Котяй Негодяй
07.03.2019
23:14:19
В ОС контейнера же нет пользователя с таким uid.
Или он присваивается руту?
Maxim
07.03.2019
23:15:05
Котяй Негодяй
07.03.2019
23:15:47
Google
Maxim
07.03.2019
23:18:12
Котяй Негодяй
07.03.2019
23:18:29
Maxim
07.03.2019
23:19:15
Спасибо.
не за что, обращайтесь, нас здесь много ;)
Vlad
08.03.2019
19:35:20
я подключался к контейнерам curl'ом стучался до других машин тоже нет конекшена,
но если делать curl 192.168.0.1:9000 с одного из контейнеров, то пинг есть
Maksim
10.03.2019
17:36:31
Есть задача, собрать data контейнер
для этого используется composer, npm, результать запаковывается в data image
При использовании multistage имеем проблемы с тем что добавляются лишние слои и нет возможности использовать volume как при запуске контейнера
например docker run -v ./src:/data composer install
так не получиться при docker build
Подумал что можно сделать через docker-compose, но тут тоже можно указать зависимость, но не определить строгий порядок запуска
Andrey
12.03.2019
04:40:53
Добрый день. Работаю с Kubernet на докерах, вчера приключилась проблема... самопроизвольно стали удаляться образы из локального репозитория..
Кто встречался с подобным, подскажите может ли такой вариант быть при малом пространстве на диске? загруженность диска 85%, при мониторинге заметил, что когда я загружаю что-либо на хост, пропадает очередной контейнер в образах..
Были у кого-то подобные проблемы?
Maxim
12.03.2019
06:08:57
пробовали добавить еще сетей в каждый сервис? чтоб не по две, а по три сети было в каждом сервисе, может поможет, я не специалист в docker, но мне кажется что нехватает еще одной сети в каждом сервисе
Вадим
12.03.2019
06:10:44
Maxim
12.03.2019
06:12:24
пойду добавлю еще пару сетей к своим сервисам
@baimurzin дружище, просим тебя относиться с юмором к нашим сообщениям, утро без юмора как весла без лодки или как паспорт без фотки
AstraSerg
12.03.2019
06:18:25
Да здесь жара у вас. А я как дурак мемасики по утрам смотрю! :)
Google
Maxim
12.03.2019
07:11:00
Dan
12.03.2019
16:16:45
Все IT-сообщества Петербурга в одно время в одном месте!
В четырнадцатый раз IT Global Meetup соберет дружную IT-тусовку Петербурга и окунет участников в атмосферу обмена опытом, профессиональными мнениями и взглядами. Любой активный IT-специалист сможет найти здесь сообщество по душе, единомышленников, узнать что-то новое и заявить о себе!
23 марта 2019, с 10.00 до 18.00, Park Inn Пулковская, пл. Победы, д. 1
Участие бесплатное. Обязательная регистрация на http://piter-united.ru
Erich
12.03.2019
16:30:23
Если внутри контейнера сделать rm -rf / все норм будет?)
Dan
12.03.2019
16:31:00
Erich
12.03.2019
16:31:27
Dan
12.03.2019
16:32:11
Erich
12.03.2019
16:32:41
Maxim
12.03.2019
16:32:41
Dan
12.03.2019
16:33:17
Erich
12.03.2019
16:34:27
вы предлагаете это кому то проверить? или знаете правильный ответ?
Не знаю. Просто интересно. Был такой случай (делал друг): выполнил эту команду для прикола, а в это время к компу был подключен внешний хард. Команда удалила все, даже из харда
Понимаю про маунты и тд. Хотел бы знать есть ли у контейнера какая либо связь с внешним миром?
Maxim
12.03.2019
16:35:17
Erich
12.03.2019
16:36:04
Maxim
12.03.2019
16:37:31
Erich
12.03.2019
16:39:46
Maxim
12.03.2019
16:41:03
Erich
12.03.2019
16:41:43
Может ли теоретически вредоносный код в контейнере выбраться на внешнюю файловую систему?
Maxim
12.03.2019
16:42:49
Erich
12.03.2019
16:42:57
Google
Maxim
12.03.2019
16:47:34
Navern
12.03.2019
16:48:36
непонятен уровень ирония
Erich
12.03.2019
16:48:43
Navern
12.03.2019
16:49:11
Изоляция средствами ядра происходит. Любые баги в ядре на хостовой машине - потенциальная возможность эксплуатации из контейнера
Maxim
12.03.2019
16:49:30
Navern
12.03.2019
16:49:44
Maxim
12.03.2019
16:50:32
Erich
12.03.2019
16:50:57
Navern
12.03.2019
16:51:31
Файловая система изолируется и условно говоря биндмаунтится внутрь контейнера. Так же удаление файлов внутри контейнера затроне только его. Если вы не делаете каких-то вещей типа маунтов с хостовой системы, то всё должно быть нормально(ну не учитывая баги в ядре которые я упомянул выше)
Erich
12.03.2019
16:51:51
Navern
12.03.2019
16:52:21
Понятно, благодарю
Тут всё упирается в баги и в то, что из изоляции иногда можно выбраться. Смотри недавнюю уязвимость в runc.
Виртуализация с этой точки зрения более надежна, если хочется усиленную секьюрность
Есть так же проекты kata containers/gvisor
Erich
12.03.2019
16:53:11
Лазейка*
Navern
12.03.2019
16:53:18
первый по факту смесь между виртуалками и контейнерами, а второй пока не особо юзабельный
Erich
12.03.2019
16:53:59
Google
Maxim
12.03.2019
16:54:49
Один не помнит, второй все понял, на каком вы языке разговариваете?)))) а главное серьезно так
Navern
12.03.2019
16:56:22
Erich
12.03.2019
16:56:37
Maxim
12.03.2019
17:01:03
Erich
12.03.2019
17:10:26
Песочница — специально выделенная среда для безопасного исполнения компьютерных программ
Герметиза́ция — обеспечение непроницаемости для газов и жидкостей поверхностей и мест соединения деталей. (тут можно было бы просто обойтись словом изолированность)
Секьюрити это безопасность. Можно уловить связь между песочницей, безопасностью и герметичностью
Теперь про смысл самого вопроса
chroot можно сказать дедушка виртуализации. Но он не безопасен. Его сложно кому либо доверить. Естественно кто то может захотеть "выбраться наверх"
В докер контейнер можно зайти извне. Можно ли выйти изнутри? Какие могут быть дыры в виртуализации и изоляции? Насколько это безопасно по сравнению с другими системами виртуализации? Докер сделан очень хитро, оверхед ресурсов минимален. Но есть ли ложка дегтя в этой бочке меда?
Контейнеров в докерхабе много. Теоретически кто то может выложить образ, который будет делать не совсем то, что ты думаешь (иметь вредоносный код). Понимаю, тут человеческий фактор большой. Но он есть. Насколько здесь спасает виртуализация докера?
AstraSerg
12.03.2019
17:11:09
Erich
12.03.2019
17:11:52
AstraSerg
12.03.2019
17:12:21
Максим простожжет :)
No1
12.03.2019
17:12:47
chroot виртуализация? ? правда правда?
Erich
12.03.2019
17:13:09
AstraSerg
12.03.2019
17:13:54
Navern
12.03.2019
17:14:35
я бы сказал суть в том, от кого ты хочешь изолироваться и как. И склько тебе будет стоить дыра в безопасности
идеальной безопасности нет:(
Andrey
12.03.2019
17:15:04
ну... так почитайте новости и увидите, глубины падения, но гораздо хуже что оно по дизайну не очень для этого предназначено
AstraSerg
12.03.2019
17:15:31
Вот недавно был баг на некоторых осях, если хостовый рут прокинут в контейнер, то можно было выбраться.
Andrey
12.03.2019
17:15:32
так что не натягивайте сову на глобус и просто юзайте инструмент по назначению
AstraSerg
12.03.2019
17:17:10
Andrey
12.03.2019
17:17:38
ну мы рады за него и чё?
AstraSerg
12.03.2019
17:18:18
И вот https://thenewstack.io/what-you-need-to-know-about-the-runc-container-escape-vulnerability/
Erich
12.03.2019
17:18:27
Google
AstraSerg
12.03.2019
17:19:25
Andrey
12.03.2019
17:19:31
поверьте вопрос безопасности. тут десятый хоть снаружи, хоть изнутри
Erich
12.03.2019
17:20:18
AstraSerg
12.03.2019
17:21:57
Erich
12.03.2019
17:23:31
Благодарю за ответы
AstraSerg
12.03.2019
17:24:00
Обращайтесь, будем рады помочь!
Navern
12.03.2019
17:24:19
Безопасность просто про то, чтобы разграничивать слои между собой и понимать какие угрозы/риски есть если один из слоев окажется скомпрометирован.
Если у вас выбор между приложением на сервере или приложением в докере на том же сервере. То во втором варианте злоумышленнику требуется чуть больше усилий в случае если приложение окажется взломанным
но возможны другие факторы, там например у вас разделяемая среда или что-то в этом роде. Короче нужно понять что защищаете и от кого. Если интересна именно безопсность.