым, поэтому провоцирующим на ручное редактирование и использование омерзительных мамонтовых инструментов типа sed. Модные и современные админы должны давно о нем забыть!

     
     
  • 5.97, rshadow (ok), 22:26, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > json - yaml

    Хочется решить не только конкретно эту проблему, а иметь +/- одинаковые конфиги во всем. К сожалению json и yaml придумали исключительно для сериализации данных. Для конфигов не покатит. Да и общий синтаксис, запрещенные символы и т.д. больше палок в колеса поставит при реальном использовании. И еще в конфигах частенько требуется if.

     
     
  • 6.101, Аноним (19), 22:44, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Прикинь, многие до сих пор ini используют!

    > И еще в конфигах частенько требуется if.

    Отсыпь, а?

     
  • 6.112, Аноним (112), 12:42, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > одинаковые конфиги во всем

    То есть, один выбрал какой-то формат конфигов и тем самым лишил всех остальных возможности выбирать формат конфигов?

     
  • 5.133, А (??), 15:30, 11/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В серьезных реализациях чего-либо xml уже by default много-много лет. json-скобочки и yaml-отступы для студентов и их подделок.
     
     
  • 6.141, Аноним (141), 11:58, 21/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    у тебя серьездность в чём измеряется,в интерпрайзах?
     
  • 2.107, freehck (ok), 05:23, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> "root:!::0:::::", "root:::0:::::"
    > Т.е. проблема в наркоманском формате конфигов, который делает невозможным нецеленаправленное обнаружение ошибки.

    Тебе-то, стахл, какое дело, что там за разделитель? Твоя проблема в том, что ты лезешь текстовым редактором туда, куда не надо им лезть.

     
     
  • 3.114, JL2001 (ok), 13:05, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > что ты лезешь текстовым редактором туда, куда не надо им лезть.

    то текстовые логи требуете (journald), то запрещаете текстовым редактором править, не угодишь!

     
     
  • 4.117, freehck (ok), 13:18, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> что ты лезешь текстовым редактором туда, куда не надо им лезть.
    > то текстовые логи требуете (journald)

    Ну блин, опять. Нет, мы не об этом говорим.

    https://www.opennet.ru/base/sys/systemd_myth.txt.html

    Заблужление #10.

     
     
  • 5.131, JL2001 (ok), 10:45, 11/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >>> что ты лезешь текстовым редактором туда, куда не надо им лезть.
    >> то текстовые логи требуете (journald)
    > Ну блин, опять. Нет, мы не об этом говорим.
    > https://www.opennet.ru/base/sys/systemd_myth.txt.html
    > Заблужление #10.

    там претензии к глючности конкретной программы (journald), претензий к бинарному формату если тулза вида zcat отдаст всё, что прочла и подсветит ошибки формата - я не понимаю
    + https://www.opennet.ru/openforum/vsluhforumID3/117318.html#130

     
     
  • 6.135, freehck (ok), 05:08, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > тулза вида zcat отдаст всё, что прочла и подсветит ошибки формата

    Ну если Вам zcat всё так успешно подсветит -- юзайте на здоровье, и да храни Вас Бог. =)

     
  • 4.118, Аноним (19), 13:37, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Текстовый формат хорош тем, что его можно читать и править в случае аварии при посредстве ломика и небезызвестной матери. Это не значит, однако, что при штатной работе системы надо пользоваться теми же средствами. Чтобы не накосячить, придуманы другие.
     
     
  • 5.130, JL2001 (ok), 10:39, 11/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Текстовый формат хорош тем, что его можно читать и править в случае
    > аварии при посредстве ломика и небезызвестной матери. Это не значит, однако,
    > что при штатной работе системы надо пользоваться теми же средствами. Чтобы
    > не накосячить, придуманы другие.

    а зазипованные текстовые логи это ещё текстовый формат с ломиком или уже нет?
    иль дело в том что в сам момент всеобщего падения текст "безопаснее", а без падения через 1 минуту уже можно зиповать? тоесть если journald будет одновременно писать 1-минутный кусок текстового лога все претензии снялись бы?

