| 1.1, Аноним (1), 13:22, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +19 +/– |
Ждем комментаторов с искрометными шутками про "девляпсов" и "контейнеры нинужны".
| | |
| |
| |
| 3.58, VINRARUS (ok), 18:32, 29/05/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
 > у меня на Windows 10 ничего не изолировано
Ничего кроме тебя самого.
| | |
|
| |
| 3.64, Аноним (64), 19:35, 29/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
"" поставил тебе [-] ""
///"" -- первый -- безумный! -- Текст. ""
///второй безумный "Текст" -- ${вставить_еще_один_безумный_текст}
<///>
(с)
| | |
|
| 2.5, Аноним (5), 13:30, 29/05/2019 [^] [^^] [^^^] [ответить]
| +5 +/– |
Почему это не нужны? Это хорошый способ предотвратить возможность какому-нибудь софтверному каловому монстру засрать твою систему кривыми либами зависимостей. А те кто пытается использовать решения, изначально не разрабатывавшиеся безопасными, для изоляции - сами себе злобные буратина.
| | |
| |
| 3.40, Аноним (40), 16:37, 29/05/2019 [^] [^^] [^^^] [ответить]
| +3 +/– | |
>Это хорошый способ предотвратить возможность какому-нибудь софтверному каловому монстру засрать твою систему кривыми либами зависимостей.
Этот кейс требует изоляции только на уровне файловой системы, что легко решается более легковесными средствами, чем контейнеры (если, конечно, софт скачивается из доверенного источника, однако новости показывают, что качать докер-образы откуда попало так себе идея - возможность эксплуатации уязвимостей в докере, пустые рутовые пароли, древние либы с уязвимостями внутри контейнера, и т.д.)
Вот если для запуска дерьмодемона нужна еще какая-то нетривиальная настройка системы, тогда без контейнера не обойтись.
| | |
| |
| 4.57, freehck (ok), 18:31, 29/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Этот кейс требует изоляции только на уровне файловой системы, что легко решается более легковесными средствами, чем контейнеры
Да, но инфраструктура более легковесных в плане ресурсов решений оказывается более тяжеловесной в использовании. У докера, вон, большое сообщество, есть готовые базовые имиджи чуть ли не для всего на свете. А в случае schroot, например, мне надо дебутстрапить предварительно окружения самостоятельно, и это не делается одной командой, увы.
С учётом того, что продакшен нынче пошёл активно в контейнерах существовать, использовать докер для подобной изоляции становится более простым и удобным решением: всегда легче заюзать инструмент, который используешь на постоянной основе. И это хорошо и правильно.
| | |
| |
| 5.60, Anonymoustus (ok), 19:03, 29/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Вопрос лишь о том, зачем под доскер подстилать большую юникс-подобную систему, причём искорёженную и переломанную ради этого самого доскера до полной потери черт юникса. Не проще ли было написать специальные мелкие пускали для доскера, не портя линукс и целую прорву ГНУтого софта? Более того — а не лучше ли было для задач, которые суют в доскер, писать отдельные специальные маленькие системки для виртуальных машин? И не ломать, опять же, линукс и целую кучу ГНУтого софта.
| | |
| |
| 6.69, freehck (ok), 19:53, 29/05/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Вопрос лишь о том, зачем под доскер подстилать большую юникс-подобную систему, причём
> искорёженную и переломанную ради этого самого доскера до полной потери черт
> юникса.
Анонимаустус, а каким боком и что именно докер сломал-то? =/
| | |
| |
| 7.73, Anonymoustus (ok), 20:12, 29/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Не доскер сломал, а те, кто из линукса делают корпоративную пускалку для доскеров-шмоскеров.
| | |
| |
| |
| 9.117, анонн (?), 13:28, 30/05/2019 [^] [^^] [^^^] [ответить] | +1 +/– | И где теперь все те никсы для корпоративных задач которыми пользовались Гуса... текст свёрнут, показать | | |
| |
| |
| 11.142, анонн (?), 18:11, 30/05/2019 [^] [^^] [^^^] [ответить] | +/– | И это отвечает на какой вопрос Помимо того, что если даже забыть о Linux is no... большой текст свёрнут, показать | | |
|
|
|
|
|
|
| 5.103, Аноним (103), 08:29, 30/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
>Да, но инфраструктура более легковесных в плане ресурсов решений оказывается более тяжеловесной в использовании. У докера, вон, большое сообщество, есть готовые базовые имиджи чуть ли не для всего на свете. А в случае schroot, например, мне надо дебутстрапить предварительно окружения самостоятельно, и это не делается одной командой, увы.
