Вキ
@ibodnar а вы что-нибудь делаете с тем, чтобы docker не имел рута?
Size: a a a
2020 December 11
IB
@ibodnar а вы что-нибудь делаете с тем, чтобы docker не имел рута?
Чтобы докер был rootless ? Ну они же такую опцию вроде сделали, но я не знаю как у нас это сделано, не касался
ДМ
Чтобы докер был rootless ? Ну они же такую опцию вроде сделали, но я не знаю как у нас это сделано, не касался
ну это минус 20к к зарплате
Вキ
Чтобы докер был rootless ? Ну они же такую опцию вроде сделали, но я не знаю как у нас это сделано, не касался
Просто чисто гипотетически, давай предположим такую ситуацию
Тебе дали доступ к серверу с пользователем без root прав, но тебе надо выкачать (или в крайнем случае изменить) файлы, доступ к которым можно получить только через рута.
В таком случае тебе никто не мешает делать с ними что у годно через docker. Например, запустить docker run -v /my/secret/folder:/data -d alpine/data -d alpine, а затем либо в контейнере изменить их, либо скопировать, понизив их уровень доступа до собственного docker cp CONTAINER_ID:/data ./my/dest/folder/data ./my/dest/folder.
Но это просто гипотетически.
Тебе дали доступ к серверу с пользователем без root прав, но тебе надо выкачать (или в крайнем случае изменить) файлы, доступ к которым можно получить только через рута.
В таком случае тебе никто не мешает делать с ними что у годно через docker. Например, запустить docker run -v /my/secret/folder:/data -d alpine/data -d alpine, а затем либо в контейнере изменить их, либо скопировать, понизив их уровень доступа до собственного docker cp CONTAINER_ID:/data ./my/dest/folder/data ./my/dest/folder.
Но это просто гипотетически.
Вキ
ну это минус 20к к зарплате
и остается 180к?)
IB
Просто чисто гипотетически, давай предположим такую ситуацию
Тебе дали доступ к серверу с пользователем без root прав, но тебе надо выкачать (или в крайнем случае изменить) файлы, доступ к которым можно получить только через рута.
В таком случае тебе никто не мешает делать с ними что у годно через docker. Например, запустить docker run -v /my/secret/folder:/data -d alpine/data -d alpine, а затем либо в контейнере изменить их, либо скопировать, понизив их уровень доступа до собственного docker cp CONTAINER_ID:/data ./my/dest/folder/data ./my/dest/folder.
Но это просто гипотетически.
Тебе дали доступ к серверу с пользователем без root прав, но тебе надо выкачать (или в крайнем случае изменить) файлы, доступ к которым можно получить только через рута.
В таком случае тебе никто не мешает делать с ними что у годно через docker. Например, запустить docker run -v /my/secret/folder:/data -d alpine/data -d alpine, а затем либо в контейнере изменить их, либо скопировать, понизив их уровень доступа до собственного docker cp CONTAINER_ID:/data ./my/dest/folder/data ./my/dest/folder.
Но это просто гипотетически.
А ты пробовал? Есть подозрение что не удастся
Вキ
А ты пробовал? Есть подозрение что не удастся
Если чисто гипотетически пробовал ли я или нет, то допустим пробовал
И если чисто гипотетически когда пробовал, то допустим только что
И если чисто гипотетически когда пробовал, то допустим только что
Вキ
страшна?)
IB
страшна?)
Очень
Вキ
Очень
В этой гипотетической ситуации, у меня не было рута, чтобы сделать определенные действия с файлами. Но благодаря docker, в этой гипотетической ситуации, у меня появился доступ к рутовым файлам без рута, как будто бы я рут.
N👩
В этой гипотетической ситуации, у меня не было рута, чтобы сделать определенные действия с файлами. Но благодаря docker, в этой гипотетической ситуации, у меня появился доступ к рутовым файлам без рута, как будто бы я рут.
Саундс лайк уязвимость
Вキ
Саундс лайк уязвимость
Ду ю юз уязвимости?
AS
ну да, за все время существования докера до этого никто не додумался
MA
Насколько я помню, в убунте по дефолту нельзя без рута выполнять операции с докером. По крайней мере, я постоянно об это спотыкаюсь на серваке, т.к. на локальной машине у меня разрешен доступ без рута.
N👩
Ду ю юз уязвимости?
Ноуп
Вキ
Насколько я помню, в убунте по дефолту нельзя без рута выполнять операции с докером. По крайней мере, я постоянно об это спотыкаюсь на серваке, т.к. на локальной машине у меня разрешен доступ без рута.
может просто так установлено было?
DT
Пингани завтра, плиз) я посмотрю
хелло
DT
что-то я сам подзабыл)
Вキ
хелло
чуть попозже тогда)