| 1.1, Шарп (ok), 13:16, 03/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [к модератору]
| +6 +/– |
 >Уязвимость вызвана утечкой внутренних файловых дескрипторов.
Вот и "гениальная" идея передавать файловые дескрипторы в дочерний процесс выстрелила. Ради возможности проворачивать всякие форк-трюки сделали дыру.
| | |
| |
| |
| |
| 4.13, Аноним (13), 14:11, 03/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| –3 +/– |
Это да. Если компиляторы сишки будут бить разработчика десятком киловольт при любой попытке использовать указатели или динамически аллоцировать память — сишка станет безопасным языком.
| | |
| |
| 5.31, Аноним (31), 15:50, 03/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +7 +/– |
Без динамического выделения памяти вообще жизнь станет совсем тяжёлой. Даже Pascal может в динамические массивы.
| | |
| |
| 6.42, Аноним (13), 17:49, 03/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| –2 +/– |
Любителей Turbo Pascal можно пересадить на Turbo Basic. Такой же синий экран, но куда более безопасный язык.
| | |
| |
| 7.71, Аноним (71), 22:08, 03/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +1 +/– |
Почему именно Турбо вспомнил? Есть вполне живой Free, который, наверное, в Linux даже более востребован, чем Windows.
| | |
| 7.91, Аноним (91), 07:40, 04/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +1 +/– |
> Любителей Turbo Pascal можно пересадить на Turbo Basic. Такой же синий экран,
> но куда более безопасный язык.
А еще можно взять выключенный компьютер и подобрать монитор или телек рисующий синий экран без сигнала. Совсем безопасно станет, и без всяких труб.
| | |
|
|
| |
| 6.86, Ivan_83 (ok), 03:15, 04/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
 Тут несколько аспектов.
1. Есть масса простых утилит, где не важно что и как, важно чтобы оно просто отработало на тех полутора примерах для которых написано.
2. Есть всякие анализаторы которые делают примерно тоже - возмущаются по делу и просто так на эти функции.
3. Та реализация что представлена генерит 3 строки на каждое вхождение, это не удобно.
В целом я согласен что srtcpy() и прочие функции для работы со строками без указания размера буфера не безопасны и не должны использоватся в современном коде.
Выкидывать strncpy() - глупо.
Но лично я бы предпочёл чтобы в компиляторы добавили варнинг про это, вместо этого туда нынче засунули самый бесполезный в мире варнинг -Wunsafe-buffer-usage чтобы подчеркнуть неисправимую неполноценность С и подтолкнуть к С++ и гнили.
| | |
| |
| 7.151, ng (ok), 11:10, 05/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– |
 > srtcpy() и прочие функции для работы со строками без указания размера буфера не безопасны и не должны использоватся в современном коде.
Плосы встречного дорожного движения обозначаются разделительной полосой или бетонным отбойником вдоль проезжей части.
Бетонный отбойник гарантированно исключает выезд на встречную полосу.
Включая ситуации, когда в крайнем левом ряду внезапное препятствие (ДТП), времени на экстренное торможение нет, правый ряд занят, а встречка свободна.
Добро пожаловать в безопасный, дивный мир. ;-)
| | |
|
|
| 5.82, Ivan_83 (ok), 01:20, 04/02/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]
| –2 +/– |
Нужна не абстрактная безопасность а работоспособность и производительность.
При этом работоспособность иногда включает в себя и вашу "безопасность", если это является целью работы програмы.
А эта ваша "безопасность" похоже на кастрацию, когда ничего в языке сделать нельзя, да он ещё тебя поучает и отвественность за ошибки типа с тебя снимает.
В общем пока вот такие хотят безопасности, веганствуют и запрещают оружие, нормальные люди покупают очередной ствол, жарят шашлык и пишут прогу на С которая делает то что им нужно.
| | |
| |
| 6.88, Аноним (-), 06:02, 04/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +2 +/– | |
> При этом работоспособность иногда включает в себя и вашу "безопасность", если это является целью работы програмы.
Корректность программы -- это составная часть работоспособности. А если мы под "безопасностью" понимаем safety в стиле раста, то это составная часть корректности. К киберсекурити это имеет лишь косвенное отношение.
