The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в runc и LXC, затрагивающая Docker и другие системы контейнерной изоляции

11.02.2019 23:26

В runc, инструментарии для запуска изолированных контейнеров, выявлена критическая уязвимость (CVE-2019-5736), позволяющая из подконтрольного злоумышленнику изолированного контейнера изменить исполняемый файл runc и получить root-привилегии на стороне хост-системы. Уязвимость затрагивает все системы контейнерной изоляции, использующие runtime runc, включая Docker, cri-o, containerd, Kubernetes, Podman и flatpak. Также отмечается, что аналогичная уязвимость присутствует в инструментариях LXC и Apache Mesos.

Суть уязвимости в возможности запуска исполняемого файла runc в окружении контейнера, но его обработки в контексте хост-системы. Например, атакующий может заменить /bin/bash в контейнере на скрипт с заголовком "#!/proc/self/exe" или использовать подставную разделяемую библиотеку. При выполнении "docker exec" и запуске runtime-ом подменённого /bin/bash внутри контейнера будет выполнен файл /proc/self/exe, который на данной стадии ссылается на исполняемый файл runtime (runc) в хост-окружении. После этого атакующий может через модификацию /proc/self/exe внутри контейнера внести изменение в исполняемый файл runc на стороне хост-системы.

Для проведения атаки требуется, чтобы пользователь с правами root (администратор) выполнил операцию создания нового контейнера на основе подготовленного атакующим образа или подключился к существующему контейнеру (достаточно выполнения "docker exec"), к которому ранее атакующий имел доступ на запись. Проблема не блокируется профилем по умолчанию AppArmor и правилами SELinux в Fedora (процессы контейнера запускаются в контексте container_runtime_t, предоставляющем полный доступ к runtime). При этом проблема не проявляется при корректном использованием пространств имён идентификаторов пользователя (user namespaces) или при использовании режима "enforcing" SELinux в RHEL 7.

Уязвимость уже устранена в RHEL, Fedora и Ubuntu, но остаётся неисправленной в Debian и SUSE. Решающие проблему патчи подготовлены для runc и LXC. Рабочий прототип эксплоита планируют опубликовать 18 февраля.

  1. Главная ссылка к новости (https://seclists.org/oss-sec/2...)
  2. OpenNews: Оценка безопасности новой системы контейнерной изоляции Nabla
  3. OpenNews: Linux Foundation представил containerd 1.0, runtime для изолированных контейнеров
  4. OpenNews: Intel представил инструментарий Clear Containers 3.0, переписанный на языке Go
  5. OpenNews: Утверждена единая спецификация для образов и runtime изолированных контейнеров
  6. OpenNews: Доступен Oryx Linux, новый дистрибутив для встраиваемых систем
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/50130-runc
Ключевые слова: runc, container, lxc
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (77) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Аноним (3), 00:16, 12/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Давно пора понять, что выполнение чего-либо с правами root в контейнере аналогично полной компрометации всей системы. User namespace не лучше, уже на столько грабель наступили и ещё предстоит наступить.
     
     
  • 2.5, Аноним (5), 00:34, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    This attack is only possible with privileged containers since it requires root
    privilege on the host to overwrite the runC binary. Unprivileged containers
    with a non-identity ID mapping do not have the permission to write to the host
    binary and therefore are unaffected by this attack.
     
     
  • 3.8, хотел спросить (?), 01:40, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а по умолчанию контейнер какой?
     
     
  • 4.10, виндотролль (ok), 03:03, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Смотря кто запускает. Если запускает рут (или пользователь, который может писать в /usr/bin/runc), то привелегированный, otherwise — в пролете.
     
     
  • 5.21, нах (?), 09:52, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    совершенно неважно, кто его запускает, лапочка Потому что на самом деле его зап... большой текст свёрнут, показать
     
     
  • 6.34, хотел спросить (?), 11:58, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    gt оверквотинг удален Т е VPS это полноценная изоляция насколько позволяет Sp... большой текст свёрнут, показать
     
     
  • 7.35, нах (?), 12:11, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Т.е. VPS это полноценная изоляция насколько позволяет Spectre

    ну как бы побеги из этой изоляции через дырки в виртуальных или паравиртуальных драйверах тоже в общем случаются регулярно.

    Просто их никто не воспринимает как "notabug" ;-)

    > Накой черт тогда все вокруг онанируют на эти контейнеры? Они же должны сдохнуть как и Електрон.

    "а других разработчиков у меня для вас нет".
    Основное _сегодня_ использование контейнеров - это чтобы разбросанное хрюшками по полу хрючево пополам с навозом донести от их машины до прода, не заляпав все вокруг.
    И, как и электрон, оно будет жить вечно, потому что стало модно нанимать зато-дешовеньких, и девальвацию специальности уже никто и никогда назад не вернет.

     
     
  • 8.74, lurkr (ok), 13:17, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    распечатаю и повешу на стену... текст свёрнут, показать
     
  • 7.39, псевдонимус (?), 13:02, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >А Docker и другие контейнеры - это адская отложенная дыра

    да может кроме опенвз

    >Накой черт тогда все вокруг онанируют на эти контейнеры?

    Переносимост По этой же причине не сдохнет и эектрон

     
     
  • 8.48, Аноним (48), 15:31, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы где видели официально стабильный Openvz на ядра выше 2 6 32 вот вот тру... текст свёрнут, показать
     
  • 8.55, нах (?), 17:56, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    смешно, но его пилили как раз для управления ресурсами в большей степени, чем дл... текст свёрнут, показать
     
     
  • 9.57, псевдонимус (?), 19:35, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    я про это собствено и написа ... текст свёрнут, показать
     
  • 7.70, RNZ (ok), 09:40, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Накой черт тогда все вокруг онанируют на эти контейнеры?

    Потому-что быстрее, памяти жрёт меньше, управление контекстом и нагрузкой предсказуемее, т.к. работает одно ядро на всё - хост и контейнеры.

    В VPS, работает по отдельному ядру на хост и каждую VM.

     
     
  • 8.76, псевдонимус (?), 13:51, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Еси ты про процессорное ядро то ты не прав ... текст свёрнут, показать
     
     
  • 9.87, RNZ (ok), 22:51, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ещё про пушечное ядро скажи Про kernel речь - https en wikipedia org wiki Ker... текст свёрнут, показать
     
     
  • 10.88, псевдонимус (?), 22:59, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда верно И это похо ... текст свёрнут, показать
     
  • 6.38, Owlet (?), 12:49, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому что на самом деле его запускает, сюрприз, docker-daemon, и таки да - от рута. Потому что только рут и может создавать все эти прекрасные неймспейсы, монтировать слои трэша и п-ца один поверх другого и выполнять еще кучу стремных действий.

    И как тогда podman без рута работает по-твоему?

     
  • 6.61, виндотролль (ok), 21:16, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Потому что на самом деле его запускает, сюрприз, docker-daemon, и таки да - от рута. Потому что только рут и может создавать все эти прекрасные неймспейсы, монтировать слои трэша и п-ца один поверх другого и выполнять еще кучу стремных действий.
    > Как только ты дал юзеру права на docker socket - ты ему дал рута, сюрприз, сюрприз.

    100%?

    Т.е. докер не запускает pid1 контейнера в неймспейсе с маппингом <uid> 0 ? Я не знаком с докером досконально, но изоляция без user namespace имеет мало смысла, я б предположил, что они это делают.

    Кто-то из нас не понял суть уязвимости.

     
     
  • 7.71, нах (?), 11:02, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Как только ты дал юзеру права на docker socket - ты ему дал рута, сюрприз, сюрприз.
    > 100%?

    докер - программа, работающая от рута, причем с максимально широкими правами - всякие аппарморы и группы в панике разбегаются, давая уроду дорогу. А управление ей ты дал левому васяну, как только добавил его в группу имеющих право доступа к сокету, ему больше вообще ничего уже в этой жизни не надо, точнее, он сам себе все возьмет, что только захочет.

    то что в ней нашлась и еще одна мелкая дырочка - что васян может быть нелевым, но запустить по дурости левый контейнер, который нештатным образом получит доступ к все той же докер-инфраструктуре на хосте (и станет опять же рутом) - на этом фоне смешное недоразумение.

     
     
  • 8.81, виндотролль (ok), 18:52, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    да ладно Даже если в ответ демон делает fork и setuid Даже традиционной си... текст свёрнут, показать
     
     
  • 9.92, Аноним (92), 23:59, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Наверное именно потому везде пихают аппармор и селинукс ... текст свёрнут, показать
     
     
  • 10.93, виндотролль (ok), 00:51, 15/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вот поэтому и ставят Никогда не знаешь, где найдут очередную уязвимость Удален... текст свёрнут, показать
     
  • 6.62, виндотролль (ok), 21:29, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    https://docs.docker.com/engine/security/userns-remap/

    вот жеж. Немного не так, как я ожидал, но суть в том, что сообщить демону, под кем запускать контейны — можно.

    А демон хоть под кем крутись — не важно.

     
     
  • 7.66, псевдонимус (?), 23:03, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > https://docs.docker.com/engine/security/userns-remap/
    > вот жеж. Немного не так, как я ожидал, но суть в том,
    > что сообщить демону, под кем запускать контейны — можно.
    > А демон хоть под кем крутись — не важно.

    Это и ест дыра Незя дават крутится "под кем хоче" Рут в контейнере не дожен превращатся в рут на хосте


     
     
  • 8.72, нах (?), 11:05, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    контейнер для этого неособенно и нужен - достаточно дать права левому юзеру на д... текст свёрнут, показать
     
     
  • 9.75, псевдонимус (?), 13:31, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вот и именно Настоящий хостовый рут дожен быт доступен токо админу хоста В ... текст свёрнут, показать
     
     
  • 10.82, виндотролль (ok), 18:54, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    вот это вы упрямые Рут в контейнере не обязательно равне руту в хосте И если э... текст свёрнут, показать
     
  • 3.15, Аноним (3), 07:50, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Unprivileged containers with a non-identity ID mapping

    Читайте про user namespace я упомянул. Безопасность при user namespace не лучше чем просто root внутри из-за специфичных для него проблем, которые  регулярно продолжают находить.

     
     
  • 4.22, нах (?), 09:56, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Безопасность при user namespace не лучше чем просто root

    все таки лучше - в частности, вот от этой конкретной беды уберегло бы.
    то что реализация хромает на все восемь конечностей - и еще будет лет десять, а потом ее выкинут как немодную устаревшую технологию, это отдельная тема.

     
  • 4.23, Аноним (23), 09:58, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    "При этом проблема не проявляется при корректном использованием пространств имён идентификаторов пользователя (user namespaces)"
     
     
  • 5.37, Аноним (37), 12:48, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Которые в докере, например, не заюзать нормально из-за кучи ограничений (например, невозможность использования volume-ов)
     
     
  • 6.54, нах (?), 17:52, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Которые в докере, например, не заюзать нормально из-за кучи ограничений (например, невозможность
    > использования volume-ов)

    а как же "volumes - прошлый век, тру девляпс использует ансибль, всегда модифицируя содержимое контейнера изнутри"?!

    мне что, не ту методичку подложили?


     
  • 6.63, виндотролль (ok), 21:31, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Можно пример, когда это надо?
     

  • 1.4, erthink (ok), 00:25, 12/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Красиво!
     
  • 1.6, 4eburashk (?), 00:42, 12/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ай молодца! Сколько всего сразу повалилось.
    Вот это понимаю unix-way. Еще бы хромы и системд туда же.
     
     
  • 2.7, Аноним (7), 01:12, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +11 +/
    After some discussion with the systemd-nspawn folks, it appears that
    they aren't vulnerable (because their method of attaching to a container
    uses a different method to LXC and runc).

    Наконец-то особый путь Лёни оказался полезен.

     
     
  • 3.11, Gannet (ok), 03:20, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Wow, первый положительный коммент относительно systemd. Сам пользую systemd-контейнеры. Пока не жалею. Щас набежит толпа хейтеров...
     
     
  • 4.13, Аноним (13), 07:21, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Щас набежит толпа хейтеров...

    Но ведь nspawn - это гораздо удобнее того же LXC.

     
     
  • 5.14, GentooBoy (ok), 07:40, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А микроскоп лучше молотка, ну кто бы спорил. Выключите свет они на свет лезут.
     
  • 2.9, Аноним (9), 02:20, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Еще бы хромы и системд туда же

    из системд к сожалению никто не хочет код копипастить к себе в инит.

     
  • 2.12, Аноним (12), 03:39, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Что у вас повалилось? Какой вменяемый сидит под рутом
     
     
  • 3.16, Онаним (?), 09:29, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Каждый второй хипста с докерком, угу.
     
     
  • 4.19, нах (?), 09:43, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    каждый первый, поскольку далеко не все можно запустить с -u, и даже то что в принципе можно - не оправдывает траходрома
     

  • 1.17, Онаним (?), 09:31, 12/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Вообще контейнеры - это адовый костыль. Был таковым, есть, и будет есть.
     
     
  • 2.28, Аноним (28), 11:35, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это не костыль. Это попытка забивать гвозди микроскопом, а точнее использовать молоток для микробиологии. Контейнеры - отличный способ разделения ресурсов для доверенных приложений, но почему-то на каком то этапе применения контейнеров какой-то умственно-отсталый решил что они безопасные и должны изолировать и что факт получения рута в контейнере не эквивалентен компроментации всей системы. Оттуда всё и пошло.
     
     
  • 3.33, нах (?), 11:54, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    разделение ресурсов для доверенных приложений неплохо обеспечивает операционная система. ну, во всяком случае, юниксподобная.

    Контейнеры изначально задумывались именно как слои дополнительной изоляции. (точнее, линуксные их реализации накрутили вокруг эклектичной свалки таких средств в ядре, не имеющей нормальных интерфейсов для пользователя)

    В настоящее время массово используются вовсе не для этого, а для деплоя в обход dependency hell и компенсации кривизны средств разработки с их привычками "вали все в home", поэтому смешно ожидать что что-то другое у них будет получаться хорошо.


     
     
  • 4.43, Клыкастый (ok), 14:06, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > В настоящее время массово используются вовсе не для этого, а для деплоя в обход dependency hell и компенсации кривизны средств разработки с их привычками "вали все в home", поэтому смешно ожидать что что-то другое у них будет получаться хорошо.

    Хорошо изложил.

     
  • 3.40, псевдонимус (?), 13:15, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вооот Их создаваи дя руёжки ресурсами а не дя безопасности в отичие от тех же бсдовых кеток
     

  • 1.20, via (??), 09:45, 12/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    На Убунте lxc запрягают через lxd, и, типа, пофик на эту дыру. Не? У меня runc в 18.04 вообще не установлен.
     
     
  • 2.25, нах (?), 10:04, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > На Убунте lxc запрягают через lxd, и, типа, пофик на эту дыру. Не?

    тебе - пофиг, никому твоя васян-локалхостовая поделка не нужна

    А дыра в lxc точно такая же как и в докере - причем авторы гордо заявляют что "поскольку мы давно написали на туалетной бумажке, что рутовые контейнеры небезопасТные, объявлять это уязвимостью мы не будем!" Правда, хотя бы соломки подложили, не "notabug".

     
     
  • 3.26, via (??), 11:18, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    дыра то в runc?
     
     
  • 4.29, нах (?), 11:43, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    нет, в liblxc точно такая же.
     
     
  • 5.41, via (??), 13:16, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-5736.html

    Задевает пакеты docker.io и runc.  
    lxd апдейтов не требует.

     
     
  • 6.53, нах (?), 17:50, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-5736.html

    ну конечно, кто ж у нас эксперты чье мнение по всем вопросам самое главное - пипл с каноникал орг.

    > Задевает пакеты docker.io и runc.
    > lxd апдейтов не требует.

    notabug...простите, does not requires cve.

    Я так понимаю, пройти по ссылке из самой новости и прочитать непосредственно мнение разработчиков lxc (с прилагаемым патчем) ты и по сей момент ниасилил?


     
  • 3.27, Аноним (28), 11:28, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >"поскольку мы давно написали на туалетной бумажке, что рутовые контейнеры небезопасТные, объявлять это уязвимостью мы не будем!"

    Но ведь они абсолютно правы. Контейнеры - это способ разделения ресурсов а не способ изоляции недоверенных приложений, следовательно это баг но не уязвимость.

     
     
  • 4.30, нах (?), 11:48, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    s for security, да.

    Правда, как раз lxc-то принципиально позиционировалась как lightweight-замена vm, от которой в общем принято ждать нормальной изоляции, а не плохого разделения ресурсов. Впрочем, беда всех оберток одна и та же - они все не считают своей проблемой проблему пользователя.

    "мы вам наслесарили поддержку user namespaces, остальные претензии к ядру, мопед не наш". А вот бсшдшники попали, у них jail традиционно часть системы, а не утилита где-то в sbin, не получается валить все на "эти там в ядре что-то недоделали, но наша утилита тут непричем". ;-)


     
     
  • 5.42, Аноним (-), 13:58, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А вот бсшдшники попали, у них jail традиционно часть системы, а не утилита где-то в sbin, не получается валить все на "эти там в ядре что-то недоделали, но наша утилита тут непричем". ;-)

    И почему тогда бсдами уже никто не пользуется, если они настолько лучше и продуманее?

     
     
  • 6.44, Клыкастый (ok), 14:07, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ровно по той же причине, по которой линукса нет на десктопах.
     
     
  • 7.45, Аноним (-), 14:26, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ровно по той же причине, по которой линукса нет на десктопах.

    Это учитывая, что классический десктоп стремительно вымирает, а на планшетах, хромбухах, телефонах, в телезвизорах совсем не бзды?
    Просто бсдшники любят рассказывать об академической правильности и крутости своих подходов, скромно умалчивая, что даже сами ими в реальности нигде кроме виртуалки не пользуются.


     
     
  • 8.46, Клыкастый (ok), 15:02, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Был вопрос и я ответил К чему эти пространные оправдания с переводом темы и стр... текст свёрнут, показать
     
  • 8.69, псевдонимус (?), 07:13, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Панеты и хромыебуки не взетеи продавеное в американские коы не в счёт ... текст свёрнут, показать
     
     
  • 9.80, анонн (?), 18:39, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Авторитетное мнение не имеюего даже заваявсейся вненей кавы ии магазина по бизос... текст свёрнут, показать
     
  • 6.47, нах (?), 15:29, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И почему тогда бсдами уже никто не пользуется

    дык вон там выше изложение, для чего на самом деле нужны нынче контейнеры.

    Этого в бсде нет и не будет никогда - патамушта-у-разработчика-линукс. В смысле, он вообще ничего другого кроме своей бубунточки не умеет, и до прода ее донести не рассыпав можно только завернув в контейнер (leak and radiation proof).

    А так - пользуются, те кому на самом деле юникс нужен, а не платформа для докера. И jail там именно как средство изоляции - тоже вполне пользуем, вот, к примеру, так:
    syslogd_program="/usr/sbin/jail"
    syslogd_flags="-l -n syslog -s 2 / $hostname $EXT_IP /usr/sbin/syslogd"
    то есть вообще ничего не трогая в штатной системной обвязке - стремную (в режиме без -ss ) зверушку отправили в отдельную помойку подальше от остальных.
    Ей там совершенно не плохеет (она не получает pid1, со всеми его обязанностями, она не отрезана от общей fs, ей нормально передает сигналы ротейтилка и т д) но если ее поломают - предстоит еще интересный квест по вылезанию из пространства, где нет ни одного постороннего процесса, сеть ограничена и доступ к сокетам остального сервера - на общих основаниях, а не как у локального процесса и т д.

    Нет, хочешь отдельную иерархию в fs или вовсе эмуляцию виртуалки с полноценным исполнением /etc/rc, собственным ssh внутри и т д - пожалуйста, но, как видим, можно и без.

    Проблема в другом - а кому он нужен сегодня, этот юникс? Нужно ж как-в-винде, только бесплатно.
    Исключения, конечно, есть, но их слишком мало, чтобы привлечь нормальных разработчиков, да еще способных одолеть барьер на входе.

    P.S. осторожно, в примере использован запрещенный синтаксис времен 4.x и еще он, скорее всего, подерется с protect. Новые-модные тенденции, они и тут норовят все испортить.

     
     
  • 7.67, Gannet (ok), 04:14, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вот ты срёшь на убунточку, а сам кагбе мимоходом умолчал что сам пользуешь. Давай и мы посрём на твой дистр, чё, слабо, умник?
     
     
  • 8.73, нах (?), 11:16, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    как прибили, так и держится В смысле - чего клиент требует, из того куличик и... текст свёрнут, показать
     
     
  • 9.90, Gannet (ok), 22:42, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У кого что болит Сочувствую тебе ... текст свёрнут, показать
     
  • 9.91, Gannet (ok), 22:44, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Потом сознания ... текст свёрнут, показать
     
  • 8.78, псевдонимус (?), 14:20, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я фряху испозую на роутере-файопомойке Нагад на неё Токо без аргументов вроде ... текст свёрнут, показать
     
  • 5.51, SysA (?), 17:17, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Вообще-то контейнеры никогда не позиционировались как ВМы!
    Только админам локалхоста не видна разница.
     
     
  • 6.52, анонн (?), 17:41, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Вообще-то контейнеры никогда не позиционировались как ВМы!

    Угу, а системда никогда не позиционировалась как "быстрый инит", помним-помним!

    https://web.archive.org/web/20110924020630/http://lxc.sourceforge.net/
    > The LXC package combines these Linux kernel mechanisms to provide a userspace container object, a  lightweight virtual system with full resource isolation and resource control for an application or a system.
    > LXC started out with an efficient mechanism (existing Linux process management) and added isolation, resulting in a system virtualization mechanism as scalable and portable as chroot, capable of simultaneously supporting thousands of emulated systems on a single server while also providing lightweight virtualization options to routers and smart phones.

    https://linuxcontainers.org/
    > That is, containers which offer an environment as close as possible as the one you'd get from a VM but without the overhead that comes with running a separate kernel and simulating all the hardware.

     
     
  • 7.77, SysA (?), 13:52, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Для тех, кто в танке:

    > That is, containers which offer an environment as close as possible as the one you'd get from a VM but without the overhead that comes with running a separate kernel and simulating all the hardware.

    Здесь имеется ввиду ФУНКЦИОНАЛЬНОСТЬ, а не защита!

     
     
  • 8.79, анонн (?), 18:28, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Для тех, кто мерзнет вне танка это современная формулировка А что там с так ... текст свёрнут, показать
     
  • 7.68, Gannet (ok), 04:16, 13/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Вообще-то контейнеры никогда не позиционировались как ВМы!
    > Именно так и позиционироваис И старые п-уны да админы окахостов пытаис донести
    > мыс что это не совсем так Но кто учитыва мнение этих
    > дурачков?

    У тебя пальцы перебиты что-ли?

     
  • 3.64, Аноним84701 (ok), 22:35, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    #60 > Именно так и позиционироваис И старые п-уны да админы окахостов пытаис донести мыс что это не совсем так Но кто учитыва мнение этих дурачков?
    > Не Сама реаизация инукс-контейнеров и всего производного от них уязвима Даже системдаун-контейнеры(которые тот же lхц)

    Похоже, оно еще и портит буквы 'л' и 'ъ', как и знаки препинания o_O …


     
     
  • 4.65, псевдонимус (?), 22:47, 12/02/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Просто я заи каву томатным соком Про постоянные дырки в lинукс-контейнерах будет что-нибуд? Норманые опенвз у вас быи тут говорят что они похие и вообще рип Но где же норманые?
     

  • 1.36, Аноним (36), 12:38, 12/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я вообще с контейнерами познакомился, когда надо было чью-то кривую поделку на nodejs, с кучей варнингов при компиляции, собиравшуюся только gcc 4.9 на Ubuntu с определенной версией boost перетащить на другую машину.
    Очень жаль, что уязвимость нашли, на машине, куда перенес, один хрен никто докер обновлять не будет, ибо работает и хрен с ним ©
     
     
  • 2.89, leonid (??), 01:23, 14/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > чью-то кривую поделку на nodejs, с кучей варнингов при компиляции, собиравшуюся только gcc 4.9 на Ubuntu с определенной версией boost перетащить на другую машину

    аминь, брат

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру