abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 14:15 | Komunita

Daniel Stenberg, autor nástroje curl, na svém blogu oznámil, že obdržel letošní Polhemovu cenu, kterou uděluje Švédská inženýrská asociace za „technologickou inovaci nebo důvtipné řešení technického problému“.

marbu | Komentářů: 1
dnes 13:40 | Pozvánky

Cílem Social Good Hackathonu, který se uskuteční 21. a 22. října v Brně, je vymyslet a zrealizovat projekty, které pomůžou zlepšit svět kolem nás. Je to unikátní příležitost, jak představit nejrůznější sociální projekty a zrealizovat je, propojit aktivní lidi, zástupce a zástupkyně nevládních organizací a lidi z prostředí IT a designu. Hackathon pořádá brněnská neziskovka Nesehnutí.

… více »
Barbora | Komentářů: 1
dnes 00:44 | Pozvánky

V sobotu 21. října 2017 se na půdě Elektrotechnické fakulty ČVUT v Praze uskuteční RT-Summit – setkání vývojářů linuxového jádra a uživatelů jeho real-time verze označované jako preempt-rt.

… více »
Pavel Píša | Komentářů: 6
včera 23:44 | Bezpečnostní upozornění

V Linuxu byla nalezena bezpečnostní chyba CVE-2017-15265 zneužitelná k lokální eskalaci práv. Jedná se o chybu v části ALSA (Advanced Linux Sound Architecture).

Ladislav Hagara | Komentářů: 1
včera 22:44 | Komunita

Greg Kroah-Hartman informuje na svém blogu, že do zdrojových kódu linuxového jádra bylo přidáno (commit) prohlášení Linux Kernel Enforcement Statement. Zdrojové kódy Linuxu jsou k dispozici pod licencí GPL-2.0. Prohlášení přidává ustanovení z GPL-3.0. Cílem je chránit Linux před patentovými trolly, viz například problém s bývalým vedoucím týmu Netfilter Patrickem McHardym. Více v často kladených otázkách (FAQ).

Ladislav Hagara | Komentářů: 4
včera 22:04 | Pozvánky

Rádi bychom vás pozvali na přednášku o frameworku Avocado. Jedná se o testovací framework další generace, inspirovaný Autotestem a moderními vývojovými nástroji, jako je třeba git. Přednáška se bude konat 23. října od 17 hodin na FEL ČVUT (Karlovo náměstí, budova E, auditorium K9 – KN:E 301). Více informací na Facebooku.

… více »
mjedlick | Komentářů: 0
včera 21:44 | Bezpečnostní upozornění

Nový útok na WPA2 se nazývá KRACK a postihuje prakticky všechna Wi-Fi zařízení / operační systémy. Využívá manipulace s úvodním handshake. Chyba by měla být softwarově opravitelná, je nutné nainstalovat záplaty operačních systémů a aktualizovat firmware zařízení (až budou). Mezitím je doporučeno používat HTTPS a VPN jako další stupeň ochrany.

Václav HFechs Švirga | Komentářů: 3
15.10. 00:11 | Zajímavý projekt

Server Hackaday představuje projekt RainMan 2.0, aneb jak naučit Raspberry Pi 3 s kamerovým modulem pomocí Pythonu a knihovny pro rozpoznávání obrazu OpenCV hrát karetní hru Blackjack. Ukázka rozpoznávání karet na YouTube. Zdrojové kódy jsou k dispozici na GitHubu.

Ladislav Hagara | Komentářů: 0
14.10. 15:11 | IT novinky

Online obchod s počítačovými hrami a elektronickými knihami Humble Bundle byl koupen společností IGN. Dle oficiálních prohlášení by měl Humble Bundle dále fungovat stejně jako dosud.

Ladislav Hagara | Komentářů: 8
14.10. 06:00 | Zajímavý článek

Brendan Gregg již v roce 2008 upozornil (YouTube), že na pevné disky se nemá křičet, že jim to nedělá dobře. Plotny disku se mohou rozkmitat a tím se mohou prodloužit časy odezvy pevného disku. V září letošního roku proběhla v Buenos Aires konference věnovaná počítačové bezpečnosti ekoparty. Alfredo Ortega zde demonstroval (YouTube, pdf), že díky tomu lze pevný disk použít také jako nekvalitní mikrofon. Stačí přesně měřit časy odezvy

… více »
Ladislav Hagara | Komentářů: 8
Těžíte nějakou kryptoměnu?
 (6%)
 (2%)
 (15%)
 (76%)
Celkem 719 hlasů
 Komentářů: 24, poslední 27.9. 08:30
    Rozcestník
    Zelený chameleon

    Různé drobnosti a užitečnosti na které narazím nebo sám vytvořím. Primárně se zaměřuji na věci, které mohou být zajímavé a užitečné pro ostatní uživatele GNU/Linuxu či typografického systému TeX, občas se tu ale určitě vyskytne i něco z úplně jiného soudku, např. z oblasti bezpečnosti apod.

    Aktuální zápisy

    Bezpečnost Dockeru – to se všichni zbláznili?

    7.2.2016 23:12 | Přečteno: 3590× | Bezpečnost | Výběrový blog | poslední úprava: 8.2.2016 00:28

    Poslední tři dny probíhala v Brně konference DevConf 2016, a byla to obrovsky povedená akce s velmi našlápnutým programem. Rozsah programu v pouhých třech dnech vlastně považuji za jedinou nevýhodu akce – člověk by potřeboval být na třech místech současně, aby shlédl všechno, co chtěl. :-) Ještě že existuje záznam skoro celého programu, tak se to dá doposlechnout dodatečně. Extrémně populárním tématem na konferenci byl Docker (což dále úzce souvisí i s OpenShift apod.), a byla to i jedna z hlavních věcí, kvůli které jsem tam šel. Z prvotního obrovského nadšení jsem ale nyní ve fázi deprese: buď něco přehlížím (a budu moc rád, pokud to tak je a v diskusi pod zápiskem mi to vysvětlíte), nebo se všichni totálně zbláznili a bezpečnost typického uživatele Dockeru/OpenShiftu je na úrovni BFU, který nadšeně a bez nejmenšího zamyšlení a zaváhání spustí každý .EXE a .COM soubor, který mu přijde e-mailem.

    Fáze 1.: Nadšení

    DovConf 2016 jsem absolvoval od začátku do konce a vážně si to užil. Když skončil první den, tak jsem Docker miloval (mám zrovna teď jednu věc, na kterou je použití Dockeru jako dělané). Člověk nainstaluje z balíčku své linuxové distribuce Docker, přidá svůj účet to systémové skupiny docker, provede

    $ docker pull debian:wheezy
    wheezy: Pulling from library/debian
    
    cba48ac2c991: Pull complete 
    e9e824eeee9d: Pull complete 
    Digest: sha256:6ec0cac04bb4934af0e9bf959ae6ccb55fb70d6a47a8aed9b30dd0ed7a03bcbe
    Status: Downloaded newer image for debian:wheezy
    $ docker run -it --name wheezy-container-test debian:wheezy bash
    root@ccf083847f49:/#
    
    a voilà, během okamžiku mám Bash běžící uvnitř Debianu 7, kde si můžu např. otestovat svou aplikaci na Debianu, i když právě používám openSUSE. Řekněte Wow! A obdobně snadno můžu vyrobit i okamžitě použitelný předkonfigurovaný samoobsažný balíček s aplikací samotnou – žádné řešení závislostí a složitá instalace a shánění software a knihoven, které nejsou v repositářích distribuce na cílovém stroji – tam jen spustím lehký kontejner z předkonfigurovaného obrazu, kde jsou všechny potřebné knihovny a soubory přibalené.

    Fáze 2.: Vystřízlivění

    Už druhý den ráno mne z toho ale začala trošku bolet hlava, když jsem začal přemýšlet a zjišťovat, kde vlastně vzít důvěryhodný základní obraz, na kterém svůj Docker image postavit. Docker hub (tedy místo, odkud docker pull implicitně stahuje data, pokud se mu neřekne jinak) sice obsahuje i takzvané oficiální repositáře, např. pro Debian (který mne nyní zajímá primárně, a začal jsem tedy pátrání u něj), ale když se podíváte na wiki Debinanu, tak zjistíte, že je to vlastně spíše semi-oficiální repositář a není moc důvod tam publikovaným obrazům věřit, vlastně spíše naopak. :-/

    No, moc na důvěře mi to nedodalo, ale OK, zrovna u Debianu by mělo snad jít relativně lehce vyrobit si svůj Docker image na zelené louce pomocí debootstrap, který není problém spustit i na jiné linuxové distribuci než na Debianu samotném. Jen si člověk bude asi muset dodat vlastní klíčenku s veřejnými klíči (jejichž pravosti si nějak ověří), kterými jsou podepisované balíčky v Debian repositářích. A např. RPM distribuce Fedora zase poskytuje základní tar archiv s minimálním „cloudovým“ systémem, který se dá použít pro ubalení iniciálního Docker obrazu, přímo na svém webu včetně GPG podpisů.

    Fáze 3.: Hluboká deprese

    No jo, ale na celém DevConfu všichni vesele používali jako základ pro hrátky s Dockerem obrazy z Docker Hubu. Co se pamatuji, tak jen v jedné prezentaci se objevil odkaz na vlastní RedHat repositář Docker obrazů. A když jsem se zeptal, kde vzít důvěryhodný základní obraz, tak odpověď byla zhruba: „No, to je otázka za milion. Předpřipravené obrazy z Docker Hub na nic moc důležitého nepoužívejte. Případně si ubalte vlastní.“

    A když si k tomu přidám poznámku jednoho člověka z RedHat (jméno ze mne nedostanete, ani když byste chtěli, protože ho sám nevím ;-)) ze sobotní konferenční párty v tom smyslu, že nerozumí hypu kolem Dockeru, což je jen chroot na steroidech, a Docker v současné podobě tady stejně příliš dlouho nebude, protože za ním stojí šílení lidé, se kterými se nedá rozumně domluvit, myslí si, že budují vlastní operační systém a jsou ochotni zahodit šest patchů jen proto, že přišly z RedHat, tak to ve mne důvěru v Docker opět nezvýšilo.

    V jiné přednášce zase zaznělo, že na OpenShiftu ve výchozí podobě nepovolují běh privilegovaných kontejnerů, protože dle nějakého průzkumu cca 40 % (doufám, že si to číslo pamatuji správně) obrazů z těch oficiálních repositářů na Docker Hubu má bezpečností díry. Jinde si zase stěžovali, že spousta předpřipravených obrazů nesmyslně vyžaduje běh v privilegovaném kontejneru. A o chvíli později se na jednom workshopu dozvídám, jak je to veselé, ha, ha, že celý OpenShift cloud stojí a padá s připojením k síti, protože když tam tuhle naši ukázkovou aplikaci teď nasadíme, tak se musí dotáhnout závislosti. Jaké a odkud – bázové obrazy použitého kontejneru, tj. cosi z Docker Hubu? :-/

    OK, tohle bych snad celé překousl – prostě si člověk musí ubalit i výchozí kontejner sám a nevěřit ničemu předpřipravenému. Dobrá, když si vyrobím svůj image, kterému sám věřím, můžu si ho nějak podepsat (třeba pomocí GPG jako balíčky v repositářích linuxových distribucí), abych ho mohl uploadnout na svůj účet na Docker Hub a na cílovém stroji snadno stáhnout přes docker pull a pak jen ověřit, že můj podpis sedí? No vypadá to, že tak jednoduché to nebude. Docker sice (až relativně nedávno! Jak je sakra možné, že něco takového tam nebylo od úplného začátku?) zavedl nějaké bezpečnostní mechanismy, ale celé mi to přijde nějaké podivné, psané horkou jehlou a amatérské (třeba ale jen něco přehlížím, věnoval jsem tomu jen pár minut):

    Závěr

    Jak jsem byl z celé kontejnerové virtualizace pod Linuxem a Dockeru nadšený, tak teď mám skoro strach instalovat Docker mimo testovací virtuální stroj, protože čert ví, jak dobře napsaný a odladěný je ten systémový démon, a co všechno umožňují výchozí bezpečnostní politiky a takové veselé přepínače jako --privileged.

    Co si o Dockeru myslíte a jaké s ním máte zkušenosti?

           

    Hodnocení: 92 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    xkucf03 avatar 7.2.2016 23:39 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?

    +1 Naprosto sdílím tvoje obavy a pochybnosti.

    Osobně jdu radši „klasičtější“ cestou: debootstrap + LXC (libvirt) + Btrfs. Případně KVM + LVM. A k tomu oficiální obrazy stažené z důvěryhodných zdrojů.

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    Cohen avatar 7.2.2016 23:55 Cohen | skóre: 21 | blog: Drobnosti | Brno
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Nějaký podrobnější popis by byl? Docela by mne to zajímalo?
    OpenPGP key fingerprint: 489C 5EC8 0FD6 2BE8 9E59 B4F7 19C1 3E8C E0F5 DB61 (https://www.fi.muni.cz/~xruzick7/pgp-klic/)
    xkucf03 avatar 8.2.2016 00:23 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?

    Čeho? Používám víceméně standardní postupy + si občas na Internetu vyhledám řešení nějakého problému.

    Přes debootstrap jsem si vytvořil základní obraz do Btrfs pododdílu, tenhle základ naklonoval a šablonu lehce upravil (přidal svoje SSH klíče rootovi, nainstaloval nějaké balíčky, nastavil síť…). A pak mám na pár řádek skript v Bashi, který tu šablonu naklonuje (btrfs subvolume snapshot) a vytvoří v LXC virtuálku (nebo chceš-li: kontejner) a spustí. Skvělé na tom mj. je to, že jsou to všechno jen soubory, ne nějaká bloková zařízení, která by bylo potřeba připojovat – takže z hostitelského počítače můžeš procházet souborové systémy (i běžících) virtuálů a pracovat s jejich soubory, aniž bys musel používat nějaké speciální API nebo se přes SSH přihlašovat dovnitř virtuálu.

    S KVM je to podobné, i když tam moc neklonuji obrazy, ale dělám normální instalaci, protože obvykle chci pokaždé trochu něco jiného (rozdělení disků, hraní si s různými distribucemi atd.), ale klonovat/kopírovat LVM oddíly se šablonou by tam šlo taky. Co virtuálka, to LVM oddíl. Stejně jako u LXC k tomu přistupuji přes libvirt (virsh na příkazové řádce a virt-manager v GUI), takže si člověk snadno naskriptuje, co potřebuje.

    Následné využití je už dost individuální – např. můžeš po kompilaci vyvíjeného programu vytvořit virtuálku, nainstalovat do ní program, pustit testy a virtuálku zase smazat. V případě LXC jsou to řádově vteřiny nebo i méně. V případě KVM to je o něco málo pomalejší, ale zase máš plnou virtualizaci a prostředí lépe odpovídá reálnému hardwaru, kde se aplikace bude provozovat.

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    Cohen avatar 8.2.2016 00:32 Cohen | skóre: 21 | blog: Drobnosti | Brno
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Čeho?

    Toho kroku vytvoření LXC kontejneru ze souborů na disku.

    OpenPGP key fingerprint: 489C 5EC8 0FD6 2BE8 9E59 B4F7 19C1 3E8C E0F5 DB61 (https://www.fi.muni.cz/~xruzick7/pgp-klic/)
    xkucf03 avatar 8.2.2016 00:49 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?

    Buď si přečteš dokumentaci :-) nebo si první kontejner naklikáš ve virt-manageru, vyexportuješ si jeho XML (virsh dumpxml) a ten pak používáš jako šablonu pro další kontejery – má to pár řádek, stačí tam měnit jméno, UUID, MAC adresu a cestu k root adresáři (ten Btrfs pododdíl). Nový kontejner/virtuál vytvoříš pomocí virsh define.

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    9.2.2016 12:47 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Kontejner neni nic vic, nez unpacknuty rootfs jako adresar na filesystemu. Ve vpsFree buildime templaty napr. touhle sadou shell skriptu.
    --- vpsFree.cz --- Virtuální servery svobodně
    pavlix avatar 9.2.2016 12:57 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Akorát standardní rootfs určený pro bootování často v kontejneru nechce fungovat.
    7.2.2016 23:49 kyytaM | skóre: 35 | blog: kyytaM | Bratislava
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    nahypovana sracka, hypovana hlavne ludmi, ktori o OS, pocitacoch a nejake zakladnej bezpecnostni nemaju ani ponatia...
    8.2.2016 00:23 Atrament
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    jsou ochotni zahodit šest pachů jen proto, že přišly z RedHat
    Ale pár vteřin mi trvalo, než mi došlo co že to vlastně zahazují :))
    8.2.2016 08:59 rastos | skóre: 60 | blog: rastos
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Včera som sa po prestávke znova vrátil k hraniu s dockerom. Používam Slackware a pre ten neexistujú oficiálne balíky. Človek môže zobrať napr. RPM balík pre nejaké iné distro a nainštalovať z neho. Tak som siahol tuším po balíku pre Fedoru, nainštaloval, ale zistil, že docker potrebuje systemd (presnejšie libsystemd.so). Ten nemám rád, tak som sa chvíľu obzeral a našiel som staršiu verziu dockeru, ktorá tú knižnicu ešte nepotrebovala. Nainštaloval, chodilo. Lenže prečo bežať staršiu verziu. Mám docker, tak si v kontajneri skompilujem aktuálnu, nie? Keď to skrátim, tak to trvalo pol hodinu, na disku to zabralo cez 2GB miesta, vytvorilo to ďalšie docker image, vytvorilo ďalšie kontajnery, niektoré spustené s "--privileged" a nakoniec z toho vypadla binárka, ktorá bola vytvorená mimo kontajneru a bola staticky zlinkovaná. Teda bez závislosti na libsystemd.so. A vyzerá že funguje. Ale vôbec sa to nepodobá na tú binárku, čo som zobral z toho RPM balíka pretože tá je linkovaná dynamicky.

    Vytvorenie image-u mi nepripadá také kritické. Ako si napísal, pre Debian to rieši debootstrap, pre Fedoru si riešenie tiež našiel a pre môj Slackware to rieši "installpkg --root DIR". Snáď to to nie je pre iné distribúcie až tak odlišné.

    Na druhej strane som sa stránkou overovania bezpečnosti príliš nezaoberal. Z toho, čím som sa doteraz zaoberal, mi pripadá veľmi zlý systém toho odkiaľ docker vôbec získať a ako si ho skompilovať sám. Spôsob inštalácie taký, že z nejakej stránky na nete stiahnem shell skript a rovno ho pipe-nem do bash - to mi nevonia. Závisloť na go mi tiež nevonia. A potrebovať nainštalovať 1,5 ďalšieho operačného systému len preto, aby som zbuildoval jednu binárku - to je na hlavu postavené.
    Bedňa avatar 8.2.2016 20:19 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Systemd a Docker ako celok je vízia pre RedHat do budúcnosti, no možno to nakoniec nebude Docker ani systemd.
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    Petr Tomášek avatar 8.2.2016 09:08 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    skrytý komentář Náš administrátor shledal tento komentář závadným.

    Vulgarity.

    Zobrazit komentář
    Petr Tomášek avatar 8.2.2016 09:14 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Tak celý slavný flattr putuje na DNS blacklist a maj po ptákách, debilové...
    Petr Tomášek avatar 8.2.2016 09:27 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Jasně, když člověk napíše pár hvězdiček, tak je to hned závadné a vulgární. Ale když někdo přes svůj blog nechává špehovat čtenáře, tak to vulgární a sprosté není, žejo...
    Cohen avatar 8.2.2016 10:17 Cohen | skóre: 21 | blog: Drobnosti | Brno
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?

    Ono šlo spíš o tu formu než obsah.