> А эта ваша "безопасность" похоже на кастрацию, когда ничего в языке сделать нельзя
Не лезь в программирование, это не твоё. Попробуй сисадмином устроиться, там надо не столько уметь, сколько знать, то есть декларативное знание важнее процедурного. Может тебе лучше зайдёт.
| | |
| 6.111, Аноним (13), 14:47, 04/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– | |
> Нужна не абстрактная безопасность а работоспособность и производительность.
В общем, вам нужно, чтобы вашу прогу не просто могли ломануть, а могли это сделать тысячу раз в секунду, чтобы каждый китайский ботнет подсадил по своему трояну.
Правда, после этого производительность становится так себе, потому что система начинает майнить сразу несколько криптовалют.
| | |
|
| 5.90, Аноним (91), 07:39, 04/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– |
> Это да. Если компиляторы сишки будут бить разработчика десятком киловольт при любой
> попытке использовать указатели или динамически аллоцировать память — сишка станет
> безопасным языком.
Зачем так сложно? Статический анализатор и какой-нибудь misra checker в билд пайплайн - и попробуй-ка сгавнякай.
| | |
|
|
| |
| |
| 5.102, OpenEcho (?), 14:19, 04/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
>> -race
> Который найдёт только те гонки, что происходят регулярно, да и их не
> всегда.
Если вы посмотрите на то, на что я коментировал, то уверен, что вы поймете о чем речь.
Изпользуйте как можно меньше го-рутин с шаред обьектами, разбивая логику на тестируемые юниты, Mutex, WaitGroup и каналы с shared ресурсами is must have, а не глобальные флаговые переменные в надежде только на -race и все будет пучком, как впрочем не только с Го, а и любыми другими ЯП.
| | |
| |
| 6.117, morphe (?), 15:14, 04/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> как впрочем не только с Го, а и любыми другими ЯП.
Речь шла о том, защищает ли go от гонок данных, ответ - не защищает.
Если в Rust компилятор требует от тебя доказательства что гонок данных нет, то в golang тебе вручную нужно следить за тем что у тебя оптимально блокировки/атомики расставлены.
В сложном Rust коде это также позволяет более чётко разделять владение ресурсами, что позволяет проводить рефакторинг без риска где-то разломать хрупкие concurrency инварианты.
| | |
|
|
|
| 3.63, Аноним (63), 20:37, 03/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– |
Поняли, если дырявая прожка написана на безопастном язычке, тут же оказывается что "язык тут ни при чём". Все что нужно знать об умственных способностях проповедников святой безопастности.
| | |
| |
| 4.78, Аноним (13), 00:17, 04/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Именно. Так как безопасный язык не допускает языко-зависимых дыр (например, переполнения буфера), то остаются только дыры в логике программы.
| | |
| 4.127, Аноним (127), 19:36, 04/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Ты все равно не выловишь все memory огрехи в C/C++ статическими анализаторами, а в Rust такие ошибок тупа нет. Нужно максимально ошибки человеческого фактора перекладывать на компилятор, потому что это позволяет повысить качество софта в среднем, вне зависимости от квалификации и внимательности программистов.
| | |
|
|
| |
| |
| 4.19, Аноним (13), 14:33, 03/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– |
Ничто не может быть хуже переполнений буфера, с учетом того, что любая программа на сишке содержит их буквально в каждом килобайте бинарного кода.
| | |
| |
| 5.60, Аноним (63), 20:28, 03/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +2 +/– |
Ахтунг, у нас уникум который проверил каждую программу на Си, и в каждой нашел переполнения буфера. Или он балабол, что куда более вероятно.
| | |
| |
| 6.76, Аноним (13), 00:11, 04/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– | |
Любой разумный человек, если вы ему покажете прогу, написанную на сях и использующую динамическую аллокацию памяти и заявите, что там нет уязвимостей, скажет вам, что вы балабол.
Просто потому, что ни одной такой программы в истории человечества не зафиксировано.
| | |
|
|
| |
| 5.24, Аноним (13), 14:44, 03/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– | |
> Хуже переполнений буфера может быть буфер переполнений.
И то, и другое — синонимы термина "C programming language".
> А вообще давай, покажи хотя бы на kernel32.dll - где они там в каждом килобайте?
Я вашего труЪ олдскул юникса не разумею.
| | |
| |
| 6.53, _ (??), 18:24, 03/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– | |
Да не, у тебя потупее имя было! (С) Однажды
Люди делают ошибки, прикинь! Кто бы мог подумать? Это что же - Дарвин прав и мы не дети богов а всего то придвинутые обезьяны? Какой Ёзык не дай - всё равно ошибки есть :)
| | |
| |
| 7.107, Аноним (13), 14:41, 04/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> Какой Ёзык не дай - всё равно ошибки есть :)
Просто при прямой работе с памятью их выходит в десятки раз больше, чем без.
| | |
|
| 6.58, OpenEcho (?), 19:41, 03/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +2 +/– | |
> И то, и другое — синонимы термина "C programming language".
Очередной студент освоил питон/раст и все остальное ка-ка & олд скульное ? :)
| | |
| |
| 7.75, Аноним (13), 00:09, 04/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– | |
> Очередной студент освоил питон/раст и все остальное ка-ка & олд скульное ? :)
Там про какой-то kernel32.dll говорили. Явно про самый труЪ юниксовый юникс от компании Мокрый Софт, без этих ваших ржавых докеров.
| | |
|
|
| 5.33, Аноним (31), 16:09, 03/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +4 +/– | |
>буфер переполнений
Двумерный массив?
>покажи хотя бы на kernel32.dll - где они там в каждом килобайте?
Тут чтобы что-либо показать, как бы, нужно иметь kernel32.h, kernel32.c, как минимум.
| | |
|
|
| 3.205, Аноним (-), 19:31, 05/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– |
>> Кстати, утилита runc написана на безопасном языке Go
> Поэтому там хотя бы нет переполнений буфера.
Как оказалось от д@o2#$ов в программировании это не помогает и они ухитряются не то что свою память профакать - а вообще изолированный от них хост подставить, разломав абстракцию к чертям.
| | |
|
|
| 1.8, Аноним (8), 13:36, 03/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +/– | |
>в образе контейнера можно настроить запуск "/proc/self/fd/7/../../../bin/bash" и через выполнение shell-скрипта перезаписать содержимое "/proc/self/exe", которое ссылается на хостовую копию /bin/bash
Какая детсадовская ошибка! А кто-то утвержает, что контейнеры - production ready.
| | |
| |
| 2.14, Аноним (13), 14:14, 03/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +3 +/– |
Кто-то утверждал, что OpenBSD можно в проде использовать. И до, и после обнаружения функци remote shell в OpenSMTPD.
| | |
| |
| |
| |
| 5.79, Аноним (13), 00:20, 04/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Нет, то же самое.
Хотя и меньше Тео-пафоса про "наши лучшие специалисты делают самую безопасную в мире ОС, безжалостно жертвуя функциональностью, чтобы достичь высочайшей защищённости".
| | |
|
| 4.77, Аноним (13), 00:14, 04/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +1 +/– | |
> Этак что же, и exim с sendmail'ом низзя? Дила...
Exim — точно нет. Его писали такие же "специалисты", как и в команде Тео. Единственный плюс им в карму — они не так сильно злоупотребляли маркетинговыми лозунгами про "суперзащищённость".
sendmail — вроде можно, но лучше не надо. Формат конфигов у него так себе, хотя это и вкусовщина.
| | |
| |
| 5.101, User (??), 12:57, 04/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
>> Этак что же, и exim с sendmail'ом низзя? Дила...
> Exim — точно нет. Его писали такие же "специалисты", как и в
> команде Тео. Единственный плюс им в карму — они не так
> сильно злоупотребляли маркетинговыми лозунгами про "суперзащищённость".
> sendmail — вроде можно, но лучше не надо. Формат конфигов у него
> так себе, хотя это и вкусовщина.
Оу. Т.е. про шлимыл вы примерно ничего не знаете, да?
| | |
| |
| |
| 7.144, User (??), 07:02, 05/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> Прочитал про его настройку, посмотрел конфиги, выбрал postfix.
Ну, это вы совершенно правильно поступили - но прикол тут в том, что у sendmail'а история проблем с безопасностью, гм, спе-ци-фич-ная - оно дырявое by design даже по меркам ранних 90х - так что говорить про sendmail "вроде можно" в контексте обсуждения сесурити весьма и весьма забавно.
| | |
|
|
|
|
| 3.206, Аноним (-), 19:33, 05/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– |
> Кто-то утверждал, что OpenBSD можно в проде использовать. И до, и после
> обнаружения функци remote shell в OpenSMTPD.
Запись в kernel mode хоста из виртуалки-гуеста тоже ничего так, норм было. В каком-нибудь несекурном пингвине я даже и не знаю - было ли такое хоть когда.
...при том с фиксом они тоже ухитрились обгадиться по первости, за что получили недвусмсленный стеб насчет security circus от NetBSD'шника который нашел этот позор.
| | |
|
| |
| |
| 4.81, нах. (?), 00:35, 04/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> Покажете хоть один, если их там так много, а вы такой умный?
э... ну вообще-то cveшек с убеганием из контейнера - по паре в год минимум.
Правда эта совсем уж шедевральная, обычно они все же более замысловаты.
| | |
| |
| |
| 6.113, нах. (?), 14:49, 04/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> Вот только все эти дыры, кроме сегодняшней — из-за кривой реализации namespaces
> и/или eBPF в ядре.
мифы и легенды опеннета, рулонами по 54 метра на вес.
Открывать список cve дыркера, где нет ни слова про ведро, конечно же не будем.
| | |
| |
| 7.115, Аноним (13), 14:54, 04/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> Открывать список cve дыркера, где нет ни слова про ведро, конечно же не будем.
И где там убегание из контейнера при его выполнении?
| | |
|
|
|
|
|
|
| 1.29, Аноним (29), 15:00, 03/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| –6 +/– |
Гораздо секурнее булет эмуляция без паравиртуализации. Контейнеры - костыли, слишком много хаков в их реализации. Эмулятор создает виртуальное окружение, которое с хостом никак не взаимодействует.
| | |
| |
| 2.155, Tron is Whistling (?), 14:13, 05/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– |
Ты как-то смешал PV и контейнеры.
Контейнеры - это вообще костыль и подпорка в виде в основном разделения таблиц внутри ядра, никакой виртуализации там и близко нет.
| | |
| |
| 3.199, voiceofreason (?), 16:51, 05/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Суть в итоге та же - запустить несколько экземпляров ОС на одной железке. Виртуализация избавляет от вагона узкоспецифичного секса, но даёт больший оверхед.
| | |
|
|
| 1.89, penetrator (?), 06:55, 04/02/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| –4 +/– | |
кому нужны эти контейнеры? чтобы что? сэкономить 3 цента на виртуализации?
виртуализации хотя бы аппартно поддерживается вплоть до шифрования памяти гостевых ситем
и это не совсем надежно и дыры были в том числе
а это что? иллюзия изолированности?
| | |
| |
| 2.92, Второй из Кукуева (?), 08:43, 04/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– |
Тебе не нужно, проходи мимо
Дома на мамкином компе ничего вообще не нужно
Подрастешь, пойдешь работать, поймешь, что задачи бывают разные и где-то именно контейнеры лучший выход, а где-то виртуализация, а еще где-то вообще только голое железо и никаких гвоздей
Для разных задач разные инструменты лучше подходящие под твои нужды
| | |
| |
| 3.93, penetrator (?), 09:12, 04/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– | |
ты клоун? вопрос был простой как валенок, какие такие задачи не покрываются виртуализацией, которая хотя бы предусматривает безопасное исполнение на уровне железа?
чтобы решить что-то подобное на чисто программном уровне браузеры обмазываются сандбоксом, линуха селинуксом и аппармором и все равно иногда свистит
| | |
| |
| 4.97, нах. (?), 10:33, 04/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| –1 +/– | |
Ок, я тебе покажу - но чур ты идешь гуглить, спрашивать чатгопоту (и перепроверять что она не нанесла х-ни) - САМ.
syslogd_program="jail / syslog 192.168.1.1 $syslogd_program" # да, нам нужно принимать логи извне
(и да, ты мог бы сделать это и в линуксе с помощью cgroups, правда, с небольшим опозданием - команда в том виде в котором я ее тебе показал - 1999го года, но даже команды для этого уже не входят в стандартные дистрибутивы. Иди ипппись с нескучными декларативными конфижками системдряни, и даже не думай что-то посложнее отлаживать запуском вручную.)
| | |
| 4.99, Бывалый смузихлёб (?), 10:38, 04/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– | |
По своему умеренному опыту работы со всякими докерами - большое удобство разворачивания определённого окружения для разработки/тестирования/отладки/сборки
Вместо плясок с куевой горой установочников, пакетов, сериптов и версий, скармливаниям файл настроек
Ждёшь. Получаешь то, в чём можно делать дела
Но докеры и прочее особо не были про безопасность. Они были про упрощение плясок в некоторых специфических ситуациях
| | |
| |
| 5.110, нах. (?), 14:46, 04/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– |
> По своему умеренному опыту работы со всякими докерами - большое удобство разворачивания
> определённого окружения для разработки/тестирования/отладки/сборки
для выкрасить и выбросить, угу.
Ну и не разворачивания а копипасты. Разворачивал за тебя тот самый васян что оставил тебе контейнер - в истории которого чаще всего оказывается FROM: srach и COPY vasyan.100g.tar /
Т.е. оно конечно отлично воспроизводит локалхост васяна, где у него "Всеработает", но воспроизведению само по себе - чаще всего не подлежит.
Так и живем.
| | |
| |
| 6.114, Аноним (13), 14:52, 04/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– | |
> Т.е. оно конечно отлично воспроизводит локалхост васяна, где у него "Всеработает", но воспроизведению само по себе - чаще всего не подлежит.
Вы, видимо, очень далеки от практики, раз путаете такие простые вещи. Докер как раз и позволяет одной командой полностью воспроизвести рабочее окружение. Практически все методы без докера не позволяют точно воспроизвести условия запуска программы.
| | |
| |
| 7.119, Аноньимъ (ok), 15:32, 04/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
 > Докер как раз и позволяет одной командой полностью воспроизвести рабочее окружение
Васяна.
> не позволяют точно воспроизвести условия запуска программы
Докер не воспроизводит ядро и его настройки.
> воспроизвести рабочее окружение
Только никакого графического вывода он не может, мог кое как с Х11, с вейландом - всё.
> Практически все методы без докера
Nix и Guix позволяют или не позволяют?
| | |
| 7.165, Аноним (172), 14:39, 05/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| –2 +/– | |
>Докер как раз и позволяет одной командой полностью воспроизвести рабочее окружение.
install.sh тоже позволяет
| | |
| 7.207, Аноним (-), 19:37, 05/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> Вы, видимо, очень далеки от практики, раз путаете такие простые вещи. Докер
> как раз и позволяет одной командой полностью воспроизвести рабочее окружение. Практически
> все методы без докера не позволяют точно воспроизвести условия запуска программы.
Пендеж. Виртуалка с системой и прогой кастомера :) намного точнее. Если тот конечно морально готов на такую щедрость.
| | |
|
|
| 5.125, penetrator (?), 18:48, 04/02/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]
| +/– | |
подожди но если стоит задача автоматизации разворачивания, то она уже решена большинством ISP
ты заказывая виртуалку не ожидаешь ведь, что ее бородатый админ руками для тебя ставить пойдет с банкой пива?
тоже скармливается скрипт установки и ты получаешься свою виртуалку через пару минут
и если это единственное преимущество, то в чем я не прав?
| | |
| |
| |
| 7.142, penetrator (?), 04:26, 05/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– | |
скрипт ставит голую ось (Minimal), остальное ставишь сам, есть конечно опции, но я обычно беру Minimal и дальше ставлю все что мне нужно
нельзя настроить банальный MySQL не выбрав ему размер страницы, размер пула, кодировку по умолчанию utf8mb4
а что там у васяна в контейнере - я хз
| | |
| 7.158, Tron is Whistling (?), 14:19, 05/02/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]
| +/– |
Ну так-то возможность поставить unattended уже давно сделано.
Второй вариант - всякие ансиблы с терраформами, которые сделают пост-инсталл ровно так, как тебе надо.
| | |
|
|
| 5.128, penetrator (?), 19:37, 04/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +2 +/– | |
и смотри еще, второй момент, образ кто-то должен подготовить?
т.е. все равно конфигурирование присутствует, только не тобой
тебе приходится доверять еще одному участнику
хорошо это не про безопасность, но тогда я никак не пойму почему на этому пытаются строить продакшен системы?
| | |
| 5.164, Аноним (172), 14:38, 05/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
>По своему умеренному опыту работы со всякими докерами - большое удобство разворачивания определённого окружения для разработки/тестирования/отладки/сборки
Т.е. ты не научился пользоваться пакетным менеджером
>Вместо плясок с куевой горой установочников, пакетов, сериптов и версий, скармливаниям файл настроек
и шеллом, как и принимать скрипты от твоего админа
| | |
| |
| |
| 7.191, Аноним (172), 16:25, 05/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
>как бы мне так воспользоваться пакетным менеджером чтоб в системе появилась версия openssl на единичку выше штатной, не подскажешь?
У меня слака стоит, там это тривиально. installpkg и все дела. Необходимость поставить именно ту самую версию либы часто высосана из пальца, таких допустимых версий обычно несколько.
>Причем мне на посмотреть одну-единственную хрень, а потом уже не нужна.
Ну смотри, я тебе не запретил.
>Или вот та самая хрень на впихоне которую я тут добрыми матерными словами вспоминал
Сорян, не слежу за твоими похождениями.
| | |
|
|
|
|
|
| 2.94, чатжпт (?), 10:04, 04/02/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]
| +/– |
У меня в хоум проекте сейчас ~20 контейнеров. Ты предлагаешь городить 20 виртуалок с огромным оверхедом по cpu/ram/hdd? Экономия вообще не 3 цента, с виртуалками цена этого проекта вырастет в разы.
И во-первых, cgroups вполне себе изолируют, во-вторых, контейнеры во многом про удобную оркестрацию, масштабирование, доставку-обновление.
| | |
| |
| 3.96, нах. (?), 10:16, 04/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| –1 +/– | |
обновись на четвертую версию. Эта несет х-ню.
(нет никакого оверхеда по cpu (обожежемой!) ram и hdd. Есть даже выигрыш за счет использования прямого маппинга блоков а не этажерки layered fs еще и написанной левой задней ногой (сколько там уже - третья попытка все переписать заново и опять фэйл - ну не умеют игогошники в ядро)
> И во-первых, cgroups вполне себе изолируют
а теперь перечитаем новость... изолировали-изолировали да не выизолировали. И так с дыркером каждый раз. Отдельно доставляет коллекция уязвимостей вида "рут в контейнере ненастоящий, но ой..."
> оркестрацию, масштабирование, доставку-обновление.
то есть набор бессмысленных баззвордов.
А на деле имеем просто отдельную операционную систему в контейнере, только без обновлений и отслеживания уязвимостей.
| | |
| |
| 4.98, чатжпт (?), 10:34, 04/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| –4 +/– | |
> Есть даже выигрыш за счет
ахаха
> а теперь перечитаем новость... изолировали-изолировали да не выизолировали. И так с дыркером каждый раз. Отдельно доставляет коллекция уязвимостей вида "рут в контейнере ненастоящий, но ой..."
ну да, багов с выходом из виртуального окружения не бывает, гипервизоры они на святом духе работают и написаны не на дырявой Сишечке
> то есть набор бессмысленных баззвордов.
базвордов для кого? это реальность более-менее сложных проектов
| | |
| |
| 5.106, нах. (?), 14:40, 04/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
> ну да, багов с выходом из виртуального окружения не бывает, гипервизоры они
> на святом духе работают и написаны не на дырявой Сишечке
этот ии зациклился, несите нового.
Тебя только что мордочкой в лужу ткнули с твоей недырявой игогошечкой. Причем не требующей в полнолуние на ивана купалу как только расцветет папоротник принести в жертву двухголового белого козла, как обычно устроены "выходы из виртуального окружения", а любой васян справится.
| | |
| |
| 6.237, Аноним (-), 19:12, 06/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
>> ну да, багов с выходом из виртуального окружения не бывает, гипервизоры они
>> на святом духе работают и написаны не на дырявой Сишечке
> этот ии зациклился, несите нового.
Ты что, только ща просек что так можно было? Берешь 2 ботов, отправляешь их чатиться друг с другом. В какой-то момент владелец ботов начинает замечать что с этим была какая-то подстава... :)
| | |
|
|
|
| 3.120, Аноньимъ (ok), 15:34, 04/02/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]
| +2 +/– | |
> с огромным оверхедом по cpu/ram/
Этот Огромный Оверхед - сейчас с вами в одной комнате?
> У меня в хоум проекте сейчас ~20 контейнеров
Кто в армии служил - в цирке не смеётся.
> контейнеры во многом про удобную оркестрацию, масштабирование, доставку-обновление
Вас покусал менеджер. Если прививку быстро не сделаете, то будет слишком поздно.
| | |
| |
| 4.129, чатжпт (?), 22:17, 04/02/2024 [^] [^^] [^^^] [ответить] [к модератору] | +/– | да, запущено постоянно тг бот, реакт приложение, рест апи, rabbitmq, redis, etc... большой текст свёрнут, показать | | |
| |
| 5.143, penetrator (?), 04:34, 05/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– | |
чтобы не строчить полотна, спрошу тогда всего один вопрос
> Просто меняешь версию контейнера условной бд в compose-файле, делаешь docker compose pull && docker compose up.
ты вот это вот потащишь в продакшен?
| | |
| |
| 6.147, нах. (?), 09:21, 05/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– | |
> ты вот это вот потащишь в продакшен?
конечно нет, достаточно разок задуматься как он 20 контейнерам будет вручную раздавать ip адреса и прописывать внутри каждого всех остальных. И так каждый раз, потому что понадобится больше одного инстанса.
Он потащит в k8s где есть autodiscovery с автоматическим масштабированием одинаковых кубиков если оно надо.
Компостер - это для домашних силосных куч.
| | |
| |
| 7.152, чатжпт (?), 11:13, 05/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> Компостер - это для домашних силосных куч.
Вроде ясно написал, что это хоум проект. В проде это будет либо сварм, либо k8s/k3s (если проект не сдохнет).
Контейнерам не надо раздавать ip адреса вручную, в рамках одно сети они видят друг друга по именам из коробки.
В swarm режиме между нодами автоматом поднимается L2 оверлей сеть, контейнеры опять же прозрачно видят друг друга.
У тебя очень поверхностное понимание как всё это работает судя по комментариям.
| | |
|
| 6.150, чатжпт (?), 11:00, 05/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– | |
> ты вот это вот потащишь в продакшен?
а ты виртуалки каким-то волшебным способом обновляешь или dnf update && reboot? в чем принципиальная разница кроме перезапуска одного приложения вместо целой ОС.
| | |
| |
| 7.154, нах. (?), 11:35, 05/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> а ты виртуалки каким-то волшебным способом обновляешь или dnf update && reboot?
> в чем принципиальная разница кроме перезапуска одного приложения вместо целой ОС.
вообще-то в том что ос во-первых перезапускать при любом обновлении не нужно, во-вторых у тебя в дыркере нет никаких апдейтов. Когда ты проснешься и заметишь что там внутри очередной log4j давно протух и червяки завелись - уже и хоронить будет нечего.
| | |
|
|
| 5.168, Аноним (172), 14:45, 05/02/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]
| +/– | |
>Ну т.е. на 20 контейнов/вм это почти 5ГБ только на виртуализацию без приложений.
А прикинь, что будет, если весь этот оверхед из копий glibc убрать.
| | |
| |
| 6.189, нах. (?), 15:51, 05/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
>>Ну т.е. на 20 контейнов/вм это почти 5ГБ только на виртуализацию без приложений.
> А прикинь, что будет, если весь этот оверхед из копий glibc убрать.
у него - ниче работать не будит, потому что это не копии а в каждом своя аналогов-не-имеющая версия, и только с ней кое-как работает.
| | |
|
| 5.169, Аноним (172), 14:47, 05/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– | |
>тг бот, реакт приложение, рест апи, rabbitmq, redis, etc
И всё это для домашнего проекта, в котором хватило бы наколенного IPC на сокетах и нормальной базы данных, если вообще там транзакции нужны.
| | |
| |
| 6.181, чатжпт (?), 15:29, 05/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– | |
> И всё это для домашнего проекта, в котором хватило бы наколенного IPC на сокетах и нормальной базы данных, если вообще там транзакции нужны.
Домашний с прицелом на монетизацию и масштабирование. Очередь сообщений нужна.
| | |
|
|
|
| 3.159, Tron is Whistling (?), 14:20, 05/02/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]
| +1 +/– |
Особо порадовали три вещи рядом:
- хоум-проект
- 20 контейнеров
- оркестрацию, масштабирование, доставку-обновление
Раскрою два секрета.
Если тебе на хоум-проект надо 20 контейнеров - всё очень плохо.
Если тебе на 20 контейнеров надо оркестрацию, масштабирование, доставку-обновление - всё тоже очень плохо.
| | |
| |
| 4.161, нах. (?), 14:28, 05/02/2024 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +1 +/– | |
> Если тебе на хоум-проект надо 20 контейнеров - всё очень плохо.
не, ну если на каждый пихоноскрипт по контейнеру, а на некоторые еще и по два - то так и будет.
Реакт приложению у него отдельно, а рест-нескучноапи к нему - отдельно.
И конечно же рэббиты с редисами вперемешку (очень нужно и просто необходимо для петпроекта)
> Если тебе на 20 контейнеров надо оркестрацию, масштабирование, доставку-обновление - всё
> тоже очень плохо.
если настоящей чатгопоте (даже 4) поручить разрабатывать за тебя петпрожект - оно вот что-то такое наверное и наразрабатывает. Работать все равно не будет, но можно окружающих потчевать сказками про "обновления в контейнерах", всех двадцати. ("На самом деле, конечно же, никто и не думал там ничего обновлять!")
| | |
| |
| 5.174, Tron is Whistling (?), 14:59, 05/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Примерно так :D
Потому что в таких вариациях обновишь один - сломаются 19.
Ну и ещё да, надо же чем-то заниматься, а тут 20 контейнеров от васянов развёрнуты за секунду, потом можно потратить на оркестрацию-развёртывание втрое больше, чем было бы руками. Тоже тема. Главное нигде ничего не менять.
| | |
| |
| 6.182, нах. (?), 15:36, 05/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> Главное нигде ничего не
> менять.
Не, ну чего это не менять-то?! Вон, новая :latest ! Срочна всем обновлятцо!
(поскольку она from: SRACH и copy 100gb.vasyan-shit.tar / - внутри бубунточка версии аж 14 - зато приложеиЮ самое распоследнее, пользуйтесь)
| | |
|
|
| 4.222, чатжпт (?), 03:13, 06/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| –1 +/– | |
> Раскрою два секрета.
Я как бы в курсе, что такое контейнер (в отличие от тебя и нах/пох), что такое namespace и что контейнеров может быть сколько мне надо без особых накладных расходов. Контейнер-приложение ничем не отличается от просто приложения.
Что не так с потребностью в масштабировании и доставке? Ты же ничего не знаешь ни про проект, ни про мои цели, просто пер*шь в лужу и портишь воздух.
| | |
|
| |
| 4.183, нах. (?), 15:37, 05/02/2024 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
>>У меня в хоум проекте сейчас ~20 контейнеров.
> Резюме набиваешь?
в девляпсы все равно не пройдет - там надо хотя бы первые 20000
В менеджеры вот может.
| | |
|
|
| 2.212, Легивон (?), 21:40, 05/02/2024 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| –1 +/– | |
>кому нужны эти контейнеры?
Тем кто разрабатывает маштабируемое и постоянно обновляемое ПО.
>чтобы что?
Чтобы была быстрая и воспроизводимая доставка, маштабирование.
>сэкономить 3 цента на виртуализации?
Как будешь в свои безопасные виртуалки монтировать файловые системы? Через 9p? Расскажи о своём успешном практическом опыте. Какова производительность postgres в сравнении с хостовой системой? Сколько там центов, я не расслышал.
>а это что? иллюзия изолированности?
Докер вообще не про изоляцию. Он на 100% про доставку.
Если бы докер вместо добавления изоляции чуть чуть бы её портил - им все так же продолжали бы пользоваться. Потому что он реально обеспечивает потребности жизненого цикла ПО и решает бизнесу проблемы.
| | |
|
|