Потому что это не правильный подход. Надо не систему бутстрапить, а сбандлить с приложением либы, которое оно использует, с помощью инструментов вроде linuxdeploy
| | |
|
|
| 3.56, freehck (ok), 18:28, 29/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Почему это не нужны? Это хорошый способ предотвратить возможность какому-нибудь софтверному каловому монстру засрать твою систему кривыми либами зависимостей.
Плюсую. А ещё деплой удобнее в разы становится.
| | |
|
| 2.8, Аноним (8), 13:49, 29/05/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
Если писать код абсолютно правильно, то контейнеры не особо то и нужны. Но с ними проще, на многое можно забить.
| | |
| |
| 3.10, kai3341 (ok), 14:07, 29/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Если писать код абсолютно правильно, то контейнеры не особо то и нужны. Но с ними проще, на многое можно забить.
> абсолютно
максималист детектед. Возвращайся в мир собственных фантазий
| | |
| 3.39, Аноним (40), 16:27, 29/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Если писать код абсолютно правильно, то контейнеры не особо то и нужны.
Контейнеры были придуманы для разделения ресурсов между сервисами, выполняющимися в облачной инфраструктуре. И в этой нише конкуренция идет в основном между различными типами этих самых контейнеров, так как виртуализация всегда имеет больше накладных расходов. А то, что некоторые макаки забивают гвозди микроскопами - это как бы совсем не означает, что микроскопы не нужны и их легко заменить молотками.
| | |
| |
| 4.87, пох. (?), 22:06, 29/05/2019 [^] [^^] [^^^] [ответить] | +3 +/– | да ну нах Я-то думал для разделения ресурсов были придуманы многозадачные опера... большой текст свёрнут, показать | | |
|
| 3.59, лютый жабист__ (?), 18:44, 29/05/2019 [^] [^^] [^^^] [ответить]
| –3 +/– | |
>Если писать код абсолютно правильно, то контейнеры не особо то и нужны
Если использовать java EE, то доцкер не нужен. Может есть и другие вменяемые платформы, хз.
| | |
| |
| 4.123, пох. (?), 14:09, 30/05/2019 [^] [^^] [^^^] [ответить] | +1 +/– | угу, вместо сравнительно дешевого девляпса надо кормить наглого и распухшего от ... большой текст свёрнут, показать | | |
|
|
| 2.27, Fyjybv755 (?), 15:22, 29/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Ждем комментаторов с искрометными шутками про "девляпсов" и "контейнеры нинужны".
У "девляпсов" копирование файлов в контейнер (точнее, образ) выполняется только при docker build, когда контейнер, внезапно, не выполняется. Для всего остального есть volumes.
Менять что-то в контейнере вручную - крайне бессмысленная задача, так они обычно создаются и уничтожаются автоматически при деплое.
| | |
| |
| 3.33, пох. (?), 16:07, 29/05/2019 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Для всего остального есть volumes.
объявленные (те что персистентны, а не каждый раз вручную) deprecated пять лет назад и с тех пор по этому поводу толком не поддерживаемые (оставляют неудобообнаруживаемый и неудобоудаляемый мусор в системе, не видны обычными инструментами если не знать и не спросить специально)? Отличное решение, так держать.
Ну и вот ни разу не поверю, что копирование файлов ИЗ контейнера - никогда-никогда не случается у девляпсов. А баг, как я понимаю, эксплойтится и этим способом замечательно.
| | |
| |
| |
| 5.49, пох. (?), 17:58, 29/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> И чем заменять предлагают?
как обычно, ничем - "как, вы не слышали? в какой криокамере вы спали? standalone docker давно уже ж немодно, все на k8s, бегом, бегом, некогда разбираться, ляпай давай!"
его, разумеется, тоже будет некогда доделывать - "все бегом в впопенштифт, управлять кластером руками ересь и предрассудки!"
| | |
| |
| |
| 7.112, Fyjybv755 (?), 12:41, 30/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Судя по его комментам в этом обсуждении, докер он видел только на картин^Wвинде, а про кубер и сварм вообще только слышал.
| | |
| |
| 8.125, пох. (?), 14:16, 30/05/2019 [^] [^^] [^^^] [ответить] | +/– | ваш сварм - такое же устаревшее ненужно, уже выкинутое ляпателями доскера в помо... большой текст свёрнут, показать | | |
|
|
|
|
| 4.45, sailorCat (?), 17:37, 29/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> у и вот ни разу не поверю, что копирование файлов ИЗ контейнера - никогда-никогда не случается у девляпсов.
Осталось найти девопса и убедить его сто раз скачать файл из работающего контейнера. Если повезёт, этого хватит, чтобы сработала уязвимость.
| | |
| |
| 5.50, пох. (?), 18:00, 29/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
ну нет, зачем же так - надо найти девопса с десятью тысячами контейнеров, и как-то развести на нужный и полезный файл где-то в одном из. Вероятность попадания резко увеличивается.
| | |
| |
| 6.111, Fyjybv755 (?), 12:39, 30/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ага, админ десяти тысяч контейнеров не имеет никакой автоматизации и чуть что - сам лезет чинить.
Десять тысяч раз в день, ага.
Ну и бред вы несете.
На практике, если с каким-то контейнером проблема - его проще редеплойнуть, чем ковыряться в его потрохах и выяснять, кто там pid-файл забыл убрать.
| | |
| |
| 7.118, Аноним (114), 13:31, 30/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Ага, админ десяти тысяч контейнеров не имеет никакой автоматизации и чуть что - сам лезет чинить.
Зачем ты приписываешь свои слова другим?
> проще редеплойнуть, чем ковыряться
На практике проще.
Но не правильней.
Потому, что если всё делать как проще, то получится:
> Ну и бред вы несете. | | |
| 7.126, пох. (?), 14:22, 30/05/2019 [^] [^^] [^^^] [ответить] | +/– | ну нет, зачем же - он как раз автоматически наш эксплойт и запустит, вручную-то ... большой текст свёрнут, показать | | |
| |
| |
| 9.132, пох. (?), 16:08, 30/05/2019 [^] [^^] [^^^] [ответить] | +/– | ага, перезапускать до посинения прода, после - обновить резюме так же, как мы р... большой текст свёрнут, показать | | |
|
|
|
|
|
| 4.65, Анонимус2 (?), 19:38, 29/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Где вы такую траву берете? Или вы машину времени украли и пишете из 2030 года?
| | |
| |
| 5.115, Аноним (114), 13:27, 30/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Не машину, а вагон времени. Всё это ваше ГНУ именно про вагон бесплатного чужого времени.
| | |
| |
| 6.157, Andrey Mitrofanov_N0 (?), 09:21, 31/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Не машину, а вагон времени. Всё это ваше ГНУ именно про вагон
> бесплатного чужого времени.
Сестра, тампоны! В треде ушибленный ГНУ!1
У тебя ушиб, если ты "девляпсы" выше по треду или "дыркер" из новости "перевёл" на гну.
Прикладывай лёд.
| | |
|
|
| 4.110, Fyjybv755 (?), 12:35, 30/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> объявленные (те что персистентны, а не каждый раз вручную)
О, сразу видно великого спеца по девляпсам. Контейнеры, значит, вручную создаете.
На практике, где-либо, кроме тестового стенда, никто такой фигней не занимаются. Контейнеры со всеми томами, портами и лимитами создаются автоматически системой деплоя, поэтому никаких "вручную" быть не может по определению. Более того, в нормальной инфраструктуре система мониторинга выявляет все созданные и измененные "вручную" контейнеры на продовых серваках и поднимает critical alert.
| | |
| |
| 5.127, пох. (?), 14:25, 30/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
>> объявленные (те что персистентны, а не каждый раз вручную)
> О, сразу видно великого спеца по девляпсам. Контейнеры, значит, вручную создаете.
сразу видно великого спеца-девляпса, он даже не понял что речь о персистентных томах, а не контейнерах.
> На практике, где-либо, кроме тестового стенда, никто такой фигней не занимаются. Контейнеры
> со всеми томами, портами и лимитами создаются автоматически системой деплоя, поэтому
поэтому docker cp их незаменимый помощник, когда что-то где-то пойдет не так, ага, ага (ну и наш тоже, если придет в голову их немного поломать).
какие еще персистентные тома, они об этом ведь не успели дочитать, а если бы и успели - модная система "орхестрации" все равно не даст.
| | |
| |
| 6.131, Fyjybv755 (?), 16:07, 30/05/2019 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> сразу видно великого спеца-девляпса, он даже не понял что речь о персистентных томах, а не контейнерах.
Нет, я не понял, нафига вообще нужны персистентные тома. Еще раз: список томов в виде пар "каталог хоста"-"каталог контейнера" (+опционально ro) автоматически формируется при создании каждого нового контейнера. Зачем в этой схеме нужен механизм docker persistent volumes?
> поэтому docker cp их незаменимый помощник, когда что-то где-то пойдет не так, ага, ага (ну и наш тоже, если придет в голову их немного поломать).
Ну удачи залезть на тестовый стенд. Конечно, специально для вас его откроют в мир. Если очень-очень попросить.
| | |
| |
| 7.133, пох. (?), 16:11, 30/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Нет, я не понял, нафига вообще нужны персистентные тома. Еще раз: список
> томов в виде пар "каталог хоста"-"каталог контейнера" (+опционально ro) автоматически
> формируется при создании каждого нового контейнера. Зачем в этой схеме нужен
в этой- низачем, поэтому поломано и починено не будет. Как и много чего еще, брошенное недоделанным, потому что стая макак ускакала за новыми, более блестящими погремушками.
(тот же swarm, как показала практика)
| | |
|
|
|
|
|
| 2.32, Канделябры (?), 16:02, 29/05/2019 [^] [^^] [^^^] [ответить]
| +11 +/– | |
> с искрометными шутками
Не каждому разработчику удаётся выбраться из контейнера на оплачиваемую работу.
| | |
| |
| 3.52, Аноним (52), 18:10, 29/05/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Хьело фрём Индия, дрюгь! Ми написале харёши кёд для твая видиёкартачкя, дрюгь! Тама сто милиёнь строкь! (неразборчиво говорит дальше на хинглише)
| | |
|
| 2.37, Дон Ягон (?), 16:17, 29/05/2019 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Ждем комментаторов с искрометными шутками про "девляпсов" и "контейнеры нинужны".
Жаль, что тебе и подобным не понятно, что это не шутки в целом.
Контейнеры сами по себе может и ок концепция, со своей областью применения, но то, как эта концепция реализована в дрокере - это провал. Да и вечнодырявые линуксовые неймспейсы доверия не добавляют.
| | |
| |
| 3.101, виндотролль (ok), 06:44, 30/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
 какая разница между концепцией контейнеров, ее реализацией в докере и линуксовыми неймспейсами?
| | |
|
|
| |
| 2.14, пох. (?), 14:26, 29/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
ну он вроде обещался за вылезание из контейнера, а не за эксплуатацию уязвимости в самом дыркере
тут, как я понимаю, традиционно, нужен доступ к docker socket или лох, который это сделает за тебя в оговоренный момент. А это человеческие отношения, это сложно - проще получить свой биткойн с этих вот - "я вчера взламал твой кампьютер, хакнул твой вебкамера и заснятое разошлю по списку всех тваих кантактов если не пришлешь мне деньгов". Раньше они хоть правда пытались подбирать пароли и иногда даже присылали их, а теперь уже не парятся - видимо, и так неплохо выходит.
И только я, как дурак, сижу без вебкамеры :-(
| | |
| |
| 3.22, Fyjybv755 (?), 15:09, 29/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> лох, который это сделает за тебя в оговоренный момент.
И вероятность удачи порядка 1% на попытку. Очень долго придется несчастного лоха мучить...
| | |
|
| 2.18, Fyjybv755 (?), 15:06, 29/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Ну где тот аноним, который биткоинами разбрасывался? месяц даже не прошел )))
Он обещал за выход из контейнера. А сабжевая жуткая мега-уязвимость предполагает, что вы уже вне контейнера и имеете полномочия для управления докером (группа docker, в которую обычно входят только админы).
| | |
| |
| 3.34, пох. (?), 16:08, 29/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
так каждый дурак может, тут идея что полномочия-то не у тебя, а используешь их - ты, без спросу.
| | |
| |
| 4.113, Fyjybv755 (?), 12:42, 30/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Фигасе "без спросу" - сотню-другую раз подряд просить админа "ну скопируй мне файл, ну позяяяязя".
| | |
|
|
|
| 1.16, corvuscor (ok), 14:40, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 >Атака может быть совершена только в момент выполнения администратором команды "docker cp" для копирования файлов в контейнер или из него.
Вот уязвимость так уязвимость... Я аж забоялся...
| | |
| 1.20, Fyjybv755 (?), 15:08, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> Таким образом атакующему необходимо каким-то образом убедить администратора Docker в необходимости выполнения этой операции и предугадать используемый при копировании путь.
Может, проще сразу попросить рутовый доступ? А что, неплохая уязвимость получается - любой линукс взломать можно. И *bsd тоже. "Каким-то образом убедить админа, что вам нужен рутовый шелл".
| | |
| |
| 2.24, Fyjybv755 (?), 15:15, 29/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Если говорить о реалистичных сценариях атаки, то это не "выбраться из контейнера", а "получить рута, если у тебя есть полномочия докер-админа".
На практике обычно управление докером и так выполняется из-под рута, поэтому можно даже за попкорном не ходить, скукотища.
| | |
|
| 1.25, Какаянахренразница (ok), 15:20, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +9 +/– |
 Снова ночь и снова демоны приподнимают крышки контейнеров, оглядываются вокруг и едва слышно, по-одному, вылазят наружу...
| | |
| 1.31, zurapa (ok), 15:58, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +10 +/– |
 Вот читаю комментарии, и удивляюсь. Никогда столь дырявая вещь не захватывала умы IP сообщества. Видимо это новый миллениум - сначала ставишь в прод, потом отлавливаешь баги, дыры и всё такое. Нам же некода, быстро надо.
Это:
и про докер,
и про pulseaudio, как он внедрялся,
и про systemd, как он внедрялся, без которого docker не столь привлекательным становится.
Странно это. Без докера, помоему и обсуждать то не пришлось бы. Сейчас все разговоры только о том, какие дырки в докере, как эти дырки латают, как swarm придумал, как научили контейнеры контактировать друг с другом, какой плохой swarm, закроем swar, сделаем kubernetis, и т.д...
Технология на столько бурно развивается. и на столько плохо обкатана, что тот кто его потрогал год назад, сейчас уже занова должен всё читать и разбираться.
В сети взяли на вооружение BGP, раздали всем желающим рукожопам по AS, и сейчас ноют, что делать с интернетом. Распродали IP-адреса всем подряд, бесконтрольно, получили целые подсети spam, ddos, прочего флуда.
У меня одного впечатление, что всем IT рулит стадо детей лет 12-ти, которым вообще не хочется думать о завтрашнем дне?
Где мозги у людей?!
Даже уже шутить по поводу Docker не хочется. Это реально не смешно становится. Постригусь в BSD'уны.
| | |
| |
| 2.36, пох. (?), 16:16, 29/05/2019 [^] [^^] [^^^] [ответить] | +/– | вот сейчас обидно получилось доскер с системд - не то что не близнецы-братья, а... большой текст свёрнут, показать | | |
| |
| 3.44, Ёж (?), 17:05, 29/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> хотя ежу понятно что это решение всем хуже
Мне не понятно! Объясни!
| | |
| |
| 4.47, пох. (?), 17:54, 29/05/2019 [^] [^^] [^^^] [ответить] | +/– | у тебя есть демон, работает с поднятыми привиллегиями, запускается тем у кого он... большой текст свёрнут, показать | | |
|
|
| 2.70, вИКТОР АГН (?), 20:01, 29/05/2019 [^] [^^] [^^^] [ответить]
| –2 +/– | |
>и про systemd, как он внедрялся, без которого docker не столь привлекательным становится.
да при чём тут докер то? :E у меня за 2 года прода багов докера было ровно два, с пермиссиями и extended acl. второй баг возник из-за лимитов. В systemd они задаются отдельно от /etc/security/limits.d/
Других проблем не было. и это прод, 2к рпс/наносекунду.
| | |
| |
| 3.150, Аноним (150), 06:37, 31/05/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
2K рпс/наносекунду. Толсто однако.
РПС - RPS - requests per second.
Даже если забыть этот ляп. И это 2K запросов в наносекунду, Гугл в сторонке курит.
Иди уроки учи. Завтра в школу
| | |
| 3.159, zurapa (ok), 11:56, 31/05/2019 [^] [^^] [^^^] [ответить] | –1 +/– | Я в своём комментарии, как бы намека явно говорю , что без systemd, с которым т... большой текст свёрнут, показать | | |
|
|
| |
| |
| 3.48, пох. (?), 17:55, 29/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
кое-что все же успели испортить за последние пять - в погоне за косплеем доскера, ага.
| | |
| |
| 4.75, abi (?), 20:21, 29/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
vnet что-ли? На 11.2 все ещё кидал систему в панику если в разных клетках свой pf запустить.
| | |
| |
| 5.83, Sw00p aka Jerom (?), 21:58, 29/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
> vnet что-ли? На 11.2 все ещё кидал систему в панику если в
> разных клетках свой pf запустить.
в клетках пф? о Боже
| | |
| |
| 6.89, пох. (?), 22:08, 29/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
>> vnet что-ли? На 11.2 все ещё кидал систему в панику если в
>> разных клетках свой pf запустить.
> в клетках пф? о Боже
ну а зачем вообще тебе vnet?
с разделяемой физической сетевухой и так все работает.
| | |
| |
| 7.94, Sw00p aka Jerom (?), 00:19, 30/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
> ну а зачем вообще тебе vnet?
> с разделяемой физической сетевухой и так все работает.
алиасов хватает )
| | |
| |
| 8.136, пох. (?), 17:44, 30/05/2019 [^] [^^] [^^^] [ответить] | +/– | так это и есть разделение физической сетевухи - хошь алиасами, а не хошь просто ... текст свёрнут, показать | | |
| |
| |
| 10.143, пох. (?), 18:23, 30/05/2019 [^] [^^] [^^^] [ответить] | +1 +/– | в смысле Это способы его туда не тянуть А pf в jail можно хотеть тянуть по мил... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
| 1.54, Аноним (55), 18:14, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Для всех в этом чатике изоляция бывает только аппаратная. И то там работает социоинженерия. Все остальное фикция. То что докер не может решить эту проблему это только потому что никто такой задачи решить не может.
| | |
| |
| 2.67, Анонимус2 (?), 19:46, 29/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Эту вашу аппаратную изоляцию ломают чаще чем в докере дыры находят. При этом её ещё и исправить можно только покупкой новой железяки, которая появится только через год.
| | |
| |
| 3.120, Аноним (114), 13:36, 30/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> вашу аппаратную изоляцию ломают чаще чем в докере дыры находят.
Это изоляция .. , она такая же наша как и твоя.
И почему изоляцию ломают, а дыры в докере находят? Может всё ровно наоборот? Дыры в твоей аппаратной изоляции находят, а докер ломают?
> При этом её ещё и исправить можно только покупкой новой железяки, которая появится только через год.
И какой же ты делаешь из этого вывод? Что, надо использовать докер без аппаратной изоляции?
| | |
| |
| 4.160, zurapa (ok), 12:03, 31/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Вот тут ты очень смешно протролил. Надо запомнить. Буду теперь всем DevOps'ам говорить, чтобы использовали Docker без аппаратной изоляции в чистом виде, прямо на железе. Какой там на железе?! Прямо в уме пускай это делают. В мозгу то дыр нет. Хотя...
Ха-ха-ха-ха-ха! (сдох)
| | |
|
|
| 2.82, Аноним (-), 21:05, 29/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> И то там работает социоинженерия.
И хорошо работает. Аппаратная изоляция - это программная, реализованная на уровне фирмвари проца. Тот же программный код, притом проприетарные. Да уж, изоляция с открытым кодом - фикция, только проприетарная изоляция настоящая.
| | |
|
| 1.63, Аноним (63), 19:20, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Вспомнил забавный киноляп из недавнего фильма, как чел, кажется раз 7 сбегал из немецкого концлагеря во время второй мировой.
| | |
| |
| 2.76, Аноним84701 (ok), 20:48, 29/05/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Вспомнил забавный киноляп из недавнего фильма, как чел, кажется раз 7 сбегал
> из немецкого концлагеря во время второй мировой.
Был такой. Тони Ролт. Прославился еще как гонщик (и тем, что для последнего побега, из замка Кольдиц, построили с группой заключенных планер).
Сбегал 7 раз (вроде как подтверждено документально самими немцами).
Просто был британским офицером (более мягкие условия содержания в начале второй мировой), да и последний его побег был еще до 1943.
| | |
|
| |
| 2.71, вИКТОР АГН (?), 20:06, 29/05/2019 [^] [^^] [^^^] [ответить]
| –2 +/– | |
>Почему баг обработки симлинков исправляется приостановкой контейнера????
потому что твой супер контейнер должен быть stateless, и их должно быть два минимум.
statefull прикладухи для докера это такое себе, mysql в докере поднимать не следует, если ты не псих и не разраб.
| | |
| 2.74, пох. (?), 20:17, 29/05/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Почему баг обработки симлинков исправляется приостановкой контейнера????
потому что макака по другому просто не умеет. Контейнер стопнула - опа, вот и race condition сам собой рассосался, с гарантией. А что он в тот момент может на запрос отвечал (от чего никакое "stateless" не спасет) - да пофигу, вон, девляпс уже верещит что это верно и правильно, у него 5krps ненужно - "всеработает".
| | |
|
| 1.77, mumu (ok), 20:49, 29/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 Девопсненько так. В lxc проблемы нет, но девопсяры же в неё не умеют, им решетокер нужен))
| | |
| |
| |
| 3.90, пох. (?), 22:11, 29/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> lxc очень сложно, нужно проходить курсы для запуска hello world
lxc еще и очень криво, неудачный косплей виртуальной машины.
К ней бы runc от clear приделал кто - была бы неплохая в общем альтернатива qemu.
| | |
|
| 2.80, Аноним (-), 21:00, 29/05/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
В podman тоже нет проблемы, но во многом аналогичен докеру по использованию. Да и runc лучше lxd по безопасности, потому как хотя-бы для части контейнеров в нем можно обходиться без прав рута.
| | |
| 2.81, Аноним (-), 21:01, 29/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Вообще этих контейнеров вагон и маленький вагон, но бабки нашептали только три буквы - LXC.
| | |
| |
| 3.105, mumu (ok), 10:05, 30/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Вопрос в том, как много из них прошли аудит безопасности и стали готовы для продакшена.
| | |
| |
| 4.134, пох. (?), 16:14, 30/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Вопрос в том, как много из них прошли аудит безопасности и стали
лолшта? Конечно ноль!
> готовы для продакшена.
ВСЕ!
(каравай-каравай, каку хочешь? Выбирай!)
| | |
| |
| |
| 6.152, пох. (?), 07:19, 31/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Только то что запускают в реальной VM, как например VMware Photon.
ты еще скажи, что она проходила какой-то там "аудит".
или что секретная технология x-як-х-як и в продакшн не освоена китайцами вмвари в достаточной степени.
или что такая же виртуалка с atomic shit (или как там его) чем-то по надежности будет хуже?
| | |
|
|
|
|
|
| 1.95, Погонщик (?), 01:05, 30/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ну что, сколько уже смузихлебов выбралось из своего картонного контейнера? Уже есть статистика?
| | |
| 1.96, Аноним (96), 02:23, 30/05/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
ШОК, СЕНСАЦИЯ!!! Найдена уязвимость во всех ОС: Если иметь права root\админа, то можно убить систему!!!
Уязвимость ещё не исправлена!
| | |
| |
| |
| |
| 4.124, анонн (?), 14:14, 30/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Можно: killall system
> Дерзай.
# killall system
No matching processes were found
А что должно было произойти?
| | |
|
|
| 2.106, mumu (ok), 10:06, 30/05/2019 [^] [^^] [^^^] [ответить]
| +/– |
Если на каждый шмокер приходится ровно по одному хосту, то не страшно конечно. Но нафига тогда он нужен?
| | |
| |
| 3.109, пох. (?), 12:05, 30/05/2019 [^] [^^] [^^^] [ответить]
| +/– | |
для деплоя же ж...
но так красиво получается только первые три дня - а дальше контейнеров становится пара сотен, вручную рулить ими ты быстро задолбаешься, а ответственность за безопасность и надежность решения уже успешно переложена на никого, так что и плакать не о чем.
| | |
|
|
|
