The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Взлом инфраструктуры Docker Hub с возможной компрометацией с..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +/
Сообщение от opennews (?), 27-Апр-19, 09:29 
Пользователи Docker Hub (https://hub.docker.com/), официального каталога контейнеров для системы Docker, получили уведомление (https://news.ycombinator.com/item?id=19763413) о взломе инфраструктуры проекта. В результате атаки в руки злоумышленников попала база учётных записей, включающая сведения о 190 тысячах пользователей сервиса, включая хэши их паролей и токены для доступа к  репозиториям на GitHub и Bitbucket. Для предотвращения распространения атаки формирование сборок приостановлено, а токены к GitHub и Bitbucket отозваны.


Всем пользователям Docker Hub  рекомендуется срочно поменять свои пароли, особенно если один пароль используется на нескольких разных ресурсах. В случае использования автоматизированных сборок с привязкой к репозиторию на GitHub или Bitbucket также рекомендуется включить двухфакторную аутентификацию и обновить идентификатор подключения OAuth (нужно (https://docs.docker.com/docker-hub/builds/link-source/) отсоединить и заново привязать репозиторий).


В случае привязки к репозиторию запрашивались полные полномочия на чтение и запись информации, т.е. компрометация Docker Hub может привести и к компрометации подключенных репозиториев. В случает наличия привязки следует внимательно
изучить лог (GitHub (https://help.github.com/en/articles/reviewing-your-security-log) BitBucket (https://bitbucket.org/blog/new-audit-logs-give-you-the-who-w...)) последних событий на предмет наличия подозрительной активности. Кроме того,
в случае размещения ключей подключения к различным API в непубличных репозиториях и контейнерах, необходимо обновить и эти ключи, так как атакующие могли получить доступ приватным репозиториям.


Инфраструктура Docker Hub была атакована 25 апреля. В ходе атаки злоумышленники получили доступ к СУБД проекта и информации пользователей, за исключением финансовых данных. Начальное разбирательство показало, что утечка охватывает данные приблизительно 190 тысяч пользователей, что составляет примерно 5% от общей пользовательской базы сервиса. Подробная информация об инциденте пока недоступна, разбирательство ещё не завершено.

URL: https://news.ycombinator.com/item?id=19763413
Новость: https://www.opennet.ru/opennews/art.shtml?num=50584

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +25 +/
Сообщение от Аноим (?), 27-Апр-19, 09:29 
Обо всех этих проектах *hub впереди ещё много интересных новостей (не всегда радостных)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +1 +/
Сообщение от пох (?), 30-Апр-19, 10:47 
кстати, а все оценили что их нескучный бложек называется success.docker.com - и страничка, куда ведет ссылка с любой страницы докерхапа, имеет прекрасный подзаголовок "docker success center" ?

рыдаю под столом. Воистину, саксес!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

41. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +1 +/
Сообщение от Andrey Mitrofanov (?), 30-Апр-19, 11:21 
>success.docker.com - и
> "docker success center" ?
> рыдаю под столом. Воистину, саксес!

"" Дыркер -- не про безопасность и не про продавакшен, и никогда не был. ""
https://www.opennet.ru/openforum/vsluhforumID3/117187.html#39

Отано чо!  Он про сак-сцес!11111

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

43. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  –1 +/
Сообщение от InuYasha (?), 02-Май-19, 11:22 
Точно. Про sucks ass.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

3. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  –2 +/
Сообщение от Аноним (3), 27-Апр-19, 10:08 
Вот жесть, целый docker hub.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +1 +/
Сообщение от Аноним (4), 27-Апр-19, 10:27 
Вот почему никогда нельзя привязывать друг к другу свои аккаунты на разных сервисах. Дописал что-то в код - закинул на гитхаб от себя. Слепил имидж с обновлённым кодом - закинул на докерхаб опять-таки от себя.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  –7 +/
Сообщение от Аноним (9), 27-Апр-19, 11:30 
Вы только что придумали велосипед - держите в курсе.

Собирать докер имеджи руками - моветон

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

18. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  –1 +/
Сообщение от Аноним (4), 27-Апр-19, 16:26 
> Собирать докер имеджи руками - моветон

И давно для Вас Алёна Гиль стала авторитетом по части создания Docker-образов?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

22. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  –1 +/
Сообщение от Аноним (9), 27-Апр-19, 17:53 
Это мои чисто практические заключения, из опыта, которого к слову с докером уже более 4х лет
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

33. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +1 +/
Сообщение от Аноним (4), 28-Апр-19, 09:40 
Ну да, конечно, весь твой опыт с Докером подтверждает, что _на своей_ машине автоматом слепить обновлённый образ на основе обновлённого репозитория (который опять-таки живёт _на твоей_ машине, а на гитхаб только отзеркаливается), и _со своей_ машины закинуть его на докерхаб - это страшный моветон, да.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

37. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  –2 +/
Сообщение от Аноним (37), 28-Апр-19, 16:32 
В _твоём_ собственном интернете, никому, кроме _тебя_ не нужном.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

5. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  –1 +/
Сообщение от Анун (?), 27-Апр-19, 10:38 
Поделом.
Хотя, им же нечего скрывать)))0
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  –5 +/
Сообщение от А (??), 27-Апр-19, 10:55 
весь докерхаб надо поместить в докер, полученный контейнер засунуть в квм, квм-хост запустить на hyper-v, что бы прям все было забетонировано.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +5 +/
Сообщение от Аноним (7), 27-Апр-19, 10:58 
И как же эти действия защитят от взлома?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +7 +/
Сообщение от Аноним (10), 27-Апр-19, 11:38 
Никак, но будет правильная матрёшка по типу "мы засунули тебе браузер в браузер, чтобы ты мог сёрфить интернет пока сёрфишь интернет".
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +1 +/
Сообщение от Аноним (8), 27-Апр-19, 11:09 
> квм-хост запустить на hyper-v

Ну-ну.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  –1 +/
Сообщение от barkingwolff (ok), 27-Апр-19, 12:24 
Ого, редко встретишь настолько глубоко мыслящего индивидуума, что глубину этой мысли даже титаническими усилиями не постичь простому смертному!
Респект, глубиномер зашкалил!

P.S. Это часом не Вы изобрели 100-ричную логику, где банальные и привычные законы нашей "приземленной" бинарной логики не действуют от слова "совсем"?
Если так, то "троектратный Салют" и респект дважды!

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

16. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +/
Сообщение от Аноним (16), 27-Апр-19, 14:38 
> hyper-v

показывает, на каких курсах он набирался ума

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

24. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +/
Сообщение от Sw00p aka Jerom (?), 27-Апр-19, 18:18 
>P.S. Это часом не Вы изобрели 100-ричную логику, где банальные и привычные законы нашей "приземленной" бинарной логики не действуют от слова "совсем"?

Почему же это не действуют? как раз на оборот

Какая разница между допустим (A xor B) и (A xor B xor C) ?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

11. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +9 +/
Сообщение от UshUsh (?), 27-Апр-19, 11:59 
Никогда такого небыло и вот опять
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +/
Сообщение от Аноним (9), 27-Апр-19, 17:49 
У любого адекватного человека, не родится мысль брать чужие блобы в дом, ну а если взял - ССЗБ.
В интернете куча статей как собрать образы (from scratch ) , пользуете CI ? прекрасно! Они будут собираться автоматически.

А дыры всегда были и будут, да вот опять :D

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

38. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +/
Сообщение от нах (?), 29-Апр-19, 09:42 
линукс себе from scratch собрать не забудь, альтернативно-адекватный ты наш.

а то ж там блоооообы!
(тыщи их)

P.S. а еще есть прекрасные дыркерные контейнеры, которые не имеют исходников в принципе.
Или имели их - когда-то. А сейчас не соберутся, либо потому что FROM:чтототамчтотригоданазадбыло:latest либо потому что наоборот - внутри wget какая-тохрень, которая давным-давно уже удалена или перемещена незнамокуда.

Но бывают и такие где автор просто ниасилил автоматическую сборку - смотришь в history - а там - там-тадам add /здоровенный.tar - собранный автором кое-как у себя, любимого, методом проб и ошибок с единственно-верными версиями всего.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

45. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  –1 +/
Сообщение от Аноним (8), 05-Май-19, 22:18 
> потому что FROM:чтототамчтотригоданазадбыло:latest

Те чё сказали? FROM: scratch

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

12. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +9 +/
Сообщение от zurapa (ok), 27-Апр-19, 12:06 
"Девопсы плакали, но продолжали жрать кактус..."
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  –9 +/
Сообщение от Аноним (9), 27-Апр-19, 17:47 
Гражданин Зара(у)па,

Шли бы вы лесом, если не умеете (как и большинство тех кто называет себя девопсом ) - то это не значит , что мир на вас замкнулся, всем на-ср-ать на ваше мнение, у бизнеса свои критерии.

Те кому надо, уже в докере/кубере - да хоть в рокете, а вы продолжайте жевать свой эгкхм Кактус сами.
Как правило, такие как Вы, даже винду поставить нормально не могут, не говоря уж о каких либо адекватных ОС.

Мир не идеален, незаменимых нет. Успехов вам, на вашем месте работы, надеюсь вас там ценят и любят (а иначе на-хе-р вас там держать ? )

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

29. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +6 +/
Сообщение от НяшМяш (ok), 27-Апр-19, 22:19 
Эвона взорвалось у анонимуса. Обычно как раз таки наоборот - кучу девопсиков умеет в 3 команды докера, а как только надо запустить локально - так они даже не знают какие пакеты нужно установить (а часто оказывается, что у них венда). С умным видом клацать кнопки в вебморде консоли хостинга и раскатывать готовые имеджи - это не вершина эволюции, уймитесь.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

44. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +1 +/
Сообщение от InuYasha (?), 02-Май-19, 11:26 
да, это не вершина эволюции. это яма деградации.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

46. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +/
Сообщение от Аноним (8), 05-Май-19, 22:23 
Всяко бывает, да. Приходил один собеседоваться. Его спросили: зачем докер нужен? А он: чтобы после обновления сервиса всю систему не перезагружать.
Но из существования таких индивидов не следует, что докер не нужен. Вот нужность хаба под вопросом, ибо кроме пары-тройки официальных образов оттуда ничего брать точно не стоило (а после этого факапа и их не стоит).
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

48. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +/
Сообщение от нах (?), 06-Май-19, 13:15 
> Его спросили: зачем докер нужен?

опа, а с этого места поподробнее - что вы ожидали услышать от правильного кандидата?
(меня интересует именно это, а не "правильный ответ")


> Но из существования таких индивидов не следует, что докер не нужен. Вот нужность хаба под
> вопросом,

дыркер без хаба - очевидно не нужен.
поскольку превращается в плохой косплей бсдшного джейла, где солнце надо закатывать вручную.


Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

49. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +/
Сообщение от Аноним (49), 06-Май-19, 15:16 
> дыркер без хаба - очевидно не нужен.

Это всё равно, что говорить, что git без гитхаба не нужен. Никто ведь не мешает держать свой уютный реестр со своими образами.

> поскольку превращается в плохой косплей бсдшного джейла, где солнце надо закатывать вручную.

А что, у бсдешного джейла есть API, позволяющий его легко интегрировать с чем вздумается? И что, он умеет наплодить >9000 контейнеров из одного образа за считаные секунды с минимальным оверхедом? Да, подобное можно реализовать с помощью jail, но поверх придётся наворотить ещё вагон кода.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

51. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +/
Сообщение от пох (?), 06-Май-19, 21:42 
> Это всё равно, что говорить, что git без гитхаба не нужен.

git и с гихапом не нужен, автоматизируя ненужную деятельность и не автоматизируя нужную, но это ладно.

> Никто ведь не мешает держать свой уютный реестр со своими образами.

только смысл в этом какой?

весь смысл и польза от дыркера в том что наружу ничего лишнего не торчит и не может быть просыпано на пол.
А для этого надо иметь FROM что. Иначе (если оно у тебя уже отдельно от доскера собрано и лежит на общей fs) - нахрена городить этажерку с ее глюками, падениями и тормозами? (и s for security)

> А что, у бсдешного джейла есть API, позволяющий его легко интегрировать с чем вздумается?

а зачем он ему, если он не является монстром без ручек с ниасиленными exit codes, не говоря уж о чем сложнее?

> И что, он умеет наплодить >9000 контейнеров из одного образа за считаные секунды с минимальным
> оверхедом?

он умеет запустить 9000 процессов с тем же самым оверхедом, с которым их запустила бы операционная система без всякого контейнера (потому что для нее нет разницы).
В отличие от доскера, где старт контейнера весьма и весьма уныл из-за создания ненужно-матрешки оверлеев - у меня мониторинг успевает заорать.

> Да, подобное можно реализовать с помощью jail

но ведь ненужно.

> но поверх придётся наворотить ещё вагон кода.

ну и к дыркеру пришлось. причем это еще и вагон очень плохого кода - начиная от swarm (внезапно ломающего build, казалось бы, никак не связанный с ним) и заканчивая k8s и менее популярными затыкалками явных косяков дизайна и неумения разработчиков доделывать до работоспособного в массовом проекте состояния, а не "запускается!"

P.S. вот кто-нибудь знает как ЭТО можно употребить с ну хоть какой-нибудь практической пользой?
https://github.com/gentoo/gentoo-docker-images
(на build error не обращайте внимания - это как раз последствия взлома)

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

53. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +/
Сообщение от Аноним (8), 06-Май-19, 23:49 
> А для этого надо иметь FROM что

Собрал базовый образ, на его основе плодишь всё остальное. В чём проблема? (Да, я, как и большинство других, ленив, и до сих пор большую часть базовых образов тягал с хаба, сам собирал только то, чего там нет.)

>> А что, у бсдешного джейла есть API, позволяющий его легко интегрировать с чем вздумается?
> а зачем он ему, если он не является монстром без ручек с ниасиленными exit codes, не говоря уж о чем сложнее?

Затем, чтобы твоё сравнение его с докером имело право на существование.

> он умеет запустить 9000 процессов с тем же самым оверхедом, с которым их запустила бы операционная система без всякого контейнера (потому что для нее нет разницы).
> В отличие от доскера, где старт контейнера весьма и весьма уныл из-за создания ненужно-матрешки оверлеев - у меня мониторинг успевает заорать.

Оверлеи для того и нужны, чтобы запускать не просто процессы, а разные контейнеры, не копируя образ. И это как раз то, для чего есть смысл использовать докер.

> но ведь ненужно.

Тебе не нужно — ну и молчи в тряпочку. А я бы порадовался, если бы давние потуги запилить jail-бекенд для докера привели бы к созданию чего-то работоспособного.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

56. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +/
Сообщение от пох (?), 07-Май-19, 07:45 
> Собрал базовый образ, на его основе плодишь всё остальное. В чём проблема?

зачем, блин?

базовый образ ты собирал из своей операционной системы - поздравляю, она у тебя и так есть - теперь еще и со всем нужным для работы того что предполагалось в образе.
Какой теперь смысл громоздить подпорки и костыли?
У jail смысл остается - в изоляции, доскер и ее обеспечивает на от...сь.

> (Да, я, как и большинство других, ленив, и до сих пор
> большую часть базовых образов тягал с хаба, сам собирал только то,

с хабом все как и с обычными дистрибутивами линукса - большая часть работы проделана за тебя - это и обновления, и сборка-упаковка.  (да, все сделано не теми руками и через анус, но "и так сойдет" в эпоху девляпса)

Ты _экономишь_ свое время и усилия, написав FROM какаятонёх и добавив пару своих конфигов или специально-кривособранный бинарник, и вообще не парясь о том, что там в нижних слоях. (потом обратно тратишь на выпрямление изначально кривого, но это см выше - можно и не тратить)

Не говоря уже о том что у меня полно такого, что просто не соберешь или оно соберется криво - разработчики уже напрочь разучились думать верхней головой, и эти поделки существуют вообще только в виде готовых образов.

> Затем, чтобы твоё сравнение его с докером имело право на существование.

у него есть api, unix называется.
у дыркера, что характерно, нету, вмешаться можно через несколько кривых и уродливых механизмов, иначе все сломаешь (читал тут про страдания с ipv6 - плакал - там именно все сломали, а зачем - непонятно, не в смысле причин, а в смысле результата).

> Оверлеи для того и нужны, чтобы запускать не просто процессы, а разные
> контейнеры, не копируя образ. И это как раз то, для чего

man mount_unionfs что-ли?

> есть смысл использовать докер.

приведи пример хоть одного использования по назначению - и зачем оно в принципе надо, отдельно от кривизны самой технологии.

у меня вот смысл что это средство деплоя. Я не могу поставить ту систему, которая там внутри, оно гнилое и дырявое. раздать subtree с ней для jail'ов через nfs - мог бы ничуть не сложнее чем громоздить обертки для "контейнеров", еще и работало бы быстрее.

>> но ведь ненужно.
> Тебе не нужно — ну и молчи в тряпочку. А я бы

никому ненужно - поэтому и не написали (альтернативно-одаренные не в счет - им всегда нужно, но написать ничего не могут). В линуксе другого пути не было просто - весь миллион low-level api, задействуемых дыркером при создании контейнера, практически невозможно использовать вручную, поэтому и наклепали игогошную поделку, кое-как соединяющую их в то, что во фре делает утилита на 16k.

> порадовался, если бы давние потуги запилить jail-бекенд для докера привели бы

так в нем линукс-помойки все равно нормально работать не будут.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

57. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +/
Сообщение от Аноним (49), 07-Май-19, 21:57 
> базовый образ ты собирал из своей операционной системы - поздравляю, она у тебя и так есть - теперь еще и со всем нужным для работы того что предполагалось в образе.

Ты это, заканчивай там с веществами. Образ аккуратно собирается в чруте посредством debootstrap или rinse, в зависимости от дистрибутива, который надо упаковать. И в нём далеко не обязательно тот же самый дистрибутив, под которым это делается.

> с хабом все как и с обычными дистрибутивами линукса - большая часть работы проделана за тебя - это и обновления, и сборка-упаковка.

Ага, только, в отличие от дистрибутива, ты понятия не имеешь, кто и как всю эту работу проделал. Нет рецензирования, нет подписывания, нет никаких гарантий. В случае дистрибутива ты доверяешь команде его разработчиков, в случае хаба — сборщику каждого отдельного образа индивидуально. Всех надо проверять, если ты хоть немножко парано^W не самоубийца.

> Ты _экономишь_ свое время и усилия, написав FROM какаятонёх

Не помню уже, когда писал что-нибудь отличное от FROM debian или FROM alpine.

> приведи пример хоть одного использования по назначению - и зачем оно в принципе надо, отдельно от кривизны самой технологии.
> у меня вот смысл что это средство деплоя.

А у меня это средство для сборки. Они получаются на 100% воспроизводимыми, потому что окружение всегда одно и то же. И docker интегрирован со всеми, какие только бывают, CI (см. выше про API).

> никому ненужно - поэтому и не написали

Вообще-то написали, только пока писали, docker уже настолько переколбасили, что надо было начинать всё сначала.

> так в нем линукс-помойки все равно нормально работать не будут.

А мне фрю надо.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

58. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +/
Сообщение от пох (?), 08-Май-19, 12:37 
> Ты это, заканчивай там с веществами. Образ аккуратно собирается в чруте посредством debootstrap
> или rinse,

больше костылей богу костылей.
образ, используемый доскером - будем собирать в чем угодно, только не в доскере, ну а чо, всегда так делали ж.

>> с хабом все как и с обычными дистрибутивами линукса - большая часть работы проделана за тебя -
>> это и обновления, и сборка-упаковка.
> Ага, только, в отличие от дистрибутива, ты понятия не имеешь, кто и как всю эту работу проделал.

как будто ты в дистрибутиве имеешь?
Ну и наклейка "official image" как бы имеется. https://docs.docker.com/docker-hub/official_images/
На фоне взлома инфраструктуры вот очень полезная - сразу можно угадать тех, у кого точно утекли и гитхабовые ключи ;-)

А когда там нечто, что и собрать-то толком невозможно - так и тем более нет смысла ковыряться - ну его нах запускать билдскрипты и костыли того же автора, хрен знает каких червей он сам нахватался (да и не запускается обычно нифига просто так). Проще сразу запускать его бинарник.

> А у меня это средство для сборки.

а кто только что для сборки использовал поделку с чрут? Я обычно использую (если это нельзя просто взять и поставить или хотя бы просто взять и собрать штатными инструментами) vm, поскольку для сборки все равно понадобится весь интернет, и делать это в разы удобнее в полноценном дистрибутиве, а не в кастрированном уродце.
Но мне воспроизводимость этой сборки нахрен не уперлась (хотя она и воспроизводится - в той же vm) - зачем мне ее воспроизводить чтобы получить то что у меня уже есть?
А с новой версией того же кала (или, что чаще - под новую версию системного кала) - какое ж оно нахрен воспроизводимое? То ли соберется, то ли, скорее всего, нет.

> А мне фрю надо.

ну так во фре есть jail. Правда, я давно уже сам не ковырялся с современными CI, но когда еще да - докер им был совершенно фиолетов.
Не говоря уже о том что он как-то плохо умеет запускать винду для тестирования со стороны юзера, и все равно это делал когда-то xen, нынче вмварь.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

59. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +/
Сообщение от Аноним (49), 08-Май-19, 13:48 
> больше костылей богу костылей.
> образ, используемый доскером - будем собирать в чем угодно, только не в
> доскере, ну а чо, всегда так делали ж.

Да, всегда так делали. На хабе лежат образы, таким же образом собранные. Я тебе больше скажу, с докером в комплекте идёт скрипт, который это делает.

>>> с хабом все как и с обычными дистрибутивами линукса - большая часть работы проделана за тебя -
>>> это и обновления, и сборка-упаковка.
>> Ага, только, в отличие от дистрибутива, ты понятия не имеешь, кто и как всю эту работу проделал.
> как будто ты в дистрибутиве имеешь?

Да, имею. Есть команда майнтейнеров, есть ченжлог, есть все логи сборок. Но главное — это всё делает одна команда, а не отдельный Вася Пупкин для каждого пакета, который сам по себе, и о котором никто ничего не знает.

> Ну и наклейка "official image" как бы имеется. https://docs.docker.com/docker-hub/official_images/

Есть, да. До этой новости даже была иллюзия, что она чего-то стоит. Но всё равно за каждым официальным образом — своя команда. Чем больше образов используешь, тем больше народу, которому соглашаешься доверять, а значит выше вероятность, что доверишься кому-то, кому не стоило.

>> А у меня это средство для сборки.
> а кто только что для сборки использовал поделку с чрут?

Для сборки не docker-образов, а самых обычных пакетов — rpm, deb, всё такое.
> Я обычно
> использую (если это нельзя просто взять и поставить или хотя бы
> просто взять и собрать штатными инструментами) vm, поскольку для сборки все
> равно понадобится весь интернет, и делать это в разы удобнее в
> полноценном дистрибутиве, а не в кастрированном уродце.

Рад за тебя, тебе не приходится поддерживать >9000 разных сборочных окружений. Держать по виртуалке для каждого довольно накладно выходит.

> Но мне воспроизводимость этой сборки нахрен не уперлась (хотя она и воспроизводится
> - в той же vm) - зачем мне ее воспроизводить чтобы
> получить то что у меня уже есть?

Чтобы не вылез на следующей сборке из тех же исходников внезапный баг, невесть откуда взявшийся.

>> А мне фрю надо.
> ну так во фре есть jail. Правда, я давно уже сам не
> ковырялся с современными CI, но когда еще да - докер им
> был совершенно фиолетов.

Не знаю, как тогда, а сейчас им jail совершенно фиолетов. К тому же поддерживать принципиально разные наборы костылей для разных ОС — так себе развлечение.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

50. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +/
Сообщение от Аноним (49), 06-Май-19, 15:18 
> опа, а с этого места поподробнее - что вы ожидали услышать от правильного кандидата?

Да ничего не ожидали. Просто запарил он про докер вчехлять, вот и спросили.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

52. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +/
Сообщение от пох (?), 06-Май-19, 21:45 
>> опа, а с этого места поподробнее - что вы ожидали услышать от правильного кандидата?
> Да ничего не ожидали. Просто запарил он про докер вчехлять, вот и

а, в смысле, вы искали админа а пришел девляпс? Ну так ему и не надо знать лишнего, ему надо быстрей-быстрей 9000 контейнеров разворачивать.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

54. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +/
Сообщение от Аноним (8), 06-Май-19, 23:50 
Искали девопса, а пришёл портовый грузчик.
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

55. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +/
Сообщение от пох (?), 07-Май-19, 07:22 
мляяя, надо было брать!

тут хранилку пришлось кусками всю из стоек выковыривать и обратно совать - это тебе не доскер в доскере под доскером, где каждая обезьяна справится, там юниты килограмм по сорок и "вот тут просунь руку - дальше, дальше, еще дальше...так, теперь подержи всю хреновину на весу, там винтик".

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

14. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  –3 +/
Сообщение от Аноним (14), 27-Апр-19, 13:36 
Использую несколько официальных образов, таких как php:7.1-apache и mariadb:10.4. docker внутри виртулки (virtualBox 5.2).

Чисто гипотетически: что может произойти?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +4 +/
Сообщение от Аноним (10), 27-Апр-19, 14:10 
Твои апач, пых и мускуль будут работать не на тебя, а на дядю майнера. Это сейчас в тренде.
Ну или по-старинке поддосят кого или пентагон через тебя ломанут.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. Скрыто модератором  +4 +/
Сообщение от Онаним (?), 27-Апр-19, 15:30 
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. Скрыто модератором  –7 +/
Сообщение от Аноним (9), 27-Апр-19, 17:52 
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

27. Скрыто модератором  +3 +/
Сообщение от нехипстер (?), 27-Апр-19, 21:51 
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

28. Скрыто модератором  +3 +/
Сообщение от Led (ok), 27-Апр-19, 21:56 
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

32. Скрыто модератором  +1 +/
Сообщение от вот такая вот куйня (?), 28-Апр-19, 04:44 
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

35. Скрыто модератором  +2 +/
Сообщение от Онаним (?), 28-Апр-19, 14:15 
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +3 +/
Сообщение от Аноним (23), 27-Апр-19, 18:11 
Самое главное не прояснили - были ли скомпромитированны образы.

P.S. декерхабу не доверяю, образы из инета на компе не запускаю - in Docker s stands for "security".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  –1 +/
Сообщение от Аноним (26), 27-Апр-19, 19:49 
держи нас в курсе
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

31. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +1 +/
Сообщение от Аноним (31), 28-Апр-19, 00:04 
В Linux буквы s тоже нет. Зато она есть в Windows :)
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

34. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +/
Сообщение от Аноним (34), 28-Апр-19, 13:32 
Вы похоже не поняли проблемы, фишка в том, что  докер хаб просил токен для гитхаба с полным доступ и к ПРИВАТНЫМ репам тоже, так как он утек, то вполне могли быть украдены исходники  многих приватных реп, как то так.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +4 +/
Сообщение от нах (?), 29-Апр-19, 09:45 
а вот _этих_ ребят - мне нихрена как раз и не жалко.
Может, наконец научатся соображать, что приватные - они при вас. Под замком и за периметром. И начнут, наконец, платить зарплаты админам, а не девляпать хапая с хапов все что под руку попадется. Ну, хотя бы отдельные единицы научатся, остальные-то постирают обгаженные штанцы, и дальше пойдут выкладывать все свое имущество на радость кому попало.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

36. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +/
Сообщение от Аноним (36), 28-Апр-19, 14:41 
:) Из разговоров:
- Внимание, комичу пароль в Гит. Нууууу, блин, нууу, не хочу учиться иначе уметь.

Сколько ж их было встречено. Халтурщиков.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  –1 +/
Сообщение от Аноним (-), 30-Апр-19, 19:07 
Вот смех смехом, а мне поэтому и нравится LFS: прочитал в gnu-announce о новой версии софта, скачал, скомпилировал, заменил. Никакой зависимости от репозиториев, которые регулярно ломают. Да, это не полное решение проблемы, но гораздо лучше, чем пост-фактум узнавать об взломе инфраструкуры генты или дебиана, например. Для совсем параноиков есть доверенный компилятор-интерпретатор GNU Mes (ну вы поняли о чём я, почитайте если не в курсе что это за проект), плюс покоммитно патчь дерево каждой софтины, тогда вопрос репопроблемы вообще снимается (прочитал коммит, скачал, пропатчил). Единственное я конечно ленивый, но точно так буду делать в будущем. Сразу куча говна из системы вылетит. А пока на арче всё же.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Взлом инфраструктуры Docker Hub с возможной компрометацией с..."  +1 +/
Сообщение от Аноним (8), 05-Май-19, 22:33 
> гораздо лучше, чем пост-фактум узнавать об взломе инфраструкуры генты или дебиана, например

Да, о взломе инфраструктур 100500 проектов, откуда ты тягаешь исходники, ты, скорее всего, не узнаешь.
> Для совсем параноиков есть доверенный компилятор-интерпретатор GNU Mes (ну вы поняли о чём я, почитайте если не в курсе что это за проект)

Поняли-поняли, диванный секурити-эксперт. Вот когда реально сделаешь всё то, о чём написал, приходи поделиться историей успеха.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру