AE
Это равносильные вещи, так как доступ к сокету докера даёт рут-доступ к хвостовой системе.
нет
Size: a a a
2019 September 02
AM
А можно ссылочку, как этого избежать?
AE
с чего это доступ к порту дает рут права к системе?
AM
с чего это доступ к порту дает рут права к системе?
Ну, никто не мешает, имея доступ к докеру, поднять контейнер, примонтировать корень хостовой ФС к этому контейнеру и делать с ней всё, что угодно.
BP
Ну, никто не мешает, имея доступ к докеру, поднять контейнер, примонтировать корень хостовой ФС к этому контейнеру и делать с ней всё, что угодно.
Это не так работает
AE
Это не так работает
так то @r4zzz4k прав. по дефолту там не RO монтируется
AM
Это не так работает
https://medium.com/@vdboor/creating-a-secure-gitlab-docker-builder-31a66131834d
Первая попавшаяся ссылка по теме
Первая попавшаяся ссылка по теме
AM
С описанием проблемы и решениями, как обезопасить свой докер от недоверенных контейнеров, среди которых dind, виртуалки и чистая vps-ка (то есть сам по себе докер от этого защитить невозможно до сих пор).
AM
Вообще все туториалы, которые предлагают юзера добавлять в группу
docker, должны большими красными буквами писать, что это даёт любому процессу, запущенному от этого юзера, беспарольный рут, но увы.BP
Все печально
BP
Пишем убийцу докера на котлине
AM
AE
podman
AE
но под него нет композа, потому пока только докер
AN
Пишем убийцу докера на котлине
На градле. Кстати вполне реально :)
AM
На градле. Кстати вполне реально :)
Речь о сборке или о запуске контейнеров? :)
AM
Если о сборке, jib ровно об этом. Если и менеджменте, то я не до конца понял, при чём тут система сборки.
AN
Если о сборке, jib ровно об этом. Если и менеджменте, то я не до конца понял, при чём тут система сборки.
Градл не только система сборки, там вполне полноценное управление задачами. Но он немного не про это, да.
SZ
с jib сборка чуть быстрее и там они делают слоями, вместо обычного fat jar
VP
А кто-нибудь использует этот jib? Он не сырой?