Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в Docker, связанная с предоставление доступа к /p..., opennews (??), 20-Авг-18, (0) [смотреть все] Epic Fail товарищи, Аноним (1), 10:07 , 20-Авг-18, (1) +3 // Контейнеры Изоляция LOL , Аноним (-), 11:13 , 20-Авг-18, (11) +15 // Так недавно ж снова всплыла уязвимость в процессорах Foreshadow , ставящая под , Аноним (17), 11:34 , 20-Авг-18, (17) // Так с интела пора валить , Ivan_83 (ok), 13:26 , 20-Авг-18, (46) На докер, да , Anonymouss (?), 16:33 , 20-Авг-18, (61) +3 The s in Docker stands for security , Аноним (-), 11:41 , 20-Авг-18, (20) +20 Контейнер изоляция Docker контейнер, но без изоляции , anonymous (??), 16:14 , 20-Авг-18, (58) // какой смысл тогда в контейнере вот у vz и изоляция, и контейнеры настоящие , Аноним (59), 16:18 , 20-Авг-18, (59) +2 И где все ваши vz, zones, jails Теоретические академподелки, не приспособленные, Аноним (-), 17:33 , 20-Авг-18, (65) –1 А docker прямо приспособлен к прудукшену по самые помидоры Щаз https habr co, Аноним (66), 18:04 , 20-Авг-18, (66) +6 Докер используют в основном для шедулинга ресурсов тысяч серверов, например одно, лютый охохоня (?), 07:28 , 21-Авг-18, (85) OpenVZ используется тучей хостеров vds vpsВыходите из погреба , шухер (?), 20:43 , 20-Авг-18, (73) +3 Смотрите, люди, на практика Он-то наверняка знает уш-у, карате и много други, Michael Shigorin (ok), 23:23 , 21-Авг-18, (119) +1 Переносимость Изоляция часто мешает, например без танцев с бубнов нельзя получи, Аноний (?), 18:20 , 20-Авг-18, (67) +1 давайте вы не будете раскатывать о VZ который по сути прослойка поверх namespace, Аноним (110), 17:33 , 21-Авг-18, (110) –2 Во-первых, VZ появился задолго до namespaces cgroups, во-вторых, Parallels хорош, Wladmis (ok), 19:51 , 21-Авг-18, (111) +2 Ну покажите мне такое на openvz А дыркер -- он и есть дыркер , Michael Shigorin (ok), 23:21 , 21-Авг-18, (118) +1 Container Linux by CoreOS stable 1800 5 0 docker exec -it d911de0408c3 bin a, имя (?), 11:13 , 20-Авг-18, (12) –1 Epic Fail тем, кто при настройке cервера отключает SeLinux Изучить как им польз, Харитон (?), 13:21 , 20-Авг-18, (45) // я отключаю селинукс сложный домен-роль-тип-контекст, чегобль, не ну наx, ОМЖ (?), 01:08 , 22-Авг-18, (126) –1 Ну, да Не понятно только почему она в мини , SysA (?), 14:07 , 20-Авг-18, (50) in the word Docker s letter means security P S уязвимость раскрыта на прошлой, Аноним (2), 10:21 , 20-Авг-18, (2) +2 // Вообще-то в начале прошлого месяца , SysA (?), 15:31 , 21-Авг-18, (104) Кто просветит, почему всегда качественные системы уходят в забвение, а всякое де, Аноним (66), 10:36 , 20-Авг-18, (4) +4 // какие , Аноним (5), 10:41 , 20-Авг-18, (5) // BeoS, Аноним (7), 10:54 , 20-Авг-18, (7) +5 Знавал чела, который на полном серьезе считал качественным аналогом докера Ope, Аноним (17), 11:36 , 20-Авг-18, (18) –2 // OpenVZ - аналог Docker а Это он отжог У OpenVZ изоляция настоящая , Аноним (59), 16:21 , 20-Авг-18, (60) +4 Так он, поди, какой-нить мехмат ВГУ кончал, а не факультет словоблудия , Michael Shigorin (ok), 23:25 , 21-Авг-18, (120) +1 LXC , lxc (?), 14:14 , 20-Авг-18, (52) +1 что по вашему качественная система, peacemaker , Некто (??), 10:41 , 20-Авг-18, (6) // Solaris Zone, Аноним (66), 11:16 , 20-Авг-18, (13) +2 // И чем оно лучше докера Чем армяне Вроде бы нет, потому что соплярис больше ник, Аноним (22), 11:51 , 20-Авг-18, (22) Потому что просто работает, стабильно и на любой нагрузке, а не падает, глючит и, Аноним (66), 11:59 , 20-Авг-18, (27) –2 Ай да шутник, и где же оно у тебя работает В Серьёзном Бизнесе Где 96 вычислит, Аноним (22), 12:02 , 20-Авг-18, (28) +3 Вот про шкаф Вы зря Старые шкафы, бывает, уже лет 50 живут, на них могут прыгат, ABATAPA (ok), 08:39 , 21-Авг-18, (87) +2 Это чудо, поди, не видело советских холодильников Которые по те же полвека не , Michael Shigorin (ok), 23:27 , 21-Авг-18, (121) +3 А паровые турбины не лучше электровелосипеда, потому что паровозы больше никому , Аноним (-), 12:04 , 20-Авг-18, (29) +8 Решил я как-то перевести прод на докер 10 минут потыкал что-то там и все готово, Аноним (8), 10:56 , 20-Авг-18, (8) // А вы уже пробовали, на своем севрере блютуз выключать на моем что то не срабат, Ага (?), 10:58 , 20-Авг-18, (9) +4 // У тебя докер притянул в зависимостях блютуз, и ты больше не можешь без блютуза р, Аноним (22), 11:52 , 20-Авг-18, (23) ДА Уже заказал трансфер донгла в ДЦ, чортов докер не заводится , Ага (?), 13:46 , 20-Авг-18, (49) +2 А кроме блютуза там ничего больше нет Ни fan, ни cpu , ни sleep , Аноним (56), 15:02 , 20-Авг-18, (56) А вы проверьте сами Я ничего из этого не нашёл Только wakeup и PCI0 root c8b039, имя (?), 15:29 , 20-Авг-18, (57) качественные - сложный дизайн, языки программирования для взрослых, часто надо з, нах (?), 13:05 , 20-Авг-18, (42) +1 // действительно, почему же ими не пользуются красноглaзие для фана - это иногда по, имя (?), 11:57 , 21-Авг-18, (92) +1 // Чудес на свете не бывает, простых решений для сложных задач тоже, это всё сказки, Аноним (66), 12:13 , 21-Авг-18, (95) +1 ответ один - легаси У миноборны США до сих пор в строю остались компьютеры из 70, имя (?), 13:11 , 21-Авг-18, (96) Один вопрос в мире клепается тонны кода для всякой вебни на сваггерах, голынгах, Аноним (66), 14:07 , 21-Авг-18, (100) +1 не переписывается по нескольким причинам 1 работает не трожь 2 как оно работа, имя (?), 15:38 , 21-Авг-18, (105) В случае с докером-это объявлено в рекламных буклетах В реальности же оно совсе, Аноним (66), 16:35 , 21-Авг-18, (108) +2 Разрабы же докера-это особый прикол Чаще всего они тупо игнорируют репорты, не , Аноним (66), 16:44 , 21-Авг-18, (109) +2 ответ прост до безобразия а кто и сколько мне за это заплатит , ОМЖ (?), 01:13 , 22-Авг-18, (127) В банках транзакции обрабатывают не реляционные СУБД, по крайней мере в современ, лютый охохоня (?), 13:19 , 21-Авг-18, (97) А что там обрабатывает Уж не не то ли поделие на gridgain hadoop, которое сберт, Аноним (66), 14:03 , 21-Авг-18, (99) Кем признан провальным Экспертами опеннета Я так тоже могу наплести что у сбер, лютый охохоня (?), 07:24 , 23-Авг-18, (135) Если где-то стоит в продакшоне шкаф снятый с поддержки вендором, это признак бол, лютый охохоня (?), 13:22 , 21-Авг-18, (98) Скажите это амерканцам, у которых эти шкафы обрабатывают 80 всех финтранзакций,, Аноним (66), 14:10 , 21-Авг-18, (101) Шкафы стоят потому что софт, который на них крутиться слишком старый и работает , Тьфу (?), 15:08 , 21-Авг-18, (102) Как так, а где та куча некрасноглызых, умеющих делать просто, с голынгом и докер, Аноним (66), 15:26 , 21-Авг-18, (103) +1 Аппаратно-программная платформа на базе COBOL, еще вопросы есть Принцип работа, Тьфу (?), 16:07 , 21-Авг-18, (107) +1 Вопрос риторический, конечно, но я всё равно отвечу 1 Херовое продвижение Прим, topin89 (?), 21:30 , 23-Авг-18, (137) Удобно для хостера, удобно для клиента Только надо помнить, что ничего важного , Аноним (10), 10:58 , 20-Авг-18, (10) +1 Банально, включая и выключая блютус, можно морзянкой , по нескольку байт в мину, Аноняшка (?), 11:20 , 20-Авг-18, (14) +8 Очень актуально для серверов, да , Аноним (17), 11:23 , 20-Авг-18, (15) +1 // а это смотря чего-серверов и из чего Как тебе такая красота apt-get -s remove, нах (?), 12:57 , 20-Авг-18, (39) // Что то, товарищ, делаете не то Или систему менять надо root evm apt remove, Anonymus (?), 10:40 , 21-Авг-18, (89) +1 Вообще-то этот пример был дан из расчета на уровень домохозяек, чтобы внушительн, SysA (?), 13:34 , 20-Авг-18, (47) +1 А самое главное - чтобы софт в контейнере мог писать что-то в proc acpi, он дол, Аноним (17), 11:26 , 20-Авг-18, (16) // От задачи зависит Это же фича контейнера - изолировать приложения в юзерспейсе , Аноним (21), 11:44 , 20-Авг-18, (21) // Идиоты, которые верят что docker хоть какое-то отношение имеет к безопасности, о, anonymous (??), 11:58 , 20-Авг-18, (26) +8 Ха, как будто кто-то из смузихлебателей знает про ключ -u или смотрят в Dockerfi, anonymous (??), 11:57 , 20-Авг-18, (24) +1 Вообще-то задумка в изоляции как раз и была в том, чтобы можно было спокойно дат, Аноним (-), 11:58 , 20-Авг-18, (25) +7 // Докеры для того, чтобы даже тот, кто не умеет читать и писать конфиг, мог почувс, Аноним (71), 20:29 , 20-Авг-18, (71) +6 // потому что те кто умеют - заглянут в dockerfile - и обоср ся это запустить - , пох (?), 20:43 , 21-Авг-18, (116) centos 6 docker --versionDocker version 17 12 0-ce, build c97c6d6 docker run -, имя (?), 11:36 , 20-Авг-18, (19) А где же эта хваленая изоляция Где она Мы говорим о ней постоянно , Аноним (41), 13:04 , 20-Авг-18, (41) +1 // синенькая Так вот же ж она, щас подмотаем опа, proc acpi добавлен в список , нах (?), 13:08 , 20-Авг-18, (43) +3 Для изоляции приложения есть специально заточенный под это дело, простой, понятн, Аноним (-), 13:15 , 20-Авг-18, (44) –2 // LXD-docker пашет на rhel, Аноним (51), 14:12 , 20-Авг-18, (51) Я вот уже давно мучаюсь одним вопросом А что если изоляция нужна не руту, а про, anonymous (??), 14:42 , 20-Авг-18, (54) // Не все Кое-что можно без рута Bubblewrap на это дело и пилят , Animemous (?), 19:15 , 20-Авг-18, (68) fakeroot , mikhailnov (ok), 23:11 , 20-Авг-18, (76) посмотрите на firejail, Аноним (77), 23:56 , 20-Авг-18, (77) +1 лолшто а, понял, понял Вы бы эта, тег сарказм аккуратнее расставляли специал, нах (?), 14:46 , 20-Авг-18, (55) +3 Вы крашеная, простите PS s на s нн н для большей понятности вопроса, а то ма, Michael Shigorin (ok), 23:33 , 21-Авг-18, (122) запустите на одном хосте 5 приложений, каждое из которых будет требовать свою ве, Alex_hha (?), 16:45 , 20-Авг-18, (62) // Это был сарказм в ином случае простым и понятным selinux назвать не получится, Аноним (64), 17:22 , 20-Авг-18, (64) +3 1 а можно вместо этого один раз выпороть пять разработчиков, чтобы они не требо, пох (?), 20:21 , 20-Авг-18, (70) +2 // если я правильно понял, то разрабам из-за жопорукости админа приходиться кодить , Gemorroj (ok), 21:03 , 20-Авг-18, (74) // Уволить задним числом заранее кинув на последнюю зарплату и без возможности восс, DevOps (?), 23:57 , 20-Авг-18, (78) –1 разрабам предлагается объяснить, письменно, какие бенефиты компании принесет пер, пох (?), 20:39 , 21-Авг-18, (115) +1 Если у вас на локалхосте используется одна версия, то это ещё не значит, что и в, ALex_hha (ok), 00:07 , 21-Авг-18, (79) +3 // lsPHP умеет вроде , DevOps (?), 00:11 , 21-Авг-18, (80) выделили Переводят Именно со словами поддерживать старый хлам - слишком дорог, пох (?), 07:44 , 21-Авг-18, (86) оно и понятно, в рога и копыта на локалхосте такого и не нужно Дальше можно н, ALex_hha (ok), 11:00 , 21-Авг-18, (90) +1 модули апача - это именно уровень ваших рогов и копыт fpm ниасилен, понятен , пох (?), 20:07 , 21-Авг-18, (113) +1 в нормальных фирмах она переложена на devops, но у вас по ходу такого не слышали, ALex_hha (ok), 11:02 , 21-Авг-18, (91) –4 это и есть никто Админы-недоучки, для которых, о ужас, две версии пехепе на одн, пох (?), 20:21 , 21-Авг-18, (114) +1 Э как бомбануло у админа D, ALex_hha (ok), 23:53 , 21-Авг-18, (124) И в чём же она выражается , Michael Shigorin (ok), 23:38 , 21-Авг-18, (123) +1 да во всем том же, в чем и у обычных сисадминов В отслеживании уязвимостей и ус, ALex_hha (ok), 09:02 , 22-Авг-18, (129) +1 За исключением того что у них девопсов этих ваших как правило нет для этого ни, anonymous (??), 12:01 , 22-Авг-18, (131) с какого перепуга Я вот проработал 10 лет сисадмином, последние 3 года работаю , Alex_hha (?), 13:52 , 22-Авг-18, (133) И за всё это время не сталкивался с chroot, jail, vserver, openvz, lxc, а также , angra (ok), 23:45 , 22-Авг-18, (134) +1 Конечно сталкивался, просто в докере это на порядок удобнее Я вот посмотрел бы,, ALex_hha (ok), 12:22 , 23-Авг-18, (136) А нахрена их запускать на одном хосте , anonymous (??), 11:55 , 22-Авг-18, (130) О какой изоляции тут можно говорить, после Meltdown Spectre Foreshadow , Alex_hha (?), 16:47 , 20-Авг-18, (63) +1   // AMD, Аноним (72), 20:30 , 20-Авг-18, (72) –1   Что самое интересное, что изначально Docker начинался, как песочница для разрабо, Аноним (84), 03:34 , 21-Авг-18, (84) +3 // ну так они - сэкономили Теперь то, что они разработали, прекрасно работает не, пох (?), 21:52 , 21-Авг-18, (117) +2 Давненько я присылал на kernel org патчик с испправлением некоторых пермишенов в, ПавелС (ok), 09:20 , 21-Авг-18, (88) +1 // Agile, Ant (??), 12:09 , 21-Авг-18, (93) У меня уживаются вместе и docker и lxc, до этого использовал openvz Везде свои , Аноним (94), 12:12 , 21-Авг-18, (94) +2 // А теперь представь себе что что-то пошло не так и тебе нужно вытянуть из докера , anonymous (??), 15:48 , 21-Авг-18, (106) // ну docker cp же ж только вот что-то пошло не так в случае докера обычно - , пох (?), 20:04 , 21-Авг-18, (112) +1 И в чем проблема Базы как правило выносятся на volume, так что если что то пошл, ALex_hha (ok), 00:14 , 22-Авг-18, (125) +1 // volume небезопасны от команды docker pruneнужно монтировать как папку, Аноним (72), 04:26 , 22-Авг-18, (128) С таким же успехом обычные базы не безопасны от rm -fr, но мы тут держимся D, Alex_hha (?), 13:44 , 22-Авг-18, (132) 1,2,4,10,14,15,16,19,41,62,63,84,88,94

Сообщения

[Сортировка по времени | RSS]

63. "Уязвимость в Docker, связанная с предоставление доступа к /p..."	+1 +/–
Сообщение от Alex_hha (?), 20-Авг-18, 16:47
> Идиоты, которые верят что docker хоть какое-то отношение имеет к безопасности, обречены майнить чужие коины. О какой изоляции тут можно говорить, после Meltdown/Spectre/Foreshadow ?!
Ответить | Правка | Наверх | Cообщить модератору

	72. "Уязвимость в Docker, связанная с предоставление доступа к /p..."	–1 +/–
	Сообщение от Аноним (72), 20-Авг-18, 20:30
	AMD
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема