The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +1 +/
Сообщение от opennews (??) on 05-Окт-16, 20:51 
Компания «Флант» представила (http://flant.ru/news/58) pam_docker — экспериментальный PAM-модуль, позволяющий «помещать» пользователей и группы хост-системы внутрь контейнеров Docker. Исходный код pam_docker написан на языке Си и распространяется (https://github.com/flant/pam_docker) под лицензией GNU GPLv3.


Созданный PAM-модуль призван упростить аутентификацию пользователей хост-системы внутри Docker-контейнеров и может применяться в различных системных сервисах, включая  su/sudo, cron, SSH, FTP и т.п. Использовать pam_docker можно, например, для организации входа по  SSH в Docker-контейнеры, используя учётную запись хост-системы, однако сами разработчики сообщают, что модуль является больше исследовательским — реализация позволяет улучшить понимание, как на практике работает Docker.


Подробнее с устройством модуля можно познакомиться посмотрев видеозапись доклада «Проникновение в Docker с примерами», представленного этим летом на встрече meetup-группы Docker Moscow в Badoo.


URL: http://flant.ru/news/58
Новость: http://www.opennet.dev/opennews/art.shtml?num=45279

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +10 +/
Сообщение от Аноним (??) on 05-Окт-16, 20:51 
> для организации входа по SSH в Docker-контейнеры

Костыли-костылики

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +7 +/
Сообщение от A.Stahl (ok) on 05-Окт-16, 20:53 
PAM-PAM-PARAM
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Аноним (??) on 05-Окт-16, 20:54 
любители goto для одной строчки...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +2 +/
Сообщение от Аноним (??) on 06-Окт-16, 06:40 
Я вот недавно размышлял стоит ли юзать готу для одной строчки и пришел к выводу что стоит.
Пришел к выводу что стоит чтоб избежать дублирования этой самой строчки, пусть готу и занимает столько же места, но в будущем ты можешь дописать там еще пару строчек освобождения ресурсов и в итоге там где готу могло стоять забыть дописать, а так готу устраняет дублирование кода и уменьшает вероятность будущих ошибок.
Давай, переубеди меня, или готу плохо потому что готу?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

15. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  –1 +/
Сообщение от Илья (??) on 06-Окт-16, 11:09 
Вы, главное, не борщите с этим делом. Прежде всего нам важно чтобы вы не поседели раньше времени
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

43. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  –1 +/
Сообщение от Аноним (??) on 06-Окт-16, 20:10 
Если goto не превращает код в макароны, не вижу ничего предосудительного в его использовании. Ведь его не используют только из-за этого.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

5. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от freehck email(ok) on 05-Окт-16, 23:40 
Ммм... Шурупов. Флант.

Я так вижу, что дело не остановилось на "готовых серверных решениях на базе Ubuntu Server", теперь вы там фанатеете от контейнеризации всего и вся?

И для чего используете? Как продвигается?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +2 +/
Сообщение от Dmitry Shurupov (ok) on 06-Окт-16, 05:38 
Привет. Мы фанатеем от разных вещей, но как компания выбираем практичные (эффективные, надёжные) Open Source-решения для задач клиентов там, где это имеет смысл. Docker у нас активно используется для нужд DevOps (автоматизация выкатов релизов веб-приложений и всё рядом). Кто-то, возможно, удивится, но на нём в production работают серьёзные и нагруженные ресурсы.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

19. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от crypt (ok) on 06-Окт-16, 12:46 
а репозиторий образов у вас свой или официальный используете?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

27. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Dmitry Shurupov (ok) on 06-Окт-16, 14:16 
> а репозиторий образов у вас свой или официальный используете?

Процитирую коллегу:
> Если образ opensource, то мы его храним в hub. Если этот образ связан с конкретным клиентом — храним или в приватном hub'е этого клиента, или ставим отдельный registry для этого клиента. Своего централизованного registry у нас нет, предпочитаем не плодить сущности без надобностей. Периодически посматриваем в сторону JFrog Bintray: он бы нам был очень полезен не только для Docker, но и для Vagrant-образов, и для RPM/DEB-пакетов.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

28. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от crypt (ok) on 06-Окт-16, 14:53 
>> а репозиторий образов у вас свой или официальный используете?
> Процитирую коллегу:
>> Если образ opensource, то мы его храним в hub. Если этот образ связан с конкретным клиентом — храним или в приватном hub'е этого клиента, или ставим отдельный registry для этого клиента. Своего централизованного registry у нас нет, предпочитаем не плодить сущности без надобностей. Периодически посматриваем в сторону JFrog Bintray: он бы нам был очень полезен не только для Docker, но и для Vagrant-образов, и для RPM/DEB-пакетов.

Кажется, мы о разных вещах. Я сам негативно отношусь к Docker и соответственно не особо знаю экосистему (без понятия, что за JFrog). Одна из моих претензий к докеру, это невозможность (?) развернуть свой собственный репозиторий образов без использования того же докера. Т.е. вы используете "приватные" хабы в чужой инфраструктуре. По моим понятиям доверять данные клиента третьим лицам, если не смешно, то, скажем мягко, не всегда возможно.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

34. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Dmitry Shurupov (ok) on 06-Окт-16, 16:36 
> в чужой инфраструктуре

Мы ставим отдельностоящий registry (https://github.com/docker/distribution). Свой собственный репозиторий образов поднимается за 3 минуты, в самом простом виде на файловом бэкенде, а протокол взаимодействия Docker с registry полностью открытый; сам registry (который теперь называется distribution, раньше был тут: https://github.com/docker/docker-registry) — тоже открытый. «Приватные» хабы мы можем использовать у тех, кого это устраивает (нет особых требований). Такие клиенты зачастую уже живут у третьих лиц (github/bitbucket/amazon/digitalocean и т.д.), и платить 10$ за виртуалку в DO под registry или за приватный хаб — проще за хаб, чтобы просто не тратить бессмысленно время на настройку и поддержку.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

56. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от crypt (ok) on 08-Окт-16, 15:59 
>  поднимается за 3 минуты

ну да, с использованием самого докер?:)

Deploying a registry server

docker run ...

Я говорю о том, чтобы настроить такой registry с нуля в типовом окружении с типовыми компонентами.


> сам registry (который теперь называется distribution

даже в базовых названиях еще не стабилизировался...

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

57. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от crypt (ok) on 08-Окт-16, 16:10 
>а протокол взаимодействия Docker с registry полностью открытый

я вполне знаю, что это за технология и на чем она базируется. про открытость есть смысл рассказывать клиентам, а не админам.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

29. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  –3 +/
Сообщение от crypt (ok) on 06-Окт-16, 14:54 
> Процитирую коллегу:

какого коллегу? кто вы и откуда вообще?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

22. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от freehck email(ok) on 06-Окт-16, 13:44 
> Мы фанатеем от разных вещей, но как компания выбираем практичные (эффективные,
> надёжные) Open Source-решения для задач клиентов там, где это имеет смысл.

Мы помнится так и не закончили спор про ненадёжность Ubuntu Server. :)
Ты моё мнение знаешь: я бы с Ubuntu не связывался в продакшене. Вот Debian/Devuan - другое дело.

> Docker у нас активно используется для нужд DevOps (автоматизация выкатов релизов
> веб-приложений и всё рядом). Кто-то, возможно, удивится, но на нём в
> production работают серьёзные и нагруженные ресурсы.

Кстати да, для выкатки веб-приложений возможно и не плохое решение.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

24. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Аноним (??) on 06-Окт-16, 13:59 
Devuan себя ещё никак не показал.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

38. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от freehck email(ok) on 06-Окт-16, 18:39 
> Devuan себя ещё никак не показал.

А как он должен себя "показать"? Люди ставят на серверы, пользуют. Чего ещё надо-то?

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

44. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от insider (??) on 06-Окт-16, 22:04 
>я бы с Ubuntu не связывался в продакшене

А у вас есть продакшн и насколько большой?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

45. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от freehck email(ok) on 06-Окт-16, 23:22 
> А у вас есть продакшн и насколько большой?
> insider

Предлагаете мне побыть Вами? :D

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

58. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Аноним (??) on 09-Окт-16, 18:15 
> Ты моё мнение знаешь: я бы с Ubuntu не связывался в продакшене.

Это юношеский максимализм и подмена рациональных подходов предпочтениями и убеждениями. Реально серверная убунта LTS - не найдешь 10 отличий от debian stable.

