N
Alexander
Где я тут что смешал?
В чем проблема запускать контейнер от пользователя?
Size: a a a
2020 October 03
A
В чем проблема запускать контейнер от пользователя?
В том что проблему "получил доступ к докеру = поимел рута на хосте" это не исправляет.
N
Alexander
В том что проблему "получил доступ к докеру = поимел рута на хосте" это не исправляет.
чво
N
ты выйдешь из докера под тем же пользователем
N
не под рутом
A
ты выйдешь из докера под тем же пользователем
alias su="docker run -it --rm --privileged --uts=host --pid=host --net=host --userns=host -v /:/tmp/root busybox chroot /tmp/root sh -l"N
Alexander
alias su="docker run -it --rm --privileged --uts=host --pid=host --net=host --userns=host -v /:/tmp/root busybox chroot /tmp/root sh -l"ты походу вообще не слышышь
N
докер сам чтоли аргументы набирает за тебя?
A
ты выйдешь из докера под тем же пользователем
При чем тут выход из контейнера?
N
и ты принципиально без
--privileged --uts=host --pid=host --net=host --userns=host вот этой помойки не ранаешь контейнеры?RM
A
докер сам чтоли аргументы набирает за тебя?
Перечитай начало обсуждения.
GG
тебе примеры показать как надо писать докер файлы? как пишет комьюнити
Их не нужно писать (с)
GG
И вообще 90% докер файлов написано от балды
N
Так ты внимательно посмотри, это ж супербрутальная хлопушка, вышла в дождь погулять :D
N
И вообще 90% докер файлов написано от балды
так это опять же докер не причем
GG
Alexander
Дыра докера - хреновые дефолты, выбранные без оглядки на безопасность.
Десятки лет учили людей не запускать сервисы от рута и, вроде, до всех дошло, но пришёл докер, и почти все сейчас опять крутят в нем сервисы под рутом (и даже без userns).
И даже если ты для своих сервисов пишешь докерфайлы правильно, то сторонние образы с высокой вероятностью на это клали болт и под дефолтным юзером. И вина в том, что этот юзер - рут вполне себе на докере.
Десятки лет учили людей не запускать сервисы от рута и, вроде, до всех дошло, но пришёл докер, и почти все сейчас опять крутят в нем сервисы под рутом (и даже без userns).
И даже если ты для своих сервисов пишешь докерфайлы правильно, то сторонние образы с высокой вероятностью на это клали болт и под дефолтным юзером. И вина в том, что этот юзер - рут вполне себе на докере.
+
GG
так это опять же докер не причем
И да, и нет
GG
Нет - это выбор писателя докерфайла
Но вина докера именно в том, что он дал механизм, который не имеет каких-либо бест пректисов, ограничений (возможно, что снимаемых - как в языках программирования) и всего прочего
Но вина докера именно в том, что он дал механизм, который не имеет каких-либо бест пректисов, ограничений (возможно, что снимаемых - как в языках программирования) и всего прочего
GG
Я уж не говорю о том, что концепция сборки в контейнере с параметрами «по умолчанию»