https://www.opennet.ru/openforum/vsluhforumID3/117485.html В инструментарии для управления изолированными Linux-контейнерами Docker выявлена (https://www.openwall.com/lists/oss-security/2019/05/28/1) уязвимость (CVE-2018-15664 (https://security-tracker.debian.org/tracker/CVE-2018-15664)), которая при определённом стечении обстоятельств позволяет получить доступ к хост-окружению из контейнера при наличии возможности запуска своих образов в системе или при доступе к выполняемому контейнеру. Проблема проявляется во всех версиях Docker и остаётся неисправленной (предложен, но пока не принят, патч (https://github.com/moby/moby/pull/39252), реализующий приостановку работы контейнера на время выполнения операций с ФС).<br><br><br><br>Уязвимость позволяет извлечь файлы из контейнера в произвольную часть ФС хост-системы при выполнении команды "docker cp". Извлечение файлов выполняется с правами root, что даёт возможность прочитать или записать любые файлы в хост-окружении, чего достаточно для получения контроля за хост-системой (например, можно переписать /etc/shadow). Атака может бы https://www.opennet.ru/openforum/vsluhforumID3/117485.html#164 Mon, 10 Jun 2019 07:12:07 GMT Используйте для изоляции харденед chroot от grsecurity.net<br> https://www.opennet.ru/openforum/vsluhforumID3/117485.html#163 Mon, 03 Jun 2019 22:14:17 GMT &gt; Вкратце: раз https://reviews.freebsd.org/D19094 и два: https://github.com/zfsonlinux/zfs/issues/7896 <br>&gt; (напоминаю, что это вашновыйстанда...простите, апстрим, и именно по этой причине туда <br>&gt; пришел Тутубалин, точнее, его сумели уговорить это сделать) <br>&gt; Причем во втором случае есть шанс на победу здравого смысла, а в <br>&gt; первом никаких надежд нет, типичное поведение фрибсдшников, ткнутых носом в проблему. <br><br>О да. Сорян за лёгкий некропостинг, но да, это прекрасно.<br>"Ты закоммитишь?" - и тишина. В русскоязычном канале фрибсдшников в богомерзком телеграме Слава (slw который) много высказывался про весь этот трэш-цирк.<br><br>Жаль, что всё так.<br> https://www.opennet.ru/openforum/vsluhforumID3/117485.html#162 Sun, 02 Jun 2019 12:53:42 GMT "Контейнеры2 НЕ НУЖНЫ. дЕВЛЯПСЫ И ХИПСТОТА ЗЛО.<br> https://www.opennet.ru/openforum/vsluhforumID3/117485.html#161 Sat, 01 Jun 2019 15:20:39 GMT &gt; убедить админа<br><br>Убедить? Да сейчас каждая вторая приблуда - "нет времени объяснять, качай docker". Или еще хуже "curl https://vasyapupkin.com -sSf &#124; sh"<br> https://www.opennet.ru/openforum/vsluhforumID3/117485.html#160 Fri, 31 May 2019 09:03:40 GMT Вот тут ты очень смешно протролил. Надо запомнить. Буду теперь всем DevOps'ам говорить, чтобы использовали Docker без аппаратной изоляции в чистом виде, прямо на железе. Какой там на железе?! Прямо в уме пускай это делают. В мозгу то дыр нет. Хотя...<br>Ха-ха-ха-ха-ха! (сдох)<br> https://www.opennet.ru/openforum/vsluhforumID3/117485.html#159 Fri, 31 May 2019 08:56:08 GMT Я в своём комментарии, как бы намека (явно говорю), что без systemd, с которым требования в виртуальной машине повышаются до 512МБ (хотя, вроде 256МБ со скрежетом стартует), докер становится не так привлекателен со всей мудрёностью, дырами, оркестрационными костылями и прочими утилитами.<br><br>Смотрите пример.<br>допустим в минималке Alpine Linux запускается на 32МБ RAM. Сколько вы таких станций сможете запустить, чтобы утилизировать 1ГБ RAM?<br>А теперь, если у вас Debian, на запуск которого вам нужно 512БМ RAM. Сколько вы таких станций сможете запустить, чтобы утилизровать 1ГБ RAM?<br><br>Доступно объяснил?<br><br>Я конечно понимаю, что 32МБ RAM на запуск системы и кучи процессов подкапотом и дискового пространства под систему значительно выше чем в контейнере. Но зато, не нужно постоянно адаптироваться под быстроменяющийся дуршлаг, быстродействие которого под большим вопросом под нагрузками, т.к. есть накладные расходы на слои FS, есть утечки памяти, есть нюансы с сетью, есть дырки и нежданчики, которые всю изоляцию дела https://www.opennet.ru/openforum/vsluhforumID3/117485.html#158 Fri, 31 May 2019 06:27:58 GMT &gt; "на 'десктопе' стоит" <br><br>не, за "спиной rh ^W ibmel-а".<br> https://www.opennet.ru/openforum/vsluhforumID3/117485.html#157 Fri, 31 May 2019 06:21:52 GMT &gt; Не машину, а вагон времени. Всё это ваше ГНУ именно про вагон <br>&gt; бесплатного чужого времени.<br><br>Сестра, тампоны! В треде ушибленный ГНУ!1<br><br>У тебя ушиб, если ты "девляпсы" выше по треду или "дыркер" из новости "перевёл" на гну.<br><br>Прикладывай лёд.<br> https://www.opennet.ru/openforum/vsluhforumID3/117485.html#156 Fri, 31 May 2019 06:12:27 GMT &gt;&gt; Здесь у нас, похоже, ещё один опоздавший родиться, не читавший ни Реймонда, <br>&gt;&gt; ни Кернигана, ни других старейшин, причастных к Юниксу, и, следовательно, не <br>&gt;&gt; понявший, что такое Юникс и в чём его _главное_ предназначение.<br>&gt; "Главное" было в рисёрче на авось продажникам AT&T прокатит.<br>&gt; Чего бы там академия с примкнувшим к ним реймондом ни говорили.<br><br>Юникс изначально делали не для продажи (для продажи там были другие товары и услуги), а для себя. Именно по этой причине он таким спроектирован &#8212; как IDE и ОС &#171;два-в-одном&#187;. В те годы даже самой идеи такой не было &#8212; продавать софт.<br><br>Читайте правильные книжки, товарищи.<br><br><br>&gt;&gt; Такие вот специалисты и превратили линукс в &#171;ваш новый стандарт&#187;, залитый свержу <br>&gt;&gt; системдой полужидкой консистенции.<br>&gt; Да, названия ярлычков и корпораций поменялись с тех пор.<br>&gt; В маркетинге и манипуляциях толпой они поднаторели. Всё во славу Тельца. <br><br>Что говорить, если сам Столлман и его гоп-компания столько лет за мзду малую умышленно н