170 похожих чатов

Ребята, есть у кого-нибудь внятное разъяснение зачем запускать докер-контейнер не

под рутом? (USER bob).

С монтированием корня в контейнер все понятно, но может есть какие-то другие аспекты? Документация не сильно помогает (

10 ответов

20 просмотров

Если кто-то выйдет из контейнера под рутом, он получит рут и в хостовой системе. А уязвимостей, позволяющих это сделать, хватает.

Михаил- Автор вопроса
Sergey
Если кто-то выйдет из контейнера под рутом, он пол...

Это достаточно расплывчато, сам так умею ) а есть материалы по теме? Как тот кто-то в контейнер попадет?

не нравится рут - используй podman это как докер только рассчитанный на юзерспейс

Михаил
Это достаточно расплывчато, сам так умею ) а есть ...

если у тебя контейнер сам по себе чего-то делает, то никак. а если это сервис, в который ходят из вне - то так и попадут. там уязвимость одна, тут другая - здравствуй новый узел ботнета.

Михаил- Автор вопроса
медленно
не нравится рут - используй podman это как докер т...

Вот, кстати, думал попробовать. Там есть что-то вроде композа? Или композом можно пользоваться? Так же удобно как и с докером?

Михаил
Вот, кстати, думал попробовать. Там есть что-то вр...

есть podman-compose не использовал правда ни разу

Михаил- Автор вопроса
Sergey
если у тебя контейнер сам по себе чего-то делает, ...

Ходят из вне по-разному может быть. Одно дело ходят по ssh, другое он статику по http отдает.

Например можно так запретить менять файлы внутри контейнера

Михаил- Автор вопроса
Михаил- Автор вопроса
Aleksei Olshanskiy
Например можно так запретить менять файлы внутри к...

Меня вот что смущает... docker exec -u 0 -it 4120457250df bash вот это вот. В мире Го, конечно, есть distroless, но не всем так хорошо ((( PS nobody везде есть Еще раз спасибо, аргументация то что надо.

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта