В ОС контейнера же нет пользователя с таким uid.

Или он присваивается руту?

О. Таки сработало.

не за что, пользуйтесь на здоровье)

не за что, пользуйтесь на здоровье)

Спасибо. =) А можете прокомментировать, что, всё-таки происходит? =)

Спасибо. =) А можете прокомментировать, что, всё-таки происходит? =)

в запускаемом контейнере создается юзер с указанным uid при старте контейнера, этот user внутри контейнера будет убит вместе с контейнером

в запускаемом контейнере создается юзер с указанным uid при старте контейнера, этот user внутри контейнера будет убит вместе с контейнером

Спасибо.

Спасибо.

не за что, обращайтесь, нас здесь много ;)

я подключался к контейнерам curl'ом стучался до других машин тоже нет конекшена, но если делать curl 192.168.0.1:9000 с одного из контейнеров, то пинг есть

Есть задача, собрать data контейнер для этого используется composer, npm, результать запаковывается в data image При использовании multistage имеем проблемы с тем что добавляются лишние слои и нет возможности использовать volume как при запуске контейнера например docker run -v ./src:/data composer install так не получиться при docker build Подумал что можно сделать через docker-compose, но тут тоже можно указать зависимость, но не определить строгий порядок запуска

Добрый день. Работаю с Kubernet на докерах, вчера приключилась проблема... самопроизвольно стали удаляться образы из локального репозитория.. Кто встречался с подобным, подскажите может ли такой вариант быть при малом пространстве на диске? загруженность диска 85%, при мониторинге заметил, что когда я загружаю что-либо на хост, пропадает очередной контейнер в образах.. Были у кого-то подобные проблемы?

пробовали добавить еще сетей в каждый сервис? чтоб не по две, а по три сети было в каждом сервисе, может поможет, я не специалист в docker, но мне кажется что нехватает еще одной сети в каждом сервисе

пробовали добавить еще сетей в каждый сервис? чтоб не по две, а по три сети было в каждом сервисе, может поможет, я не специалист в docker, но мне кажется что нехватает еще одной сети в каждом сервисе

Ну правильно, на двух сетях консенсус не будет же

Ну правильно, на двух сетях консенсус не будет же

коллега, полностью с вами согласен! определенно нехватает еще одной сети, мне кажется чем больше сетей - тем лучше!

пойду добавлю еще пару сетей к своим сервисам

@baimurzin дружище, просим тебя относиться с юмором к нашим сообщениям, утро без юмора как весла без лодки или как паспорт без фотки

Да здесь жара у вас. А я как дурак мемасики по утрам смотрю! :)

Да здесь жара у вас. А я как дурак мемасики по утрам смотрю! :)

в следующий раз не забывайте березовый веник и закрывайте двери в парилку сразу как зашли, не выпускайте пар. Коллеги, потдайте еще немного на камни, а то холодно становится

Все IT-сообщества Петербурга в одно время в одном месте! В четырнадцатый раз IT Global Meetup соберет дружную IT-тусовку Петербурга и окунет участников в атмосферу обмена опытом, профессиональными мнениями и взглядами. Любой активный IT-специалист сможет найти здесь сообщество по душе, единомышленников, узнать что-то новое и заявить о себе! 23 марта 2019, с 10.00 до 18.00, Park Inn Пулковская, пл. Победы, д. 1 Участие бесплатное. Обязательная регистрация на http://piter-united.ru

Если внутри контейнера сделать rm -rf / все норм будет?)

Если внутри контейнера сделать rm -rf / все норм будет?)

Для чего возникает такая необходимость?

Для чего возникает такая необходимость?

Из рода "а что если"

Из рода "а что если"

Тогда ответ - да

Тогда ответ - да

Если бы у меня был другой ответ, то нет?)

Из рода "а что если"

вы предлагаете это кому то проверить? или знаете правильный ответ?

Если бы у меня был другой ответ, то нет?)

Зависит от того, какая необходимость в запуске такой команды внутри контейнера.

вы предлагаете это кому то проверить? или знаете правильный ответ?

Не знаю. Просто интересно. Был такой случай (делал друг): выполнил эту команду для прикола, а в это время к компу был подключен внешний хард. Команда удалила все, даже из харда Понимаю про маунты и тд. Хотел бы знать есть ли у контейнера какая либо связь с внешним миром?

Не знаю. Просто интересно. Был такой случай (делал друг): выполнил эту команду для прикола, а в это время к компу был подключен внешний хард. Команда удалила все, даже из харда Понимаю про маунты и тд. Хотел бы знать есть ли у контейнера какая либо связь с внешним миром?

у вашего вопроса точно такая же связь с внешним миром

у вашего вопроса точно такая же связь с внешним миром

То есть из контейнера можно пощупать вещи вне контейнера?

То есть из контейнера можно пощупать вещи вне контейнера?

для вас пусть будет именно так, прощупать, вещи, вне контейнера

для вас пусть будет именно так, прощупать, вещи, вне контейнера

Подкорректирую вопрос. Есть ли связь на уровне файловой системы из контейнера с файловой системой внешней ОС?

Подкорректирую вопрос. Есть ли связь на уровне файловой системы из контейнера с файловой системой внешней ОС?

Меня интересует уровень изоляции и секьюрити

Меня интересует уровень изоляции и секьюрити

что вы подразумеваете под "секьюрити"?

что вы подразумеваете под "секьюрити"?

Насколько герметична песочница (контейнер) на уровне файловой системы?

Может ли теоретически вредоносный код в контейнере выбраться на внешнюю файловую систему?

Насколько герметична песочница (контейнер) на уровне файловой системы?

герметичность песочницы это?

Может ли теоретически вредоносный код в контейнере выбраться на внешнюю файловую систему?

.

Может ли теоретически вредоносный код в контейнере выбраться на внешнюю файловую систему?

вредоносный код в контейнере - уже круто! способность выбраться на "внешнюю файловую систему" - агонь. в конце этот код должен представиться "скайнет" и захватить мир с помощью ядерных бомб. Предлагаю написать сценарий для российского синематографа! срубим бабосов как два "терминатора"!

вредоносный код в контейнере - уже круто! способность выбраться на "внешнюю файловую систему" - агонь. в конце этот код должен представиться "скайнет" и захватить мир с помощью ядерных бомб. Предлагаю написать сценарий для российского синематографа! срубим бабосов как два "терминатора"!

По-моему вопрос вполне корректный

непонятен уровень ирония

вредоносный код в контейнере - уже круто! способность выбраться на "внешнюю файловую систему" - агонь. в конце этот код должен представиться "скайнет" и захватить мир с помощью ядерных бомб. Предлагаю написать сценарий для российского синематографа! срубим бабосов как два "терминатора"!

Это был здоровый интерес в учебных целях.

Изоляция средствами ядра происходит. Любые баги в ядре на хостовой машине - потенциальная возможность эксплуатации из контейнера

По-моему вопрос вполне корректный

Начертите пожалуйста границу вредоносного от не вредоносного

Начертите пожалуйста границу вредоносного от не вредоносного

Давай без философии, вопрос вполне понятен

Давай без философии, вопрос вполне понятен

Я задал вам конкретный вопрос, где граница?

Начертите пожалуйста границу вредоносного от не вредоносного

В данном случае может быть такой пример: вредоносный код внутри левого образа, который нацелен на порчу данных на внешней ОС

Файловая система изолируется и условно говоря биндмаунтится внутрь контейнера. Так же удаление файлов внутри контейнера затроне только его. Если вы не делаете каких-то вещей типа маунтов с хостовой системы, то всё должно быть нормально(ну не учитывая баги в ядре которые я упомянул выше)

Я задал вам конкретный вопрос, где граница?

Если код сделал так, что ты потерял бабло, то он вредоносный)

Файловая система изолируется и условно говоря биндмаунтится внутрь контейнера. Так же удаление файлов внутри контейнера затроне только его. Если вы не делаете каких-то вещей типа маунтов с хостовой системы, то всё должно быть нормально(ну не учитывая баги в ядре которые я упомянул выше)

Понятно, благодарю

Понятно, благодарю

Тут всё упирается в баги и в то, что из изоляции иногда можно выбраться. Смотри недавнюю уязвимость в runc.

Виртуализация с этой точки зрения более надежна, если хочется усиленную секьюрность

Есть так же проекты kata containers/gvisor

Тут всё упирается в баги и в то, что из изоляции иногда можно выбраться. Смотри недавнюю уязвимость в runc.

Конечно, баги всегда есть. Мне было интересно: есть ли умышленная лазейки из контейнера в файловую систему внешней ОС

Лазейка*

первый по факту смесь между виртуалками и контейнерами, а второй пока не особо юзабельный

Конечно, баги всегда есть. Мне было интересно: есть ли умышленная лазейки из контейнера в файловую систему внешней ОС

если ты маунты не прокидываешь, то нет. Не помню толлько как файлы устройств обрабатываются, тут надо проверять

если ты маунты не прокидываешь, то нет. Не помню толлько как файлы устройств обрабатываются, тут надо проверять

Все, понял. Спасибо

Один не помнит, второй все понял, на каком вы языке разговариваете?)))) а главное серьезно так

Один не помнит, второй все понял, на каком вы языке разговариваете?)))) а главное серьезно так

Главное ты был очень полезным и потроллил. Молодец)

Один не помнит, второй все понял, на каком вы языке разговариваете?)))) а главное серьезно так

Very high level

Главное ты был очень полезным и потроллил. Молодец)

ну хоть тут какая то конкретика

Песочница — специально выделенная среда для безопасного исполнения компьютерных программ Герметиза́ция — обеспечение непроницаемости для газов и жидкостей поверхностей и мест соединения деталей. (тут можно было бы просто обойтись словом изолированность) Секьюрити это безопасность. Можно уловить связь между песочницей, безопасностью и герметичностью Теперь про смысл самого вопроса chroot можно сказать дедушка виртуализации. Но он не безопасен. Его сложно кому либо доверить. Естественно кто то может захотеть "выбраться наверх" В докер контейнер можно зайти извне. Можно ли выйти изнутри? Какие могут быть дыры в виртуализации и изоляции? Насколько это безопасно по сравнению с другими системами виртуализации? Докер сделан очень хитро, оверхед ресурсов минимален. Но есть ли ложка дегтя в этой бочке меда? Контейнеров в докерхабе много. Теоретически кто то может выложить образ, который будет делать не совсем то, что ты думаешь (иметь вредоносный код). Понимаю, тут человеческий фактор большой. Но он есть. Насколько здесь спасает виртуализация докера?

Конечно, баги всегда есть. Мне было интересно: есть ли умышленная лазейки из контейнера в файловую систему внешней ОС

Ничего такого нет. Проблема может быть только если смонтировали часть хостовой системы в контейнер.

Ничего такого нет. Проблема может быть только если смонтировали часть хостовой системы в контейнер.

Вот это и хотел понять) развернуто расписал для Максима.

Максим простожжет :)

chroot виртуализация? ? правда правда?

chroot виртуализация? ? правда правда?

Не совсем) но песочница

Вот это и хотел понять) развернуто расписал для Максима.

Вообще, суть в том, что побег из контейнера — это лакомый кусочек. Если такое кто-то находит, он может получить не плохой баунти.

я бы сказал суть в том, от кого ты хочешь изолироваться и как. И склько тебе будет стоить дыра в безопасности

идеальной безопасности нет:(

ну... так почитайте новости и увидите, глубины падения, но гораздо хуже что оно по дизайну не очень для этого предназначено

Вот недавно был баг на некоторых осях, если хостовый рут прокинут в контейнер, то можно было выбраться.

так что не натягивайте сову на глобус и просто юзайте инструмент по назначению

Вот недавно был баг на некоторых осях, если хостовый рут прокинут в контейнер, то можно было выбраться.

https://threatpost.com/hack-allows-escape-of-play-with-docker-containers/140831/

ну мы рады за него и чё?

И вот https://thenewstack.io/what-you-need-to-know-about-the-runc-container-escape-vulnerability/

так что не натягивайте сову на глобус и просто юзайте инструмент по назначению

Я недавно начал изучение докера. Причины: 50 на 50 соответсвенно практическая необходимость и живой интерес к этому зверю. Как то не хочется ограничиваться лишь изучением использования этого зверя. Мне интересно как он сделан

Я недавно начал изучение докера. Причины: 50 на 50 соответсвенно практическая необходимость и живой интерес к этому зверю. Как то не хочется ограничиваться лишь изучением использования этого зверя. Мне интересно как он сделан

Похвальное желание. Правда, на этом пути встречаются тролли. Так что крепитесь :)

поверьте вопрос безопасности. тут десятый хоть снаружи, хоть изнутри

Похвальное желание. Правда, на этом пути встречаются тролли. Так что крепитесь :)

Этим мне и нравится ру коммьюнити. Троллей много, но это способствует обучению, как ни странно

поверьте вопрос безопасности. тут десятый хоть снаружи, хоть изнутри

Это — да. Нужно понимать, что за такими дырами очень серьезно охотятся. Так что их мало. Можете забить на это. Начните с сети, например. Или с docker-compose

Благодарю за ответы

Обращайтесь, будем рады помочь!

Безопасность просто про то, чтобы разграничивать слои между собой и понимать какие угрозы/риски есть если один из слоев окажется скомпрометирован. Если у вас выбор между приложением на сервере или приложением в докере на том же сервере. То во втором варианте злоумышленнику требуется чуть больше усилий в случае если приложение окажется взломанным

но возможны другие факторы, там например у вас разделяемая среда или что-то в этом роде. Короче нужно понять что защищаете и от кого. Если интересна именно безопсность.