« Rev
@docker_ru   1109
Fwd »


George
А знаешь как такое бывает? Когда у тебя несколько сессий и гоночка между шеллами возникает
George
Или сессии рвутся невовремя
Никита
блин да, надо сессии бахать
George
@nikobrazz короче, я дал исчерпывающий ответ?
Никита
выходить не по таймауту ввода, а через exit
Никита
параметры там есть, но без строки запуска
George
параметры там есть, но без строки запуска
ну, просто «строка запуска» - это очень обтекаемое понятие
Никита
нужна команда, которой запустил контейнер
Никита
вот теперь точно нашел) sudo cat /root/.bash_history
George
👍
Anonymous
Совет: используй zsh
Никита
Совет: используй zsh
этож и его изучать надо, ну его нафиг)
Никита
хотя там по папкам без табов ходить кажется можно cd /e/s/
tfhx8
докер автоматом при загрузке загрузился через демон. Как его теперь можно перезагрузить, чтобы изменения подхватил? Через /etc/init.d/docker restart ? Или есть более лучший путь?
tfhx8
разобрался, надо docker-compose restart
Никита
я делаю docker-compose up -d
tfhx8
я делаю docker-compose up -d
я так не делаю, у меня оно автоматом все контейнеры запускает
tfhx8
и мне надо их перезагрузить
Никита
он перезапустит и пересоберет те, которые изменились
tfhx8
я делаю docker-compose up -d
еще такой момент. Я бывает смотрю логи используя docker-compose logs -f -t. Но заметил, что он все ранее логи выводит, поулчается он их все в контейнере постоянно накаплвиает?
tfhx8
он перезапустит и пересоберет те, которые изменились
тоесть не смотря на то, что они уже запущены?
Никита
Никита
да
tfhx8
он перезапустит и пересоберет те, которые изменились
чет не сработало. Сделал изменения в конфиге nginx и ввел твою команду и он не подхватил. Подхватил только после того когда все остановил и занова запустил
Никита
а nginx у тебя относится к этому проекту docker-compose?
tfhx8
да
tfhx8
все в одном docker compose
Никита
а конфиг где?
Никита
наверное конкретно nginx дёргать можно docker restart nginx
tfhx8
а конфиг где?
все сервисы внутри блока services:
tfhx8
или их еще как то связывать надо?
tfhx8
наверное конкретно nginx дёргать можно docker restart nginx
ок, в следующий раз надо будет попробовать)
Никита
можно docker-compose up -d --build
Sergey
Привет, есть кто использует докер на продакшине? Интересует вопрос файрволла - что используете для автоматизации правил
Sergey
Блокировать тех кто перебирает пароли, неугодных парсеров сайта, тех кто пытается взломать и и.п.
Никита
фаерволл так не умеет
Sergey
Может не совсем так выразился, пример файлтубан, но проблема когда сеть через бридж
Виктор👽
File2ban не юзал, а вот когда сеть через бридж - поможет модуль conntrack в iptables
Виктор👽
В набор DOCKER-USER запихиваешь и живет оно там - сколько надо
Виктор👽
Модуль iptables conntrack позволяет работать с исходными характеристиками пакета, которые после роутинга правилами докера меняются
Jürgen
Для такого уже давно придумали отдельный пласт по ids
Maxim
Может не совсем так выразился, пример файлтубан, но проблема когда сеть через бридж
а как вы определили что вам необходимо решить эту задачу? может быть есть какие то конкретные причины? или из спортивного интереса сугубо для общего развития и потдержания здорового образа жизни?
Jürgen
всякие snort, suricata
и еще куча всего
Ильдар
Совет: используй zsh
Это типа чтобы баш не учить?
Никита
Это типа чтобы баш не учить?
норм лайфхак, кстати
Ильдар
можно docker-compose up -d --build
Я бы сказал: нужно :)
Sergey
а как вы определили что вам необходимо решить эту задачу? может быть есть какие то конкретные причины? или из спортивного интереса сугубо для общего развития и потдержания здорового образа жизни?
Постоянно ломятся всякие на перебор паролей, поиск уязвимостей и очень активный парсинг. Сейчас приходить писать кучу скриптов для автоматизации процесса блокировки. Вот я и подумал - может есть какое-то решение из коробки
Sergey
Облаках
Jürgen
автоматизацияю зависит от архитектуры а так менеджмент тулзы
Ильдар
если в сеть проник к вам гад - это докер виноват.
Jürgen
угу
Denis
Облаках
В облаках есть возможность использовать файрволы как самый простой вариант. Открываете нужные порты для внешней коммуникации пользователей с api примеру ваших сервисов.
Sergey
ids внедрите и все
А можно немного подробнее или где почитать
Jürgen
А можно немного подробнее или где почитать
https://en.m.wikipedia.org/wiki/Intrusion_detection_system
Sergey
Спасибо
Denis
Облаках
Если используете docker swarm к примеру, то там можете сами создавать internal и external сети. Все что нужно закрыть в добавляете в internal, а внешние сервисы в external и на файрволе необходимые порты дбавляете.
Jürgen
Если веб приложение впереди ставиться waf
Jürgen
Пограничный фаервол и джампбокс
Denis
Зачем колхозить фаер на хосте?
Ну это как самый простой вариант предложил. Не у всех есть возможность городить такие системы защиты, тем более на инфре клауд провайдера. Для обычного приложения, которое состоит к примеру из 4 докер контейнеров, это помоему оверкилл как по мне для не большой команды, в котрых как правило сидят разработчики софта.
Jürgen
best practice в облаках как раз не колхозить фаервол на инстансах
Никита
Пограничный фаервол и джампбокс
купить какой-нибудь checkpoint
Jürgen
купить какой-нибудь checkpoint
в облаках даже покупать отдельно не надо есть как услуга
Denis
best practice в облаках как раз не колхозить фаервол на инстансах
Да согласен. Ну я про это и написал в совокупности выше) Использовать файрволы клауд провайдера и внутренние сети для изоляции коммуникации сервисов друг с другом.) ну а там уже сверху waf и т.д
Jürgen
полезно полазить по https://cloudsecurityalliance.org/
Denis
вот в этом фаер на хосте уже лишнее и если он есть, то в архитектуре уже что-то не то
Зачем на хосте? У меня к примеру файрвол распростарняется на группы инстансов. На самих хостах в netfilter лезу исключительно редко.
« Rev
@docker_ru   1109
Fwd »