Телеграмм чат группы docker

Dmitry in Docker — русскоговорящее сообщество

21:44пожаловаться #1

D

Виталя

И у меня еще есть один кейс, допустим у меня имеется 25 сайтов (на разных доменах каждый, по стэку php, кое-где nodejs + react), сейчас они все висят у хостинга, но я хочу их перенести на aws

Целесообразно ли для этой задачи использовать контейнер и лучше создать 1 контейнер для всех продакшн сайтов или под каждый сайт свой контейнер ?

весь смысл раскроется когда в каждом контейнере будет как можно меньше сущность. Чтоб мог обновлять одно, а другое работало.
Удобно в кубере поднимать это всё, но тоже нужно вникать.

23:16пожаловаться #2

2020 October 03

А

Александр in Docker — русскоговорящее сообщество

Всем привет!

Правильно ли я понимаю, что при работе с Docker пользователь, при желании, может получить доступ к любому файлу на компьютере? И если ограничить разрешённые ему действия через sudo (если там будет build, то скопирует нужные ему файлы через директивы Dockerfile), и если добавить пользователя в группу docker (подключит каталог хост-машины к своему контейнеру)?

inqfen in Docker — русскоговорящее сообщество

11:27пожаловаться #3

i

Ага

inqfen in Docker — русскоговорящее сообщество

11:29пожаловаться #4

i

Запускает в privileged и монтирует что хочет

11:29пожаловаться #5

GG

Александр

Всем привет!

Правильно ли я понимаю, что при работе с Docker пользователь, при желании, может получить доступ к любому файлу на компьютере? И если ограничить разрешённые ему действия через sudo (если там будет build, то скопирует нужные ему файлы через директивы Dockerfile), и если добавить пользователя в группу docker (подключит каталог хост-машины к своему контейнеру)?

Все так

11:37пожаловаться #6

GG

Тебе может помочь кубернетес с PSP и моделью доступа RBAC

11:37пожаловаться #7

A

Alexander in Docker — русскоговорящее сообщество

Александр

Всем привет!

Правильно ли я понимаю, что при работе с Docker пользователь, при желании, может получить доступ к любому файлу на компьютере? И если ограничить разрешённые ему действия через sudo (если там будет build, то скопирует нужные ему файлы через директивы Dockerfile), и если добавить пользователя в группу docker (подключит каталог хост-машины к своему контейнеру)?

Да, docker без тщательной фильтрации параметров (через auth plugin, например) - это эквивалент sudo в рута.
Можно даже alias себе прописать :)

alias su="docker run -it --rm --privileged --uts=host --pid=host --net=host --userns=host -v /:/tmp/root busybox chroot /tmp/root sh -l"

12:03пожаловаться #8

N

но докер то тут не при чем по факту, это как ранить все сервисы от рута в надежде на их надежность

12:06пожаловаться #9

A

Alexander in Docker — русскоговорящее сообщество

Nazar

но докер то тут не при чем по факту, это как ранить все сервисы от рута в надежде на их надежность

В принципе, "при чем", т.к. позволяющие все дефолты и даже отсутствие возможности из коробки их ограничить (нужно самому писать плагин) - это вполне себе выбор разработчиков докера.
И, да, большинство в докере сервисы от рута и ранит :)

12:10пожаловаться #10

N

Alexander

В принципе, "при чем", т.к. позволяющие все дефолты и даже отсутствие возможности из коробки их ограничить (нужно самому писать плагин) - это вполне себе выбор разработчиков докера.
И, да, большинство в докере сервисы от рута и ранит :)

это не вина докера что лень польователя создат в контейнере

12:11пожаловаться #11

N

и ранить правильно в системп

12:11пожаловаться #12

GG

Alexander

В принципе, "при чем", т.к. позволяющие все дефолты и даже отсутствие возможности из коробки их ограничить (нужно самому писать плагин) - это вполне себе выбор разработчиков докера.
И, да, большинство в докере сервисы от рута и ранит :)

+

12:19пожаловаться #13

GG

Nazar

это не вина докера что лень польователя создат в контейнере

Вина докера

12:19пожаловаться #14

GG

Однозначно

12:19пожаловаться #15

GG

А ещё докер не нужен (с)

12:19пожаловаться #16

GG

Для разработки можно вагрант

12:19пожаловаться #17

GG

А для прода systemd

12:19пожаловаться #18

A

Alexander in Docker — русскоговорящее сообщество

Nazar

это не вина докера что лень польователя создат в контейнере

Ну да, это же юзер виноват, что он не сменил в докерфайлах всех используемых образов юзера с дефолтного рута, что не написал специальных плагин, который бы не давал запускать контейнеры в режиме воруй-убивай.
А ещё юзеры виноваты в том, что в софте уязвимости есть, не могли что ли перед использованием посмотреть код и закрыть все дыры?

12:22пожаловаться #19

N

Alexander

Ну да, это же юзер виноват, что он не сменил в докерфайлах всех используемых образов юзера с дефолтного рута, что не написал специальных плагин, который бы не давал запускать контейнеры в режиме воруй-убивай.
А ещё юзеры виноваты в том, что в софте уязвимости есть, не могли что ли перед использованием посмотреть код и закрыть все дыры?

Ты сейчас короче сказал пустую фразу, и напихал в нее просто воды