ВЕ
Не думаю, что так вот просто можно будет скакать между подсистемами. Они на сколько я знаю между собой так же токенами общаются и на прямую не влияют друг на друга.
Size: a a a
2021 April 26
AD
Не знаю, если честно... Просто Проксу выше за процессы предъявили
МП
Если у вас на предприятии к системе виртуализации имеет доступ кто-нибудь окромя тех персонала, то проблема точно не в платформе :)
АХ
блин во я волну поднял)
I
тут в чате у кого-то кластер в майнинг ферму превращался из-за привелегированного контейнера
PZ
А что из контейнера можно вылезти?
МП
Во всем есть дырки
PZ
Я согласен, что АНБ меня взломает. Пусть спалят свое секретное оружие на мне.
А остальные как выберутся из регулярно обновляемого хоста ?
А остальные как выберутся из регулярно обновляемого хоста ?
МП
Через устройство к примеру. коль контейнер привилегированный то и доступа у него больше ко всякому
МП
И дрова пишут люди и ядро пишут люди. Все эти переполнения и тд
I
достаточно дыры в сайте + непатченный sudo, например. или вечно дырявый ftp сервер.
ВМ
даже в людях, а в ком нет, есть паяльник)
AD
кстати, #вопрос, вот у меня некоторые виртуалки хостят веб-сервисы, и они смотрят в инет. Я законопатил такие виртуалки файрволлом (который в самом Проксе), закрыв им локалку, оставив только ДНС-сервер
Это ведь спасет меня в случае если из инернета ломанут веб-вервер и захватят контроль на виртуалкой?
Это ведь спасет меня в случае если из инернета ломанут веб-вервер и захватят контроль на виртуалкой?
OK
Ну, если не придумают как удаленно через днс заставить твою сеть открываться, то да))
i
Привелигированный контейнер = caps admin = возможность подгрузки в ядро своего модуля
I
в прошлом году пару дыр qemu закрывали. одно из них в драйвере дисковода )
2021 April 27
OK
PZ
да просто дисковод не добавляй в виртуалки и вообще не делай ничего дикого
p
Proxmox в VR. Виртуализация поверх виртуализации. Мне это нравится. 🤘🏻
Теперь дело за докером
Теперь дело за докером
p
