VO
но это гораздо проще. вот тут noexec, вот тут -- изоляция, вот тут -- наш контролируемый репозиторий
Size: a a a
2021 July 19
VG
как? )
VG
несовместимый с оригинальным докером? короче проще выкинуть докер и делать как полагается
VG
ну ты можешь хакнуть внутренней переменной перла еще
VO
а как в линухах полагается когда в хостовой системе репа такая старая шо писец?
VO
а? шо?
W
Возможно вы это делаете слишком поздно. Попробуйте в BEGIN блок это записать.
DF
а типа базовый образ правильно собрать религия не позволяет? Если на железном серваке все это работает, то и с докером проблем не будет
VG
ну по типу $^H = 0x06e2 например
VG
докажи это аудиторам
2021 July 20
D
нашел я это место с помощью бинарного поиска и print STDERR )
A tie не срабатывал. Потому что была проверка в том месте
return;
A tie не срабатывал. Потому что была проверка в том месте
if (exists ${"$target_pack\::"}{'ISA'} and defined *{${"$target_pack\::"}{'ISA'}}{'ARRAY'}) {
//skip $target_pack already existsreturn;
}DF
Ну с обычным сервером как-то доказывают же, какая разница то
VG
большая, методом кастрации юзерленда например
VO
так с кастрированным же проще должно быть?
VG
так докер-то наоборот приносит
VO
разве мы сейчас не про самописное кастрированное
VG
"базовый образ" явно про стоковый докер
DF
нет конечно, базовый образ это тот, который ты используешь как базу для всех своих сборок. Никто не мешает собрать его самому так, как тебе надо. Плюс кастировать образ можно значительно сильнее чем железный сервак. Там может банально не быть никакого софта кроме твоего приложения. А если кто-то в работающий на проде контейнер полезет от рута, то это все будет видно в мониторингах
VG
сам докер не кастрируешь же, а в нём только в этом году было две дыры получения рута
DF
Во превых - докер уже давно можно запускать от юзера. Во вторых все дыры связаны с тем, что приложение в контейнере работает от рута - запускай от юзера и никаких проблем.