     
     
  • 6.134, freehck (ok), 05:05, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > а зазипованные текстовые логи это ещё текстовый формат с ломиком или уже нет?

    По умолчанию логи не зипуются. Настройки же зипования выбираются (если вообще включаются) для каждого приложения в отдельности, в зависимости от скорости заполнения лога.

    > иль дело в том что в сам момент всеобщего падения текст "безопаснее", а без падения через 1 минуту уже можно зиповать?

    Если у Вас logrotate производит ротацию ежеминутно, значит он у Вас неправильно сконфигурирован.

     

  • 1.3, Аноним (3), 10:04, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Буква S в названиях Docker и Alpine обозначает "security".
     
     
  • 2.27, Аноним (19), 12:40, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +9 +/
    А у баяниста песня льётся чисто…
     
  • 2.64, Аноним (64), 18:19, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Но веть там нету буквы S
     

  • 1.4, Ъ (?), 10:06, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    на официальном сайте огромными буквами написано "Small. Simple. Secure."
     
     
  • 2.37, microcoder (ok), 13:36, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На заборах тоже много чего написано и даже нарисовано. Это для тех, кто верует в буквы, картинки, а не в продукт. Продукт по сути для таких не важен. Движение которое ловит таких, называется - Маркетинг.
     

  • 1.5, Аноним (5), 10:28, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Исследователям безопасности Cisco стоит стоит вспомнить про curl...
     
     
  • 2.21, Аноним (19), 12:15, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Пусть уж лучше ковыряют то, чем люди пользуются, а не свои ненужносвичи.
     

  • 1.6, Аноним (6), 10:31, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Проблема была изначально выявлена и исправлена в ноябре 2015 года, но в декабре по ошибке опять всплыла в сборочных файлах эксперментальной ветки, а затем была перенесена в стабильные сборки.

    Как-то слишком незатейливо они бэкдоры внедряют.

     
     
  • 2.32, OpenEcho (?), 13:02, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > но в декабре по ошибке опять всплыла в сборочных файлах

    Никто их не внедряет, они сами "всплывают", чего не понятного, барабашки однако...

     

  • 1.7, Аноним (7), 10:46, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > позволяло по умолчанию подключиться к контейнеру без пароля

    Интересно, про какой способ подключиться, доступный по-умолчанию, они говорят?

     
     
  • 2.8, Аноним (7), 10:49, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Оказывается, в оригинальной статье не говорят такого, это фантазия переводчика.
     
     
  • 3.10, Аноним (10), 11:02, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Про это в багтрекере докера было упомянуто.
     

  • 1.9, kvaps (ok), 10:58, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    К слову, тот же su не пустит (в alpine он также требует установки sticky bit на /bin/su перед тестом):

        $ su
        su: incorrect password

    Pam с PAM_DISALLOW_NULL_AUTHTOK тоже не работает:

        $ pamtester login root "authenticate(PAM_DISALLOW_NULL_AUTHTOK)"
        Password:
        pamtester: Authentication failure

     
     
  • 2.39, Аноним (39), 14:52, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    SUID на su? Что? Да так любую систему можно поломать, на которой не отрублено нафиг USB и в которой монтируюся флешки с ext2
     
     
  • 3.40, kvaps (ok), 14:55, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > SUID на su?

    А как еще, по вашему, su должен работать?

     
  • 3.77, Michael Shigorin (ok), 19:15, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > SUID на su? Что?

    Давно его в глаза не видели (ну, если у Вас не Owl какой)?..

    PS: но su без SUID действительно бывает -- кстати, в том же Owl и альте это один из штатных вариантов, см. http://altlinux.org/control -- и служит исключительно для _понижения_ привилегий, не давая при этом лазейки для их повышения ни при каких известных обстоятельствах.

     
  • 3.137, Аноним (137), 15:28, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Добро пожаловать в реальный мир :)
     
     
  • 4.138, Аноним (137), 15:37, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Впрочем, как подсказал товарищ, udisks всегда монтирует с nosuid. Так что отбой.
     

  • 1.11, Аноним (112), 11:08, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Что за бред? Такой образ и должен поставляться с пустым паролем - пользователь _обязан_ поставить свой пароль в любом случае, независимо от того, пустой или не пустой пароль поставил создатель имиджа.
    Или, по мнению "исследователей, обнаруживших уязвимость", непустой пароль, указанный в документации, намного безопаснее?
    А вот то, что руту разрешён вход напрямую - это да, это косяк.
     
     
  • 2.17, Аноним (19), 12:02, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > пользователь _обязан_ поставить свой пароль в любом случае

    Ничем пользователь никому не обязан. В большинстве случаев вход по паролю там на фиг не нужен, руту — и подавно. А пароль должен быть залочен, что технически реализуется указанием невалидного хеша пароля.

     
     
  • 3.22, Michael Shigorin (ok), 12:16, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    ...для чего там и стоял "!".

    PS: как не сам дыркер, так джокер: "что выпадет"...

     
     
  • 4.23, Аноним (19), 12:23, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > ...для чего там и стоял "!".

    Не видать тебе повышения, сержант Очевидность.

     
     
  • 5.78, Michael Shigorin (ok), 19:24, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> ...для чего там и стоял "!".
    > Не видать тебе повышения, сержант

    Вообще-то лейтенант. :)

     
     
  • 6.109, Аноним (19), 10:35, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    То, что ты пиджак ВСУ, здесь мало кого волнует.
     
  • 2.18, Fyjybv755 (?), 12:07, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > пользователь _обязан_ поставить свой пароль в любом случае

    Ну задайте пароль рута в Dockerfile.

     
     
  • 3.35, Аноним (112), 13:24, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Видишь, тебе уже кто-то из юных девляпсов минус влепил. Рихтовать имиджи докерфайлом  у новой поросли IT-макак считается неприличным.
     
     
  • 4.38, Аноним (19), 14:20, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Удивлён, что среди недокорчёванной предыдущей поросли ещё встречаются те, кто держит пароли в гите.
     
  • 2.31, Аноним (31), 12:54, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Можно генерировать пароль во время разворачивания docker-контейнера. А потом смотреть пароли через docker container logs или как там.
     
     
  • 3.44, Аноним (19), 16:03, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Зачем тебе его генерировать и смотреть? Вот куда ты его вводить собрался?
     
  • 2.82, Аноним (82), 20:00, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > А вот то, что руту разрешён вход напрямую - это да, это косяк.

    Не разрешен. Его нужно дополнительно настраивать. "Дырка" как бы в том, что если пользователь усталовил внутрь софиют для удаленного доступа, сконфигурировал его, но не задал руту пароль (или не отключил его), то можно заходить под рутом без пароля.
    В общем ни о чем эта "уязвимость".

     

  • 1.12, Аноним (12), 11:10, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    так докер пожизни запускается с рутом внутри, и гадит на хост с рутовым UID, не понимаю, чем новость принципиально плоха. Докер - само по себе дыра, о чем говорить. А в таких вещах наличие паролей - ложное чувство безопасности.
     
     
  • 2.14, Аноним (14), 11:40, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У нормальных людей он ничего не гадит на хост.
    У не нормальных как написали ниже там и sshd стоит)
     
     
  • 3.115, Led (ok), 13:11, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > У нормальных людей он ничего не гадит на хост.

    ... потому что нормальные люди докерами не пользуются?

     
  • 2.16, Аноним (19), 11:49, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Люди в здравом уме используют директиву USER.
     
     
  • 3.58, Ph0zzy (ok), 17:49, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    или запускают podman от ограниченного пользователя
     
     
  • 4.63, Аноним (19), 18:14, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А от этого внутри контейнера не станет рута?
     
     
  • 5.68, Аноним (66), 18:27, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Внутри контейнера ты хоть кем можешь быть, но если снаружи привелегий не дали, то они волшебным образом внутри не появляются, хоть ты там UID 0, хоть даже -1.
     
     
  • 6.74, anonymous (??), 18:57, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У root-а гораздо больше возможностей для выхода за пределы контейнера. Например, некогда широкоизвестный баг linux-контейнеров с CAP_DAC_READ_SEARCH неплохо это иллюстрирует :)
     
  • 6.87, Аноним (19), 20:44, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так и сабж про рута внутри контейнера. И вылезти из него не так-то просто, если только он не привилегированный.
     

  • 1.13, Аноним (13), 11:37, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Куда входа-то. В контейнер ssh ставят только наркоманы. А docker exec итак из-под рута.
    В здравом уме на хост ноду alpine тоже никто не поставит
     
     
  • 2.15, Аноним (14), 11:44, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Еще очень много старых разработчиков которые помнят времена пришествия контейнеров.
    И хотят все старые практики оттуда. composer и npm внутри имейджа, пароли в dockrerfile и тому подобные штуки.
    Ломать это все сложно и тяжело, с их точки зрения - работало же, хочу и сейчас как привык.
     
     
  • 3.20, Fyjybv755 (?), 12:14, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Не пробовали на мороз их выгонять?

    Например, есть разрабы, которые везде тянут постргрес, и заосвывают в него значительную часть логики приложения (триггеры, хранимки, etc), и при словах "шардирование" и "балансировка" сплевывают и говорят "свят-свят". Родом прямо из нулевых. Таких на разработку новых приложений брать однозначно не стоит.

    Вообще, чем больше человек привык к старым технологиям, тем меньше он стоит как специалист. Конечно, легаси поддерживать кто-то должен, но это гораздо скучнее и ниже оплачивается, чем разработка нового или перевод старого на новые технологии.

     
     
  • 4.25, Sw00p aka Jerom (?), 12:36, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >Родом прямо из нулевых. Таких на разработку новых приложений брать однозначно не стоит.

    а че же так далеко заехали до нулевых, как по мне все то, что вы сейчас используете, было создано еще в 70-ых

    >Вообще, чем больше человек привык к старым технологиям, тем меньше он стоит как специалист.

    ваш мозг от таких рассуждений быстрее постареет, а чем вы старее, тем вы "меньше он стоит как специалист".
    И как ни странно всякие технологии Евклида до сих пор еще работают, привыкли уже?

     
     
  • 5.33, Аноним (19), 13:06, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > а че же так далеко заехали до нулевых

    Просто он сам тоже родом из нулевых. Всё, что было раньше, для него — «до нашей эры», только из учебника истории узнать можно.

     
     
  • 6.113, Аноним (112), 12:53, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да не, просто он при трудоустройстве не прошёл беседу со старпёром, съевшим собаку на постргесе и прочем серверном софте, и теперь исходит на форумах тем единственным, что в нём имеется.
     
  • 4.26, Аноним (26), 12:38, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +10 +/
    По такой логике самые лучшие специалисты -- мартышки, скачущие с фреймворка на фреймворк.
     
  • 4.28, Michael Shigorin (ok), 12:44, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А есть и такие, которых не стоит набирать по объявлениям -- разведут шардинг там, где изначально головой немного надо было думать и не валить всё в одну кучу.

    Впрочем, бродячая фраза про радикалов в двадцать, консерваторов в сорок и соотношение с сердцем и умом вроде бы никуда не убегала.

    Ну, балансировки ради.

     
  • 4.29, Разраб (?), 12:45, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Хочу отвыкнуть от старых технологий. Посоветуй, за что лучше взяться? Монга уже состарилась, или ещё нет?
     
     
  • 5.72, anonymous (??), 18:44, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Если серьёзно, то из нового, ClickHouse -- вкусная штуковина :)
     
     
  • 6.103, Аноним (19), 22:49, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Надо автору статьи, на которую сослались ниже, добавить раздел "You are not Yandex". Впрочем, всё равно целевая аудитория не прочитает…
     
     
  • 7.104, anonymous (??), 22:54, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну конкретно в моём случае 100 тыс. запросов в секунду, по которым потом нужно делать аналитические запросы, и тут ClickHouse хорошо подошёл. В целом, много чего хорошо бы подошло, но с этим меньше всего проблем из изученного)
     
  • 6.116, Led (ok), 13:16, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > ClickHouse -- вкусная штуковина

    Это там где интерфейс/протокол - HTTP-only? Это те, которые даже ODBC-драйвер более-менее приличный сделать не могут, а тот что есть - обёртка над тупым HTTP-клиентом?

     
  • 4.36, Аноним (112), 13:36, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И сколько разрабов, умеющих в триггеры и хранимки на ПГ, а также осведомлённых о подводных камнях "шардирования" и "балансировки" вы лично уволили в течение 4 месяцев этого года?
     
  • 4.41, Ordu (ok), 15:40, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    You are not Google 1 Современный мир предлагает широкий спектр решений, и счит... большой текст свёрнут, показать
     
     
  • 5.81, Michael Shigorin (ok), 19:54, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > What we’re all imploring you to do is to think!

    Спасибо, отличный комментарий и примечательная ссылка; внимательно ознакомился.  А кому-то ещё предстоит набить энное количество шишек о тщательно топтаные грабли собственным лбом и другими частями тела, чтоб перестать вопить и начать прислушиваться...

     
     
  • 6.88, Аноним (19), 20:48, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > чтоб перестать вопить и начать прислушиваться...

    к другим вопящим.

     
  • 2.51, Annoynymous (ok), 16:58, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Надеяться на здравый смысл при разработки проекта, которым пользуются десятки миллионов… ну не стоит. Просто не стоит.
     

  • 1.30, Аноним (30), 12:51, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    alphine-virt уязвимости не подвержен?
     
  • 1.42, Ключевский (?), 15:41, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А куда собрались входить, извините?
    Если это контейнер, то в него входят через docker exec или там lxc exec, в контейнере нет ssh, он там не только не нужен, но и с точки зрения идеологии контейнеров недопустим.
     
     
  • 2.43, Аноним (19), 15:59, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > в контейнере нет ssh, он там не только не нужен, но и с точки зрения идеологии контейнеров недопустим.

    Во-первых, нет никакой «идеологии контейнеров». До появления docker нормально было использовать контейнер как обычную виртуалку (да и сейчас нормально, посмотри, сколько кругом VPS на OpenVZ). Вход туда по SSH — норма. Во-вторых, с точки зрения идеологии docker, ssh в контейнере тоже вполне допустим, если он является ключевой частью контейнеризованного приложения. Мало ли для чего он там может понадобиться кроме администрирования.

     
     
  • 3.46, Ключевский (?), 16:16, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    OpenVZ это чрут на стероидах, его использование — признак принадлежности к интеллектуальному большинству.
     
     
  • 4.69, anonymous (??), 18:40, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Контейнеры -- это тот же самый chroot на стероидах. Собственно, из OpenVZ namespace-ы (и прочие радости) и перекочевали в ванильное ядро, образовывав основу для создания userland-утилит таких как lxc, docker и подобных.
     
  • 4.83, Michael Shigorin (ok), 20:00, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > OpenVZ это чрут на стероидах

    Вы точно с lxc не перепутали?

    > его использование — признак принадлежности к интеллектуальному
    > большинству.

    Это, кстати, неплохой признак.  А вот верещать о том, в чём ни бельмеса, да ещё какие-то якобы "идеологии" приплетать -- плохой.

    Ну, мне так _кажется_.

    PS: если что, я достаточно разными контейнерами пользуюсь более полутора десятилетий (vserver/openvz с начала нулевых, lxc -- с 2009 или около того).  Как и непривилегированными процессами в чрутах.

     
  • 2.56, Аноним (-), 17:42, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А куда собрались входить, извините?
    > Если это контейнер, то в него входят через docker exec или там
    > lxc exec, в контейнере нет ssh, он там не только не нужен, но и с точки зрения идеологии контейнеров недопустим.

    А пацаны то и не знали, а оно во как вышло!
    https://lists.freebsd.org/pipermail/freebsd-hackers/2005-November/014442.html
    https://www.ixsystems.com/documentation/freenas/11.2/jails.html#accessing-a-ja


     
  • 2.120, Аноним (112), 14:57, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > с точки зрения идеологии контейнеров недопустим

    А что, разработкой докера теперь руководит товарищ Суслов?
    Идеология - дело хорошее, когда она позволяет выстроить систему с чёткой внутренней логикой, благодаря которой в ней легко разобраться, а когда такая идеология связывает руки - тут уж извините, я не буду придерживаться такой идеологии.

     

  • 1.45, Аноним (45), 16:09, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    новость ни о чем - докер от рута давно не пускают, только через --userns-remap. ssh в докере никто тоже не ставит
     
  • 1.55, Аноним (55), 17:32, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    А я то наивный думал, что в docker и так все от root работает...
     
     
  • 2.60, пох (?), 17:59, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    даже когда и работает (учитывая привычку держать в нем целиком систему, и, чтобы не выполнять мартышечью работу, стараться запускать сервисы в штатных режимах штатными скриптами - это вполне популярный вариант, переделывать часто себе дороже) - от рута обычно работает какой-нибудь uwsgi спавнер - а вот тому что поимев через очередную еженедельную дырку в джанке шелл от nobody, чувак мгновенно стает рутом, хотя и в контейнере (надолго ли? ;) - ты, вероятно, будешь немного не рад.

    хотя при кастрированном su и отсутствии других способов в минималистичной системе - проблема, похоже, таки сильно преувеличена. Если, конечно, у них только доскер так собирался, а не образы и для всякой эмбедовки.

     
     
  • 3.84, Michael Shigorin (ok), 20:02, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > через очередную еженедельную дырку в джанке

    В смысле Junkins?

     
     
  • 4.89, пох (?), 20:52, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    в смысле django - казалось бы, при упоминании рядом uwsgi, особо и выбирать не из чего. почему-то на прекрасном пихоне "только один кандидат, только один выбор" (не считая уж совсем несерьезной хипстоты)
     
  • 4.90, Аноним (90), 20:53, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Подозреваю что django
     
  • 3.91, Аноним (90), 21:00, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    вот я не понимаю людейю... Все кричат docker контейнеры секурити импрумент... а вот результат то - кострированая изоляция некоторых системных вызовов, иллюзия изоляции процессов, корявый  chroot и другие прелести кривого дизайна.
     
     
  • 4.121, Аноним (112), 15:05, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Может быть, когда-то всё это и было про безопасность и изоляцию, но потом стало ясно, что это просто способ сдавать один хост в аренду тысячам хомячков.
     

  • 1.92, Аноним (92), 21:16, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://alpinelinux.org/posts/Docker-image-vulnerability-CVE-2019-5021.html
     
     
  • 2.96, пох (?), 21:43, 09/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    от оно чо, михалыч...

    хотя, конечно, нефиг было выпендриваться. Ишь чего захотели, жить как прям в BSD...

     
  • 2.105, Аноним (105), 01:19, 10/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Unfortunately we missed the case when a user installs shadow and linux-pam instead of using the default tools.

    Хм, и что это значит? В их пакетах shadow и linux-pam настройки по умолчанию разрешают пускать root без пароля отовсюду? А причём тут Docker тогда? Такая проблема будет и на железе.

     
     
  • 3.136, пох (?), 12:48, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Хм, и что это значит?

    это значит что у них все работало именно как полагается - рут без пароля доступен тем у кого физический доступ к консоли, для эмбедовки логично, или, в случае докера - кому он и так без логина доступен.

    Но они не сообразили, что кто-то может из их же репо накатить обычную гнутую версию su и login (сам того причем не желая - завимимостями всего от всего притащит), старательно изуродованные еще молодым Встол-маном, которого больно п-ли универовские админы за попытки их ломануть (вот некисло он им отомстил за брата).

    > А причём тут Docker тогда?

    при том что "охфициальные образы" как раз на alpine и собраны - как обычно у макак, без траты лишнего времени на ознакомление со спецификой дистрибутива.

     

  • 1.95, Anonymoustus (ok), 21:41, 09/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Вот и выросло поколение, не читавшее Эрика Реймонда.
     
  • 1.128, user455 (?), 22:37, 10/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    никогда не понимал смысла использовать этот альпин вместо centos или debian/ubuntu. экономия трафика довольно сомнительная - образ системы, который кстати не такой уж и большой (меньше 100 метров), качается один раз. а все остальные приложения просто накатывают свои слои поверх.

    профит же от использования нормальных дистрибов вместо этого обрубка невероятный.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру