The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в runc, позволяющая выбраться из контейнеров Docker и Kubernetes

03.02.2024 11:52

В инструментарии для запуска изолированных контейнеров runc, применяемом в Docker и Kubernetes, найдена уязвимость CVE-2024-21626, позволяющая получить доступ к файловой системе хост-окружения из изолированного контейнера. В ходе атаки злоумышленник может перезаписать некоторые исполняемые файлы в хост-окружения и таким образом добиться выполнения своего кода вне контейнера. Уязвимость устранена в выпуске runc 1.1.12. В runtime LXC, crun и youki, альтернативных runc, проблема не проявляется.

В случае использования инструментариев Docker или Kubernetes атака может быть совершена через подготовку специально оформленного образа контейнера, после установки и запуска которого из контейнера можно обратиться к внешней ФС. При использовании Docker имеется возможность эксплуатации через специально оформленный Dockerfile. Уязвимость также может быть эксплуатирована в случае запуска в контейнере процессов командой "runc exec" через привязку рабочего каталога к пространству имён хостового окружения.

Уязвимость вызвана утечкой внутренних файловых дескрипторов. Перед запуском кода внутри контейнера в runc выполняется закрытие всех файловых дескрипторов при помощи флага O_CLOEXEC. Тем не менее, после последующего выполнения функции setcwd() остаётся открытым файловый дескриптор, указывающий на рабочий каталог и продолжающий оставаться доступным после запуска контейнера. Предложено несколько базовых сценария атаки на хост-окружение, используя оставшийся файловый дескриптор.

Например, атакующий может указать в образе контейнера параметр process.cwd, указывающий на "/proc/self/fd/7/", что приведёт к привязке к процессу pid1 в контейнере рабочего каталога, находящегося в пространстве монтирования хост-окружения. Таким образом, в образе контейнера можно настроить запуск "/proc/self/fd/7/../../../bin/bash" и через выполнение shell-скрипта перезаписать содержимое "/proc/self/exe", которое ссылается на хостовую копию /bin/bash.

Другой вариант атаки позволяет злоумышленнику, ограниченному внутри контейнера, получить доступ к каталогу хостового окружения, если в указанном контейнере запускаются привилегированные процессы при помощи команды "runc exec с опцией "--cwd". Атакующий может подменить путь запускаемого процесса на символическую ссылку, указывающую на "/proc/self/fd/7/" и добиться открытия "/proc/$exec_pid/cwd" для доступа к ФС на стороне хоста. Атакующий также может добиться перезаписи исполняемых файлов на стороне хостового окружения, через организацию запуска исполняемого файла из хостового окружения ("/proc/self/fd/7/../../../bin/bash") с последующей перезаписью файла "/proc/$pid/exe", ссылающегося на запущенный файл.

Кроме того, в компонентах инструментария Docker выявлено ещё пять уязвимостей:

  • CVE-2024-23651 - состояние гонки в пакете BuildKit, применяемом в Docker для преобразования исходного кода в сборочные артефакты. Уязвимость вызвана использованием в параллельно выполняемых стадиях сборки одной общей точки монтирования c кэшем ("--mount=type=cache,source="), что позволяет при обработке в BuildKit специально оформленного Dockerfile получить из сборочного контейнера доступ к файлам в хостовом окружении. Уязвимость устранена в BuildKit 0.12.5.
  • CVE-2024-23652 - ошибка при удалении пустых файлов, созданных для точки монтирования при использовании опции "--mount", позволяет добиться удаления файла вне контейнера при обработке специально оформленного Dockerfile. Уязвимость устранена в BuildKit 0.12.5.
  • CVE-2024-23653 - ошибка в реализации API в BuildKit позволяет добиться выполнения контейнера с повышенными привилегиями, невзирая на состояние настройки security.insecure. Уязвимость устранена в BuildKit 0.12.5.
  • CVE-2024-23650 - вредоносный клиент или фронтэнд BuildKit может вызвать аварийное завершение фонового процесса BuildKit. Уязвимость устранена в BuildKit 0.12.5.
  • CVE-2024-24557 - возможность отравления кэша в Moby, компоненте для построения специализированных систем контейнерной изоляции. При обработке специально оформленного образа контейнера можно добиться помещения в кэш данных, которые могут использоваться на следующих этапах сборки. Уязвимость устранена в Moby 25.0.2 и 24.0.9.


  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Уязвимость в runc, позволяющая получить доступ к ФС вне контейнера
  3. OpenNews: Уязвимость в runc и LXC, затрагивающая Docker и другие системы контейнерной изоляции
  4. OpenNews: Docker 1.11 переведён на containerd и runC
  5. OpenNews: Уязвимость в Docker, позволяющая выбраться из контейнера
  6. OpenNews: Уязвимость в cgroups v1, позволяющая выйти из изолированного контейнера
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60545-runc
Ключевые слова: runc, docker, kubernetes, container
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (202) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Шарп (ok), 13:16, 03/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    >Уязвимость вызвана утечкой внутренних файловых дескрипторов.

    Вот и "гениальная" идея передавать файловые дескрипторы в дочерний процесс выстрелила. Ради возможности проворачивать всякие форк-трюки сделали дыру.

     
  • 1.2, Аноним (2), 13:19, 03/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кстати, утилита runc написана на безопасном языке Go
     
     
  • 2.5, Карлос Сношайтилис (ok), 13:25, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Если ты про дескрипторы, то язык тут ни при чём.
    Если про гонку, то гошечка от неё не защищает
     
     
  • 3.6, Аноним (2), 13:27, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Дак и Си никогда не причём, это все процессор и контроллер памяти
     
     
  • 4.13, Аноним (13), 14:11, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Это да. Если компиляторы сишки будут бить разработчика десятком киловольт при любой попытке использовать указатели или динамически аллоцировать память — сишка станет безопасным языком.
     
     
  • 5.31, Аноним (31), 15:50, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Без динамического выделения памяти вообще жизнь станет совсем тяжёлой. Даже Pascal может в динамические массивы.
     
     
  • 6.42, Аноним (13), 17:49, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Любителей Turbo Pascal можно пересадить на Turbo Basic. Такой же синий экран, но куда более безопасный язык.
     
     
  • 7.71, Аноним (71), 22:08, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Почему именно Турбо вспомнил? Есть вполне живой Free, который, наверное, в Linux даже более востребован, чем Windows.
     
     
  • 8.87, _kp (ok), 05:23, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    При всей нелюбви к Паскалю, таки использую, для небольших приложений, типа загру... текст свёрнут, показать
     
  • 7.91, Аноним (91), 07:40, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Любителей Turbo Pascal можно пересадить на Turbo Basic. Такой же синий экран,
    > но куда более безопасный язык.

    А еще можно взять выключенный компьютер и подобрать монитор или телек рисующий синий экран без сигнала. Совсем безопасно станет, и без всяких труб.

     
     
  • 8.112, Аноним (13), 14:48, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Единственный безопасный метод запуска программ на небезопасных языках 8212 не... текст свёрнут, показать
     
     
  • 9.232, Аноним (-), 13:52, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я и предложил - не включать его Решает в том числе и эту проблему, начиная п... текст свёрнут, показать
     
  • 5.67, Bottle (?), 21:53, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати такое можно неиронически устроить - с помощью системы сборки Cmake, подключая некий файл "forbidden.h" с переопределёнными функциями к любому другому. Тем самым можно запретить небезопасные функции и писать как на Расте, не переписывая код на Раст.
    https://iq.opengenus.org/ban-use-of-c-functions/
    https://stackoverflow.com/questions/32773283/cmake-include-header-into-every-s
     
     
  • 6.86, Ivan_83 (ok), 03:15, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тут несколько аспектов.

    1. Есть масса простых утилит, где не важно что и как, важно чтобы оно просто отработало на тех полутора примерах для которых написано.

    2. Есть всякие анализаторы которые делают примерно тоже - возмущаются по делу и просто так на эти функции.

    3. Та реализация что представлена генерит 3 строки на каждое вхождение, это не удобно.

    В целом я согласен что srtcpy() и прочие функции для работы со строками без указания размера буфера не безопасны и не должны использоватся в современном коде.
    Выкидывать strncpy() - глупо.
    Но лично я бы предпочёл чтобы в компиляторы добавили варнинг про это, вместо этого туда нынче засунули самый бесполезный в мире варнинг -Wunsafe-buffer-usage чтобы подчеркнуть неисправимую неполноценность С и подтолкнуть к С++ и гнили.

     
     
  • 7.95, нах. (?), 10:10, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ну вот кстати я слабо понимаю пользу от strn Зачем нам огрызок строки и что с н... большой текст свёрнут, показать
     
     
  • 8.100, Аноним (2), 12:54, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Что, чёрт возьми, ты такое несешь n - это длинна твоего буфера, к-й тебе извес... текст свёрнут, показать
     
     
  • 9.104, нах. (?), 14:32, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И как это вот оно так получается-то, что без конца при этом попадают мимо А я т... текст свёрнут, показать
     
  • 8.132, Ivan_83 (ok), 23:01, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы всегда можете пропатчить заменить strncpy на нечто будет вызывать abort ... текст свёрнут, показать
     
     
  • 9.134, нах. (?), 23:29, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    очевидно что так скорее всего не надо, а надо как-то аккуратно отменить операцию... большой текст свёрнут, показать
     
     
  • 10.137, Ivan_83 (ok), 02:30, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    У меня лично работа со строками обычно идёт как работа с буферами сырых данных ... большой текст свёрнут, показать
     
     
  • 11.238, Аноним (-), 19:16, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вопрос что сие за штука Что за omc и самсунги Такое описание как будто все зн... текст свёрнут, показать
     
  • 7.151, ng (ok), 11:10, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > srtcpy() и прочие функции для работы со строками без указания размера буфера не безопасны и не должны использоватся в современном коде.

    Плосы встречного дорожного движения обозначаются разделительной полосой или бетонным отбойником вдоль проезжей части.

    Бетонный отбойник гарантированно исключает выезд на встречную полосу.

    Включая ситуации, когда в крайнем левом ряду внезапное препятствие (ДТП), времени на экстренное торможение нет, правый ряд занят, а встречка свободна.

    Добро пожаловать в безопасный, дивный мир. ;-)

     
     
  • 8.172, Аноним (172), 14:55, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В бетонном отбойнике нет unsafe И вылет на встречную он не гарантирует ... текст свёрнут, показать
     
     
  • 9.202, ng (ok), 18:02, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В точку Безопасность движения - это, сначала, мастерство водителей, а разметка ... текст свёрнут, показать
     
  • 9.203, Аноним (-), 19:27, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот хрустовский panic это типичный бетонный отбойник И хотел ли ты его пол... большой текст свёрнут, показать
     
  • 5.82, Ivan_83 (ok), 01:20, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Нужна не абстрактная безопасность а работоспособность и производительность.
    При этом работоспособность иногда включает в себя и вашу "безопасность", если это является целью работы програмы.

    А эта ваша "безопасность" похоже на кастрацию, когда ничего в языке сделать нельзя, да он ещё тебя поучает и отвественность за ошибки типа с тебя снимает.

    В общем пока вот такие хотят безопасности, веганствуют и запрещают оружие, нормальные люди покупают очередной ствол, жарят шашлык и пишут прогу на С которая делает то что им нужно.

     
     
  • 6.84, Аноним (84), 02:53, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мне почему-то кажется, что вы ездите на автомобиле, не пристёгиваясь ремнём.
     
     
  • 7.85, Ivan_83 (ok), 02:55, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вам действительно кажется :)
    Я езжу В такси, пристёгиваясь там где таксисты не убрали ремни.
     
     
  • 8.116, Аноним (13), 14:59, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как насчёт того, что пристёгивание ремнём влияет на производительность поездки ... текст свёрнут, показать
     
     
  • 9.140, Ivan_83 (ok), 02:37, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Функция перевозки - доставить пассажира до места целым, очевидно что не пристёги... текст свёрнут, показать
     
  • 9.204, Аноним (-), 19:29, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, если телепортатор перекидывал меня через половину глобуса за секунду - 2 сек... текст свёрнут, показать
     
  • 6.88, Аноним (-), 06:02, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > При этом работоспособность иногда включает в себя и вашу "безопасность", если это является целью работы програмы.

    Корректность программы -- это составная часть работоспособности. А если мы под "безопасностью" понимаем safety в стиле раста, то это составная часть корректности. К киберсекурити это имеет лишь косвенное отношение.

    > А эта ваша "безопасность" похоже на кастрацию, когда ничего в языке сделать нельзя

    Не лезь в программирование, это не твоё. Попробуй сисадмином устроиться, там надо не столько уметь, сколько знать, то есть декларативное знание важнее процедурного. Может тебе лучше зайдёт.

     
  • 6.111, Аноним (13), 14:47, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Нужна не абстрактная безопасность а работоспособность и производительность.

    В общем, вам нужно, чтобы вашу прогу не просто могли ломануть, а могли это сделать тысячу раз в секунду, чтобы каждый китайский ботнет подсадил по своему трояну.
    Правда, после этого производительность становится так себе, потому что система начинает майнить сразу несколько криптовалют.

     
  • 5.90, Аноним (91), 07:39, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Это да. Если компиляторы сишки будут бить разработчика десятком киловольт при любой
    > попытке использовать указатели или динамически аллоцировать память — сишка станет
    > безопасным языком.

    Зачем так сложно? Статический анализатор и какой-нибудь misra checker в билд пайплайн - и попробуй-ка сгавнякай.

     
  • 3.56, OpenEcho (?), 19:33, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Если про гонку, то гошечка от неё не защищает

    Там у Гошки ключик есть полезный для этого, -race называется

     
     
  • 4.65, morphe (?), 21:21, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > -race

    Который найдёт только те гонки, что происходят регулярно, да и их не всегда.

     
     
  • 5.102, OpenEcho (?), 14:19, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> -race
    > Который найдёт только те гонки, что происходят регулярно, да и их не
    > всегда.

    Если вы посмотрите на то, на что я коментировал, то уверен, что вы поймете о чем речь.

    Изпользуйте как можно меньше го-рутин с шаред обьектами, разбивая логику на тестируемые юниты, Mutex, WaitGroup и каналы с shared ресурсами is must have, а не глобальные флаговые переменные  в надежде только на -race и все будет пучком, как впрочем не только с Го, а и любыми другими ЯП.

     
     
  • 6.117, morphe (?), 15:14, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > как впрочем не только с Го, а и любыми другими ЯП.

    Речь шла о том, защищает ли go от гонок данных, ответ - не защищает.

    Если в Rust компилятор требует от тебя доказательства что гонок данных нет, то в golang тебе вручную нужно следить за тем что у тебя оптимально блокировки/атомики расставлены.

    В сложном Rust коде это также позволяет более чётко разделять владение ресурсами, что позволяет проводить рефакторинг без риска где-то разломать хрупкие concurrency инварианты.

     
     
  • 7.138, OpenEcho (?), 02:33, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В смысле сам язык Автоматом А такие вообще есть Го предоставляет достаточно и... большой текст свёрнут, показать
     
     
  • 8.141, morphe (?), 02:55, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну написал же - Rust C предоставляет достаточно инструментария чтобы не делать в... большой текст свёрнут, показать
     
     
  • 9.180, OpenEcho (?), 15:29, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вот это наверное самое главное - use the right tool for a job Что свелось по бо... большой текст свёрнут, показать
     
  • 3.63, Аноним (63), 20:37, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Поняли, если дырявая прожка написана на безопастном язычке, тут же оказывается что "язык тут ни при чём". Все что нужно знать об умственных способностях проповедников святой безопастности.
     
     
  • 4.78, Аноним (13), 00:17, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Именно. Так как безопасный язык не допускает языко-зависимых дыр (например, переполнения буфера), то остаются только дыры в логике программы.
     
  • 4.127, Аноним (127), 19:36, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты все равно не выловишь все memory огрехи в C/C++ статическими анализаторами, а в Rust такие ошибок тупа нет. Нужно максимально ошибки человеческого фактора перекладывать на компилятор, потому что это позволяет повысить качество софта в среднем, вне зависимости от квалификации и внимательности программистов.
     
  • 2.9, Аноним (91), 13:48, 03/02/2024 Скрыто ботом-модератором     [к модератору]
  • –4 +/
     
  • 2.12, Аноним (13), 14:09, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Кстати, утилита runc написана на безопасном языке Go

    Поэтому там хотя бы нет переполнений буфера.

     
     
  • 3.17, Tron is Whistling (?), 14:30, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Зато то, что там есть в силу особого подхода к погромированию - куда хуже.
     
     
  • 4.19, Аноним (13), 14:33, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ничто не может быть хуже переполнений буфера, с учетом того, что любая программа на сишке содержит  их буквально в каждом килобайте бинарного кода.
     
     
  • 5.60, Аноним (63), 20:28, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ахтунг, у нас уникум который проверил каждую программу на Си, и в каждой нашел переполнения буфера. Или он балабол, что куда более вероятно.
     
     
  • 6.76, Аноним (13), 00:11, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Любой разумный человек, если вы ему покажете прогу, написанную на сях и использующую динамическую аллокацию памяти и заявите, что там нет уязвимостей, скажет вам, что вы балабол.

    Просто потому, что ни одной такой программы в истории человечества не зафиксировано.

     
  • 4.20, Tron is Whistling (?), 14:36, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    @аноним выше
    Хуже переполнений буфера может быть буфер переполнений.
    А вообще давай, покажи хотя бы на kernel32.dll - где они там в каждом килобайте?
     
     
  • 5.24, Аноним (13), 14:44, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Хуже переполнений буфера может быть буфер переполнений.

    И то, и другое — синонимы термина "C programming language".

    > А вообще давай, покажи хотя бы на kernel32.dll - где они там в каждом килобайте?

    Я вашего труЪ олдскул юникса не разумею.

     
     
  • 6.53, _ (??), 18:24, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да не, у тебя потупее имя было! (С) Однажды

    Люди делают ошибки, прикинь! Кто бы мог подумать? Это что же - Дарвин прав и мы не дети богов а всего то придвинутые обезьяны? Какой Ёзык не дай - всё равно ошибки есть :)

     
     
  • 7.107, Аноним (13), 14:41, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Какой Ёзык не дай - всё равно ошибки есть :)

    Просто при прямой работе с памятью их выходит в десятки раз больше, чем без.

     
  • 6.58, OpenEcho (?), 19:41, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > И то, и другое — синонимы термина "C programming language".

    Очередной студент освоил питон/раст и все остальное ка-ка & олд скульное ? :)

     
     
  • 7.75, Аноним (13), 00:09, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Очередной студент освоил питон/раст и все остальное ка-ка & олд скульное ? :)

    Там про какой-то kernel32.dll говорили. Явно про самый труЪ юниксовый юникс от компании Мокрый Софт, без этих ваших ржавых докеров.

     
     
  • 8.103, OpenEcho (?), 14:23, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я про синонимы термина C programming language если что докеры вообще-то, ... текст свёрнут, показать
     
     
  • 9.105, Аноним (13), 14:39, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Хороший препод в универе сразу скажет в начале курса что-то вроде Как бы вы не ... текст свёрнут, показать
     
     
  • 10.136, OpenEcho (?), 02:08, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Препод в юнивер в большинстве случаев очень далек от реальностей продакшена, еди... текст свёрнут, показать
     
  • 5.33, Аноним (31), 16:09, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >буфер переполнений

    Двумерный массив?

    >покажи хотя бы на kernel32.dll - где они там в каждом килобайте?

    Тут чтобы что-либо показать, как бы, нужно иметь kernel32.h, kernel32.c, как минимум.

     
     
  • 6.72, Tron is Whistling (?), 23:25, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну можно хотя бы от 2000 винды взять - они утекали.
     
  • 6.139, Аноньимъ (ok), 02:37, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Двумерный массив - это ложь.
     
  • 3.205, Аноним (-), 19:31, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> Кстати, утилита runc написана на безопасном языке Go
    > Поэтому там хотя бы нет переполнений буфера.

    Как оказалось от д@o2#$ов в программировании это не помогает и они ухитряются не то что свою память профакать - а вообще изолированный от них хост подставить, разломав абстракцию к чертям.

     

     ....большая нить свёрнута, показать (61)

  • 1.8, Аноним (8), 13:36, 03/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >в образе контейнера можно настроить запуск "/proc/self/fd/7/../../../bin/bash" и через выполнение shell-скрипта перезаписать содержимое "/proc/self/exe", которое ссылается на хостовую копию /bin/bash

    Какая детсадовская ошибка! А кто-то утвержает, что контейнеры - production ready.

     
     
  • 2.14, Аноним (13), 14:14, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Кто-то утверждал, что OpenBSD можно в проде использовать. И до, и после обнаружения функци remote shell в OpenSMTPD.
     
     
  • 3.52, User (??), 18:21, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Этак что же, и exim с sendmail'ом низзя? Дила...
     
     
  • 4.54, _ (??), 18:27, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Этадругое! (С)
     
     
  • 5.79, Аноним (13), 00:20, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, то же самое.
    Хотя и меньше Тео-пафоса про "наши лучшие специалисты делают самую безопасную в мире ОС, безжалостно жертвуя функциональностью, чтобы достичь высочайшей защищённости".
     
  • 4.77, Аноним (13), 00:14, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  Этак что же, и exim с sendmail'ом низзя? Дила...

    Exim — точно нет. Его писали такие же "специалисты", как и в команде Тео. Единственный плюс им в карму — они не так сильно злоупотребляли маркетинговыми лозунгами про "суперзащищённость".

    sendmail — вроде можно, но лучше не надо. Формат конфигов у него так себе, хотя это и вкусовщина.

     
     
  • 5.101, User (??), 12:57, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >>  Этак что же, и exim с sendmail'ом низзя? Дила...
    > Exim — точно нет. Его писали такие же "специалисты", как и в
    > команде Тео. Единственный плюс им в карму — они не так
    > сильно злоупотребляли маркетинговыми лозунгами про "суперзащищённость".
    > sendmail — вроде можно, но лучше не надо. Формат конфигов у него
    > так себе, хотя это и вкусовщина.

    Оу. Т.е. про шлимыл вы примерно ничего не знаете, да?

     
     
  • 6.108, Аноним (13), 14:43, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Прочитал про его настройку, посмотрел конфиги, выбрал postfix.
     
     
  • 7.144, User (??), 07:02, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Прочитал про его настройку, посмотрел конфиги, выбрал postfix.

    Ну, это вы совершенно правильно поступили - но прикол тут в том, что у sendmail'а история проблем с безопасностью, гм, спе-ци-фич-ная - оно дырявое by design даже по меркам ранних 90х - так что говорить про sendmail "вроде можно" в контексте обсуждения сесурити весьма и весьма забавно.

     
  • 3.206, Аноним (-), 19:33, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто-то утверждал, что OpenBSD можно в проде использовать. И до, и после
    > обнаружения функци remote shell в OpenSMTPD.

    Запись в kernel mode хоста из виртуалки-гуеста тоже ничего так, норм было. В каком-нибудь несекурном пингвине я даже и не знаю - было ли такое хоть когда.

    ...при том с фиксом они тоже ухитрились обгадиться по первости, за что получили недвусмсленный стеб насчет security circus от NetBSD'шника который нашел этот позор.

     
  • 2.25, Аноним (8), 14:46, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А сколько еще подобных "секретиков" и "куличиков" там заложено?!
     
     
  • 3.27, Аноним (13), 14:48, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Покажете хоть один, если их там так много, а вы такой умный?
     
     
  • 4.50, Аноним (50), 18:07, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это знаменитая аналитика общими словами и под лозунгом "ну что вы не понимаете?"
     
  • 4.81, нах. (?), 00:35, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Покажете хоть один, если их там так много, а вы такой умный?

    э... ну вообще-то cveшек с убеганием из контейнера - по паре в год минимум.
    Правда эта совсем уж шедевральная, обычно они все же более замысловаты.

     
     
  • 5.109, Аноним (13), 14:44, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вот только все эти дыры, кроме сегодняшней — из-за кривой реализации namespaces и/или eBPF в ядре.
     
     
  • 6.113, нах. (?), 14:49, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот только все эти дыры, кроме сегодняшней — из-за кривой реализации namespaces
    > и/или eBPF в ядре.

    мифы и легенды опеннета, рулонами по 54 метра на вес.

    Открывать список cve дыркера, где нет ни слова про ведро, конечно же не будем.

     
     
  • 7.115, Аноним (13), 14:54, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Открывать список cve дыркера, где нет ни слова про ведро, конечно же не будем.

    И где там убегание из контейнера при его выполнении?

     

  • 1.10, Аноним (10), 14:07, 03/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    'S' for security!
     
     
  • 2.44, Аноним (13), 17:52, 03/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, если запускать этот код с SSD, то должно быть безопасно. Вдвойне.
     

  • 1.29, Аноним (29), 15:00, 03/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Гораздо секурнее булет эмуляция без паравиртуализации. Контейнеры - костыли, слишком много хаков в их реализации. Эмулятор создает виртуальное окружение, которое с хостом никак не взаимодействует.
     
     
  • 2.36, нах. (?), 16:25, 03/02/2024 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
     
  • 3.39, Аноним (39), 17:02, 03/02/2024 Скрыто ботом-модератором     [к модератору]
  • +4 +/
     
  • 3.43, Аноним (13), 17:51, 03/02/2024 Скрыто ботом-модератором     [к модератору]
  • +4 +/
     
  • 2.155, Tron is Whistling (?), 14:13, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты как-то смешал PV и контейнеры.
    Контейнеры - это вообще костыль и подпорка в виде в основном разделения таблиц внутри ядра, никакой виртуализации там и близко нет.
     
     
  • 3.199, voiceofreason (?), 16:51, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Суть в итоге та же - запустить несколько экземпляров ОС на одной железке. Виртуализация избавляет от вагона узкоспецифичного секса, но даёт больший оверхед.
     
     
  • 4.211, Tron is Whistling (?), 20:24, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Суть далеко не та же.
    В контейнерах нет никаких "экземпляров ОС", они все ворочаются на одном ведре.
     

  • 1.64, Аноним (64), 20:59, 03/02/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –1 +/
     

     ....ответы скрыты (2)

  • 1.66, Аноним (66), 21:46, 03/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Podman затрагивает?
     
     
  • 2.163, Аноним (172), 14:35, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если не заставишь использовать crun - да.
     

  • 1.89, penetrator (?), 06:55, 04/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    кому нужны эти контейнеры? чтобы что? сэкономить 3 цента на виртуализации?

    виртуализации хотя бы аппартно поддерживается вплоть до шифрования памяти гостевых ситем

    и это не совсем надежно и дыры были в том числе

    а это что? иллюзия изолированности?

     
     
  • 2.92, Второй из Кукуева (?), 08:43, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе не нужно, проходи мимо
    Дома на мамкином компе ничего вообще не нужно

    Подрастешь, пойдешь работать, поймешь, что задачи бывают разные и где-то именно контейнеры лучший выход, а где-то виртуализация, а еще где-то вообще только голое железо и никаких гвоздей
    Для разных задач разные инструменты лучше подходящие под твои нужды

     
     
  • 3.93, penetrator (?), 09:12, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ты клоун? вопрос был простой как валенок, какие такие задачи не покрываются виртуализацией, которая хотя бы предусматривает безопасное исполнение на уровне железа?

    чтобы решить что-то подобное на чисто программном уровне браузеры обмазываются сандбоксом, линуха селинуксом и аппармором и все равно иногда свистит

     
     
  • 4.97, нах. (?), 10:33, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ок, я тебе покажу - но чур ты идешь гуглить, спрашивать чатгопоту (и перепроверять что она не нанесла х-ни) - САМ.

    syslogd_program="jail / syslog 192.168.1.1 $syslogd_program" # да, нам нужно принимать логи извне

    (и да, ты мог бы сделать это и в линуксе с помощью cgroups, правда, с небольшим опозданием - команда в том виде в котором я ее тебе показал - 1999го года, но даже команды для этого уже не входят в стандартные дистрибутивы. Иди ипппись с нескучными декларативными конфижками системдряни, и даже не думай что-то посложнее отлаживать запуском вручную.)

     
     
  • 5.118, Аноньимъ (ok), 15:28, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Что мешает принимать/отправлять любые логи в/из виртуалки?
     
     
  • 6.122, Аноним (13), 15:48, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Команда jail даёт +100 к понтам, а в случае с виртуалкой её некуда приткнуть.
     
  • 4.99, Бывалый смузихлёб (?), 10:38, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    По своему умеренному опыту работы со всякими докерами - большое удобство разворачивания определённого окружения для разработки/тестирования/отладки/сборки

    Вместо плясок с куевой горой установочников, пакетов, сериптов и версий, скармливаниям файл настроек
    Ждёшь. Получаешь то, в чём можно делать дела

    Но докеры и прочее особо не были про безопасность. Они были про упрощение плясок в некоторых специфических ситуациях

     
     
  • 5.110, нах. (?), 14:46, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > По своему умеренному опыту работы со всякими докерами - большое удобство разворачивания
    > определённого окружения для разработки/тестирования/отладки/сборки

    для выкрасить и выбросить, угу.

    Ну и не разворачивания а копипасты. Разворачивал за тебя тот самый васян что оставил тебе контейнер - в истории которого чаще всего оказывается FROM: srach и COPY vasyan.100g.tar /

    Т.е. оно конечно отлично воспроизводит локалхост васяна, где у него "Всеработает", но воспроизведению само по себе - чаще всего не подлежит.

    Так и живем.

     
     
  • 6.114, Аноним (13), 14:52, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Т.е. оно конечно отлично воспроизводит локалхост васяна, где у него "Всеработает", но воспроизведению само по себе - чаще всего не подлежит.

    Вы, видимо, очень далеки от практики, раз путаете такие простые вещи. Докер как раз и позволяет одной командой полностью воспроизвести рабочее окружение. Практически все методы без докера не позволяют точно воспроизвести условия запуска программы.

     
     
  • 7.119, Аноньимъ (ok), 15:32, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Докер как раз и позволяет одной командой полностью воспроизвести рабочее окружение

    Васяна.

    > не позволяют точно воспроизвести условия запуска программы

    Докер не воспроизводит ядро и его настройки.

    > воспроизвести рабочее окружение

    Только никакого графического вывода он не может, мог кое как с Х11, с вейландом - всё.

    > Практически все методы без докера

    Nix и Guix позволяют или не позволяют?

     
  • 7.124, нах. (?), 17:12, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    того самого васяна - да Вместе со всеми его косяками и глупостями заставляя в... большой текст свёрнут, показать
     
  • 7.157, Tron is Whistling (?), 14:18, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если у вас возникла необходимость настолько точно воспроизводить условия - что-то в вашей программе совсем-совсем не так.
     
     
  • 8.208, Аноним (-), 19:50, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вы видимо совсем разработкой софта не занимались Иногда знали бы что проблема б... большой текст свёрнут, показать
     
     
  • 9.210, Tron is Whistling (?), 20:22, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Все разрабатывают и всё работает, но у вас как всегда проблемы А если речь о не... текст свёрнут, показать
     
     
  • 10.234, Аноним (-), 17:48, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да неужели Вы точно разработкой софта занимались, с таким то видением мира А б... большой текст свёрнут, показать
     
     
  • 11.240, Tron is Whistling (?), 21:02, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Совет на 100500 баксов - попробуйте в контейнер запихать D ... текст свёрнут, показать
     
     
  • 12.245, Аноним (-), 13:59, 07/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да линукс сам себе контейнер так то Еще и в более 9000 ипостасей, от namespaces... текст свёрнут, показать
     
  • 11.246, Tron is Whistling (?), 15:41, 07/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Главное - не обляпаться Я предпочитаю кушать в более чистых местах ... текст свёрнут, показать
     
  • 9.226, Аноним (226), 11:33, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А я не знал, что докер умеет тридцать терабайт к системе пришивать, всю жизнь ду... текст свёрнут, показать
     
     
  • 10.235, Аноним (-), 18:27, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это просто как пример бага который без конфигурации кастомера заманаешься восп... большой текст свёрнут, показать
     
  • 7.165, Аноним (172), 14:39, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Докер как раз и позволяет одной командой полностью воспроизвести рабочее окружение.

    install.sh тоже позволяет

     
  • 7.207, Аноним (-), 19:37, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы, видимо, очень далеки от практики, раз путаете такие простые вещи. Докер
    > как раз и позволяет одной командой полностью воспроизвести рабочее окружение. Практически
    > все методы без докера не позволяют точно воспроизвести условия запуска программы.

    Пендеж. Виртуалка с системой и прогой кастомера :) намного точнее. Если тот конечно морально готов на такую щедрость.

     
  • 5.125, penetrator (?), 18:48, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    подожди но если стоит задача автоматизации разворачивания, то она уже решена большинством ISP

    ты заказывая виртуалку не ожидаешь ведь, что ее бородатый админ руками для тебя ставить пойдет с банкой пива?

    тоже скармливается скрипт установки и ты получаешься свою виртуалку через пару минут

    и если это единственное преимущество, то в чем я не прав?

     
     
  • 6.135, нах. (?), 23:41, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ну вот теперь представь что тебе нужна виртуалка для redis, виртуалка для mongo,... большой текст свёрнут, показать
     
     
  • 7.142, penetrator (?), 04:26, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    скрипт ставит голую ось (Minimal), остальное ставишь сам, есть конечно опции, но я обычно беру Minimal и дальше ставлю все что мне нужно

    нельзя настроить банальный MySQL не выбрав ему размер страницы, размер пула, кодировку по умолчанию utf8mb4

    а что там у васяна в контейнере - я хз

     
     
  • 8.146, нах. (?), 09:18, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    а, так ты нам всем пое6аться принес Ну а вот чувак 20дырчатый тут пробегал - пр... текст свёрнут, показать
     
     
  • 9.214, penetrator (?), 22:23, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ты тормоз, перечитай ветку... текст свёрнут, показать
     
  • 7.158, Tron is Whistling (?), 14:19, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так-то возможность поставить unattended уже давно сделано.
    Второй вариант - всякие ансиблы с терраформами, которые сделают пост-инсталл ровно так, как тебе надо.
     
     
  • 8.162, нах. (?), 14:30, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ну так нахрена мне унатендед понаставленные двадцать виртуалок в которых самому ... текст свёрнут, показать
     
     
  • 9.173, Tron is Whistling (?), 14:56, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не, стоп, в унаттендед много чего может быть Вплоть до конфигурации и адресов ... текст свёрнут, показать
     
     
  • 10.185, нах. (?), 15:38, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ну как ты это себе представляешь в вариации для 20 штук одного клиента И вообще... текст свёрнут, показать
     
     
  • 11.244, Tron is Whistling (?), 00:23, 07/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А, так вот почему количество дол простите, разрабоччегов с dyndns увеличилось... текст свёрнут, показать
     
  • 7.166, Аноним (172), 14:41, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >пачку левых библиотек, ломающих систему к хренам

    Флаг --prefix в configure. И patchelf в зубы.

     
     
  • 8.186, нах. (?), 15:40, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ффперед, с песнями Дай угадаю - ты не разработчик софта ни разу configure еще ... текст свёрнут, показать
     
     
  • 9.190, Аноним (172), 16:20, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    грепнуть... текст свёрнут, показать
     
  • 5.128, penetrator (?), 19:37, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    и смотри еще, второй момент, образ кто-то должен подготовить?

    т.е. все равно конфигурирование присутствует, только не тобой

    тебе приходится доверять еще одному участнику

    хорошо это не про безопасность, но тогда я никак не пойму почему на этому пытаются строить продакшен системы?

     
  • 5.164, Аноним (172), 14:38, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >По своему умеренному опыту работы со всякими докерами - большое удобство разворачивания определённого окружения для разработки/тестирования/отладки/сборки

    Т.е. ты не научился пользоваться пакетным менеджером

    >Вместо плясок с куевой горой установочников, пакетов, сериптов и версий, скармливаниям файл настроек

    и шеллом, как и принимать скрипты от твоего админа

     
     
  • 6.187, нах. (?), 15:46, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    как бы мне так воспользоваться пакетным менеджером чтоб в системе появилась верс... большой текст свёрнут, показать
     
     
  • 7.191, Аноним (172), 16:25, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >как бы мне так воспользоваться пакетным менеджером чтоб в системе появилась версия openssl на единичку выше штатной, не подскажешь?

    У меня слака стоит, там это тривиально. installpkg и все дела. Необходимость поставить именно ту самую версию либы часто высосана из пальца, таких допустимых версий обычно несколько.

    >Причем мне на посмотреть одну-единственную хрень, а потом уже не нужна.

    Ну смотри, я тебе не запретил.

    >Или вот та самая хрень на впихоне которую я тут добрыми матерными словами вспоминал

    Сорян, не слежу за твоими похождениями.

     
     
  • 8.193, нах. (?), 16:28, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А, ну да - скачать и make install Но извини, не всем нравятся помойки и еще по... текст свёрнут, показать
     
     
  • 9.209, Аноним (-), 20:10, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну правильно, кроме контейнеров тебе и снапшоты поди тоже не вариант, да И вот ... текст свёрнут, показать
     
     
  • 10.216, нах. (?), 22:37, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    нет, тоже не вариант Я не хочу потерять ВСЕ что я делал на этой машине с момент... текст свёрнут, показать
     
     
  • 11.236, Аноним (-), 19:07, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Правильно, а бутануть нулевую VM и сделать в нее send конфиги - ты тоже видимо н... большой текст свёрнут, показать
     
     
  • 12.242, нах. (?), 22:59, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    даже на промышленной инфре ни разу не быстро и эффективно В отличие от банально... большой текст свёрнут, показать
     
  • 9.227, Аноним (-), 11:57, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    installpkg, alien, tar xf Кто-то шелл считает помойкой и выбирает докер Такое ... текст свёрнут, показать
     
     
  • 10.243, нах. (?), 23:08, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    installpkg опять поставит то что уже есть в твоем дистре А нужна другая версия ... большой текст свёрнут, показать
     
  • 2.94, чатжпт (?), 10:04, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    У меня в хоум проекте сейчас ~20 контейнеров. Ты предлагаешь городить 20 виртуалок с огромным оверхедом по cpu/ram/hdd? Экономия вообще не 3 цента, с виртуалками цена этого проекта вырастет в разы.
    И во-первых, cgroups вполне себе изолируют, во-вторых, контейнеры во многом про удобную оркестрацию, масштабирование, доставку-обновление.
     
     
  • 3.96, нах. (?), 10:16, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    обновись на четвертую версию. Эта несет х-ню.

    (нет никакого оверхеда по cpu (обожежемой!) ram и hdd. Есть даже выигрыш за счет использования прямого маппинга блоков а не этажерки layered fs еще и написанной левой задней ногой (сколько там уже - третья попытка все переписать заново и опять фэйл - ну не умеют игогошники в ядро)

    > И во-первых, cgroups вполне себе изолируют

    а теперь перечитаем новость... изолировали-изолировали да не выизолировали. И так с дыркером каждый раз. Отдельно доставляет коллекция уязвимостей вида "рут в контейнере ненастоящий, но ой..."

    > оркестрацию, масштабирование, доставку-обновление.

    то есть набор бессмысленных баззвордов.

    А на деле имеем просто отдельную операционную систему в контейнере, только без обновлений и отслеживания уязвимостей.

     
     
  • 4.98, чатжпт (?), 10:34, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Есть даже выигрыш за счет

    ахаха

    > а теперь перечитаем новость... изолировали-изолировали да не выизолировали. И так с дыркером каждый раз. Отдельно доставляет коллекция уязвимостей вида "рут в контейнере ненастоящий, но ой..."

    ну да, багов с выходом из виртуального окружения не бывает, гипервизоры они на святом духе работают и написаны не на дырявой Сишечке

    > то есть набор бессмысленных баззвордов.

    базвордов для кого? это реальность более-менее сложных проектов

     
     
  • 5.106, нах. (?), 14:40, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ну да, багов с выходом из виртуального окружения не бывает, гипервизоры они
    > на святом духе работают и написаны не на дырявой Сишечке

    этот ии зациклился, несите нового.
    Тебя только что мордочкой в лужу ткнули с твоей недырявой игогошечкой. Причем не требующей в полнолуние на ивана купалу как только расцветет папоротник принести в жертву двухголового белого козла, как обычно устроены "выходы из виртуального окружения", а любой васян справится.

     
     
  • 6.237, Аноним (-), 19:12, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> ну да, багов с выходом из виртуального окружения не бывает, гипервизоры они
    >> на святом духе работают и написаны не на дырявой Сишечке
    > этот ии зациклился, несите нового.

    Ты что, только ща просек что так можно было? Берешь 2 ботов, отправляешь их чатиться друг с другом. В какой-то момент владелец ботов начинает замечать что с этим была какая-то подстава... :)

     
  • 3.120, Аноньимъ (ok), 15:34, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > с огромным оверхедом по cpu/ram/

    Этот Огромный Оверхед - сейчас с вами в одной комнате?

    > У меня в хоум проекте сейчас ~20 контейнеров

    Кто в армии служил - в цирке не смеётся.

    >  контейнеры во многом про удобную оркестрацию, масштабирование, доставку-обновление

    Вас покусал менеджер. Если прививку быстро не сделаете, то будет слишком поздно.

     
     
  • 4.121, чатжпт (?), 15:41, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    возвращайся как закончишь настраивать свой lamp-wordpress-php бложик
     
  • 3.126, penetrator (?), 19:18, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    а у меня 16 виртуалок под VMWare, у меня вопрос, у тебя все 20 контейнеров однов... большой текст свёрнут, показать
     
     
  • 4.129, чатжпт (?), 22:17, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    да, запущено постоянно тг бот, реакт приложение, рест апи, rabbitmq, redis, etc... большой текст свёрнут, показать
     
     
  • 5.131, Аноним (-), 22:40, 04/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если в приоритете безопасность, то намного предпочтительнее выглядит виртуализация, особенно  написанная не для административных задач, а для решения вопросов изоляции: https://muen.sk/
     
  • 5.143, penetrator (?), 04:34, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    чтобы не строчить полотна, спрошу тогда всего один вопрос

    > Просто меняешь версию контейнера условной бд в compose-файле, делаешь docker compose pull && docker compose up.

    ты вот это вот потащишь в продакшен?

     
     
  • 6.147, нах. (?), 09:21, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > ты вот это вот потащишь в продакшен?

    конечно нет, достаточно разок задуматься как он 20 контейнерам будет вручную раздавать ip адреса и прописывать внутри каждого всех остальных. И так каждый раз, потому что понадобится больше одного инстанса.

    Он потащит в k8s где есть autodiscovery с автоматическим масштабированием одинаковых кубиков если оно надо.

    Компостер - это для домашних силосных куч.

     
     
  • 7.152, чатжпт (?), 11:13, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Компостер - это для домашних силосных куч.

    Вроде ясно написал, что это хоум проект. В проде это будет либо сварм, либо k8s/k3s (если проект не сдохнет).
    Контейнерам не надо раздавать ip адреса вручную, в рамках одно сети они видят друг друга по именам из коробки.
    В swarm режиме между нодами автоматом поднимается L2 оверлей сеть, контейнеры опять же прозрачно видят друг друга.

    У тебя очень поверхностное понимание как всё это работает судя по комментариям.

     
     
  • 8.153, нах. (?), 11:33, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    дорогуша, я не для тебя писал, а для человека искренне не понимавшего что с вирт... текст свёрнут, показать
     
  • 6.150, чатжпт (?), 11:00, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > ты вот это вот потащишь в продакшен?

    а ты виртуалки каким-то волшебным способом обновляешь или dnf update && reboot? в чем принципиальная разница кроме перезапуска одного приложения вместо целой ОС.

     
     
  • 7.154, нах. (?), 11:35, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > а ты виртуалки каким-то волшебным способом обновляешь или dnf update && reboot?
    > в чем принципиальная разница кроме перезапуска одного приложения вместо целой ОС.

    вообще-то в том что ос во-первых перезапускать при любом обновлении не нужно, во-вторых у тебя в дыркере нет никаких апдейтов. Когда ты проснешься и заметишь что там внутри очередной log4j давно протух и червяки завелись - уже и хоронить будет нечего.

     
     
  • 8.156, чатжпт (?), 14:13, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    У тебя какие странные представления о контейнерах Внутри обычный юзерспейс cent... текст свёрнут, показать
     
     
  • 9.160, нах. (?), 14:23, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Угу В контейнере Обновляются уровень твоих компетенций - паняааатен ... текст свёрнут, показать
     
  • 9.170, Аноним (172), 14:50, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Шо, демон по крону внутри 20 контейнеров запускается по расписанию и обновляет к... текст свёрнут, показать
     
     
  • 10.171, Аноним (172), 14:51, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Граждане с понятным уровнем компетенций, только тсссс ... текст свёрнут, показать
     
  • 10.179, чатжпт (?), 15:18, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если тебе очень надо по крону - запихни в крон build pull up У местных реа... текст свёрнут, показать
     
     
  • 11.184, Аноним (172), 15:38, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошо Где будет располагаться крон Хорошо ли крону общаться с докером Каким ... текст свёрнут, показать
     
     
  • 12.200, чатжпт (?), 17:02, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Друг, у тебя вопросы уровня знаю про докер только название Почитай хотя бы ба... текст свёрнут, показать
     
     
  • 13.228, Аноним (-), 12:06, 06/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 11.217, penetrator (?), 22:37, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    т е крон хост системы а если контейнер еще Васян не обновил и там протухший lo... текст свёрнут, показать
     
     
  • 12.221, чатжпт (?), 02:55, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В живых контейнерах ничего не обновляют хотя это возможно , они stateless Обыч... текст свёрнут, показать
     
     
  • 13.229, Аноним (229), 12:12, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну то есть пшик Если ... текст свёрнут, показать
     
     
  • 14.233, нах. (?), 16:52, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тут самое главное не раскрыто - она появиться-то появится если ну если испол... текст свёрнут, показать
     
  • 10.188, нах. (?), 15:50, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    это кстати отдельный эпик Когда мне понадобилось нет, не обновляться - я проч... текст свёрнут, показать
     
     
  • 11.231, Аноним (229), 12:19, 06/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 5.168, Аноним (172), 14:45, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну т.е. на 20 контейнов/вм это почти 5ГБ только на виртуализацию без приложений.

    А прикинь, что будет, если весь этот оверхед из копий glibc убрать.

     
     
  • 6.189, нах. (?), 15:51, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >>Ну т.е. на 20 контейнов/вм это почти 5ГБ только на виртуализацию без приложений.
    > А прикинь, что будет, если весь этот оверхед из копий glibc убрать.

    у него - ниче работать не будит, потому что это не копии а в каждом своя аналогов-не-имеющая версия, и только с ней кое-как работает.


     
     
  • 7.196, Аноним (172), 16:46, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А если это не так?
     
     
  • 8.197, нах. (?), 16:46, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    чисто статистически невозможно 20 контейнеров собранных 20 разными васянами - н... текст свёрнут, показать
     
  • 5.169, Аноним (172), 14:47, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >тг бот, реакт приложение, рест апи, rabbitmq, redis, etc

    И всё это для домашнего проекта, в котором хватило бы наколенного IPC на сокетах и нормальной базы данных, если вообще там транзакции нужны.

     
     
  • 6.175, Tron is Whistling (?), 15:00, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    99% там хватило бы чрута.
     
     
  • 7.178, Аноним (172), 15:09, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И то, если хардкодить пути.
     
  • 6.181, чатжпт (?), 15:29, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > И всё это для домашнего проекта, в котором хватило бы наколенного IPC на сокетах и нормальной базы данных, если вообще там транзакции нужны.

    Домашний с прицелом на монетизацию и масштабирование. Очередь сообщений нужна.

     
     
  • 7.198, Аноним (172), 16:47, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну то есть нормальный IPC и БД не масштабируются?
     
     
  • 8.201, чатжпт (?), 17:05, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    с IPC ты предлагаешь самому реализовывать обработку всего жизненного цикла сообщ... текст свёрнут, показать
     
     
  • 9.230, Аноним (229), 12:16, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну надо же, оказывается, распределённые транзакции - это сложно А мы не знали ... текст свёрнут, показать
     
  • 3.159, Tron is Whistling (?), 14:20, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Особо порадовали три вещи рядом:
    - хоум-проект
    - 20 контейнеров
    - оркестрацию, масштабирование, доставку-обновление

    Раскрою два секрета.

    Если тебе на хоум-проект надо 20 контейнеров - всё очень плохо.
    Если тебе на 20 контейнеров надо оркестрацию, масштабирование, доставку-обновление - всё тоже очень плохо.

     
     
  • 4.161, нах. (?), 14:28, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Если тебе на хоум-проект надо 20 контейнеров - всё очень плохо.

    не, ну если на каждый пихоноскрипт по контейнеру, а на некоторые еще и по два - то так и будет.
    Реакт приложению у него отдельно, а рест-нескучноапи к нему - отдельно.
    И конечно же рэббиты с редисами вперемешку (очень нужно и просто необходимо для петпроекта)

    > Если тебе на 20 контейнеров надо оркестрацию, масштабирование, доставку-обновление - всё
    > тоже очень плохо.

    если настоящей чатгопоте (даже 4) поручить разрабатывать за тебя петпрожект - оно вот что-то такое наверное и наразрабатывает. Работать все равно не будет, но можно окружающих потчевать сказками про "обновления в контейнерах", всех двадцати. ("На самом деле, конечно же, никто и не думал там ничего обновлять!")

     
     
  • 5.174, Tron is Whistling (?), 14:59, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Примерно так :D
    Потому что в таких вариациях обновишь один - сломаются 19.

    Ну и ещё да, надо же чем-то заниматься, а тут 20 контейнеров от васянов развёрнуты за секунду, потом можно потратить на оркестрацию-развёртывание втрое больше, чем было бы руками. Тоже тема. Главное нигде ничего не менять.

     
     
  • 6.182, нах. (?), 15:36, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Главное нигде ничего не
    > менять.

    Не, ну чего это не менять-то?! Вон, новая :latest ! Срочна всем обновлятцо!

    (поскольку она from: SRACH и copy 100gb.vasyan-shit.tar / - внутри бубунточка версии аж 14 - зато приложеиЮ самое распоследнее, пользуйтесь)


     
  • 4.222, чатжпт (?), 03:13, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Раскрою два секрета.

    Я как бы в курсе, что такое контейнер (в отличие от тебя и нах/пох), что такое namespace и что контейнеров может быть сколько мне надо без особых накладных расходов. Контейнер-приложение ничем не отличается от просто приложения.

    Что не так с потребностью в масштабировании и доставке? Ты же ничего не знаешь ни про проект, ни про мои цели, просто пер*шь в лужу и портишь воздух.

     
     
  • 5.223, Tron is Whistling (?), 08:37, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Контейнер-приложение ничем не отличается от просто приложения.

    Отличается. Как минимум - признак криворукости и требований к фазе луны.

     
  • 5.225, Tron is Whistling (?), 08:44, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Единственное, про что реально контейнер - это про экономию памяти.
    Всё остальное вполне себе доставляется и масштабируется и без них.
     
  • 3.167, Аноним (172), 14:43, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >У меня в хоум проекте сейчас ~20 контейнеров.

    Резюме набиваешь?

     
     
  • 4.183, нах. (?), 15:37, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>У меня в хоум проекте сейчас ~20 контейнеров.
    > Резюме набиваешь?

    в девляпсы все равно не пройдет - там надо хотя бы первые 20000

    В менеджеры вот может.


     
  • 2.212, Легивон (?), 21:40, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >кому нужны эти контейнеры?

    Тем кто разрабатывает маштабируемое и постоянно обновляемое ПО.
    >чтобы что?

    Чтобы была быстрая и воспроизводимая доставка, маштабирование.
    >сэкономить 3 цента на виртуализации?

    Как будешь в свои безопасные виртуалки монтировать файловые системы? Через 9p? Расскажи о своём успешном практическом опыте. Какова производительность postgres в сравнении с хостовой системой? Сколько там центов, я не расслышал.
    >а это что? иллюзия изолированности?

    Докер вообще не про изоляцию. Он на 100% про доставку.
    Если бы докер вместо добавления изоляции чуть чуть бы её портил - им все так же продолжали бы пользоваться. Потому что он реально обеспечивает потребности жизненого цикла ПО и решает бизнесу проблемы.

     
     
  • 3.218, penetrator (?), 22:54, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    расскажи мне как ты собрался маСштабировать мультимастер базу данных мы же гово... большой текст свёрнут, показать
     
     
  • 4.241, Легивон (?), 21:17, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я не использую мастер-мастер И не понимаю к чему этот вопрос Кроме разве что д... большой текст свёрнут, показать
     
  • 3.219, нах. (?), 22:59, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как обходились до того как на нас свалилось это счастье Не, не в курсе Мир нач... большой текст свёрнут, показать
     
     
  • 4.220, penetrator (?), 00:00, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    и здесь согласен
     
  • 4.224, Tron is Whistling (?), 08:39, 06/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

     ....ответы скрыты (101)

  • 1.130, Аноним (-), 22:22, 04/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В нулевых в Gentoo пакетный менеджер мог создавать минимальное окружение необход... большой текст свёрнут, показать
     
     
  • 2.145, Аноним (145), 07:54, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Как выглядит ebuild со старым вариантом configure ?
     
     
  • 3.239, Аноним (-), 19:47, 06/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не помню уже, Более 20 лет прошло. Надо найти portage-200?.tar.bz2 и посмотреть функцию configure {} например в ебылде для bind.

    "Это другое" *-chroot.sh скрипты для создания chroot и иниты для запуска в chroot: https://wiki.gentoo.org/wiki/Chrooting_proxy_services возможно *-chroot.sh похож на старую функцию configure в ебылдах.

     
  • 2.176, Аноним (172), 15:04, 05/02/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ишшо pacman есть, который нормальный, а не арчевский.
     

  • 1.148, Аноним (148), 09:41, 05/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а в подмане?
     
  • 1.149, Пряник (?), 10:02, 05/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я нашёл уязвимость в Docker

    docker run -v /:/dir1 debian rm -rf /dir1/*

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру