| 1.1, Аноним (-), 22:08, 08/05/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Какой смысл во всей этой изоляции, когда в Docker чуть ли не каждый месяц дыры находят, позволяющий выйти за пределы контейнера? Причем дыры именно в Docker, а не в частях ядра, через которые эта изоляция делается. Старый-добрый chroot процесса со сбросом привилегий, IMHO, и то надёжнее всей этой новомодной автоматизации.
| | |
| |
| |
| 3.7, Аноним (-), 01:25, 09/05/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Детские болезни, со временем пройдут.
тогда пусть они их лечат, а мы пока на нормальных полноценных виртуалках посидим
| | |
| 3.12, Аноним (-), 05:51, 09/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Детские болезни, со временем пройдут.
Детские - да. а болезни - нет.
| | |
| 3.14, Michael Shigorin (ok), 07:21, 09/05/2015 [^] [^^] [^^^] [ответить]
| +/– |
 > Детские болезни, со временем пройдут.
Зависит от того, учится ли команда хотя бы на своих ошибках из того, за что в багтраке полоскали ещё в девяностые, или нет (как вечная пионерия жумлы, например).
Но уже после предыдущих именно детских ляпов отложил рассматривание дыркера ещё на пару лет...
PS re #7: ну или на ovz, у которого (точнее, у vz) болячки были совсем другого плана и вроде как наконец сходит и самая застарелая фундаментальная. Правда, он всё-таки под сервер заточен.
| | |
| |
| 4.22, crypt (ok), 22:09, 09/05/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > Но уже после предыдущих именно детских ляпов отложил рассматривание дыркера ещё на
> пару лет...
Пожалуй прислушаюсь к этому мнению и поступлю также. Хе!) Дыркер:)
| | |
|
| 3.16, Аноним (-), 08:47, 09/05/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
Как показывает опыт proftpd и sendmail такие болезни с возрастом только прогрессируют.
Если изначально было наплевательское отношение к безопасности, то со временем мало что меняется, так как полностью всё с нуля как надо переписать ни у кого рука не поднимается.
| | |
|
| 2.9, Аноним (-), 02:07, 09/05/2015 [^] [^^] [^^^] [ответить] | +5 +/– | Верно подмеченно Глядя на подобные уязвимости, мне постоянно вспоминаются слова... большой текст свёрнут, показать | | |
| |
| 3.15, Michael Shigorin (ok), 07:27, 09/05/2015 [^] [^^] [^^^] [ответить]
| –2 +/– |
> p.s. Печальная ирония с chroot в том, что имея это средства на
> руках уже десятки лет, поголовное большинство демонов в современной системе
> продолжает запускаться в общем файловом пространстве.
Посмотрите на Owl или ALT, загляните в http://git.altlinux.org/people/ldv/packages/?p=chrooted.git (инструмент автоматизации создания/обновления минимальных чрутов).
Только без грамотного сброса привилегий чрут может неожиданно превратиться в вычрут.
| | |
|
|
| |
| 2.8, Аноним (-), 01:39, 09/05/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> всё благодаря системды
щито? и докер, и рокет нормально без неё работают
| | |
| 2.10, Аноним (-), 05:23, 09/05/2015 [^] [^^] [^^^] [ответить]
| +/– | |
Ага, это системд оказывается виноват в том что Docker хреново симлинки обрабатывает :)
На самом деле он виноват только тем что еще не зохавал всех конкурентов, впилив базовую систему деплоя и запуска контейнеров в системд в полном варианте :)
| | |
|
|