    Proč je mi Flattr sympatický jsem psal dříve. Bohužel se neujal, i když zájem o mikrotransakce by IMHO stále byl. :-/

    Tlačítko jsem teď dal pryč, protože už jsem stejně před mnoha a mnoha měsíci ve svém Flattr účtu neodsouhlasil změnu jejich obchodních podmínek (a tudíž je asi nyní neaktivní), protože se Flattr nijak zvlášť neujal a neplánoval jsem ho tedy dále používat.

    OpenPGP key fingerprint: 489C 5EC8 0FD6 2BE8 9E59 B4F7 19C1 3E8C E0F5 DB61 (https://www.fi.muni.cz/~xruzick7/pgp-klic/)
    Petr Tomášek avatar 8.2.2016 11:13 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?

    Ono šlo spíš o tu formu než obsah.

    Forma byla naprosto adekvátní obsahu.

    Proč je mi Flattr sympatický jsem psal dříve. Bohužel se neujal, i když zájem o mikrotransakce by IMHO stále byl. :-/

    Flattr ať ti je klidně tisíckrát sympatický, ale proč kua musí při každém načtení tvého blogu jít požadavek na https://api.flattr.com/, chápeš? Pokud by sis uložil ten obrázek na abclinuxu / resp. někam na vlastní stránku a nechal ho stahovat odtam, tak neřeknu ani ň. Člověk by si myslel, že alespoň tady na abclinuxu tohle šílený špahování nebude, protože lidi narozdíl od BFU vědí, jak big-data fungují...

    Tlačítko jsem teď dal pryč, protože už jsem stejně před mnoha a mnoha měsíci ve svém Flattr účtu neodsouhlasil změnu jejich obchodních podmínek (a tudíž je asi nyní neaktivní), protože se Flattr nijak zvlášť neujal a neplánoval jsem ho tedy dále používat.

    V tom případě si tě zase odblokovávám. Ale jak píšu, samotný tlačítko mi nevadí, vadí, když se pokaždý načítá z Flattru...

    Petr Tomášek avatar 8.2.2016 11:16 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    xkucf03 avatar 8.2.2016 22:02 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Flattr ať ti je klidně tisíckrát sympatický, ale proč kua musí při každém načtení tvého blogu jít požadavek na https://api.flattr.com/, chápeš?

    Tohle taky nemám rád. Tehdy jsem to řešil tak, že jsem nakopíroval jejich ikonu k sobě a nevkládal žádný JavaScript (ano, byl to jen obrázek s odkazem, ne aktivní tlačítko, které by ukazovalo počet kliknutí).

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    8.2.2016 09:41 mimi.vx | skóre: 37 | blog: Mimi.VX | Praha
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?

    +1 , docker je pekna vec na vyvoj ... ale jinak.

     

    presne sedi toto https://twitter.com/thegrugq/status/601974834138984448

    USE="-gnome -kde";turris
    Cohen avatar 8.2.2016 10:20 Cohen | skóre: 21 | blog: Drobnosti | Brno
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?

    To mi připomíná, jak někdo na jiné přednášce říkal zhruba toto: Když se na jedné konferenci přednášející ptal, kolik vývojářů používá Docker, tak šlo nahoru 90% rukou. Když pak chtěl vědět, kolik z těch lidí to používá na produkci, tak z nich šlo 90% zase dolů.

    OpenPGP key fingerprint: 489C 5EC8 0FD6 2BE8 9E59 B4F7 19C1 3E8C E0F5 DB61 (https://www.fi.muni.cz/~xruzick7/pgp-klic/)
    9.2.2016 00:46 pc2005 | skóre: 34 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Jak moc přesně tohle sedí?
    Chuck Norris řekl babičce, že si dá jen 3 knedlíky. A dostal 3 knedlíky. | 帮帮我,我被锁在中国房
    8.2.2016 11:01 Yarda
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    nebo se všichni totálně zbláznili a bezpečnost typického uživatele Dockeru/OpenShiftu je na úrovni BFU, který nadšeně a bez nejmenšího zamyšlení a zaváhání spustí každý .EXE a .COM soubor, který mu přijde e-mailem.

    To je naprosto přesné zhodnocení situace. A co teprve bezpečnostní aktualizace, když už člověk nějaký ten důvěryhodný image sežene.
    cezz avatar 8.2.2016 11:11 cezz | skóre: 24 | blog: dm6 | Žilina
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Ja osobne pouzivam Docker dvomi sposobmi. Ak chcem nieco rychlo vyskusat, pozriem sa ako je postaveny ten ktory image na docker hub, ak to vyzera aspon trosku rozumne, tak to pouzijem. (nedavno som tak rychlo otestovat emby a plex) Ak sa rozhodnem nieco pouzivat dlhodobo, tak si bud spravim vlastny Dockerfile, alebo forknem nieco rozumne online a zostavim si ten image doma. Ono sa napokon cast oukaze, ze aj tak potrebujem spravit nejake modifikacie, tak je tak ci tak pohodlnejsie mat vlastny build.

    Co sa tyka produkcneho nasadenia v praci, tam pouzivame z upstreamu len oficialne baseimage Ubuntu, Debianu a pod.. Vsetko ostatne zostavujeme lokalne a pouzivame vyhradne vlastne docker repository.

    Ale inak myslim, ze s tebou suhlasim. Osobne si myslim, ze je ta situacia podobna ako s ruby, pythonom, etc. ked ludia instaluju nahodny gem, python package a pod. lebo robi, co potrebuju, bez toho ze by sa to riesilo nejak systemovo.
    Computers are not intelligent. They only think they are.
    9.2.2016 12:06 washeck | skóre: 4
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Souhlasím s tebou. Ale je třeba se na to dívat v souvislostech. Linuxové distribuce se svými podepsanými balíčky a jednoduchými či přímo automatizovanými aktualizacemi postavily rozumný základ pro bezpečnost. Bohužel dnešní generace webových vývojářů tenhle model opouští a standardem (v určitém odvětví) se stávají věci jako curl -sS https://getcomposer.org/installer | php pochopitelně pod rootem.

    Pokud srovnáváš pužívání náhodných imagů z Docker Hubu s příkazem výše, přijde mi to na srovnatelné úrovni, s tím, že Docker poskytuje nějaké výhody navíc. Na druhou stranu samotná firma Docker staví svou finanční budoucnost právě na řešení bezpečnosti (auditované trusted image) pro enterprise, takže si problém asi uvědomují. A myslím, že pro firmy typu RedHat tady vzniká velký prostor, jak to vyřešit líp v opensource prostředí.
    cezz avatar 9.2.2016 12:53 cezz | skóre: 24 | blog: dm6 | Žilina
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Ono to bude aj tym, ze vela ludi pouziva docker tak nejak nezavisle od linuxu. Na desktope maju MacOS alebo windows a tam prinajlepsom instaluju z appstoru, ale casto proste nieco stiahnu z netu a spustia. curl|bash potom nevnimaju ako nieco principialne zle - ono koniec koncov robia to iste s klasickymi instalatormi stiahnutymi od ktovie kadial. Osobne som ten trend spozoroval v dobe, ked zacalo byt ruby popularne, ludia proste sli cestou najmensieho odporu. Spustanie nahodnych docker imageov je v tomto este ako tak bezpecne, kedze vacsinou to vo vysledku bezi ako kontajner na boot2docker VM s minimom pristupu na samotny pocitac.

    Problem je, ked si ludia tieto zlozvyky prenesu do produkcneho prostredia.
    Computers are not intelligent. They only think they are.
    pavlix avatar 8.2.2016 11:37 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Já jsem naštěstí neřešil Docker, ale prošel jsem úplně jinými fázemi, devconf jsem začal depresí, pokračoval apatií, přešel do fáze sarkasmu, navázal pudem sebezáchovy, a končil střízlivým nadšením z nadcházejících pracovních úkolů. :)
    8.2.2016 12:15 Yarda
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Já to měl úplně stejně :)
    8.2.2016 11:38 luv | skóre: 18 | blog: luv
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Super zapisek a uplny souhlas - teda, ono je tam teda problemu jeste o dost vic :(.
    Bedňa avatar 8.2.2016 20:15 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    A čo heslá v plaintexte, zatiaľ hračka do ktorej už RedHat určite napchal neúmerne veľa peňazí a niesu ďalej ako skripty pre chroot, skôr naopak.
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    Rezza avatar 8.2.2016 21:49 Rezza | skóre: 25 | blog: rezza | Brno
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    To spis rekni investorum Dockeru, kteri do nich uz nalili $180M.
    Bedňa avatar 8.2.2016 22:23 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Sorry, ale nechápem to.

    V slobodnom softvéri som už pár rokov a už ani netuším koľko vecí som si nechal napísať len tým že som s nejakým vývojárom komunikoval.

    Dnes je kopec projektov takto financovaných a problém podľa mňa je v tom, že máš rozpočet, tak napíšme všetko from sratch, pritom stačí zapnúť zyhľadávač a proof of concept poskladáš z toho čo tu už je (a nemyslím len Docker). To ostatné je práca dotiahnutie funkcionality čo k výsledku potrebuješ.

    Neviem či si vieš predstaviť milón dolars, to je fakt obrovská suma za ktorú sa dajú zrealizovať veľké projekty. Nedávno som počúval práve jedného vývojára ktorý. hovoril práve o tom, ako tieto neobmmedzené financie zabíjajú vývoj.
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    Rezza avatar 8.2.2016 23:19 Rezza | skóre: 25 | blog: rezza | Brno
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    No a Docker ma prakticky neomezene finance.
    Bedňa avatar 9.2.2016 20:33 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Takže može všetko zhodiť a presvedčiť investorov ako to všetko okolo Linuxu a *nixu stojí za prd a treba to všetko prepísať a zliať do nejakého kompaktného monolitu, kde som to už počul :)

    Ani neviem ako to napísať že ma to hrozne štve. No a znovu sa tu niekoľko rokov bude cpať Xpeňazi do vývojárov, ktorý zas a znova prejdú všetkými detskými chybami aby dospeli tam kde moholi začať pre niekoľkými rokmi.

    Docker nieje žiadna výnimka, ale stáva sa to pravidlom.
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    10.2.2016 11:58 Paul
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Co to meleš za blbosti? Docker nic nového nevynalézá, staví na LXC a dalších komponentách, jen kolem toho udělal tooling, že dnes dokáže vytvořit a spustit kontejner kdejaký Franta uživatel. Ano, Docker má svoje problémy, popsané v blogpostu, ale nevím, kde přicházíš na to, že zase někdo vynalézá kolo apod.
    pavlix avatar 9.2.2016 09:10 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    tak napíšme všetko from sratch
    Kouzlo nechtěného? :)
    Bedňa avatar 9.2.2016 20:34 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    To je zámer, ako si zbezpečiť prácu na pár rokov :)
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    pavlix avatar 10.2.2016 09:00 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Trochu se prospi a pak si to po sobě přečti. Stačí ta část, co cituju.
    Bedňa avatar 10.2.2016 11:26 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Lol, to sadlo :)
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    pavlix avatar 10.2.2016 11:42 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Už? :)
    Bedňa avatar 10.2.2016 21:12 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    :-D
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    9.2.2016 12:59 Sten
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Z mé zkušenosti: Docker je pro deploy aplikací, které se vyvíjí in-house, protože umožňuje mít stejné prostředí pro testování i produkci. Pro aplikace třetích stran je ale mnohem lepší klasické LXC s „plným“ systémem, protože se to mnohem lépe aktualizuje.
    10.2.2016 06:46 JS1 | skóre: 2 | blog: intuition_pump
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Takze abych to shrnul: Hodi se to, pokud chces mit stejne prostredi ve vyvoji i v produkci, ale na produkci se to nehodi?
    14.2.2016 16:50 luv | skóre: 18 | blog: luv
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Takze alternativa k hw virtualizaci s radou vyhod ale i radou nevyhod (o kterych se ale mlci - to je na tom to nejzajimavejsi).

    Btw. stejne prostredi to opravdu neni - pockej az budes hodiny/dny debugovat, proc ti neco, v nejake hrozne pofiderni situaci, pada a zjistis, ze zavislost zavislosti zavislosti gemu, ktery pouzivas, vyuziva nejake novejsi jaderne ABI, ktere na starsim jadre na produkci neni.

    Ale tohle je samozrejme nic proti problemu s bezpecnosti.
    pavlix avatar 14.2.2016 19:02 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Takze alternativa k hw virtualizaci s radou vyhod ale i radou nevyhod (o kterych se ale mlci - to je na tom to nejzajimavejsi).
    Můžeš pouštět docker ve virtuálce. :)
    Btw. stejne prostredi to opravdu neni - pockej az budes hodiny/dny debugovat, proc ti neco, v nejake hrozne pofiderni situaci, pada a zjistis, ze zavislost zavislosti zavislosti gemu, ktery pouzivas, vyuziva nejake novejsi jaderne ABI, ktere na starsim jadre na produkci neni.
    To se ti asi jen tak nestane. A když, tak specifikuješ, na jaké verzi Atomic má docker jet (vím o tom málo, ale rámcovou představu jsem si udělal, s detailama holt nepomůžu), a máš konzistentní i kernel. :)
    15.2.2016 11:25 washeck | skóre: 4
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    proc ti neco, v nejake hrozne pofiderni situaci, pada a zjistis, ze zavislost zavislosti zavislosti gemu, ktery pouzivas, vyuziva nejake novejsi jaderne ABI, ktere na starsim jadre na produkci neni.
    Neříkám, že jinde to nemůže být jinak, ale u nás je poměrně snadné (právě i díky Dockeru) zařídit, že všechny testovací i produkční stroje jedou na Ubuntu 14.04, takže jaderné ABI je stejné. Až budeme migrovat na novější verzi Ubuntu s jiným kernelem, otestujeme to v testovacím prostředí a šoupneme do produkce se stejnou verzí distribuce. Vzhledem k tomu, že veškeré aplikační závislosti jsou v Dockeru, na hostu zbývá jen pár věcí ohledně monitoringu, logování apod., které se mění podle potřeb operations, a není třeba udržovat nějaký server na starší verzi distribuce jen proto, že aplikace je zkompilovaná s nějakou verzí knihovny, apod.
    9.2.2016 13:10 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Ze je opensource svet vedenej hajpama, to uz jsem si zvykl. Na Docker hype mi vadi jedna jedina vec - velka spousta lidi dava rovnitko mezi kontejnery a Docker, coz vubec, ani trochu neni pravda. Docker je velmi omezujici vyuziti kontejneru. Neni to to same.
    --- vpsFree.cz --- Virtuální servery svobodně
    Cohen avatar 21.2.2016 19:12 Cohen | skóre: 21 | blog: Drobnosti | Brno
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    OpenPGP key fingerprint: 489C 5EC8 0FD6 2BE8 9E59 B4F7 19C1 3E8C E0F5 DB61 (https://www.fi.muni.cz/~xruzick7/pgp-klic/)
    Bedňa avatar 21.2.2016 19:24 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Heron sa zbláznil, inak si to neviem vysvetliť :-D
    Na tomto místě nemůžu nezmínit systemd-networkd. Je to zvláštní, ale linux, který na síti vyrostl a je tam jako doma nikdy neměl pořádné nastavení sítě. Různé distribuce to řešily různě, ale upřímně, málokterá z nich je připravená na to, že by server měl mít více síťovek a už vůbec ne na to, že by tam bylo více IP adres.
    To je nejaká prdel abo čo? Však Linux s Apache vďaka tejto feature porazil Windejsi pred rokmi na všetkých serveroch. Kurwa niekto mu hackol server :-D
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    Heron avatar 21.2.2016 21:03 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Heron sa zbláznil, inak si to neviem vysvetliť :-D

    Ještě ne :-D

    To je nejaká prdel abo čo?

    No znáš nějaký systém na nastavení sítě, ve kterém se pohodlně dá nastavit 30 IP? Já ne. Staré network-scripts v rhelu nebo interfaces v Debianu to je prostě peklo. Při poslední instalaci CentOS 7 jsem se poctivě snažil sít nastavovat výhradně nástroji NetworkManageru (protože je to tam default) a při přidávání páté statické routy už to prostě přestalo fungovat (další routy se nepřidaly za běhu jako ty první - při bootu naštěstí jo).

    networkd má (subjektivní názor) jednoduché, přehledné nastavení. Chápu, že se nemusí líbít všem.

    Však Linux s Apache vďaka tejto feature porazil Windejsi pred rokmi na všetkých serveroch.

    Jaké featuře? Určitě ne díky tomu, že admini nastavují síť pomocí serie příkazů ip a add; ip r add v rc.local apod.

    22.2.2016 10:07 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    No znáš nějaký systém na nastavení sítě, ve kterém se pohodlně dá nastavit 30 IP?

    CentOS minimálně ve verzi 6? (Viz níže)
    Gentoo?

    Kromě Debianu už nic dalšího nepoužívám, takže jinak nemůžu sloužit... :-)

    Heron avatar 22.2.2016 10:19 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Psal jsem pohodlně.

    Systém network-scripts (který už byl ve verzi CentOS 5 a určitě i dřív) nepovažuji za pohodlné nastavení sítě. Mimochodem, stále ještě spoléhá na labely a pokud je tam nedáš, tak se ip sice nastaví (takže ifup funguje), to jo, ale potom ifdown eth0_30 nevyhodí pouze jednu ip (definovanou v souboru ifcfg-eth0_30), ale pro jistotu shodí celé eth0. S labely to funguje. Jenže kdo by je v době ip používal. Ty skripty zřejmě pocházejí z doby ifconfigu.
    22.2.2016 10:47 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Psal jsem pohodlně.
    V tom případě pardon, netušil jsem, že konfigurace typu
    DEVICE=br0
    TYPE=Bridge
    BOOTPROTO=static
    ONBOOT=yes
    MACADDR=00:9C:02:9F:63:E8
    NM_CONTROLLED="no"
    DELAY=0
    
    IPADDR=172.22.1.19
    PREFIX=22
    
    IPADDR2=192.168.1.64
    PREFIX2=24
    je nepohodlná. Holt máme každý jiný vkus.
    Mimochodem, stále ještě spoléhá na labely a pokud je tam nedáš, tak se ip sice nastaví (takže ifup funguje), to jo, ale potom ifdown eth0_30 nevyhodí pouze jednu ip (definovanou v souboru ifcfg-eth0_30), ale pro jistotu shodí celé eth0. S labely to funguje. Jenže kdo by je v době ip používal. Ty skripty zřejmě pocházejí z doby ifconfigu.
    Ať koukám, jak koukám, na počítači s výše uvedenou konfigurací nic s labely nevidím:
    vzlf ~ # ifconfig 
    br0       Link encap:Ethernet  HWadr 00:9C:02:9F:63:E8  
              inet adr:172.22.1.19  Všesměr:172.22.3.255 Maska:255.255.252.0
              AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ BĚŽÍ MULTICAST  MTU:1500  Metrika:1
              RX packets:11919188 errors:0 dropped:0 overruns:0 frame:0
              TX packets:8256128 errors:0 dropped:0 overruns:0 carrier:0
              kolizí:0 délka odchozí fronty:0 
              RX bytes:2086288547 (1.9 GiB)  TX bytes:2488852575 (2.3 GiB)
    
    eth0      Link encap:Ethernet  HWadr 00:9C:02:9F:63:E8  
              AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ BĚŽÍ MULTICAST  MTU:1500  Metrika:1
              RX packets:24962997 errors:0 dropped:0 overruns:0 frame:0
              TX packets:21755739 errors:0 dropped:0 overruns:0 carrier:0
              kolizí:0 délka odchozí fronty:1000 
              RX bytes:4105220936 (3.8 GiB)  TX bytes:7823573802 (7.2 GiB)
              Přerušení:16 Paměť:fb9e0000-fba00000 
    
    lo        Link encap:Místní smyčka  
              inet adr:127.0.0.1 Maska:255.0.0.0
              AKTIVOVÁNO SMYČKA BĚŽÍ  MTU:65536  Metrika:1
              RX packets:651 errors:0 dropped:0 overruns:0 frame:0
              TX packets:651 errors:0 dropped:0 overruns:0 carrier:0
              kolizí:0 délka odchozí fronty:0 
              RX bytes:55350 (54.0 KiB)  TX bytes:55350 (54.0 KiB)
    
    vzlf ~ # ip addr
    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN 
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
        inet 127.0.0.1/8 scope host lo
    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
        link/ether 00:9c:02:9f:63:e8 brd ff:ff:ff:ff:ff:ff
    3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
        link/ether 00:9c:02:9f:63:e9 brd ff:ff:ff:ff:ff:ff
    4: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN 
        link/ether 00:9c:02:9f:63:e8 brd ff:ff:ff:ff:ff:ff
        inet 172.22.1.19/22 brd 172.22.3.255 scope global br0
        inet 192.168.1.64/24 brd 192.168.1.255 scope global br0
    
    Co dělám blbě? Nebo - píšeme oba o tom samém systému?
    22.2.2016 10:52 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Ať koukám, jak koukám, na počítači s výše uvedenou konfigurací nic s labely nevidím:
    Ostatně ani nemohu, co tak koukám do ifup-eth, tak kód pro nastavení adresy je následující:
    if ! ip addr add ${ipaddr[$idx]}/${prefix[$idx]} \
        brd ${broadcast[$idx]:-+} dev ${REALDEVICE} ${SCOPE} label ${DEVICE}; then
        echo $"Error adding address ${ipaddr[$idx]} for ${DEVICE}."
    fi
    Heron avatar 22.2.2016 11:08 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    label ${DEVICE}
    Pokud náš x souborů ifcfg-eth0:x, tak do každého z nich na řádek DEVICE musíš napsat eth0:x. Potom nastaví label jako eth0:0, eth0:1 atd.
    Heron avatar 22.2.2016 11:05 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Nechci se pouštět do zbytečných rozepří. Pokud ti systém network-scripts vyhovuje, tak je vše v pořádku.

    Mě se zdá přehlednější konfigurace:
    [Match]
    Name=br0
    
    [Network]
    Address=46.227.xx.xx/29
    Gateway=46.227.xx.xx
    
    Address=192.168.42.17/24
    Ty labely, na CentOS 5 to vypadá takto:
        inet 91.214.x.x/24 brd 91.214.192.255 scope global eth2
        inet 91.214.x.x/24 brd 91.214.192.255 scope global secondary eth2:1
        inet 91.214.x.x/24 brd 91.214.192.255 scope global secondary eth2:2
        inet 91.214.x.x/24 brd 91.214.192.255 scope global secondary eth2:3
    
    Tam ifup ifdown funguje (ifdown eth2:3) skutečně shodí jen to co má, tedy odstraní IP k labelu eth2:3. Jak ve tvém případě vyhodíš IPADDR2? Odstraníš ji z konfigurace a restart? Což v případě network-scripts znamená vyhození všech adres a potom je tam postupně láduje a kontroluje kolize? Trvá to dost dlouho.
    22.2.2016 11:13 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Nechci se pouštět do zbytečných rozepří. Pokud ti systém network-scripts vyhovuje, tak je vše v pořádku.
    Fajn. :-)
    Jak ve tvém případě vyhodíš IPADDR2? Odstraníš ji z konfigurace a restart? Což v případě network-scripts znamená vyhození všech adres a potom je tam postupně láduje a kontroluje kolize? Trvá to dost dlouho.
    Přiznám se, že takovouto operaci dělám opravdu hodně zřídka (navíc většinu věcí mám ve VPS, kde se stejně adresy upravují přes skripty OpenVZ), takže mi to prostě nevadí. Obvykle to řeším tak, že si upravím konfigurák, přes ip addr vyhodím co je potřeba a v noci si zkusím restart pro případ, že bych se někde uklepl. Chápu, že v jiném provozu to může být problém...
    22.2.2016 11:27 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Mimochodem, jak je to u CentOS6 s NetworkManagerem? Nikdy jsem ho na serveru nezkoušel, ale pokud bych potřeboval podobnou funkčnost měnit častěji, asi bych to řešil přes něj, adresy editoval v /etc/NetworkManager/system-connections a pak to jen přes nmcli reloadnul. Předpokládám tedy, že u CentOS je to stejné jako u Gentoo...
    22.2.2016 12:51 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Tak jsem si to nakonec zkusil otestovat. V CentOS6 neumí nmcli editovat adresy ani znovu natáhnout konfiguraci. Jedině shodit a zase nahodit rozhraní nebo restartnout celý proces. :-(
    Bedňa avatar 22.2.2016 19:23 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Ono to je vec názoru, pohodlne je fakt relatívne, no narážal som hlavne na starú dobu keď Win trebalo reštartovať aj kvôli zmene sieťových nastavení, keď som písal ako Linux porazil MS Windows na serveroch.

    Fakt nemám skúsenosti s roziahlimi sieťami čo riešiš ty a verím že tam problémy môžu byť. No zas zo skúseností môžem povedať, že keď niečo vychytáš v skripte, tak to ide roky, na čo by som so systemd nespoliehal. Zrovna teraz riešim (riešil som) na jednej mašine problém s logind a po hodine som odzálohoval a ide reinštal, ale už bez systemd.

    To samozrejme nič nemení na tom že ťa mám rád :-D Nejaký čas som ti neskenoval blog a budem ti tam asi musieť robiť cenzúru :-)

    GL
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    Heron avatar 22.2.2016 19:32 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    No zas zo skúseností môžem povedať, že keď niečo vychytáš v skripte, tak to ide roky, na čo by som so systemd nespoliehal.
    Ano. Můj vztah k systemd se nezměnil. To, že se mi konfigurace networkd líbí není ani tak dáno kvalitami systemd, jako spíš neutěšeným stavem v nastavení sítě v distribucích (můj osobní názor).
    To samozrejme nič nemení na tom že ťa mám rád :-D Nejaký čas som ti neskenoval blog a budem ti tam asi musieť robiť cenzúru :-)

    :-D Rád tě tam uvidím :-).

    xkucf03 avatar 21.2.2016 21:34 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?

    Být lepší než Windows není až tak těžké :-D

    Ale k dokonalosti tomu ještě kus chybí. I když se mi vždycky hodně líbil způsob konfigurace sítě v Debianu, není to úplně 100% a něco jsou spíš dodatečné hacky než promyšlený návrh. Třeba těch víc adres na jednom rozhraní nebo konfigurace DNS. V Apachovi ty konfiguráky při složitějším uspořádání taky nedávají moc velký smysl a jsou tam různé rovnáky na ohýbáky. Celkem hezky má konfiguraci kolem rozhraní, virtuálů a aplikací řešenou GlassFish.

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    Jendа avatar 22.2.2016 01:04 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Tak třeba v tomto má pravdu:
    a už vůbec ne na to, že by tam bylo více IP adres
    Debian to řeší pomocí post-up, kde se pomocí "ip" další adresa přidá, CentOS 6 neuměl víc adres na interface vůbec (možná přes nějaký ekvivalent post-up) atd.

    Na druhou stranu mně se konfigurace pomocí "ip" líbí a vůbec by mi nevadilo, kdyby distribuce neměly konfiguraci sítě, ale jenom spouštěly skript, do kterého si "ip" a "dhclient" a "iptables" zadám. Sám to tak na notebooku mám, při přechodu mezi sítěmi spustím skript (pomocí párpísmenkového aliasu), který takto síť nastaví. Na tyhle nadstavby jsem nikdy nebyl a asi nebudu ani na networkd.
    22.2.2016 10:03 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    CentOS 6 neuměl víc adres na interface vůbec (možná přes nějaký ekvivalent post-up) atd.
    Nechci kverulovat, náčelníku, ale já v /etc/sysconfig/network-scripts/network-functions vidím tohle:
    expand_config ()
    {
        local i=0 val
        for idx in '' {0..255} ; do
            ipaddr[$i]=$(eval echo '$'IPADDR$idx)
            if [ -z "${ipaddr[$i]}" ]; then
               [ "$idx" ] && [ $idx -gt 2 ] && break
               continue
            fi
            prefix[$i]=$(eval echo '$'PREFIX$idx)
            netmask[$i]=$(eval echo '$'NETMASK$idx)
            broadcast[$i]=$(eval echo '$'BROADCAST$idx)
            arpcheck[$i]=$(eval echo '$'ARPCHECK$idx)
    
            if [ "${prefix[$i]}x" != "x" ]; then
                val=$(/bin/ipcalc --netmask "${ipaddr[$i]}/${prefix[$i]}")
                netmask[$i]=${val##NETMASK=}
            fi
    
            if [ "${netmask[$i]}x" = "x" ]; then
                val=$(/bin/ipcalc --netmask "${ipaddr[$i]}")
                netmask[$i]=${val##NETMASK=}
            fi
    
            if [ "${prefix[$i]}x" = "x" ]; then
                val=$(/bin/ipcalc --prefix ${ipaddr[$i]} ${netmask[$i]})
                prefix[$i]=${val##PREFIX=}
            fi
    
            if [ "${broadcast[$i]}x" = "x" ]; then
                val=$(/bin/ipcalc --broadcast ${ipaddr[$i]} ${netmask[$i]})
                broadcast[$i]=${val##BROADCAST=}
            fi
    
            if [ "${arpcheck[$i]}x" != "x" ]; then
                arpcheck[$i]=${arpcheck[$i]##ARPCHECK=}
                arpcheck[$i]=${arpcheck[$i],,*}
            fi
    
            i=$((i+1))
        done
    
        if [ -z "${NETWORK}" ]; then
            eval $(/bin/ipcalc --network ${ipaddr[0]} ${netmask[0]})
        fi
    }
    
    Čili by mělo jít nastavit až 255 adres pomocí direktivy typu IPADRESS21=111.222.333.444 v /etc/sysconfig/network-scripts/ifcfg-ethX. Já teda mám ozkoušené maximálně dvě...
    22.2.2016 10:14 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    PS: pro jistotu - pro případ, že by to byla záležitost nějakých novějších aktualizací - jsem si to ještě kontroloval na jedné archivní instalaci s CentOS 6.1 (je na tom nějaký neudržovaný proprietární soft, který si s aktualizovaným CentOS6 nerozumí a všichni se na to bojí sáhnout) a tahle funkce je tam stejná.
    Jendа avatar 22.2.2016 22:17 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Před dvěma lety jsem to hledal a vůbec jsem toto řešení nenašel, všude to dělali přes aliasy.
    Heron avatar 22.2.2016 10:21 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Na druhou stranu mně se konfigurace pomocí "ip" líbí a vůbec by mi nevadilo, kdyby distribuce neměly konfiguraci sítě, ale jenom spouštěly skript, do kterého si "ip" a "dhclient" a "iptables" zadám.

    +1 Bohužel situace je taková, že k vůli závislostem mezi init skripty tam ten start network být musí a někdy i dokonce i start konkrétní iface. Takže to potom vypadá tak, že první ip je nastavována přes distribuční systém správy sítě a zbytek v nějakém skriptu. Což přehlednosti konfigurace příliš nepomáhá.
    Cohen avatar 22.2.2016 10:22 Cohen | skóre: 21 | blog: Drobnosti | Brno
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    [...] CentOS 6 neuměl víc adres na interface vůbec (možná přes nějaký ekvivalent post-up) atd. [...]

    Tak o tom bych silně pochyboval, protože na jednom produkčním stroji s RHEL 6 (a nepředpokládám, že by to na CentOS 6 bylo jinak) na jedno rozhraní vesele používám tři IP adresy:

    $ cat /etc/sysconfig/network-scripts/ifcfg-eth0 
    DEVICE=eth0
    TYPE=Ethernet
    UUID=abcdefgh-0123-4567-8901-abcdef012348
    ONBOOT=yes
    NM_CONTROLLED=yes
    BOOTPROTO=none
    IPADDR=w.x.y.23
    PREFIX=24
    GATEWAY=w.x.y.1
    IPADDR2=w.x.y.24
    PREFIX2=24
    GATEWAY2=w.x.y.1
    IPADDR3=w.x.y.25
    PREFIX3=24
    GATEWAY3=w.x.y.1
    DNS1=a.b.c.d
    DNS2=e.f.g.h
    DNS3=i.j.k.l
    DOMAIN=example.cz
    DEFROUTE=yes
    IPV4_FAILURE_FATAL=yes
    IPV6INIT=no
    NAME="System eth0"
    HWADDR=00:11:22:33:44:55
    

    Elegance konfigurace je věc jiná, ale funguje to a stroj má na eth0 3 IP adresy w.x.y.23, w.x.y.24 a w.x.y.25.

    OpenPGP key fingerprint: 489C 5EC8 0FD6 2BE8 9E59 B4F7 19C1 3E8C E0F5 DB61 (https://www.fi.muni.cz/~xruzick7/pgp-klic/)

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.