Самое приятное по сравнению с дебианом - предсказуемость циклов релиза. Крупные отличия начинаются если захочешь сделать респин по какому-то поводу и распостранять. Вот там убунта неудобна из-за условий на торговые марки, но это не про сабж.

> Вот Debian/Devuan - другое дело.

Они мало чем отличаются с точки зрения администрирования, да и часть разработчиков оба проекта разрабатывают. Devuan вообще какие-то побочные максималисты-маргиналы с непонятным результатом на выходе.

> Кстати да, для выкатки веб-приложений возможно и не плохое решение.

Так его для этого все и используют в основном.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

63. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от freehck email(ok) on 10-Окт-16, 13:44 
>> Ты моё мнение знаешь: я бы с Ubuntu не связывался в продакшене.
> Реально серверная убунта LTS - не найдешь 10 отличий от debian stable.

Это по-твоему аргумент *за* Ubuntu?

> Самое приятное по сравнению с дебианом - предсказуемость циклов релиза.

Отлично. И что тебе даёт предсказуемый релизный цикл для *сервера*?

> Devuan вообще какие-то побочные максималисты-маргиналы с непонятным результатом на выходе.

Почему же не понятным. Дистрибутив есть, рабочий, многие знакомые дебианщики ставят и хвалят.

>> Кстати да, для выкатки веб-приложений возможно и не плохое решение.
> Так его для этого все и используют в основном.

По моему опыту чаще его скорее используют для создания сборочных окружений. Впрочем, я в среде программистов живу, так что такие наблюдения закономерны.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

6. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +1 +/
Сообщение от Аноним (??) on 06-Окт-16, 03:15 
Пусть их Проникновение останется при них, смысл тогда в изоляции приложения, используя докер
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  –1 +/
Сообщение от Аноним (??) on 06-Окт-16, 03:29 
> Пусть их Проникновение останется при них, смысл тогда в изоляции приложения, используя
> докер

Посмотрел, брошурку их компании, не поверите но эти ребята обслуживают форбс. А еще у них много красивых логотипов и названий всяких Open Source проектов. Это был сарказм. Исследователи блин, ну раз этот модуль носит такой смысл не обязательно трындеть об этом 50 минут.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Аноним (??) on 06-Окт-16, 03:34 
Ах да чуть не забыл, любой системный администратор и веб разработчик знает почти все что у них перечислено в брошурке. Блин ну удивительные люди, придумали модуль чтобы связать то что было изолировано, ну это же на медаль тянет
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Dmitry Shurupov (ok) on 06-Окт-16, 05:47 
> Ах да чуть не забыл, любой системный администратор и веб разработчик знает
> почти все что у них перечислено в брошурке.

Если вы действительно знакомы с людьми, которые _знают_ (не просто указывают в резюме длинным списком, поскольку «где-то видели» и «пару раз перезапускали») почти всё, что там перечислено, готовы обсудить их трудоустройство.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +3 +/
Сообщение от anonymous (??) on 06-Окт-16, 11:01 
Столько пафоса, а по факту:
> на испытательный срок — от 60 000 руб.; первое время после исп. срока — от 70 000 руб.

Хотя, я уже давно понял, что Docker для люмпенов.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Dmitry Shurupov (ok) on 06-Окт-16, 11:45 
Надеюсь, вы правильно увидели «от» в вакансии для регионов.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +2 +/
Сообщение от anonymous (??) on 06-Окт-16, 12:00 
Правильно, ваше "от" в 2 раза ниже рыночного.

И хватит уже прикрываться этими вашими регионами, тем более в контексте удаленной работы.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Dmitry Shurupov (ok) on 06-Окт-16, 12:25 
> Правильно, ваше "от" в 2 раза ниже рыночного.

Это банальная неправда в контексте процитированной вакансии. Подтверждается реальностью, которую мы наблюдаем (в частности, на примере конкретных кандидатов). Посему продолжать этот спор здесь не буду.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +1 +/
Сообщение от anonymous (??) on 06-Окт-16, 13:28 
Я 2ой месяц ищу себе напарника на подобную вашей вакансию, требования примерно такие же, ну может быть немного выше, "от" озвученной мне руководством вилки в 2 раза выше. Уже успел провести несколько собеседований, т.е. прекрасно знаю о чем говорю.

Кандидаты, которые хотят 60-70 обычно готовы и кабель протянуть, и сайт компании сделать, что как бы намекает.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

23. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +1 +/
Сообщение от freehck email(ok) on 06-Окт-16, 13:48 
> Кандидаты, которые хотят 60-70 обычно готовы и кабель протянуть, и сайт компании сделать, что как бы намекает.

Поддерживаю. В Москве 60-70 тысяч получают только мартышки, которые ничего не умеют.
Ну или начинающие специалисты, которые ещё просто не поняли реальных расценок.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Dmitry Shurupov (ok) on 06-Окт-16, 14:03 
Я уже не один год ищу людей, провёл десятки собеседований, набрал многих людей в штат (и хорошо знаю, что у них в этом штате получилось/получается), поэтому тоже прекрасно знаю. Уверен, что вы ищете в Москве, а разница есть, но можете мне не верить.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

30. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от anonymous (??) on 06-Окт-16, 14:55 
> хорошо знаю, что у них в этом штате получилось/получается

Мы видим то, что у них получается: Docker, Ubuntu, это все.
Логично предположить, что показываете вы нам лучшее из имеющегося, следовательно оставшееся за кадром максимум того же уровня, скорее хуже.


> Уверен, что вы ищете в Москве, а разница есть, но можете мне не верить.

Какая разница где находится работодатель/сотрудник при удаленной работе? Где-то делают большие скидки на товары/услуги для работающих в регионах?

Вас можно понять, конечно, вы и из региона, и не нужно оплачивать дополнительную аренду за место в офисе для удаленного сотрудника, а если еще и платить в черную, так вообще прекрасно - максимальная оптимизация расходов. Сложно понять человека, который будет у вас работать, тем более обладая описанными знаниями.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

32. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Dmitry Shurupov (ok) on 06-Окт-16, 15:54 
> это все.

Вместо предположений можно сделать минимальные действия и для начала зайти хотя бы на https://github.com/flant (например, 3 год назад мы анонсировали — на опеннете в том числе — https://github.com/flant/nginx-http-rdns).

> Какая разница где находится работодатель/сотрудник при удаленной работе?

В регионах нужно меньше для комфортной жизни. Математика у вас не совсем полная, да и про «платить в черную» вы ещё зачем-то придумали очень некрасиво — получается не конструктивный диалог, а попытка быть лучше и уйти со своим. Это без меня, пожалуйста.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

36. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от anonymous (??) on 06-Окт-16, 18:03 
> Вместо предположений можно сделать минимальные действия

Это первое, что я сделал - не впечатлило. "Это все" в данном случае подразумевает "и подобное", я внес двусмысленность.


Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

37. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от anonymous (??) on 06-Окт-16, 18:16 
> В регионах нужно меньше для комфортной жизни.

Ок, перефразирую вопрос: зачем кому-то удаленно работать на вас, а не на кого-то в той же Москве?


> Математика у вас не совсем полная

Достаточно полная чтобы понять почему представлять себя как региональную компанию выгодно только вам.


> получается не конструктивный диалог, а попытка быть лучше

Да, вылазит наружу ваша неконкурентоспособность на рынке труда и ответить на этой вам по большому счету нечего.


> и уйти со своим.

Уйти куда-то постоянно пытаетесь вы, при чем уже во второй раз.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

49. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +2 +/
Сообщение от Drew DeVault on 07-Окт-16, 11:07 
> http://flant.ru/prices
> «Т» (техник)
> Стоимость: 1000 руб. за 1 час полезной* работы.

в месяц это 160000. таким образом, компания flant имеет с человека более, чем в 2.5 раза его заработанных денег. может хотя бы до 1.5 снять - так почестнее?

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

59. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Аноним (??) on 09-Окт-16, 18:20 
> в месяц это 160000. таким образом, компания flant имеет с человека более,
> чем в 2.5 раза его заработанных денег. может хотя бы до
> 1.5 снять - так почестнее?

Ты так ненавязчиво спалил почему много народа уходит во фриланс. А зачем делиться с барыгами типа этих на таких условиях? :)

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

62. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Drew DeVault on 10-Окт-16, 07:48 
так в том и дело, что барыги плачут: к ним никто не идёт. но не доходит додумать, что вместо грабежа можно сотрудничать.

inb4: песни про амортизацию, офис, налоги, зверский бизнес и пушистых барыжек

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

10. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Dmitry Shurupov (ok) on 06-Окт-16, 05:44 
> Посмотрел, брошурку их компании, не поверите но эти ребята обслуживают форбс. А
> еще у них много красивых логотипов и названий всяких Open Source
> проектов. Это был сарказм.

