Dmi3y
Это надо код не в контейнер, а в обфускатор пихать
Etki
кулхацкер - это ты сейчас
Konstantin
у юзера отбираешь рутовые права
Konstantin
он не сможет заранить контейнера и не сможет файлы посмотреть)
Etki
можно вообще юзера к машине не подпускать
Etki
вот это я понимаю защита
Simak
и все легче))
Etki
особенно хорошо, конечно, отбирать рутовые права у пользователя по tcp
Etki
ты у него права забрал, и он больше не может сетевые запросы передавать
Etki
люблю линукс за магию, да
Dmi3y
А насчёт проприетарных исходников.. когда мы берём образ с дистром, в котором есть GPL, мы же в терминах лицензии "линкуемся" с ними?
Мой
бббр... в докер файле я поставлю пароль юзеру. на первом слою
Мой
дальше никто в контейнер не зайдет?
Simak
А у вас где докерфайлы лежать будут?)
Dmi3y
Нет такого понятия - пароль на слою
Dmi3y
Слои -- это просто накладываемые друг на друга файловые системы
Gluek
бббр... в докер файле я поставлю пароль юзеру. на первом слою
это как положить деньги в ящик и на нём написать закрыто
Simak
Так в чем проблема, ограничить доступ к докер-хосту?)
Simak
Как вам предлагал коллега выше?)
Мой
эмм. точно.
Мой
у мну под вендой, можно ж запоролить boot2docker
Simak
через hyper-v что ли?
Etki
господи, что вообще я сейчас читаю
Dmi3y
Короче, есть конструктивное предложение
Dmi3y
Считайте, что вы поставляете ваше приложение БЕЗ докера вообще
Dmi3y
И что докер -- это просто такая прослойка, которая не делает ничего
Dmi3y
Если вы хотите защитить ваши исходники от доступа третьих и вторых лиц -- боритесь уже на этом этапе
Dmi3y
Если у вас приложение компилируемое из сей -- используйте обфускатор, тогда IDA ногу сломит
Igor
чего защищаете? сам контейнер от проникновения в него? исходные коды в нем? или данные в контейнере?
Dmi3y
Если у вас языки, которые должны лежать файлами на диске (типа Java, или Python) -- то они даже в скомпилированом виде местным дизассемблером превосходно разбираются в исходные коды
Dmi3y
Да, кстати
Dmi3y
Человек из сферы ИБ, судя по фото
Dmi3y
А модель угроз не предоставил
Мой
там php )
🦠
у меня есть запоролить, называется виртуальная машина, по модели ionCube
Nikita
Иван вам не нужен докер
Sander
почему когда на Debian ставишь docker, вместе с ним ставиться и git.?
ставлю с офф. сайта, по пунткам ... https://docs.docker.com/engine/installation/linux/debian/
просто на centos ставил docker, он не ставил git.
получается если мне не нужен git, то его лучше удалить?
Мой
Иван вам не нужен докер
как не нужен ) мне нужно доставить приложение с окружением, и по возможности запретить лазить в контейнер с кодом
Nikita
вы незнаете инструмент которым пытаетесь пользоваться
Dmi3y
Значит, вы неправильно понимаете назначение инструмента
🦠
не мешайте мне продавать
Nikita
гвоздь вбитый в жеской диск куда надежней защита
🦠
я буду продавать поролированые пхп докеры
Dmi3y
Есть инструменты, которые пакуют софт в упаковку, требующую ввода лицензионного ключа и затрудняющую доступ к этому коду
Dmi3y
Вот как предложеный выше iceCube
Igor
я буду продавать поролированые пхп докеры
прочел "полированные", задумался, зачем их полировать
Мой
ладно, понятно. код обфусцируем или альтернативу используем. а вот окружение нужно ) ionCube
Dmi3y
Когда всё заобфусцировано и закрыто, тогда можно уже завернуть в докер и с комфортом доставлять
Etki
что там вообще могут красть? продукт представляет интерес только в законченном виде. там невероятная стэндэлон библиотека, алгоритм супербыстрой очереди или искусственный интеллект?
Igor
раз винда, установи докер под админом, и не давай ни кому пароль, ни кто в контейнер не попадет
Etki
пользоваться им может тот, у кого есть пароль - ну так кому в код-то лезть понадобится?
Мой
вообще у приложения интересная архитектура, хост - винда, там службы необходимые для работы. а в по контейнерам службы веб, базы и код
Мой
Dmi3y
Не забывайте про cold boot, где мамкин хакир на средства разграничения прав в системе ложил свои 49.5 см
Igor
какое полит коректное словоо "интересное"
Etki
вообще у приложения интересная архитектура, хост - винда, там службы необходимые для работы. а в по контейнерам службы веб, базы и код
мускул и apc, угу. никто больше такое не ставит, единственная в мире разработка.
Мой
Когда всё заобфусцировано и закрыто, тогда можно уже завернуть в докер и с комфортом доставлять
спасибо, сформулировали
Igor
ну то есть вебсервера с аликухой ставятся на рабочие места операторам? ахаха
Igor
не проще сервак в сети поднять?
Мой
мускул и apc, угу. никто больше такое не ставит, единственная в мире разработка.
нет, в дальнейшем службы с венды переедут на линух
Etki
мускул на линуксе, такого мир тоже еще не видел
Мой
свое же мы раскидали на микросервисы по контейнерам
Igor
Чувак ты с Казахстана?
Dmi3y
Ну и не забудьте проверить лицензии того, что вы тащите в контейнерах. Очень может оказаться, что эти лицензии потребуют от вас, как от линкующихся с GPL, лицензировать свой код так же под GPL и сделают незаконными лицензирование под проприетарной лицензией
Serhii
Следуя шапке, всем привет, меня зовут Сергей. работаю бекендщиком в очередной конторе, интересуюсь докером. Проект есть, скорее всего это хобби а не проект)) но очень интересует тема докера. Думаю у меня будет ольше вопросов, нежели ответов в сообществе, прошу любить и жаловать)
Victor
Вот это культура ) а я не представлялся
Victor
А легально ли запихнуть Oracle Jdk в контейнер?
По идее нельзя?
🦠
есть опенждк