abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 06:00 | Zajímavý software

Byla vydána verze 0.56 open source platformy Home Assistant (GitHub) pro monitorování a řízení inteligentní domácnosti naprogramované v programovacím jazyce Python verze 3 a bežící také například na Raspberry Pi. Pro vyzkoušení je k dispozici demo [reddit].

Ladislav Hagara | Komentářů: 0
včera 16:55 | Nová verze

Byla vydána verze 1.0 klienta F-Droid určeného pro instalaci aplikací do Androidu ze softwarového repozitáře F-Droid (Wikipedie), alternativy k Google Play, nabízející pouze svobodný a otevřený software. Podrobnosti v přehledu změn [Hacker News].

Ladislav Hagara | Komentářů: 5
včera 00:55 | Nová verze

Po téměř 13 měsících vývoje od verze 0.11.0 byla vydána verze 0.12.0 hardwarově nenáročného desktopového prostředí LXQt (Lightweight Qt Desktop Environment, Wikipedie) vzniklého sloučením projektů Razor-qt a LXDE. Přehled novinek v příspěvku na blogu.

Ladislav Hagara | Komentářů: 9
21.10. 12:33 | Zajímavý software

Článek ne Medium představuje nejnovější stabilní verzi 2.0 svobodné decentralizované mikroblogovací platformy a sociální sítě podobné Twitteru Mastodon (Wikipedie). Detailní přehled novinek na GitHubu [Hacker News].

Ladislav Hagara | Komentářů: 0
21.10. 06:00 | Komunita

V Praze na půdě Elektrotechnické fakulty ČVUT dnes probíhá RT-Summit 2017 – setkání vývojářů linuxového jádra a uživatelů jeho real-time verze označované jako preempt-rt. Přednášky lze sledovat online na YouTube.

Ladislav Hagara | Komentářů: 0
20.10. 14:33 | Zajímavý projekt

Blender Animation Studio zveřejnilo první epizodu z připravovaného animovaného seriálu The Daily Dweebs o domácím mazlíčkovi jménem Dixey. Ke zhlédnutí také ve 3D s rozlišením 8K.

Ladislav Hagara | Komentářů: 0
20.10. 12:34 | Komunita

Aktualizovanou počítačovou hru Warhammer 40,000: Dawn of War III v ceně 39,99 eur běžící také na Linuxu lze o víkendu na Steamu hrát zdarma a případně ještě v pondělí koupit s 50% slevou. Do soboty 19:00 lze na Humble Bundle získat zdarma Steam klíč k počítačové hře Sid Meier's Civilization® III v ceně 4,99 eur běžící také ve Wine.

Ladislav Hagara | Komentářů: 0
20.10. 00:22 | Nasazení Linuxu

Společnost Samsung oznámila, že skrze dokovací stanici DeX a aplikaci Linux on Galaxy bude možno na Samsung Galaxy S8 a S8+ a Galaxy Note 8 provozovat Linux. Distribuce nebyly blíže upřesněny.

Phantom Alien | Komentářů: 19
19.10. 23:55 | Komunita

Společnost Purism na svém blogu oznámila, že její notebooky Librem jsou nově dodávány se zrušeným (neutralized and disabled) Intel Management Engine (ME). Aktualizací corebootu na již prodaných noteboocích lze Management Engine také zrušit. Více v podrobném článku.

Ladislav Hagara | Komentářů: 2
19.10. 21:44 | Nová verze

Organizace Apache Software Foundation (ASF) na svém blogu slaví páté výročí kancelářského balíku Apache OpenOffice jako jejího Top-Level projektu. Při této příležitosti byl vydán Apache OpenOffice 4.1.4 (AOO 4.1.4). Podrobnosti v poznámkách k vydání. Dlouhé čekání na novou verzi tak skončilo.

Ladislav Hagara | Komentářů: 8
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (9%)
 (0%)
 (0%)
 (1%)
 (76%)
 (13%)
Celkem 221 hlasů
 Komentářů: 8, poslední včera 23:02
    Rozcestník
    Štítky: není přiřazen žádný štítek

    Vložit další komentář
    xkucf03 avatar 7.2.2016 23:39 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?

    +1 Naprosto sdílím tvoje obavy a pochybnosti.

    Osobně jdu radši „klasičtější“ cestou: debootstrap + LXC (libvirt) + Btrfs. Případně KVM + LVM. A k tomu oficiální obrazy stažené z důvěryhodných zdrojů.

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    Cohen avatar 7.2.2016 23:55 Cohen | skóre: 21 | blog: Drobnosti | Brno
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Nějaký podrobnější popis by byl? Docela by mne to zajímalo?
    OpenPGP key fingerprint: 489C 5EC8 0FD6 2BE8 9E59 B4F7 19C1 3E8C E0F5 DB61 (https://www.fi.muni.cz/~xruzick7/pgp-klic/)
    xkucf03 avatar 8.2.2016 00:23 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?

    Čeho? Používám víceméně standardní postupy + si občas na Internetu vyhledám řešení nějakého problému.

    Přes debootstrap jsem si vytvořil základní obraz do Btrfs pododdílu, tenhle základ naklonoval a šablonu lehce upravil (přidal svoje SSH klíče rootovi, nainstaloval nějaké balíčky, nastavil síť…). A pak mám na pár řádek skript v Bashi, který tu šablonu naklonuje (btrfs subvolume snapshot) a vytvoří v LXC virtuálku (nebo chceš-li: kontejner) a spustí. Skvělé na tom mj. je to, že jsou to všechno jen soubory, ne nějaká bloková zařízení, která by bylo potřeba připojovat – takže z hostitelského počítače můžeš procházet souborové systémy (i běžících) virtuálů a pracovat s jejich soubory, aniž bys musel používat nějaké speciální API nebo se přes SSH přihlašovat dovnitř virtuálu.

    S KVM je to podobné, i když tam moc neklonuji obrazy, ale dělám normální instalaci, protože obvykle chci pokaždé trochu něco jiného (rozdělení disků, hraní si s různými distribucemi atd.), ale klonovat/kopírovat LVM oddíly se šablonou by tam šlo taky. Co virtuálka, to LVM oddíl. Stejně jako u LXC k tomu přistupuji přes libvirt (virsh na příkazové řádce a virt-manager v GUI), takže si člověk snadno naskriptuje, co potřebuje.

    Následné využití je už dost individuální – např. můžeš po kompilaci vyvíjeného programu vytvořit virtuálku, nainstalovat do ní program, pustit testy a virtuálku zase smazat. V případě LXC jsou to řádově vteřiny nebo i méně. V případě KVM to je o něco málo pomalejší, ale zase máš plnou virtualizaci a prostředí lépe odpovídá reálnému hardwaru, kde se aplikace bude provozovat.

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    Cohen avatar 8.2.2016 00:32 Cohen | skóre: 21 | blog: Drobnosti | Brno
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Čeho?

    Toho kroku vytvoření LXC kontejneru ze souborů na disku.

    OpenPGP key fingerprint: 489C 5EC8 0FD6 2BE8 9E59 B4F7 19C1 3E8C E0F5 DB61 (https://www.fi.muni.cz/~xruzick7/pgp-klic/)
    xkucf03 avatar 8.2.2016 00:49 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?

    Buď si přečteš dokumentaci :-) nebo si první kontejner naklikáš ve virt-manageru, vyexportuješ si jeho XML (virsh dumpxml) a ten pak používáš jako šablonu pro další kontejery – má to pár řádek, stačí tam měnit jméno, UUID, MAC adresu a cestu k root adresáři (ten Btrfs pododdíl). Nový kontejner/virtuál vytvoříš pomocí virsh define.

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    9.2.2016 12:47 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Kontejner neni nic vic, nez unpacknuty rootfs jako adresar na filesystemu. Ve vpsFree buildime templaty napr. touhle sadou shell skriptu.
    --- vpsFree.cz --- Virtuální servery svobodně
    pavlix avatar 9.2.2016 12:57 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Akorát standardní rootfs určený pro bootování často v kontejneru nechce fungovat.
    7.2.2016 23:49 kyytaM | skóre: 35 | blog: kyytaM | Bratislava
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    nahypovana sracka, hypovana hlavne ludmi, ktori o OS, pocitacoch a nejake zakladnej bezpecnostni nemaju ani ponatia...
    8.2.2016 00:23 Atrament
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    jsou ochotni zahodit šest pachů jen proto, že přišly z RedHat
    Ale pár vteřin mi trvalo, než mi došlo co že to vlastně zahazují :))
    8.2.2016 08:59 rastos | skóre: 60 | blog: rastos
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Včera som sa po prestávke znova vrátil k hraniu s dockerom. Používam Slackware a pre ten neexistujú oficiálne balíky. Človek môže zobrať napr. RPM balík pre nejaké iné distro a nainštalovať z neho. Tak som siahol tuším po balíku pre Fedoru, nainštaloval, ale zistil, že docker potrebuje systemd (presnejšie libsystemd.so). Ten nemám rád, tak som sa chvíľu obzeral a našiel som staršiu verziu dockeru, ktorá tú knižnicu ešte nepotrebovala. Nainštaloval, chodilo. Lenže prečo bežať staršiu verziu. Mám docker, tak si v kontajneri skompilujem aktuálnu, nie? Keď to skrátim, tak to trvalo pol hodinu, na disku to zabralo cez 2GB miesta, vytvorilo to ďalšie docker image, vytvorilo ďalšie kontajnery, niektoré spustené s "--privileged" a nakoniec z toho vypadla binárka, ktorá bola vytvorená mimo kontajneru a bola staticky zlinkovaná. Teda bez závislosti na libsystemd.so. A vyzerá že funguje. Ale vôbec sa to nepodobá na tú binárku, čo som zobral z toho RPM balíka pretože tá je linkovaná dynamicky.

    Vytvorenie image-u mi nepripadá také kritické. Ako si napísal, pre Debian to rieši debootstrap, pre Fedoru si riešenie tiež našiel a pre môj Slackware to rieši "installpkg --root DIR". Snáď to to nie je pre iné distribúcie až tak odlišné.

    Na druhej strane som sa stránkou overovania bezpečnosti príliš nezaoberal. Z toho, čím som sa doteraz zaoberal, mi pripadá veľmi zlý systém toho odkiaľ docker vôbec získať a ako si ho skompilovať sám. Spôsob inštalácie taký, že z nejakej stránky na nete stiahnem shell skript a rovno ho pipe-nem do bash - to mi nevonia. Závisloť na go mi tiež nevonia. A potrebovať nainštalovať 1,5 ďalšieho operačného systému len preto, aby som zbuildoval jednu binárku - to je na hlavu postavené.
    Bedňa avatar 8.2.2016 20:19 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Systemd a Docker ako celok je vízia pre RedHat do budúcnosti, no možno to nakoniec nebude Docker ani systemd.
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    Petr Tomášek avatar 8.2.2016 09:08 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    skrytý komentář Náš administrátor shledal tento komentář závadným.

    Vulgarity.

    Zobrazit komentář
    Petr Tomášek avatar 8.2.2016 09:14 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Tak celý slavný flattr putuje na DNS blacklist a maj po ptákách, debilové...
    Petr Tomášek avatar 8.2.2016 09:27 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Jasně, když člověk napíše pár hvězdiček, tak je to hned závadné a vulgární. Ale když někdo přes svůj blog nechává špehovat čtenáře, tak to vulgární a sprosté není, žejo...
    Cohen avatar 8.2.2016 10:17 Cohen | skóre: 21 | blog: Drobnosti | Brno
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?

    Ono šlo spíš o tu formu než obsah.

    Proč je mi Flattr sympatický jsem psal dříve. Bohužel se neujal, i když zájem o mikrotransakce by IMHO stále byl. :-/

    Tlačítko jsem teď dal pryč, protože už jsem stejně před mnoha a mnoha měsíci ve svém Flattr účtu neodsouhlasil změnu jejich obchodních podmínek (a tudíž je asi nyní neaktivní), protože se Flattr nijak zvlášť neujal a neplánoval jsem ho tedy dále používat.

    OpenPGP key fingerprint: 489C 5EC8 0FD6 2BE8 9E59 B4F7 19C1 3E8C E0F5 DB61 (https://www.fi.muni.cz/~xruzick7/pgp-klic/)
    Petr Tomášek avatar 8.2.2016 11:13 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?

    Ono šlo spíš o tu formu než obsah.

    Forma byla naprosto adekvátní obsahu.

    Proč je mi Flattr sympatický jsem psal dříve. Bohužel se neujal, i když zájem o mikrotransakce by IMHO stále byl. :-/

    Flattr ať ti je klidně tisíckrát sympatický, ale proč kua musí při každém načtení tvého blogu jít požadavek na https://api.flattr.com/, chápeš? Pokud by sis uložil ten obrázek na abclinuxu / resp. někam na vlastní stránku a nechal ho stahovat odtam, tak neřeknu ani ň. Člověk by si myslel, že alespoň tady na abclinuxu tohle šílený špahování nebude, protože lidi narozdíl od BFU vědí, jak big-data fungují...

    Tlačítko jsem teď dal pryč, protože už jsem stejně před mnoha a mnoha měsíci ve svém Flattr účtu neodsouhlasil změnu jejich obchodních podmínek (a tudíž je asi nyní neaktivní), protože se Flattr nijak zvlášť neujal a neplánoval jsem ho tedy dále používat.

    V tom případě si tě zase odblokovávám. Ale jak píšu, samotný tlačítko mi nevadí, vadí, když se pokaždý načítá z Flattru...

    Petr Tomášek avatar 8.2.2016 11:16 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    xkucf03 avatar 8.2.2016 22:02 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Flattr ať ti je klidně tisíckrát sympatický, ale proč kua musí při každém načtení tvého blogu jít požadavek na https://api.flattr.com/, chápeš?

    Tohle taky nemám rád. Tehdy jsem to řešil tak, že jsem nakopíroval jejich ikonu k sobě a nevkládal žádný JavaScript (ano, byl to jen obrázek s odkazem, ne aktivní tlačítko, které by ukazovalo počet kliknutí).

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    8.2.2016 09:41 mimi.vx | skóre: 37 | blog: Mimi.VX | Praha
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?

    +1 , docker je pekna vec na vyvoj ... ale jinak.

     

    presne sedi toto https://twitter.com/thegrugq/status/601974834138984448

    USE="-gnome -kde";turris
    Cohen avatar 8.2.2016 10:20 Cohen | skóre: 21 | blog: Drobnosti | Brno
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?

    To mi připomíná, jak někdo na jiné přednášce říkal zhruba toto: Když se na jedné konferenci přednášející ptal, kolik vývojářů používá Docker, tak šlo nahoru 90% rukou. Když pak chtěl vědět, kolik z těch lidí to používá na produkci, tak z nich šlo 90% zase dolů.

    OpenPGP key fingerprint: 489C 5EC8 0FD6 2BE8 9E59 B4F7 19C1 3E8C E0F5 DB61 (https://www.fi.muni.cz/~xruzick7/pgp-klic/)
    9.2.2016 00:46 pc2005 | skóre: 34 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Jak moc přesně tohle sedí?
    Chuck Norris řekl babičce, že si dá jen 3 knedlíky. A dostal 3 knedlíky. | 帮帮我,我被锁在中国房
    8.2.2016 11:01 Yarda
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    nebo se všichni totálně zbláznili a bezpečnost typického uživatele Dockeru/OpenShiftu je na úrovni BFU, který nadšeně a bez nejmenšího zamyšlení a zaváhání spustí každý .EXE a .COM soubor, který mu přijde e-mailem.

    To je naprosto přesné zhodnocení situace. A co teprve bezpečnostní aktualizace, když už člověk nějaký ten důvěryhodný image sežene.
    cezz avatar 8.2.2016 11:11 cezz | skóre: 24 | blog: dm6 | Žilina
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Ja osobne pouzivam Docker dvomi sposobmi. Ak chcem nieco rychlo vyskusat, pozriem sa ako je postaveny ten ktory image na docker hub, ak to vyzera aspon trosku rozumne, tak to pouzijem. (nedavno som tak rychlo otestovat emby a plex) Ak sa rozhodnem nieco pouzivat dlhodobo, tak si bud spravim vlastny Dockerfile, alebo forknem nieco rozumne online a zostavim si ten image doma. Ono sa napokon cast oukaze, ze aj tak potrebujem spravit nejake modifikacie, tak je tak ci tak pohodlnejsie mat vlastny build.

    Co sa tyka produkcneho nasadenia v praci, tam pouzivame z upstreamu len oficialne baseimage Ubuntu, Debianu a pod.. Vsetko ostatne zostavujeme lokalne a pouzivame vyhradne vlastne docker repository.

    Ale inak myslim, ze s tebou suhlasim. Osobne si myslim, ze je ta situacia podobna ako s ruby, pythonom, etc. ked ludia instaluju nahodny gem, python package a pod. lebo robi, co potrebuju, bez toho ze by sa to riesilo nejak systemovo.
    Computers are not intelligent. They only think they are.
    9.2.2016 12:06 washeck | skóre: 4
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Souhlasím s tebou. Ale je třeba se na to dívat v souvislostech. Linuxové distribuce se svými podepsanými balíčky a jednoduchými či přímo automatizovanými aktualizacemi postavily rozumný základ pro bezpečnost. Bohužel dnešní generace webových vývojářů tenhle model opouští a standardem (v určitém odvětví) se stávají věci jako curl -sS https://getcomposer.org/installer | php pochopitelně pod rootem.

    Pokud srovnáváš pužívání náhodných imagů z Docker Hubu s příkazem výše, přijde mi to na srovnatelné úrovni, s tím, že Docker poskytuje nějaké výhody navíc. Na druhou stranu samotná firma Docker staví svou finanční budoucnost právě na řešení bezpečnosti (auditované trusted image) pro enterprise, takže si problém asi uvědomují. A myslím, že pro firmy typu RedHat tady vzniká velký prostor, jak to vyřešit líp v opensource prostředí.
    cezz avatar 9.2.2016 12:53 cezz | skóre: 24 | blog: dm6 | Žilina
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Ono to bude aj tym, ze vela ludi pouziva docker tak nejak nezavisle od linuxu. Na desktope maju MacOS alebo windows a tam prinajlepsom instaluju z appstoru, ale casto proste nieco stiahnu z netu a spustia. curl|bash potom nevnimaju ako nieco principialne zle - ono koniec koncov robia to iste s klasickymi instalatormi stiahnutymi od ktovie kadial. Osobne som ten trend spozoroval v dobe, ked zacalo byt ruby popularne, ludia proste sli cestou najmensieho odporu. Spustanie nahodnych docker imageov je v tomto este ako tak bezpecne, kedze vacsinou to vo vysledku bezi ako kontajner na boot2docker VM s minimom pristupu na samotny pocitac.

    Problem je, ked si ludia tieto zlozvyky prenesu do produkcneho prostredia.
    Computers are not intelligent. They only think they are.
    pavlix avatar 8.2.2016 11:37 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Já jsem naštěstí neřešil Docker, ale prošel jsem úplně jinými fázemi, devconf jsem začal depresí, pokračoval apatií, přešel do fáze sarkasmu, navázal pudem sebezáchovy, a končil střízlivým nadšením z nadcházejících pracovních úkolů. :)
    8.2.2016 12:15 Yarda
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Já to měl úplně stejně :)
    8.2.2016 11:38 luv | skóre: 18 | blog: luv
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Super zapisek a uplny souhlas - teda, ono je tam teda problemu jeste o dost vic :(.
    Bedňa avatar 8.2.2016 20:15 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    A čo heslá v plaintexte, zatiaľ hračka do ktorej už RedHat určite napchal neúmerne veľa peňazí a niesu ďalej ako skripty pre chroot, skôr naopak.
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    Rezza avatar 8.2.2016 21:49 Rezza | skóre: 25 | blog: rezza | Brno
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    To spis rekni investorum Dockeru, kteri do nich uz nalili $180M.
    Bedňa avatar 8.2.2016 22:23 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Sorry, ale nechápem to.

    V slobodnom softvéri som už pár rokov a už ani netuším koľko vecí som si nechal napísať len tým že som s nejakým vývojárom komunikoval.

    Dnes je kopec projektov takto financovaných a problém podľa mňa je v tom, že máš rozpočet, tak napíšme všetko from sratch, pritom stačí zapnúť zyhľadávač a proof of concept poskladáš z toho čo tu už je (a nemyslím len Docker). To ostatné je práca dotiahnutie funkcionality čo k výsledku potrebuješ.

    Neviem či si vieš predstaviť milón dolars, to je fakt obrovská suma za ktorú sa dajú zrealizovať veľké projekty. Nedávno som počúval práve jedného vývojára ktorý. hovoril práve o tom, ako tieto neobmmedzené financie zabíjajú vývoj.
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    Rezza avatar 8.2.2016 23:19 Rezza | skóre: 25 | blog: rezza | Brno
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    No a Docker ma prakticky neomezene finance.
    Bedňa avatar 9.2.2016 20:33 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Takže može všetko zhodiť a presvedčiť investorov ako to všetko okolo Linuxu a *nixu stojí za prd a treba to všetko prepísať a zliať do nejakého kompaktného monolitu, kde som to už počul :)

    Ani neviem ako to napísať že ma to hrozne štve. No a znovu sa tu niekoľko rokov bude cpať Xpeňazi do vývojárov, ktorý zas a znova prejdú všetkými detskými chybami aby dospeli tam kde moholi začať pre niekoľkými rokmi.

    Docker nieje žiadna výnimka, ale stáva sa to pravidlom.
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    10.2.2016 11:58 Paul
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Co to meleš za blbosti? Docker nic nového nevynalézá, staví na LXC a dalších komponentách, jen kolem toho udělal tooling, že dnes dokáže vytvořit a spustit kontejner kdejaký Franta uživatel. Ano, Docker má svoje problémy, popsané v blogpostu, ale nevím, kde přicházíš na to, že zase někdo vynalézá kolo apod.
    pavlix avatar 9.2.2016 09:10 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    tak napíšme všetko from sratch
    Kouzlo nechtěného? :)
    Bedňa avatar 9.2.2016 20:34 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    To je zámer, ako si zbezpečiť prácu na pár rokov :)
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    pavlix avatar 10.2.2016 09:00 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Trochu se prospi a pak si to po sobě přečti. Stačí ta část, co cituju.
    Bedňa avatar 10.2.2016 11:26 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Lol, to sadlo :)
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    pavlix avatar 10.2.2016 11:42 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Už? :)
    Bedňa avatar 10.2.2016 21:12 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    :-D
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    9.2.2016 12:59 Sten
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Z mé zkušenosti: Docker je pro deploy aplikací, které se vyvíjí in-house, protože umožňuje mít stejné prostředí pro testování i produkci. Pro aplikace třetích stran je ale mnohem lepší klasické LXC s „plným“ systémem, protože se to mnohem lépe aktualizuje.
    10.2.2016 06:46 JS1 | skóre: 2 | blog: intuition_pump
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Takze abych to shrnul: Hodi se to, pokud chces mit stejne prostredi ve vyvoji i v produkci, ale na produkci se to nehodi?
    14.2.2016 16:50 luv | skóre: 18 | blog: luv
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Takze alternativa k hw virtualizaci s radou vyhod ale i radou nevyhod (o kterych se ale mlci - to je na tom to nejzajimavejsi).

    Btw. stejne prostredi to opravdu neni - pockej az budes hodiny/dny debugovat, proc ti neco, v nejake hrozne pofiderni situaci, pada a zjistis, ze zavislost zavislosti zavislosti gemu, ktery pouzivas, vyuziva nejake novejsi jaderne ABI, ktere na starsim jadre na produkci neni.

    Ale tohle je samozrejme nic proti problemu s bezpecnosti.
    pavlix avatar 14.2.2016 19:02 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Takze alternativa k hw virtualizaci s radou vyhod ale i radou nevyhod (o kterych se ale mlci - to je na tom to nejzajimavejsi).
    Můžeš pouštět docker ve virtuálce. :)
    Btw. stejne prostredi to opravdu neni - pockej az budes hodiny/dny debugovat, proc ti neco, v nejake hrozne pofiderni situaci, pada a zjistis, ze zavislost zavislosti zavislosti gemu, ktery pouzivas, vyuziva nejake novejsi jaderne ABI, ktere na starsim jadre na produkci neni.
    To se ti asi jen tak nestane. A když, tak specifikuješ, na jaké verzi Atomic má docker jet (vím o tom málo, ale rámcovou představu jsem si udělal, s detailama holt nepomůžu), a máš konzistentní i kernel. :)
    15.2.2016 11:25 washeck | skóre: 4
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    proc ti neco, v nejake hrozne pofiderni situaci, pada a zjistis, ze zavislost zavislosti zavislosti gemu, ktery pouzivas, vyuziva nejake novejsi jaderne ABI, ktere na starsim jadre na produkci neni.
    Neříkám, že jinde to nemůže být jinak, ale u nás je poměrně snadné (právě i díky Dockeru) zařídit, že všechny testovací i produkční stroje jedou na Ubuntu 14.04, takže jaderné ABI je stejné. Až budeme migrovat na novější verzi Ubuntu s jiným kernelem, otestujeme to v testovacím prostředí a šoupneme do produkce se stejnou verzí distribuce. Vzhledem k tomu, že veškeré aplikační závislosti jsou v Dockeru, na hostu zbývá jen pár věcí ohledně monitoringu, logování apod., které se mění podle potřeb operations, a není třeba udržovat nějaký server na starší verzi distribuce jen proto, že aplikace je zkompilovaná s nějakou verzí knihovny, apod.
    9.2.2016 13:10 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Ze je opensource svet vedenej hajpama, to uz jsem si zvykl. Na Docker hype mi vadi jedna jedina vec - velka spousta lidi dava rovnitko mezi kontejnery a Docker, coz vubec, ani trochu neni pravda. Docker je velmi omezujici vyuziti kontejneru. Neni to to same.
    --- vpsFree.cz --- Virtuální servery svobodně
    Cohen avatar 21.2.2016 19:12 Cohen | skóre: 21 | blog: Drobnosti | Brno
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    OpenPGP key fingerprint: 489C 5EC8 0FD6 2BE8 9E59 B4F7 19C1 3E8C E0F5 DB61 (https://www.fi.muni.cz/~xruzick7/pgp-klic/)
    Bedňa avatar 21.2.2016 19:24 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Heron sa zbláznil, inak si to neviem vysvetliť :-D
    Na tomto místě nemůžu nezmínit systemd-networkd. Je to zvláštní, ale linux, který na síti vyrostl a je tam jako doma nikdy neměl pořádné nastavení sítě. Různé distribuce to řešily různě, ale upřímně, málokterá z nich je připravená na to, že by server měl mít více síťovek a už vůbec ne na to, že by tam bylo více IP adres.
    To je nejaká prdel abo čo? Však Linux s Apache vďaka tejto feature porazil Windejsi pred rokmi na všetkých serveroch. Kurwa niekto mu hackol server :-D
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    Heron avatar 21.2.2016 21:03 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Heron sa zbláznil, inak si to neviem vysvetliť :-D

    Ještě ne :-D

    To je nejaká prdel abo čo?

    No znáš nějaký systém na nastavení sítě, ve kterém se pohodlně dá nastavit 30 IP? Já ne. Staré network-scripts v rhelu nebo interfaces v Debianu to je prostě peklo. Při poslední instalaci CentOS 7 jsem se poctivě snažil sít nastavovat výhradně nástroji NetworkManageru (protože je to tam default) a při přidávání páté statické routy už to prostě přestalo fungovat (další routy se nepřidaly za běhu jako ty první - při bootu naštěstí jo).

    networkd má (subjektivní názor) jednoduché, přehledné nastavení. Chápu, že se nemusí líbít všem.

    Však Linux s Apache vďaka tejto feature porazil Windejsi pred rokmi na všetkých serveroch.

    Jaké featuře? Určitě ne díky tomu, že admini nastavují síť pomocí serie příkazů ip a add; ip r add v rc.local apod.

    22.2.2016 10:07 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    No znáš nějaký systém na nastavení sítě, ve kterém se pohodlně dá nastavit 30 IP?

    CentOS minimálně ve verzi 6? (Viz níže)
    Gentoo?

    Kromě Debianu už nic dalšího nepoužívám, takže jinak nemůžu sloužit... :-)

    Heron avatar 22.2.2016 10:19 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Psal jsem pohodlně.

    Systém network-scripts (který už byl ve verzi CentOS 5 a určitě i dřív) nepovažuji za pohodlné nastavení sítě. Mimochodem, stále ještě spoléhá na labely a pokud je tam nedáš, tak se ip sice nastaví (takže ifup funguje), to jo, ale potom ifdown eth0_30 nevyhodí pouze jednu ip (definovanou v souboru ifcfg-eth0_30), ale pro jistotu shodí celé eth0. S labely to funguje. Jenže kdo by je v době ip používal. Ty skripty zřejmě pocházejí z doby ifconfigu.
    22.2.2016 10:47 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Psal jsem pohodlně.
    V tom případě pardon, netušil jsem, že konfigurace typu
    DEVICE=br0
    TYPE=Bridge
    BOOTPROTO=static
    ONBOOT=yes
    MACADDR=00:9C:02:9F:63:E8
    NM_CONTROLLED="no"
    DELAY=0
    
    IPADDR=172.22.1.19
    PREFIX=22
    
    IPADDR2=192.168.1.64
    PREFIX2=24
    je nepohodlná. Holt máme každý jiný vkus.
    Mimochodem, stále ještě spoléhá na labely a pokud je tam nedáš, tak se ip sice nastaví (takže ifup funguje), to jo, ale potom ifdown eth0_30 nevyhodí pouze jednu ip (definovanou v souboru ifcfg-eth0_30), ale pro jistotu shodí celé eth0. S labely to funguje. Jenže kdo by je v době ip používal. Ty skripty zřejmě pocházejí z doby ifconfigu.
    Ať koukám, jak koukám, na počítači s výše uvedenou konfigurací nic s labely nevidím:
    vzlf ~ # ifconfig 
    br0       Link encap:Ethernet  HWadr 00:9C:02:9F:63:E8  
              inet adr:172.22.1.19  Všesměr:172.22.3.255 Maska:255.255.252.0
              AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ BĚŽÍ MULTICAST  MTU:1500  Metrika:1
              RX packets:11919188 errors:0 dropped:0 overruns:0 frame:0
              TX packets:8256128 errors:0 dropped:0 overruns:0 carrier:0
              kolizí:0 délka odchozí fronty:0 
              RX bytes:2086288547 (1.9 GiB)  TX bytes:2488852575 (2.3 GiB)
    
    eth0      Link encap:Ethernet  HWadr 00:9C:02:9F:63:E8  
              AKTIVOVÁNO VŠESMĚROVÉ_VYSÍLÁNÍ BĚŽÍ MULTICAST  MTU:1500  Metrika:1
              RX packets:24962997 errors:0 dropped:0 overruns:0 frame:0
              TX packets:21755739 errors:0 dropped:0 overruns:0 carrier:0
              kolizí:0 délka odchozí fronty:1000 
              RX bytes:4105220936 (3.8 GiB)  TX bytes:7823573802 (7.2 GiB)
              Přerušení:16 Paměť:fb9e0000-fba00000 
    
    lo        Link encap:Místní smyčka  
              inet adr:127.0.0.1 Maska:255.0.0.0
              AKTIVOVÁNO SMYČKA BĚŽÍ  MTU:65536  Metrika:1
              RX packets:651 errors:0 dropped:0 overruns:0 frame:0
              TX packets:651 errors:0 dropped:0 overruns:0 carrier:0
              kolizí:0 délka odchozí fronty:0 
              RX bytes:55350 (54.0 KiB)  TX bytes:55350 (54.0 KiB)
    
    vzlf ~ # ip addr
    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN 
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
        inet 127.0.0.1/8 scope host lo
    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
        link/ether 00:9c:02:9f:63:e8 brd ff:ff:ff:ff:ff:ff
    3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
        link/ether 00:9c:02:9f:63:e9 brd ff:ff:ff:ff:ff:ff
    4: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN 
        link/ether 00:9c:02:9f:63:e8 brd ff:ff:ff:ff:ff:ff
        inet 172.22.1.19/22 brd 172.22.3.255 scope global br0
        inet 192.168.1.64/24 brd 192.168.1.255 scope global br0
    
    Co dělám blbě? Nebo - píšeme oba o tom samém systému?
    22.2.2016 10:52 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Ať koukám, jak koukám, na počítači s výše uvedenou konfigurací nic s labely nevidím:
    Ostatně ani nemohu, co tak koukám do ifup-eth, tak kód pro nastavení adresy je následující:
    if ! ip addr add ${ipaddr[$idx]}/${prefix[$idx]} \
        brd ${broadcast[$idx]:-+} dev ${REALDEVICE} ${SCOPE} label ${DEVICE}; then
        echo $"Error adding address ${ipaddr[$idx]} for ${DEVICE}."
    fi
    Heron avatar 22.2.2016 11:08 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    label ${DEVICE}
    Pokud náš x souborů ifcfg-eth0:x, tak do každého z nich na řádek DEVICE musíš napsat eth0:x. Potom nastaví label jako eth0:0, eth0:1 atd.
    Heron avatar 22.2.2016 11:05 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Nechci se pouštět do zbytečných rozepří. Pokud ti systém network-scripts vyhovuje, tak je vše v pořádku.

    Mě se zdá přehlednější konfigurace:
    [Match]
    Name=br0
    
    [Network]
    Address=46.227.xx.xx/29
    Gateway=46.227.xx.xx
    
    Address=192.168.42.17/24
    Ty labely, na CentOS 5 to vypadá takto:
        inet 91.214.x.x/24 brd 91.214.192.255 scope global eth2
        inet 91.214.x.x/24 brd 91.214.192.255 scope global secondary eth2:1
        inet 91.214.x.x/24 brd 91.214.192.255 scope global secondary eth2:2
        inet 91.214.x.x/24 brd 91.214.192.255 scope global secondary eth2:3
    
    Tam ifup ifdown funguje (ifdown eth2:3) skutečně shodí jen to co má, tedy odstraní IP k labelu eth2:3. Jak ve tvém případě vyhodíš IPADDR2? Odstraníš ji z konfigurace a restart? Což v případě network-scripts znamená vyhození všech adres a potom je tam postupně láduje a kontroluje kolize? Trvá to dost dlouho.
    22.2.2016 11:13 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Nechci se pouštět do zbytečných rozepří. Pokud ti systém network-scripts vyhovuje, tak je vše v pořádku.
    Fajn. :-)
    Jak ve tvém případě vyhodíš IPADDR2? Odstraníš ji z konfigurace a restart? Což v případě network-scripts znamená vyhození všech adres a potom je tam postupně láduje a kontroluje kolize? Trvá to dost dlouho.
    Přiznám se, že takovouto operaci dělám opravdu hodně zřídka (navíc většinu věcí mám ve VPS, kde se stejně adresy upravují přes skripty OpenVZ), takže mi to prostě nevadí. Obvykle to řeším tak, že si upravím konfigurák, přes ip addr vyhodím co je potřeba a v noci si zkusím restart pro případ, že bych se někde uklepl. Chápu, že v jiném provozu to může být problém...
    22.2.2016 11:27 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Mimochodem, jak je to u CentOS6 s NetworkManagerem? Nikdy jsem ho na serveru nezkoušel, ale pokud bych potřeboval podobnou funkčnost měnit častěji, asi bych to řešil přes něj, adresy editoval v /etc/NetworkManager/system-connections a pak to jen přes nmcli reloadnul. Předpokládám tedy, že u CentOS je to stejné jako u Gentoo...
    22.2.2016 12:51 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Tak jsem si to nakonec zkusil otestovat. V CentOS6 neumí nmcli editovat adresy ani znovu natáhnout konfiguraci. Jedině shodit a zase nahodit rozhraní nebo restartnout celý proces. :-(
    Bedňa avatar 22.2.2016 19:23 Bedňa | skóre: 33 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Ono to je vec názoru, pohodlne je fakt relatívne, no narážal som hlavne na starú dobu keď Win trebalo reštartovať aj kvôli zmene sieťových nastavení, keď som písal ako Linux porazil MS Windows na serveroch.

    Fakt nemám skúsenosti s roziahlimi sieťami čo riešiš ty a verím že tam problémy môžu byť. No zas zo skúseností môžem povedať, že keď niečo vychytáš v skripte, tak to ide roky, na čo by som so systemd nespoliehal. Zrovna teraz riešim (riešil som) na jednej mašine problém s logind a po hodine som odzálohoval a ide reinštal, ale už bez systemd.

    To samozrejme nič nemení na tom že ťa mám rád :-D Nejaký čas som ti neskenoval blog a budem ti tam asi musieť robiť cenzúru :-)

    GL
    Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
    Heron avatar 22.2.2016 19:32 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    No zas zo skúseností môžem povedať, že keď niečo vychytáš v skripte, tak to ide roky, na čo by som so systemd nespoliehal.
    Ano. Můj vztah k systemd se nezměnil. To, že se mi konfigurace networkd líbí není ani tak dáno kvalitami systemd, jako spíš neutěšeným stavem v nastavení sítě v distribucích (můj osobní názor).
    To samozrejme nič nemení na tom že ťa mám rád :-D Nejaký čas som ti neskenoval blog a budem ti tam asi musieť robiť cenzúru :-)

    :-D Rád tě tam uvidím :-).

    xkucf03 avatar 21.2.2016 21:34 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?

    Být lepší než Windows není až tak těžké :-D

    Ale k dokonalosti tomu ještě kus chybí. I když se mi vždycky hodně líbil způsob konfigurace sítě v Debianu, není to úplně 100% a něco jsou spíš dodatečné hacky než promyšlený návrh. Třeba těch víc adres na jednom rozhraní nebo konfigurace DNS. V Apachovi ty konfiguráky při složitějším uspořádání taky nedávají moc velký smysl a jsou tam různé rovnáky na ohýbáky. Celkem hezky má konfiguraci kolem rozhraní, virtuálů a aplikací řešenou GlassFish.

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    Jendа avatar 22.2.2016 01:04 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Tak třeba v tomto má pravdu:
    a už vůbec ne na to, že by tam bylo více IP adres
    Debian to řeší pomocí post-up, kde se pomocí "ip" další adresa přidá, CentOS 6 neuměl víc adres na interface vůbec (možná přes nějaký ekvivalent post-up) atd.

    Na druhou stranu mně se konfigurace pomocí "ip" líbí a vůbec by mi nevadilo, kdyby distribuce neměly konfiguraci sítě, ale jenom spouštěly skript, do kterého si "ip" a "dhclient" a "iptables" zadám. Sám to tak na notebooku mám, při přechodu mezi sítěmi spustím skript (pomocí párpísmenkového aliasu), který takto síť nastaví. Na tyhle nadstavby jsem nikdy nebyl a asi nebudu ani na networkd.
    22.2.2016 10:03 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    CentOS 6 neuměl víc adres na interface vůbec (možná přes nějaký ekvivalent post-up) atd.
    Nechci kverulovat, náčelníku, ale já v /etc/sysconfig/network-scripts/network-functions vidím tohle:
    expand_config ()
    {
        local i=0 val
        for idx in '' {0..255} ; do
            ipaddr[$i]=$(eval echo '$'IPADDR$idx)
            if [ -z "${ipaddr[$i]}" ]; then
               [ "$idx" ] && [ $idx -gt 2 ] && break
               continue
            fi
            prefix[$i]=$(eval echo '$'PREFIX$idx)
            netmask[$i]=$(eval echo '$'NETMASK$idx)
            broadcast[$i]=$(eval echo '$'BROADCAST$idx)
            arpcheck[$i]=$(eval echo '$'ARPCHECK$idx)
    
            if [ "${prefix[$i]}x" != "x" ]; then
                val=$(/bin/ipcalc --netmask "${ipaddr[$i]}/${prefix[$i]}")
                netmask[$i]=${val##NETMASK=}
            fi
    
            if [ "${netmask[$i]}x" = "x" ]; then
                val=$(/bin/ipcalc --netmask "${ipaddr[$i]}")
                netmask[$i]=${val##NETMASK=}
            fi
    
            if [ "${prefix[$i]}x" = "x" ]; then
                val=$(/bin/ipcalc --prefix ${ipaddr[$i]} ${netmask[$i]})
                prefix[$i]=${val##PREFIX=}
            fi
    
            if [ "${broadcast[$i]}x" = "x" ]; then
                val=$(/bin/ipcalc --broadcast ${ipaddr[$i]} ${netmask[$i]})
                broadcast[$i]=${val##BROADCAST=}
            fi
    
            if [ "${arpcheck[$i]}x" != "x" ]; then
                arpcheck[$i]=${arpcheck[$i]##ARPCHECK=}
                arpcheck[$i]=${arpcheck[$i],,*}
            fi
    
            i=$((i+1))
        done
    
        if [ -z "${NETWORK}" ]; then
            eval $(/bin/ipcalc --network ${ipaddr[0]} ${netmask[0]})
        fi
    }
    
    Čili by mělo jít nastavit až 255 adres pomocí direktivy typu IPADRESS21=111.222.333.444 v /etc/sysconfig/network-scripts/ifcfg-ethX. Já teda mám ozkoušené maximálně dvě...
    22.2.2016 10:14 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    PS: pro jistotu - pro případ, že by to byla záležitost nějakých novějších aktualizací - jsem si to ještě kontroloval na jedné archivní instalaci s CentOS 6.1 (je na tom nějaký neudržovaný proprietární soft, který si s aktualizovaným CentOS6 nerozumí a všichni se na to bojí sáhnout) a tahle funkce je tam stejná.
    Jendа avatar 22.2.2016 22:17 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Před dvěma lety jsem to hledal a vůbec jsem toto řešení nenašel, všude to dělali přes aliasy.
    Heron avatar 22.2.2016 10:21 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    Na druhou stranu mně se konfigurace pomocí "ip" líbí a vůbec by mi nevadilo, kdyby distribuce neměly konfiguraci sítě, ale jenom spouštěly skript, do kterého si "ip" a "dhclient" a "iptables" zadám.

    +1 Bohužel situace je taková, že k vůli závislostem mezi init skripty tam ten start network být musí a někdy i dokonce i start konkrétní iface. Takže to potom vypadá tak, že první ip je nastavována přes distribuční systém správy sítě a zbytek v nějakém skriptu. Což přehlednosti konfigurace příliš nepomáhá.
    Cohen avatar 22.2.2016 10:22 Cohen | skóre: 21 | blog: Drobnosti | Brno
    Rozbalit Rozbalit vše Re: Bezpečnost Dockeru – to se všichni zbláznili?
    [...] CentOS 6 neuměl víc adres na interface vůbec (možná přes nějaký ekvivalent post-up) atd. [...]

    Tak o tom bych silně pochyboval, protože na jednom produkčním stroji s RHEL 6 (a nepředpokládám, že by to na CentOS 6 bylo jinak) na jedno rozhraní vesele používám tři IP adresy:

    $ cat /etc/sysconfig/network-scripts/ifcfg-eth0 
    DEVICE=eth0
    TYPE=Ethernet
    UUID=abcdefgh-0123-4567-8901-abcdef012348
    ONBOOT=yes
    NM_CONTROLLED=yes
    BOOTPROTO=none
    IPADDR=w.x.y.23
    PREFIX=24
    GATEWAY=w.x.y.1
    IPADDR2=w.x.y.24
    PREFIX2=24
    GATEWAY2=w.x.y.1
    IPADDR3=w.x.y.25
    PREFIX3=24
    GATEWAY3=w.x.y.1
    DNS1=a.b.c.d
    DNS2=e.f.g.h
    DNS3=i.j.k.l
    DOMAIN=example.cz
    DEFROUTE=yes
    IPV4_FAILURE_FATAL=yes
    IPV6INIT=no
    NAME="System eth0"
    HWADDR=00:11:22:33:44:55
    

    Elegance konfigurace je věc jiná, ale funguje to a stroj má na eth0 3 IP adresy w.x.y.23, w.x.y.24 a w.x.y.25.

    OpenPGP key fingerprint: 489C 5EC8 0FD6 2BE8 9E59 B4F7 19C1 3E8C E0F5 DB61 (https://www.fi.muni.cz/~xruzick7/pgp-klic/)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.