Брошюра немного устарела (в процессе обновления) и основной фокус у нас сейчас не на всём этом многообразии логотипов, с которыми мы успели поработать и по-прежнему где-то поддерживаем, а на DevOps, где активно применяется Docker.

> Исследователи блин, ну раз этот модуль носит
> такой смысл не обязательно трындеть об этом 50 минут.

Если не интересует Docker, то нет обязательного смысла в комментировании того, что не интересует. Доклад для тех, кто хотел бы узнать больше про устройство Docker, а pam_docker — практическая реализация, чтобы увидеть, как это работает. Дополнительные демонстрационные исходники к презентации можно найти здесь: https://github.com/flant/docker_penetration_experiment

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

21. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от freehck email(ok) on 06-Окт-16, 13:40 
>> Исследователи блин, ну раз этот модуль носит такой смысл не обязательно трындеть об этом 50 минут.

Ну это-то как раз логично. Если повсюду пихаете контейнеры, рано или поздно встаёт вопрос о том, что они должны как-то взаимодействовать.

> Если не интересует Docker, то нет обязательного смысла в комментировании того, что не интересует.

Расслабься, Дим. Это анонимная новостная борда, чего ты от неё хочешь? :)

> Доклад для тех, кто хотел бы узнать больше про устройство Docker, а pam_docker — практическая реализация, чтобы увидеть, как это работает.

Ну я вот доклад прослушал от и до. Ты уж меня заранее извини, но... весьма муторно и малоинформативно. Много слов не по делу. Очень раздражает такой подход к ведению презентации. Такое чувство, что читается лекция студентам какого-нибудь МИЭМа. А суть можно было бы передать минут за 5.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

26. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Dmitry Shurupov (ok) on 06-Окт-16, 14:05 
Отсылка к МИЭМу, конечно, греет душу… :-) Но я не верю, что за 5 минут можно передать аналогичный уровень понимания. Не утверждаю, что это лучший доклад, но и с обратным утрированием не согласен. Однако раздражение — это дело индивидуальное.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

41. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Аноним (??) on 06-Окт-16, 19:43 
> Брошюра немного устарела (в процессе обновления) и основной фокус у нас сейчас
> не на всём этом многообразии логотипов, с которыми мы успели поработать
> и по-прежнему где-то поддерживаем, а на DevOps, где активно применяется Docker.

В наших Российских IT компаниях, основной прием это красивые логотипы из мира Open Source, и конечно же названия. Наши есть везде и многих видно по манере вести доклад. Но есть и действительно уникальные люди которые разрабатывают чудесные проекты.


> Если не интересует Docker, то нет обязательного смысла в комментировании того, что
> не интересует. Доклад для тех, кто хотел бы узнать больше про
> устройство Docker, а pam_docker — практическая реализация, чтобы увидеть, как это
> работает. Дополнительные демонстрационные исходники к презентации можно найти здесь:
> https://github.com/flant/docker_penetration_experiment

Помню времена когда все так же бегали с OpenVZ, и на каждом углу доклады все круто и так далее.  OpenVZ тут OpenVZ там, все тоже самое что сейчас с Docker. И хотя есть небольшие различия это все те же контейнеры, основная задача которых быть изолированными. Если есть интеграция с хост системой то это затрудняет миграцию на другие хост системы, что нарушает основную идею Docker. Одни придумали изоляцию другие теперь придумывают как ее преодалеть...

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Аноним (??) on 06-Окт-16, 10:09 
Jail ему не нравиться, неосиляторы мигрировали на другой костыль.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от нет (??) on 06-Окт-16, 15:01 
грамар нацы, фас
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

33. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Аноним (??) on 06-Окт-16, 16:19 
азазаза
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

39. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Аноним (??) on 06-Окт-16, 19:17 
Они даже не пробовали. "Хотя мы никогда FreeBSD не использовали не любили".

А вот сломать форкфлоу doker, чтобы полюбить docker - это доставило.

- Ребят, может быть инструмент выбран неправильно, раз мы вносим такие правки?
- Не, всё нормально, коммить!

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

42. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +1 +/
Сообщение от anonymous (??) on 06-Окт-16, 19:46 
Чуть менее, чем все окружение докера сделано именно так - костыли на костылях.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

61. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Аноним (??) on 09-Окт-16, 18:27 
> Чуть менее, чем все окружение докера сделано именно так - костыли на костылях.

Докер может и костыль, но осваивается быстро, проблем создает минимум и решает конкретные практические задачи по деплою и автоматизации. А jails - формально как бы есть, но практически значимые задачи ими решать - полная порнография. По сравнению с костыльным докером. Не говоря о том что jals есть только а bsd где до сих пор не могут сделать по человечески тот же пакетный менеджер и репы. Вот их и позаменяли везде на убунты и дебианы.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

60. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Аноним (??) on 09-Окт-16, 18:23 
> Jail ему не нравиться, неосиляторы мигрировали на другой костыль.

Никто не собирается что-то там "осиливать". Берут какое-нибудь решение которое делает что надо как можно проще и быстрее. Желательно популярное, чтобы костылить поменьше. Нормальная оптимизация рабочих процессов - делать какие-то приносящие результат действия вместо того чтобы что-то "осиливать".

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

40. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +1 +/
Сообщение от Аноним (??) on 06-Окт-16, 19:30 
"Я не знаю как fork объяснить."

Дальше не смог смотреть это голосование.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от freehck email(ok) on 06-Окт-16, 23:27 
> "Я не знаю как fork объяснить."
> Дальше не смог смотреть это голосование.

А я до 13й минуты выписывал в блокнотик, но потом тоже плюнул. :)
Кстати, правильное слово. Голосование.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

47. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Аноним (??) on 07-Окт-16, 00:32 
доклад просто ужасный, докладчик скорее маркетолог, внятных ответов на вопросы не увидел. понял только, что он уже больше 11 лет любит контейнеры
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Аноним (??) on 07-Окт-16, 02:13 
> доклад просто ужасный, докладчик скорее маркетолог, внятных ответов на вопросы не увидел.
> понял только, что он уже больше 11 лет любит контейнеры

Докладчик просто не дисциплинированный человек, да и маркетолог не очень, так как маркетологи специализируются на привлечение внимания. И умение подать большой объем информации в короткий промежуток времени. А любовь свою изучать надо, тщательнее, за 11 лет то можно было

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

50. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Аноним (??) on 07-Окт-16, 16:21 
надо было назвать "двойное проникновение" подчёркивало бы извращенский подход ;-)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

51. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Аноним (??) on 07-Окт-16, 17:11 
Вопрос к разработчикам. Зачем вам PAM? PAM служит для аутентификации. Вы же делаете docker shell в контейнере.

проще было бы заменить это все на маленький bash скрипт который пропишете как ваш login shell
#!/bin/sh
/usr/bin/docker exec -ti [container_id] /bin/sh

и вы и при логине и при su сразу в попадете внутрь докер контейнера.
Ну если хотите можно дополнительно свою логику накрутить и это будет куда проще и правильней чем пихать это в PAM.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

52. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Dmitry Shurupov (ok) on 07-Окт-16, 17:31 
Формально: такой скрипт очень ограничен в применении, а PAM — это не только для SSH (в тексте приведен пример с тем же FTP). По существу: не костыль был самоцелью, а взаимодействие с Docker на таком уровне. Костыли действительно можно сделать проще :-)
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

54. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +1 +/
Сообщение от Аноним (??) on 07-Окт-16, 22:37 
Я вас понял, спасибо за ответ.
Просто в самом докладе не хватает юзкейсов из реальной жизни, где бы можно было использовать данный модуль. Ну да наверное для хостинга, в какой то степени для тестов.
Как то подробнее расписать как вы используете данный модуль. Может быть это останется для другого доклада. Но еще раз спасибо за доклад и за отрытые сорци.
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

53. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  +/
Сообщение от Аноним (??) on 07-Окт-16, 18:07 
Как, мля? Уже давно есть pam_script.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "Доступен pam_docker, PAM-модуль для аутентификации внутри Do..."  –1 +/
Сообщение от Аноним (??) on 08-Окт-16, 13:26 
> Как, мля? Уже давно есть pam_script.

Слишком простое решение, надо свое, правильное. А вообще весь доклад это просто предлог для рекламы самой компании. Мы IT компания а вот наши многочасовые труды...

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру