« Rev
@docker_ru   166
Fwd »


🦠
Но там жесть с именованием сервиса, почитай доки, он автоматом три алиаса на хостмашине в етц хостс пихает
🦠
Да, все верно
Valery
можешь кинуть пример docker-compose? или может есть open source, не могу найти хороших, везде одни hello world
Valery
btw спасибо за направление уже лучше
Aleksei
Что такое удобный способ управления образами?
Ну я так понял нет нормального способа посмотреть образы в локальном реестре, удалять их оттуда, искать только в нем
Bogdan (SirEdvin)
Удобная штука
Bogdan (SirEdvin)
я бы не сказал
Возможно, я не прав, но если не брать это в учет, то зачем нужны волумы? Что бы напрямую не прокидывать папку из хоста?
Igor
Есть harbor от VMware
я вот чет перед сном полез смотреть ее как то, и понял что она какжется сложная. С ней реально разобраться за денек? или там на недельку зависнуть можно?
ill-ya
А удаленные образы как работают? Они выкачивают данные и потом доступны или тормозят исходя из скорости сети?
Bogdan (SirEdvin)
Волумы не дропаются по умолчанию, например
Проброшенные файлы в хостовую систему тоже не дропаются)
Bogdan (SirEdvin)
я вот чет перед сном полез смотреть ее как то, и понял что она какжется сложная. С ней реально разобраться за денек? или там на недельку зависнуть можно?
Я поставил часа за 2, но мне нужно было избавится от их nginx. Так то на отдельном сервере ее можно развернуть чисто через их docker-compose.yml. Базовый фунционал достаточно простой. Просто поставил, создал пользователей, docker login и пошел фигачить репо. В целом, за день-другой можно совсем разобратся, а работать уже через часик-другой.
Bogdan (SirEdvin)
Разве что еще с https нужно будет возится, я этого счастливо избежал, потому что мне nginx мой давал https
kiosaku
https://www.youtube.com/watch?v=c5GZC3KYtLQ
kiosaku
оно ещё актуально или что-то новее есть?
Serhii
вопрос знатокам. делаю из контейнера файлы ,получается в системе где докер (папка замаунчена в контейнер) появляется файл не от моего пользователя, естесно нужно делать chmod чтоб в файлы можно вносить данные с IDE. Как сделать чтоб права были от моего пользователя? вопрос не тривиален, просто бесит
Bogdan (SirEdvin)
Контейнер запустить от правильного пользователя
Serhii
имеется ввиду не от судо?
Serhii
sudo
Bogdan (SirEdvin)
Да
Bogdan (SirEdvin)
Можно запустить от другого пользователя. В идеале, можно узнать свой номер пользователя и запустить от него
Bogdan (SirEdvin)
https://docs.docker.com/engine/reference/run/#user
Alexander
ого https://github.com/moby/moby/pull/32691
🦠
говорю же
🦠
переименовываемся
🦠
Moby - Natural Deploys
🦠
и фото хвоста как лого, чтобы под хвост)
🦠
я для нгинкса делаю в конце RUN usermod -u 1000 www-data
🦠
можно конечно проставить USER и заморочиться на создания правильного пользователя, но это имхо если очень хочется)
Anton
Так что такое Moby? Сборка целой ОС налету? КТо уже попробовал?)
Etki
уже потом туда подкинули всякие плагины
Bogdan (SirEdvin)
oh my
Я настолько неправ, что меня пора закидать арбузами7)
Serhii
когда запускаю контейнер пишет "I have not name!" ладно, фих с ним
Etki
Я настолько неправ, что меня пора закидать арбузами7)
зачем вам вообще всякие www-data в контейнере?
Bogdan (SirEdvin)
Хм ... секьюрность, однако)
Etki
секьюрность чего?
Bogdan (SirEdvin)
Некоторые приложения принципиально не запускаются от рута
Etki
файлов, которые идут в стандартном дистрибутиве и которые можно скачать простым докер пулл?
Bogdan (SirEdvin)
Например, твоего приложения. Рутовский доступ все-таки рутовский, пусть даже в контейнере
Bogdan (SirEdvin)
Если туда попасть, то ты получаешь под свое управление весь контейнер
Bogdan (SirEdvin)
Что теоретически, может привести к проблемам
Etki
Например, твоего приложения. Рутовский доступ все-таки рутовский, пусть даже в контейнере
если у пользователя, под которым бегает контейнер, нет доступа к твоим файлам, то чем вообще занимается контейнер?
Bogdan (SirEdvin)
А так же за тем, что бы правильно управлять правами файлов
🦠
ну веб сервер под ввв-датой гоняется
🦠
это логично, можно конечно gosu впилить
🦠
это частный случай, политика партии
Etki
и как это спасет?
Etki
это не "политика партии", это "я не хочу думать"
Serhii
я может чет не то делаю.. но при поднятии конейнеров через докер-компоуз, я не могу зайти в контейнер от пользователя который я указываб
Bogdan (SirEdvin)
Невозможность модифицировать контейнер изнутри, например?
Serhii
только рут
Etki
так а что там модифицировать?
Etki
/etc/shadow?
Bogdan (SirEdvin)
Скажем, никто не зайдет на контейнер и не понаставить там червяков и еще какой-то ереси
Etki
в /tmp что ли записать не сможет?
Etki
если он пробрался в контейнер, он уже видит все секреты и имеет возможность удаленного выполнения кода
Etki
ему даже модифицировать ничего не нужно
Bogdan (SirEdvin)
И чем ему это поможет, если это, например, контейнер с nginx?
Bogdan (SirEdvin)
У него есть только статика и unix-socket к сайту
Etki
unix-сокет?
Etki
а вы хорошо контейнеры организуете
Bogdan (SirEdvin)
Ну, я сайты прокидываю через unix-socket, простите)
Etki
в том и дело, что зачем там ебаться с www-data, если это ничего не дает
Etki
частные кейсы, когда стоит переключиться с рута, есть. но в большинстве случаев любой другой пользователь уже экспоузит все, что может быть нужно злоумышленнику.
Etki
это не защита, это "защита"
Bogdan (SirEdvin)
Как насчет тех случаев, когда експойтов нет, но их можно доставить?
Etki
тип пользователь переключил и все по гайдлайнам, кокой я секьюрный )))
Etki
еще раз, если он может доставить, значит он уже выполняет код в твоем контейнере
Bogdan (SirEdvin)
Ну, скажем, шанс того что вражеский бот просто получает рут доступ и через apt-get ставит пакет с експлойтом выше, чем он будет пытатся скачать все нужные либы
Etki
зачем ему пакет с эксплойтом
Etki
он уже у тебя внутри
Bogdan (SirEdvin)
Или, скажем, как быть, если експлойт именно в том, что нужно подкинуть или заменить либу
Bogdan (SirEdvin)
Но он этого не может сделать
Etki
ставить пакет через apt - это вообще что-то за гранью
« Rev
@docker_ru   166
Fwd »