| 1.3, Аноним (-), 13:55, 14/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Было бы полезно написать какие именно образы содержали вредоносный код.
| | |
| |
| 2.4, Аноним (-), 14:13, 14/06/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Я так понял, все, которые от этого пользователя... Но мне так-то пофигу. Я этим не пользуюсь
| | |
| 2.5, Michael Shigorin (ok), 14:15, 14/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
 > Было бы полезно написать какие именно образы содержали вредоносный код.
В смысле на что юзер клюёт? (так-то аккаунт, баловавшийся рыбалкой, указан)
| | |
|
| |
| 2.23, пох (?), 19:29, 14/06/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Бэкдоры в контейнере? Докер не имеет изоляции?
он ее довольно так себе умеет, но тут другая тема - бэкдор _в_виде_ контейнера - контейнер используется как "средство доставки бэкдора". Все как положено - автодеплой, независимость от дистрибутива хоста, может даже в swarm умеет.
То есть каким угодно способом попадаешь на хост/систему модной "охрен...оркестрации", но не запускаешь на нем немодные баш-портянки с метасплойтом, а, как честный человек (которому среди прочих all выдан доступ к докер-сокету), docker run mymonero:latest
И типа я хз что он тут делает, их тут полсотни в ps, может нужное чо.
| | |
| |
| 3.41, Дмитрий (??), 04:30, 15/06/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> он ее довольно так себе умеет
Он её умеет настолько, насколько её умеет ядро линукс.
| | |
| |
| 4.44, Michael Shigorin (ok), 12:16, 15/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> он ее довольно так себе умеет
> Он её умеет настолько, насколько её умеет ядро линукс.
Точнее, lxc. Потому что ядро линукс в варианте ovz умеет изоляцию контейнеров _гораздо_ лучше -- вот той уже можно пользоваться не только для удобства, а и ради повышения суммарной безопасности.
| | |
| |
| 5.47, Subcreator (ok), 01:23, 16/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
 >Точнее, lxc. Потому что ядро линукс в варианте ovz...
Ага, сравнили гомно (docker) с мусором (ovz... да, ядро до сих пор 2.х) и конфеткой (lxc)
| | |
|
|
|
| 2.46, Аноним (-), 19:01, 15/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Изоляция докера не предназначена для защиты от её обхода, она там сделана по принципу "чтобы программы не сломать, не знающие ничего о докере". На программы, знающие о докере и его ломающие защита не расчитана. Также как и на защиту от атак по сторонним каналам.
| | |
|
| 1.8, Аноним (8), 14:50, 14/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– |
 Само собой нельзя досконально проверить каждый заливаемый образ на таком массовом сервисе. Ответственность за выбор контейнера лежит на пользователе.
Все то же самое что и с репозиториями и уж точно ситуация лучше чем на винде, в которой и не может идти речи о какой-либо безопасности.
| | |
| |
| 2.11, Аноним (-), 15:53, 14/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
На ДоцкерХуб кто угодно может заливать какие угодно образы, а в репозиторий дистрибутива - только мейнтейнер, участник сообщества, за вредительскую деятельность которого сообщество исключит.
| | |
| |
| 3.13, Аноним (-), 16:33, 14/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
После того так тот намайнит 70к зелени. А потом он сменит ник и продолжит...
| | |
| |
| 4.31, axredneck (?), 20:35, 14/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А потом он сменит ник и
и ему сначала придется заработать репутацию, прежде чем стать мэйнтэйнером.
| | |
| 4.36, Аноним (-), 23:01, 14/06/2018 [^] [^^] [^^^] [ответить]
| +/– |
> После того так тот намайнит 70к зелени. А потом он сменит ник
> и продолжит...
слюший, зачэм смэнит? Я тех ник заранее сто штук зарегил.
| | |
|
|
| 2.39, Led (ok), 00:58, 15/06/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
 > Ответственность за выбор контейнера лежит на пользователе.
Ответственность - на не предохранявшихся родителях хипстерков.
| | |
|
| 1.10, Аноним (-), 15:07, 14/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Хотел написать, что docker - гoвнo. А потом подумал...по сути то проблема любого сервиса где есть возможность загрузить готовый контейнер/образ/пакет/etc, и даже автоматические тесты не спасут, откуда им знать что должно крутиться в этом контейнере и что для него нормальное поведение, а что нет.
| | |
| |
| 2.24, пох (?), 19:30, 14/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Хотел написать, что docker - гoвнo. А потом подумал...по сути то проблема
> любого сервиса где есть возможность загрузить готовый контейнер/образ/пакет/etc
который собирал незнамокто, известный только ником.
и много таких сервисов? (а, да, гуглеплей. Ну так...)
| | |
|
| 1.12, нету (?), 15:57, 14/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
контейнерные хипстеры по всему миру одновременно расплескали свои смузи и теперь заняты промыванием и просушиванием собственной бороды - даже некогда им свои контейнерные г...вноподелки проверить
| | |
| |
| 2.25, пох (?), 19:31, 14/06/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
> промыванием и просушиванием собственной бороды - даже некогда им свои контейнерные
> г...вноподелки проверить
свои они хоть обпроверяются - это кого надо были поделки, он проверил - монетки майнятся, все нормально, можно в деплой.
| | |
|
| 1.16, П (?), 17:50, 14/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
RPM Based можно проверить командой внутри контейнера, чтобы выявить подмёненные штатные пакеты:
rpm -Va
| | |
| |
| 2.26, пох (?), 19:31, 14/06/2018 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> Блобы - зло. Если нужны контейнеры, собирайте их сами.
может еще и солнце вручную закатывать самим?
| | |
| |
| |
| 4.29, пох (?), 20:25, 14/06/2018 [^] [^^] [^^^] [ответить]
| +/– | |
это уже даже у *bsd немодно. Жечь гигаватты, героически пересобирая те же байтики, которые до тебя (и ты же сам) уже миллион раз точно так же собирали? Вполне себе можно этого и не делать.
К идее общей неконтролируемой свалки, собранной из непоймичего непойми кем для общего блага, это имеет примерно перпендикулярное отношение.
| | |
| |
| |
| 6.37, Аноним (-), 23:02, 14/06/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> и то верно, лучше монеро помайнить
ну да, эффект в общем-то тот же, но хоть кому-то денег упало на карман (кстати, как-то неприлично мало по нынешним меркам)
| | |
| |
| 7.40, Led (ok), 01:01, 15/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> как-то неприлично мало по нынешним меркам
Так и дойная хипстота ещё не вымерла.
| | |
|
|
| 5.33, mickvav (?), 22:13, 14/06/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Для тех, кому лень жечь гигаваты, но и хочется уверенности в сборке - есть ccache, если что.
| | |
|
|
| 3.28, YetAnotherOnanym (ok), 20:08, 14/06/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Ты промискуитет с разнообразием не путай. Слепить контейнер "from scratch" - в этом нет ничего сложного.
| | |
| |
| 4.34, Аноним (-), 22:28, 14/06/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Ты промискуитет с разнообразием не путай.
промискуитет это подмножество.
| | |
|
|
|
| 1.48, Аноним (-), 17:41, 17/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Шок! Паника! Если позволять запускать на своих хостах незнамо что, то враги могут этим воспользоваться!
| | |
| 1.49, Аноним (-), 22:59, 17/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
И ещё сотни не удалены. Когда же до народа дойдёт что если распространяются бинарники, то это гарантировано вредоносное ПО, и никакая изоляция, контейнеризация и виртуалки не спасут. Привет снапу и флатпаку.
| | |
| 1.50, metakeks (?), 05:11, 20/06/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Год ору об этом. И о том, что с версии 17.06 что-ли докер даже на селинукс плюёт откровенно. Установили бэкдоры? А знаете, так вам и надо, ибо поделом.
| | |
|
