Dan
Но вообще всё логично. Монтировать /etc это надо обладать мастерством
Denis
не в этом дело
Denis
дело в том что любой контейнер запускается в unprivilegied root если не указано иного
Denis
ну а править файлы примаунченые, там как бы достаточно пида нулевого
Dan
Это да
Denis
собственно именно по этой причине плохая идея маунтить сокет докера в контейнер даже под другим пользователем
Denis
у меня тут сегодня иная история была, оказывается ifconfig /32 превращает в 0.0.0.0
Andrey
а во что ему ещё?
Denis
255.255.255.255 ?
Sergei
ну ifconfig депрекнут сто лет как
Andrey
они его специально с собой носят :)
Denis
да я чёт по старой привычке набрал
Anonymous
хотя может быть потому, что я заюзал btrfs
Anonymous
всё, разобрался
Anonymous
видимо в btrfs или в новой системе баг
Gleb
Anonymous
Aleksey
зачем вы монтируете etc в rw режиме ?
Slava
и в чем здесь проблема?
вы монтируете директорию наружу. или докер должен по именам файлов выбирать что монтировать а что нет?)
Anonymous
отлично. буду знать, у кого серваки угонять)
Slava
)))
Slava
ну ну
Aleksey
вообще не понятно так.
Aleksey
вы вроде и та кбыли рутом
Aleksey
почему прсто не сделать cat ?
Slava
если есть доступ к хост машине, что мешает зайти в контейнер и сделать тоже самое?
Anonymous
проблема не в этом
Anonymous
а в том, что юзер, будучи в группе докер монтирует /etc и затирает например shadow
Anonymous
не надо никакого рута ему
Aleksey
так зачем дали то ?
Anonymous
причем это в обход селинукса
Aleksey
у меня не шаред хостинг
Slava
причем здесь btrfs ?))
Anonymous
вот. а у меня несколько людей. и это не айс
Anonymous
причем здесь btrfs ?))
потому что при использовании ext4/xfs из коробки такой проблемы нет, система скажет access denied
Anonymous
такие вы дилетанты, или троллите? )
Aleksey
поздравляю вы видимо начали осваивать азы unix
Anonymous
а кто сказал что в винде такой проблемы нет?
Anonymous
появится, когда всех подсадят)
Anonymous
буду знать, у кого серваки угонять)
Aleksey
дались вам эти серваки
Aleksey
своих мало чтоли
Slava
Какой access denied? Вы когда нибудь монтировали внешние устройства вообще?
Aleksey
да не. видимо товарищ ищет серваки для взлома предлагаю напомнить об ответственности за это и не мешать.
Anonymous
да не. видимо товарищ ищет серваки для взлома предлагаю напомнить об ответственности за это и не мешать.
ну, ваши слова уже больше на клевету похоже, поаккуратнее на поворотах
Anonymous
Какой access denied? Вы когда нибудь монтировали внешние устройства вообще?
Anonymous
ну Permission Denied, ошибся словом
Anonymous
Nklya
фотки терминала это так свежо
Anonymous
вот и поговорили
Anonymous
ладно, прибрали за собой
Anonymous
кстате щас сравню что с маунтом на бтрфс
Slava
Пардон, я подумал что маппинг в другую сторону.
Slava
Но вопрос остаётся, при чем здесь бтрфс?
Slava
Это больше на баг докера похоже
Slava
Вы внутри контейнера монтируете файловую систему для которой игнорируются права доступа
Anonymous
Anonymous
1:1 конфиг
Slava
Типа если внутри контейнера бтрфс то можно смотреть фс хост системы, а если ext4 то нет? Я правильно понял?
Anonymous
ага
Anonymous
centos 7.4, репы base и epel, ничего левого
Anonymous
может не баг, может фича или недоработка, но факт неприятный
Anonymous
Типа если внутри контейнера бтрфс то можно смотреть фс хост системы, а если ext4 то нет? Я правильно понял?
не просто смотреть, а изменить
Slava
Все равно не понимаю при чем здесь файловая система внутри контейнера. Маунт с ней не имеет ничего общего
Anonymous
правильнее сказать - не должен иметь
Slava
Так что больше тянет на баг. Либо различия в конфиге.
Slava
Какие образы используется в обоих случаях?
Anonymous
debian
Anonymous
официалка
Anonymous
оба хоста centos 7.4 x86_64
Slava
А как называется образ дебинана на бтрфс?
Anonymous
так же
Anonymous
docker run debian
Anonymous
ладно. всем спасибо, нать валить спать, завтра кажись будет жаркий день
Anonymous
хорошо серваки в продакшен не успели выкинуть)