| 1.3, Аноним (3), 00:16, 12/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Давно пора понять, что выполнение чего-либо с правами root в контейнере аналогично полной компрометации всей системы. User namespace не лучше, уже на столько грабель наступили и ещё предстоит наступить.
| | |
| |
| 2.5, Аноним (5), 00:34, 12/02/2019 [^] [^^] [^^^] [ответить]
| +4 +/– |
This attack is only possible with privileged containers since it requires root
privilege on the host to overwrite the runC binary. Unprivileged containers
with a non-identity ID mapping do not have the permission to write to the host
binary and therefore are unaffected by this attack.
| | |
| |
| |
| 4.10, виндотролль (ok), 03:03, 12/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Смотря кто запускает. Если запускает рут (или пользователь, который может писать в /usr/bin/runc), то привелегированный, otherwise — в пролете.
| | |
| |
| 5.21, нах (?), 09:52, 12/02/2019 [^] [^^] [^^^] [ответить] | +4 +/– | совершенно неважно, кто его запускает, лапочка Потому что на самом деле его зап... большой текст свёрнут, показать | | |
| |
| |
| 7.35, нах (?), 12:11, 12/02/2019 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Т.е. VPS это полноценная изоляция насколько позволяет Spectre
ну как бы побеги из этой изоляции через дырки в виртуальных или паравиртуальных драйверах тоже в общем случаются регулярно.
Просто их никто не воспринимает как "notabug" ;-)
> Накой черт тогда все вокруг онанируют на эти контейнеры? Они же должны сдохнуть как и Електрон.
"а других разработчиков у меня для вас нет".
Основное _сегодня_ использование контейнеров - это чтобы разбросанное хрюшками по полу хрючево пополам с навозом донести от их машины до прода, не заляпав все вокруг.
И, как и электрон, оно будет жить вечно, потому что стало модно нанимать зато-дешовеньких, и девальвацию специальности уже никто и никогда назад не вернет.
| | |
| 7.39, псевдонимус (?), 13:02, 12/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>А Docker и другие контейнеры - это адская отложенная дыра
да может кроме опенвз
>Накой черт тогда все вокруг онанируют на эти контейнеры?
Переносимост По этой же причине не сдохнет и эектрон
| | |
| |
| 8.48, Аноним (48), 15:31, 12/02/2019 [^] [^^] [^^^] [ответить] | +1 +/– | Вы где видели официально стабильный Openvz на ядра выше 2 6 32 вот вот тру... текст свёрнут, показать | | |
| 8.55, нах (?), 17:56, 12/02/2019 [^] [^^] [^^^] [ответить] | –1 +/– | смешно, но его пилили как раз для управления ресурсами в большей степени, чем дл... текст свёрнут, показать | | |
|
| 7.70, RNZ (ok), 09:40, 13/02/2019 [^] [^^] [^^^] [ответить]
| –3 +/– |
 > Накой черт тогда все вокруг онанируют на эти контейнеры?
Потому-что быстрее, памяти жрёт меньше, управление контекстом и нагрузкой предсказуемее, т.к. работает одно ядро на всё - хост и контейнеры.
В VPS, работает по отдельному ядру на хост и каждую VM.
| | |
| |
| |
| 9.87, RNZ (ok), 22:51, 13/02/2019 [^] [^^] [^^^] [ответить] | +2 +/– | Ещё про пушечное ядро скажи Про kernel речь - https en wikipedia org wiki Ker... текст свёрнут, показать | | |
|
|
|
| 6.38, Owlet (?), 12:49, 12/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Потому что на самом деле его запускает, сюрприз, docker-daemon, и таки да - от рута. Потому что только рут и может создавать все эти прекрасные неймспейсы, монтировать слои трэша и п-ца один поверх другого и выполнять еще кучу стремных действий.
И как тогда podman без рута работает по-твоему?
| | |
| 6.61, виндотролль (ok), 21:16, 12/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Потому что на самом деле его запускает, сюрприз, docker-daemon, и таки да - от рута. Потому что только рут и может создавать все эти прекрасные неймспейсы, монтировать слои трэша и п-ца один поверх другого и выполнять еще кучу стремных действий.
> Как только ты дал юзеру права на docker socket - ты ему дал рута, сюрприз, сюрприз.
100%?
Т.е. докер не запускает pid1 контейнера в неймспейсе с маппингом <uid> 0 ? Я не знаком с докером досконально, но изоляция без user namespace имеет мало смысла, я б предположил, что они это делают.
Кто-то из нас не понял суть уязвимости.
| | |
| |
| 7.71, нах (?), 11:02, 13/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Как только ты дал юзеру права на docker socket - ты ему дал рута, сюрприз, сюрприз.
> 100%?
докер - программа, работающая от рута, причем с максимально широкими правами - всякие аппарморы и группы в панике разбегаются, давая уроду дорогу. А управление ей ты дал левому васяну, как только добавил его в группу имеющих право доступа к сокету, ему больше вообще ничего уже в этой жизни не надо, точнее, он сам себе все возьмет, что только захочет.
то что в ней нашлась и еще одна мелкая дырочка - что васян может быть нелевым, но запустить по дурости левый контейнер, который нештатным образом получит доступ к все той же докер-инфраструктуре на хосте (и станет опять же рутом) - на этом фоне смешное недоразумение.
| | |
|
| |
| |
| 8.72, нах (?), 11:05, 13/02/2019 [^] [^^] [^^^] [ответить] | +1 +/– | контейнер для этого неособенно и нужен - достаточно дать права левому юзеру на д... текст свёрнут, показать | | |
|
|
|
|
|
| 3.15, Аноним (3), 07:50, 12/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Unprivileged containers with a non-identity ID mapping
Читайте про user namespace я упомянул. Безопасность при user namespace не лучше чем просто root внутри из-за специфичных для него проблем, которые регулярно продолжают находить.
| | |
| |
| 4.22, нах (?), 09:56, 12/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Безопасность при user namespace не лучше чем просто root
все таки лучше - в частности, вот от этой конкретной беды уберегло бы.
то что реализация хромает на все восемь конечностей - и еще будет лет десять, а потом ее выкинут как немодную устаревшую технологию, это отдельная тема.
| | |
| 4.23, Аноним (23), 09:58, 12/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
"При этом проблема не проявляется при корректном использованием пространств имён идентификаторов пользователя (user namespaces)"
| | |
| |
| 5.37, Аноним (37), 12:48, 12/02/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Которые в докере, например, не заюзать нормально из-за кучи ограничений (например, невозможность использования volume-ов)
| | |
| |
| 6.54, нах (?), 17:52, 12/02/2019 [^] [^^] [^^^] [ответить]
| –3 +/– |
> Которые в докере, например, не заюзать нормально из-за кучи ограничений (например, невозможность
> использования volume-ов)
а как же "volumes - прошлый век, тру девляпс использует ансибль, всегда модифицируя содержимое контейнера изнутри"?!
мне что, не ту методичку подложили?
| | |
|
|
|
|
|
| 1.6, 4eburashk (?), 00:42, 12/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Ай молодца! Сколько всего сразу повалилось.
Вот это понимаю unix-way. Еще бы хромы и системд туда же.
| | |
| |
| 2.7, Аноним (7), 01:12, 12/02/2019 [^] [^^] [^^^] [ответить]
| +11 +/– |
After some discussion with the systemd-nspawn folks, it appears that
they aren't vulnerable (because their method of attaching to a container
uses a different method to LXC and runc).
Наконец-то особый путь Лёни оказался полезен.
| | |
| |
| 3.11, Gannet (ok), 03:20, 12/02/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Wow, первый положительный коммент относительно systemd. Сам пользую systemd-контейнеры. Пока не жалею. Щас набежит толпа хейтеров...
| | |
| |
| 4.13, Аноним (13), 07:21, 12/02/2019 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Щас набежит толпа хейтеров...
Но ведь nspawn - это гораздо удобнее того же LXC.
| | |
| |
| 5.14, GentooBoy (ok), 07:40, 12/02/2019 [^] [^^] [^^^] [ответить]
| –3 +/– |
 А микроскоп лучше молотка, ну кто бы спорил. Выключите свет они на свет лезут.
| | |
|
|
|
| 2.9, Аноним (9), 02:20, 12/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Еще бы хромы и системд туда же
из системд к сожалению никто не хочет код копипастить к себе в инит.
| | |
| |
| |
| 4.19, нах (?), 09:43, 12/02/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
каждый первый, поскольку далеко не все можно запустить с -u, и даже то что в принципе можно - не оправдывает траходрома
| | |
|
|
|
| 1.17, Онаним (?), 09:31, 12/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Вообще контейнеры - это адовый костыль. Был таковым, есть, и будет есть.
| | |
| |
| 2.28, Аноним (28), 11:35, 12/02/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Это не костыль. Это попытка забивать гвозди микроскопом, а точнее использовать молоток для микробиологии. Контейнеры - отличный способ разделения ресурсов для доверенных приложений, но почему-то на каком то этапе применения контейнеров какой-то умственно-отсталый решил что они безопасные и должны изолировать и что факт получения рута в контейнере не эквивалентен компроментации всей системы. Оттуда всё и пошло.
| | |
| |
| 3.33, нах (?), 11:54, 12/02/2019 [^] [^^] [^^^] [ответить]
| +5 +/– | |
разделение ресурсов для доверенных приложений неплохо обеспечивает операционная система. ну, во всяком случае, юниксподобная.
Контейнеры изначально задумывались именно как слои дополнительной изоляции. (точнее, линуксные их реализации накрутили вокруг эклектичной свалки таких средств в ядре, не имеющей нормальных интерфейсов для пользователя)
В настоящее время массово используются вовсе не для этого, а для деплоя в обход dependency hell и компенсации кривизны средств разработки с их привычками "вали все в home", поэтому смешно ожидать что что-то другое у них будет получаться хорошо.
| | |
| |
| 4.43, Клыкастый (ok), 14:06, 12/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
 > В настоящее время массово используются вовсе не для этого, а для деплоя в обход dependency hell и компенсации кривизны средств разработки с их привычками "вали все в home", поэтому смешно ожидать что что-то другое у них будет получаться хорошо.
Хорошо изложил.
| | |
|
| 3.40, псевдонимус (?), 13:15, 12/02/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
Вооот Их создаваи дя руёжки ресурсами а не дя безопасности в отичие от тех же бсдовых кеток
| | |
|
|
| 1.20, via (??), 09:45, 12/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
На Убунте lxc запрягают через lxd, и, типа, пофик на эту дыру. Не? У меня runc в 18.04 вообще не установлен.
| | |
| |
| 2.25, нах (?), 10:04, 12/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> На Убунте lxc запрягают через lxd, и, типа, пофик на эту дыру. Не?
тебе - пофиг, никому твоя васян-локалхостовая поделка не нужна
А дыра в lxc точно такая же как и в докере - причем авторы гордо заявляют что "поскольку мы давно написали на туалетной бумажке, что рутовые контейнеры небезопасТные, объявлять это уязвимостью мы не будем!" Правда, хотя бы соломки подложили, не "notabug".
| | |
| |
| |
| |
| |
| 6.53, нах (?), 17:50, 12/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-5736.html
ну конечно, кто ж у нас эксперты чье мнение по всем вопросам самое главное - пипл с каноникал орг.
> Задевает пакеты docker.io и runc.
> lxd апдейтов не требует.
notabug...простите, does not requires cve.
Я так понимаю, пройти по ссылке из самой новости и прочитать непосредственно мнение разработчиков lxc (с прилагаемым патчем) ты и по сей момент ниасилил?
| | |
|
|
|
| 3.27, Аноним (28), 11:28, 12/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
>"поскольку мы давно написали на туалетной бумажке, что рутовые контейнеры небезопасТные, объявлять это уязвимостью мы не будем!"
Но ведь они абсолютно правы. Контейнеры - это способ разделения ресурсов а не способ изоляции недоверенных приложений, следовательно это баг но не уязвимость.
| | |
| |
| 4.30, нах (?), 11:48, 12/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
s for security, да.
Правда, как раз lxc-то принципиально позиционировалась как lightweight-замена vm, от которой в общем принято ждать нормальной изоляции, а не плохого разделения ресурсов. Впрочем, беда всех оберток одна и та же - они все не считают своей проблемой проблему пользователя.
"мы вам наслесарили поддержку user namespaces, остальные претензии к ядру, мопед не наш". А вот бсшдшники попали, у них jail традиционно часть системы, а не утилита где-то в sbin, не получается валить все на "эти там в ядре что-то недоделали, но наша утилита тут непричем". ;-)
| | |
| |
| 5.42, Аноним (-), 13:58, 12/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> А вот бсшдшники попали, у них jail традиционно часть системы, а не утилита где-то в sbin, не получается валить все на "эти там в ядре что-то недоделали, но наша утилита тут непричем". ;-)
И почему тогда бсдами уже никто не пользуется, если они настолько лучше и продуманее?
| | |
| |
| |
| 7.45, Аноним (-), 14:26, 12/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Ровно по той же причине, по которой линукса нет на десктопах.
Это учитывая, что классический десктоп стремительно вымирает, а на планшетах, хромбухах, телефонах, в телезвизорах совсем не бзды?
Просто бсдшники любят рассказывать об академической правильности и крутости своих подходов, скромно умалчивая, что даже сами ими в реальности нигде кроме виртуалки не пользуются.
| | |
| |
| |
| 9.80, анонн (?), 18:39, 13/02/2019 [^] [^^] [^^^] [ответить] | +/– | Авторитетное мнение не имеюего даже заваявсейся вненей кавы ии магазина по бизос... текст свёрнут, показать | | |
|
|
|
| 6.47, нах (?), 15:29, 12/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> И почему тогда бсдами уже никто не пользуется
дык вон там выше изложение, для чего на самом деле нужны нынче контейнеры.
Этого в бсде нет и не будет никогда - патамушта-у-разработчика-линукс. В смысле, он вообще ничего другого кроме своей бубунточки не умеет, и до прода ее донести не рассыпав можно только завернув в контейнер (leak and radiation proof).
А так - пользуются, те кому на самом деле юникс нужен, а не платформа для докера. И jail там именно как средство изоляции - тоже вполне пользуем, вот, к примеру, так:
syslogd_program="/usr/sbin/jail"
syslogd_flags="-l -n syslog -s 2 / $hostname $EXT_IP /usr/sbin/syslogd"
то есть вообще ничего не трогая в штатной системной обвязке - стремную (в режиме без -ss ) зверушку отправили в отдельную помойку подальше от остальных.
Ей там совершенно не плохеет (она не получает pid1, со всеми его обязанностями, она не отрезана от общей fs, ей нормально передает сигналы ротейтилка и т д) но если ее поломают - предстоит еще интересный квест по вылезанию из пространства, где нет ни одного постороннего процесса, сеть ограничена и доступ к сокетам остального сервера - на общих основаниях, а не как у локального процесса и т д.
Нет, хочешь отдельную иерархию в fs или вовсе эмуляцию виртуалки с полноценным исполнением /etc/rc, собственным ssh внутри и т д - пожалуйста, но, как видим, можно и без.
Проблема в другом - а кому он нужен сегодня, этот юникс? Нужно ж как-в-винде, только бесплатно.
Исключения, конечно, есть, но их слишком мало, чтобы привлечь нормальных разработчиков, да еще способных одолеть барьер на входе.
P.S. осторожно, в примере использован запрещенный синтаксис времен 4.x и еще он, скорее всего, подерется с protect. Новые-модные тенденции, они и тут норовят все испортить.
| | |
| |
| 7.67, Gannet (ok), 04:14, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Вот ты срёшь на убунточку, а сам кагбе мимоходом умолчал что сам пользуешь. Давай и мы посрём на твой дистр, чё, слабо, умник?
| | |
| |
| 8.73, нах (?), 11:16, 13/02/2019 [^] [^^] [^^^] [ответить] | +/– | как прибили, так и держится В смысле - чего клиент требует, из того куличик и... текст свёрнут, показать | | |
|
|
|
| 5.51, SysA (?), 17:17, 12/02/2019 [^] [^^] [^^^] [ответить]
| –3 +/– |
Вообще-то контейнеры никогда не позиционировались как ВМы!
Только админам локалхоста не видна разница.
| | |
| |
| 6.52, анонн (?), 17:41, 12/02/2019 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Вообще-то контейнеры никогда не позиционировались как ВМы!
Угу, а системда никогда не позиционировалась как "быстрый инит", помним-помним!
https://web.archive.org/web/20110924020630/http://lxc.sourceforge.net/
> The LXC package combines these Linux kernel mechanisms to provide a userspace container object, a lightweight virtual system with full resource isolation and resource control for an application or a system.
> LXC started out with an efficient mechanism (existing Linux process management) and added isolation, resulting in a system virtualization mechanism as scalable and portable as chroot, capable of simultaneously supporting thousands of emulated systems on a single server while also providing lightweight virtualization options to routers and smart phones.
https://linuxcontainers.org/
> That is, containers which offer an environment as close as possible as the one you'd get from a VM but without the overhead that comes with running a separate kernel and simulating all the hardware. | | |
| |
| 7.77, SysA (?), 13:52, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
Для тех, кто в танке:
> That is, containers which offer an environment as close as possible as the one you'd get from a VM but without the overhead that comes with running a separate kernel and simulating all the hardware.
Здесь имеется ввиду ФУНКЦИОНАЛЬНОСТЬ, а не защита!
| | |
| |
| 8.79, анонн (?), 18:28, 13/02/2019 [^] [^^] [^^^] [ответить] | +/– | Для тех, кто мерзнет вне танка это современная формулировка А что там с так ... текст свёрнут, показать | | |
|
| 7.68, Gannet (ok), 04:16, 13/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Вообще-то контейнеры никогда не позиционировались как ВМы!
> Именно так и позиционироваис И старые п-уны да админы окахостов пытаис донести
> мыс что это не совсем так Но кто учитыва мнение этих
> дурачков?
У тебя пальцы перебиты что-ли?
| | |
|
|
|
|
| 3.64, Аноним84701 (ok), 22:35, 12/02/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
 #60 > Именно так и позиционироваис И старые п-уны да админы окахостов пытаис донести мыс что это не совсем так Но кто учитыва мнение этих дурачков?
> Не Сама реаизация инукс-контейнеров и всего производного от них уязвима Даже системдаун-контейнеры(которые тот же lхц)
Похоже, оно еще и портит буквы 'л' и 'ъ', как и знаки препинания o_O …
| | |
| |
| 4.65, псевдонимус (?), 22:47, 12/02/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
Просто я заи каву томатным соком Про постоянные дырки в lинукс-контейнерах будет что-нибуд? Норманые опенвз у вас быи тут говорят что они похие и вообще рип Но где же норманые?
| | |
|
|
|
| 1.36, Аноним (36), 12:38, 12/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Я вообще с контейнерами познакомился, когда надо было чью-то кривую поделку на nodejs, с кучей варнингов при компиляции, собиравшуюся только gcc 4.9 на Ubuntu с определенной версией boost перетащить на другую машину.
Очень жаль, что уязвимость нашли, на машине, куда перенес, один хрен никто докер обновлять не будет, ибо работает и хрен с ним ©
| | |
| |
| 2.89, leonid (??), 01:23, 14/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> чью-то кривую поделку на nodejs, с кучей варнингов при компиляции, собиравшуюся только gcc 4.9 на Ubuntu с определенной версией boost перетащить на другую машину
аминь, брат
| | |
|
|
