Bezpečnost Dockeru – to se všichni zbláznili?

7.2.2016 23:12 Drobnosti | Cohen | Bezpečnost | | Přečteno: 5293× | Komentářů: 76, poslední 15. 12. 2025 | Hodnocení: 93 % (27 hlasů)

Poslední tři dny probíhala v Brně konference DevConf 2016, a byla to obrovsky povedená akce s velmi našlápnutým programem. Rozsah programu v pouhých třech dnech vlastně považuji za jedinou nevýhodu akce – člověk by potřeboval být na třech místech současně, aby shlédl všechno, co chtěl. Ještě že existuje záznam skoro celého programu, tak se to dá doposlechnout dodatečně. Extrémně populárním tématem na konferenci byl Docker (což dále úzce souvisí i s OpenShift apod.), a byla to i jedna z hlavních věcí, kvůli které jsem tam šel. Z prvotního obrovského nadšení jsem ale nyní ve fázi deprese: buď něco přehlížím (a budu moc rád, pokud to tak je a v diskusi pod zápiskem mi to vysvětlíte), nebo se všichni totálně zbláznili a bezpečnost typického uživatele Dockeru/OpenShiftu je na úrovni BFU, který nadšeně a bez nejmenšího zamyšlení a zaváhání spustí každý .EXE a .COM soubor, který mu přijde e-mailem.

Jak použít pro overlay aufs

4.2.2016 17:38 kenyho_stesky | Aleš Kapica | Za vším hledej Linux | | Přečteno: 2042× | Komentářů: 23, poslední 7. 2. 2016 | Hodnocení: 83 % (12 hlasů)

Jsou tomu dva týdny, co jsem publikoval blogpost, ve kterém jsem shrnul problémy s překrýváním systému publikovaného přes NFS. Během té doby jsem absolvoval celou řádku pokusů a kompilací jádra - včetně těch nejaktuálnějších verzí z git repozitáře. Nakonec jsem nad tím zlomil hůl s tím, že řešení, o kterém jsem tu psal v předchozím blogpostu je funkční a je čas jít dál. A dnes jsem - v souvislosti s řešením zcela jiného problému - přišel na to, proč kolabovalo aufs a jak to obejít.

Jak ojebat overlay

23.1.2016 13:32 kenyho_stesky | Aleš Kapica | Za vším hledej Linux | | Přečteno: 2808× | Komentářů: 7, poslední 18. 12. 2016 | Hodnocení: 62 % (8 hlasů)

Je to tristní situace. Dlouho a s nadějí očekávaná integrace modulu overlay (původně "overlayfs") má zatím velice rozpačitý výsledek, neboť stále nefunguje nad NFS a jak se zdá, ani u jádra řady 4.5 se situace jen tak nezmění. I když nemohu vyloučit, že je to možná kombinací jaderných modulů a konfigurace jádra Debianu. Nechápu, jakým způsobem, za jakých okolností a proti jakému NFS serveru Szeredi tento modul testuje, protože mi to nefunguje ani u poslední verze jádra ( commit 2c9b3 ), která již má začleněn patch zavádějící parametr 'default_permissions'. Díky němu by měl overlay nad readonly NFS fungovat. Jenže..
Namountovaný NFS adresář vypadá na první pohled OK. Až na jeden detail - žádný soubor nelze otevřít. Ať dělám co dělám, vždy skončím při pokusu o čtení obsahu souboru s hláškou: "No such device or address".

Android 5 bez ripple efektu

22.1.2016 14:59 smazáno | smazáno | | Přečteno: 2188× | Komentářů: 5, poslední 9. 2. 2016 | Hodnocení: 100 % (9 hlasů)

Nedávno mě totálně vypeklo miui, strávil jsem hodiny debugováním html5 kódu kolem geolokace, aby se nakonec ukázalo, že to číňani rozbili tak šikovně, že geolokace fungovala v nativních aplikacích ale nefungovala v čemkoliv co využívá WebView. Redmi2 letěl do koše a vzal jsem mobil, na kterém jsem vědel že rozchodím CyanogenMod. S CM (12.1) zatím spokojenost, vše chodí skvěle, akorát mě vyložene irituje jeden efekt, který google přidal do Android 5. Popravdě, poprvé, když jsem měl v ruce tablet s Android 5, tak jsem 5 minut procházel Developer options a Accessibility settings, než mě došlo, že to není chyba, ale nový cool efekt. Nakonec bylo potřeba trochu poupravit bytecode.

Cron descriptor

19.1.2016 19:13 salamovo | Salamek | | Přečteno: 2029× | Komentářů: 46, poslední 28. 1. 2016 | Hodnocení: 83 % (12 hlasů)

Pro jeden Pythoní projekt na kterém pracuji jsem potřeboval převést CRONový zápis (12 9 * * *) na "human readable" string, zde se chci podělit o výsledek.

RSS Guard - novinky ve verzi 3.0.2

19.1.2016 08:24 Tak nějak | skunkOS | Programování | | Přečteno: 1864× | Komentářů: 25, poslední 25. 1. 2016 | Hodnocení: 100 % (6 hlasů)

letsencrypt-autocheck

14.1.2016 00:50 salamovo | Salamek | | Přečteno: 1677× | Komentářů: 3, poslední 14. 1. 2016 | Hodnocení: 89 % (9 hlasů)

Kvůli krátké expiraci certifikátů od letsencrypt jsem byl nucen napsat tento krátký script v pythonu který zajišťuje automatické obnovení certifikátů když se blíží datum expirace a také umožňuje vystavování nových certifikátů. Dále zasílá informace o stavu obnovení certifikátu emailem.

Programování MCU v QtCreatoru

12.1.2016 16:00 flare | Roman Došek | Programování | | Přečteno: 2275× | Komentářů: 6, poslední 14. 1. 2016 | Hodnocení: 100 % (15 hlasů)

Tento článek popisuje, jak použít vývojové prostředí QtCreator na programování bare-metal mikropočítačů. Celý postup je pro ukázku aplikován na cenově dostupný vývojový kit STM32F4 Discovery, ale pouze s minimálními obměnami je aplikovatelný i na ostatní vývojové kity od STMicroelectronics nebo i od jiných výrobců.

Let's encrypt za 10 minut pro hotentoty

6.1.2016 00:30 | xvasek | Enterprise stories | | Přečteno: 7000× | Komentářů: 22, poslední 9. 1. 2016 | Hodnocení: 64 % (11 hlasů)

Toto je postup, jak zprovoznit https s certifikátem od Let's encrypt během deseti minut (pokud vám nevadí spouštět klienta pod právy roota a shodit na chvilku web server).

Retransmisia DVB-T do IP streamu

28.12.2015 18:53 jany_blog | jany2 | linux | | Přečteno: 4129× | Komentářů: 24, poslední 10. 1. 2019 | Hodnocení: 92 % (12 hlasů)

Lesk a bída Btrfs aneb nevěřte diskům a paranoidně zálohujte

28.12.2015 11:22 Drobnosti | Cohen | Btrfs | | Anketa | Přečteno: 3991× | Komentářů: 81, poslední 22. 2. 2016 | Hodnocení: 95 % (19 hlasů)

Jsem velký fanda Btrfs a nedávno jsem psal o tom, jak jsem jej nasadil i na jednom ne až tak důležitém produkčním serveru, když jsem narazil na omezení velikosti Ext4 filesystému. Od té doby mám s Btrfs (a moderními spotřebitelskými disky) dva zážitky, které se dají shrnout jako lesk a bída Btrfs a bída moderních pevných disků. Stručný závěr: Btrfs ještě chce nějaký vývoj, ale už teď vážně zvažte jeho použití, protože kontrolní součty na úrovní filesystému jsou strašně důležitá a užitečná vlastnost a moderním diskům se nedá věřit.

Barevný adresní řádek při použití TLS ve Firefoxu 43

23.12.2015 00:05 Drobnosti | Cohen | Bezpečnost | | Anketa | Přečteno: 1503× | Komentářů: 3, poslední 26. 12. 2015 | Hodnocení: 100 % (5 hlasů)

V roce 2009 (wow, ten čas letí...) jsem publikoval zápisek, jak vrátit do webového prohlížeče Firefox podbarvování celého adresního řádku na stránkách zabezpečených SSL/TLS, které zmizelo s vydáním Firefoxu verze 3. Od té doby jsem více méně identický kód stále používal. S nedávno vydanou 43. verzí Firefoxu však podbarvování opět přestalo fungovat.

Programování hardware přes JTAG opensource nástroji

22.12.2015 00:59 limit_false | limit_false | programování | | Přečteno: 2955× | Komentářů: 26, poslední 24. 12. 2015 | Hodnocení: 100 % (17 hlasů)

Toshiba Z30-A-17E: vypnutí "accu-point"

19.12.2015 19:07 MT blog | MartinT | Linux | | Přečteno: 1541× | Komentářů: 40, poslední 28. 12. 2015 | Hodnocení: 67 % (9 hlasů)

RSS Guard - novinky ve verzi 3.0.0

16.12.2015 11:13 Tak nějak | skunkOS | Programování | | Přečteno: 1834× | Komentářů: 38, poslední 19. 12. 2015 | Hodnocení: 75 % (4 hlasů)

Tak sem nám chýlí rok ke svému konci a RSS Guard 3.0.0 je tady

Automatická aktualizácia Let's Encrypt certifikátov

13.12.2015 09:48 mirecove_dristy | mirec | Web | | Přečteno: 2981× | Komentářů: 21, poslední 16. 1. 2017 | Hodnocení: 75 % (8 hlasů)

Certifikáty Let's Encrypt sú vydávané s dobou platnosti 90 dní. Dokumentácia toho o aktualizácii moc nepíše, takže som si vymyslel takú malú blbú utilitku, ktorá aktualizuje certifikáty.

RSS Guard - Tiny Tiny RSS plugin (přehled)

13.12.2015 09:44 Tak nějak | skunkOS | Programování | | Přečteno: 1860× | Komentářů: 13, poslední 16. 1. 2017 | Hodnocení: 80 % (5 hlasů)

Chrome sandboxován v dockeru

6.12.2015 00:43 limit_false | limit_false | programování | | Přečteno: 1763× | Komentářů: 17, poslední 10. 12. 2015 | Hodnocení: 94 % (16 hlasů)

RSS Guard - novinky ve verzi 2.5.2 + road to plugins/TT-RSS

1.12.2015 11:29 Tak nějak | skunkOS | Programování | | Přečteno: 2000× | Komentářů: 18, poslední 9. 12. 2015 | Hodnocení: 100 % (8 hlasů)

Malina Pi - kamera - alebo ako som spravil z noci den

29.11.2015 20:26 u_vlka | vlk | Linux | | Přečteno: 2246× | Komentářů: 6, poslední 8. 12. 2015 | Hodnocení: 100 % (26 hlasů)

Kamera pre Raspberry Pi nieje nič extra a fotky sa za dobré daju považovať akurat tie fotené za slnečného dňa. Ale aj tak mi to nedalo a amusel som vyskúšať čo to dá - v noci. Napríklad spraviť nočnú fotku so zrkadlovkou na dlhý čas je jedna radosť. Ale s kamerou Pi a jej mrňavým senzorom, čočkou s mizernou svetelnosťou... a hlavne obmedzeným firmware, to by mohla byť celkom výzva si myslim. Tak poďme na to.

Pythoní attach-to-process pohodlněji

27.11.2015 23:30 limit_false | limit_false | programování | | Přečteno: 1401× | Komentářů: 1, poslední 28. 11. 2015 | Hodnocení: 100 % (2 hlasů)

Advanced Comic Book Format - progres od Februara

24.11.2015 11:41 GeoRW | GeoRW | ACBF | | Přečteno: 1171× | Komentářů: 12, poslední 18. 12. 2015 | Hodnocení: 100 % (4 hlasů)

Docker dpkg-buildpackage [note]

3.11.2015 23:50 xyz | johniez | dev | | Přečteno: 1108× | Komentářů: 10, poslední 9. 11. 2015 | Hodnocení: 100 % (6 hlasů)

Vývoj webovej aplikácie pomocou GWT

28.10.2015 20:20 OSS_DMS | lacod | Vývoj | | Přečteno: 2263× | Komentářů: 52, poslední 25. 11. 2015 | Hodnocení: 100 % (12 hlasů)

Viem že neprinášam na stránkach tohto blogu žiadnu novinku ale napriek tomu sa chcem podeliť o skúsenosti z vývoja WebUI aplikácie s pomocou GWT. Google Web Toolkit GWT je nástroj na vývoj WebUI aplikácie, ktorý je založený na myšlienke krížovej kompilácie Java -> JavaScript. Pre javovských vývojárov prináša jednoduchú cestu ako písať WebUI aplikáciu, v známom jazyku, bez toho aby sa museli učiť JavaScript. Určite sa ale nevyhnú CSS a HTML.

Někteří lidé jsou nepoučitelní...

26.10.2015 01:54 RTFM | Martin Tůma | LINUX | | Přečteno: 2346× | Komentářů: 3, poslední 30. 10. 2015 | Hodnocení: 93 % (14 hlasů)

...a znovu a znovu vytvářejí "Yet another XYZ" programy. Aneb GPXSee se představuje.

Omezení velikosti ext4 aneb od mdraid + LVM + ext4 k Btrfs

3.10.2015 22:56 Drobnosti | Cohen | Btrfs | | Anketa | Přečteno: 3920× | Komentářů: 42, poslední 18. 10. 2015 | Hodnocení: 95 % (22 hlasů)

Zhruba před rokem jsem na novém serveru vytvářel úložiště ze 4 kusů Hitachi 4 TB disků. Z hlediska bezpečnosti uložení dat jsem požadoval redundanci uložení (stačí dvě kopie) a samozřejmě čím vyšší rychlost, tím lépe. Už v té době jsem také předpokládal, že časem do serveru přibudou další disky a úložiště se bude rozšiřovat. Když k tomu ale teď došlo, tak jsem narazil u ext4 na limit 16 TiB velikosti filesystému. Skončilo to přechodem na Btrfs (podrobnosti dále) v produkčním provozu (byť ne kritickém), tak mi držte palce.

Časové rady v django ORM

3.10.2015 17:40 mirecove_dristy | mirec | Programovanie | | Přečteno: 1804× | Komentářů: 24, poslední 8. 10. 2015 | Hodnocení: 67 % (6 hlasů)

Keď som s djangom začínal nemal som ORM vôbec rád. Bolo hrozne obmedzené a veľa vecí bolo nutné napísať v surovom SQL. Postupne sa každou verziou ORM zlepšuje a ja môžem vyhadzovať rôzne hacky. Dnešný blog bude o nahradení django-qsstats-magic funkciami priamo z django ORM.

Reactor.js - moja odpoveď na ReactJS

26.9.2015 14:11 mirecove_dristy | mirec | Web | | Přečteno: 2690× | Komentářů: 23, poslední 28. 9. 2015 | Hodnocení: 100 % (6 hlasů)

Dnešný blog bude tak trochu o benchmarkoch a tak trochu o porovnaní kódu ReactJS a reactor.js (názov reactor bol zvolený pred zverejnením ReactJS).

Makefile statické knihovny v C a QT Creatoru

20.9.2015 11:13 Nora linuxáka | FoxVK | Programování | | Přečteno: 1225× | Komentářů: 11, poslední 16. 1. 2017 | Hodnocení: 100 % (4 hlasů)

libisds 0.10.1

6.9.2015 15:32 pb | petr_p | | Přečteno: 1362× | Komentářů: 0 | Hodnocení: 88 % (8 hlasů)

Byla vydána verze 0.10.1 knihovny libisds.

-

5.9.2015 16:35 | ---- | deleted | | Komentářů: 16, poslední 8. 9. 2015 | Hodnocení: 100 % (9 hlasů)