это просто файлы на компе

конечно они видны

да мне от кулхацкеров защититься

код упаковать в контейнер

Это надо код не в контейнер, а в обфускатор пихать

кулхацкер - это ты сейчас

у юзера отбираешь рутовые права

он не сможет заранить контейнера и не сможет файлы посмотреть)

можно вообще юзера к машине не подпускать

вот это я понимаю защита

и все легче))

особенно хорошо, конечно, отбирать рутовые права у пользователя по tcp

ты у него права забрал, и он больше не может сетевые запросы передавать

люблю линукс за магию, да

А насчёт проприетарных исходников.. когда мы берём образ с дистром, в котором есть GPL, мы же в терминах лицензии "линкуемся" с ними?

бббр... в докер файле я поставлю пароль юзеру. на первом слою

дальше никто в контейнер не зайдет?

А у вас где докерфайлы лежать будут?)

Нет такого понятия - пароль на слою

Слои -- это просто накладываемые друг на друга файловые системы

А у вас где докерфайлы лежать будут?)

докер файл только у меня

бббр... в докер файле я поставлю пароль юзеру. на первом слою

это как положить деньги в ящик и на нём написать закрыто

Так в чем проблема, ограничить доступ к докер-хосту?)

Как вам предлагал коллега выше?)

эмм. точно.

у мну под вендой, можно ж запоролить boot2docker

через hyper-v что ли?

господи, что вообще я сейчас читаю

Короче, есть конструктивное предложение

Считайте, что вы поставляете ваше приложение БЕЗ докера вообще

господи, что вообще я сейчас читаю

Второй день страдаешь))

И что докер -- это просто такая прослойка, которая не делает ничего

И что докер -- это просто такая прослойка, которая не делает ничего

но сенпай... зопоролить...

Если вы хотите защитить ваши исходники от доступа третьих и вторых лиц -- боритесь уже на этом этапе

Если у вас приложение компилируемое из сей -- используйте обфускатор, тогда IDA ногу сломит

чего защищаете? сам контейнер от проникновения в него? исходные коды в нем? или данные в контейнере?

Если у вас языки, которые должны лежать файлами на диске (типа Java, или Python) -- то они даже в скомпилированом виде местным дизассемблером превосходно разбираются в исходные коды

Да, кстати

Человек из сферы ИБ, судя по фото

А модель угроз не предоставил

А модель угроз не предоставил

хакиры сломают

там php )

у меня есть запоролить, называется виртуальная машина, по модели ionCube

Иван вам не нужен докер

почему когда на Debian ставишь docker, вместе с ним ставиться и git.? ставлю с офф. сайта, по пунткам ... https://docs.docker.com/engine/installation/linux/debian/

просто на centos ставил docker, он не ставил git. получается если мне не нужен git, то его лучше удалить?

Иван вам не нужен докер

как не нужен ) мне нужно доставить приложение с окружением, и по возможности запретить лазить в контейнер с кодом

вы незнаете инструмент которым пытаетесь пользоваться

Значит, вы неправильно понимаете назначение инструмента

не мешайте мне продавать

гвоздь вбитый в жеской диск куда надежней защита

я буду продавать поролированые пхп докеры

Есть инструменты, которые пакуют софт в упаковку, требующую ввода лицензионного ключа и затрудняющую доступ к этому коду

Вот как предложеный выше iceCube

я буду продавать поролированые пхп докеры

прочел "полированные", задумался, зачем их полировать

ладно, понятно. код обфусцируем или альтернативу используем. а вот окружение нужно ) ionCube

Когда всё заобфусцировано и закрыто, тогда можно уже завернуть в докер и с комфортом доставлять

что там вообще могут красть? продукт представляет интерес только в законченном виде. там невероятная стэндэлон библиотека, алгоритм супербыстрой очереди или искусственный интеллект?

раз винда, установи докер под админом, и не давай ни кому пароль, ни кто в контейнер не попадет

пользоваться им может тот, у кого есть пароль - ну так кому в код-то лезть понадобится?

вообще у приложения интересная архитектура, хост - винда, там службы необходимые для работы. а в по контейнерам службы веб, базы и код

раз винда, установи докер под админом, и не давай ни кому пароль, ни кто в контейнер не попадет

машины кста клиентские

Не забывайте про cold boot, где мамкин хакир на средства разграничения прав в системе ложил свои 49.5 см

какое полит коректное словоо "интересное"

вообще у приложения интересная архитектура, хост - винда, там службы необходимые для работы. а в по контейнерам службы веб, базы и код

мускул и apc, угу. никто больше такое не ставит, единственная в мире разработка.

Когда всё заобфусцировано и закрыто, тогда можно уже завернуть в докер и с комфортом доставлять

спасибо, сформулировали

ERROR: S client not available

машины кста клиентские

о_О

ну то есть вебсервера с аликухой ставятся на рабочие места операторам? ахаха

о_О

действительно, докер же нужен только на локалке вещи запускать

не проще сервак в сети поднять?

мускул и apc, угу. никто больше такое не ставит, единственная в мире разработка.

нет, в дальнейшем службы с венды переедут на линух

мускул на линуксе, такого мир тоже еще не видел

не проще сервак в сети поднять?

клиентские сервера это

мускул на линуксе, такого мир тоже еще не видел

не куплюсь на тролинг )

клиентские сервера это

однако

однако

ога, с вендой и часть программных решений их

свое же мы раскидали на микросервисы по контейнерам

Чувак ты с Казахстана?

Ну и не забудьте проверить лицензии того, что вы тащите в контейнерах. Очень может оказаться, что эти лицензии потребуют от вас, как от линкующихся с GPL, лицензировать свой код так же под GPL и сделают незаконными лицензирование под проприетарной лицензией

Чувак ты с Казахстана?

Нет

Ну и не забудьте проверить лицензии того, что вы тащите в контейнерах. Очень может оказаться, что эти лицензии потребуют от вас, как от линкующихся с GPL, лицензировать свой код так же под GPL и сделают незаконными лицензирование под проприетарной лицензией

изучаем эти вопросы

Следуя шапке, всем привет, меня зовут Сергей. работаю бекендщиком в очередной конторе, интересуюсь докером. Проект есть, скорее всего это хобби а не проект)) но очень интересует тема докера. Думаю у меня будет ольше вопросов, нежели ответов в сообществе, прошу любить и жаловать)

Вот это культура ) а я не представлялся

А легально ли запихнуть Oracle Jdk в контейнер? По идее нельзя?

есть опенждк

который быстрее и лучше

который быстрее и лучше

продолжайте

Дык, разработчики на oracle jdk пилят

лецензия не та, чтобы в докер

Вот... :-\

есть некоторый общий репозиторий, который называют опенждк, и от которого форкаются все остальные. в оракле есть немного интересных штук и немного неинтересной лицензии. это основные различия

хотите фришную сборку - берите zulu

большой разницы, где код ваших разработчиков будет выполняться, нет и не планируется

все компилируется в байткод, который выполняется по спеке jvm. какая там реально jvm в конце - вообще наплевать, пока вы не используете в продакшене дополнительные утилиты из поставки оракла

точнее jvm вообще всегда наплевать, просто если вам нужен mission control или как его там, то у вас вендорлок на оракле. jstat, jmap и прочее есть в любом jdk

есть распространенное мнение что oracleJDK быстрее и лучше чем OpenJDK, поэтому многие используют первую тех кто бы сам проверил я незнаю

есть распространенное мнение что oracleJDK быстрее и лучше чем OpenJDK, поэтому многие используют первую тех кто бы сам проверил я незнаю

эт одно и тоже