| 1.2, KonstantinB (ok), 12:35, 27/11/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 Давать кому попало рута в контейнере - это уже заведомо хождение по минному полю. Такие уязвимости, боюсь, будут всегда.
| | |
| |
| 2.4, Аноним (-), 12:57, 27/11/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Давать кому попало рута в контейнере - это уже заведомо хождение по
> минному полю. Такие уязвимости, боюсь, будут всегда.
LXC просто изначально не хотели делать рута внутри контейнеров, ну а потом по-быстрому накрутили, вот и результат
| | |
| |
| 3.7, KonstantinB (ok), 13:18, 27/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
Ну, то есть как. Не хотели, потому что ядро не обеспечивало достаточной изоляции само по себе. Проверки в юзерспейсе - это заведомо ненадежный способ.
| | |
| |
| 4.17, Аноним (-), 16:11, 27/11/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Ну, то есть как. Не хотели, потому что ядро не обеспечивало достаточной
> изоляции само по себе. Проверки в юзерспейсе - это заведомо ненадежный
> способ.
Вообще подобные уязвимости нормальны, пока технологию не начинают активно применять нет возможности протестировать ее целиком. Синтетические тесты не покрывают все возможные варианты проблем.
Мне LXC больше напоминает Linux-Vserver, но второй из этого списка уже слабо активен
| | |
|
|
| |
| |
| |
| 5.18, username (??), 16:53, 27/11/2016 [^] [^^] [^^^] [ответить]
| +4 +/– |
Так же как и с рутом.
Единственная привилегия, которая может понадобиться вебсерверу, это возможность слушать на портах < 1024. Что вполне решается навешиванием атрибутов (привилегий) на бинарник nginx
| | |
| |
| 6.45, Аноним (-), 08:20, 28/11/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Что вполне решается навешиванием атрибутов (привилегий) на бинарник nginx
И опять наступаешь на те же грабли, только в профиль. Либо режешь права группе и навешиваешь на бинарник, запрещаешь некоторые системные вызовы, тогда да, возможно. И то из контейнера можно будет выйти через какую-нибудь уязвимость нулевого-дня.
| | |
| |
| 7.59, Аноним (-), 00:45, 29/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
Непривилегированные контейнеры с разрешенным CAP_NET_BIND_SERVICE
| | |
|
| 6.48, PnDx (ok), 15:06, 28/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
 Порт за-DNAT-ить. Обычно приемлемо, если в conntrack не упирается. (Но где это проблема, там lxc с iptables'ами по фигу наверное, т.к. netmap и прочее интересное.)
| | |
|
| 5.21, Аноним (-), 18:42, 27/11/2016 [^] [^^] [^^^] [ответить]
| +11 +/– | |
> Как запустить nginx без root?
Уже дюжину лет как
[CODE]
sysctl security.mac.portacl.rules=uid:80:tcp:80
[/CODE]
| | |
| |
| 6.49, PnDx (ok), 15:08, 28/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Уже дюжину лет как
> [CODE]
> sysctl security.mac.portacl.rules=uid:80:tcp:80
> [/CODE]
# sysctl -a | grep security | wc -l
0
У Вас таки фрюха?
| | |
| |
| 7.52, Аноним (-), 17:31, 28/11/2016 [^] [^^] [^^^] [ответить]
| –3 +/– |
> # sysctl -a | grep security | wc -l
> 0
> У Вас таки фрюха?
Ну да. Я думал, раньше кто догадается.
А что, в пингвины такие вещи еще не завезли? oO
Тогда пожалуйста:
https://github.com/freebsd/freebsd/blob/master/sys/security/mac_portacl/mac_po
Хотя у вас вроде как setcap + CAP_NET_BIND_SERVICE есть ;)
Да и в целом просто прикольный эксперимент - вон, пока не знали, накрутили 6 плюсов, теперь можно посмотреть, насколько классовая неприязнь преобладает над здравым смыслом )
Кстати, man grep
> -c Выдает только количество строк, содержащих образец.
> | | |
|
| 6.58, pavlinux (ok), 00:00, 29/11/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
 $ sysctl security.mac.portacl.rules=uid:80:tcp:80
sysctl: Permission denied
Оттака ..ня, ребяты
| | |
|
|
| 4.14, angra (ok), 15:33, 27/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
 Начни с рассказа, зачем тебе вообще рут где-либо. Может в процессе и сам поймешь. Контейнер ничем особо не отличается от железной машины для большинства задач.
| | |
| |
| 5.37, Аноним (-), 22:42, 27/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Начни с рассказа, зачем тебе вообще рут где-либо. Может в процессе и
> сам поймешь. Контейнер ничем особо не отличается от железной машины для
> большинства задач.
что бы запускать свои сервисы - а не те которые хостер за меня решил запустить.
к пример потунелировать openvpn через 443 порт.
| | |
| |
| 6.39, angra (ok), 22:52, 27/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
Тебе надо помочь сделать следующий шаг? Если рут тебе обычно нужен для запуска своих сервисов, то рут в контейнере тебе нужен ... для запуска в нем своих сервисов. Неожиданно, правда?
| | |
|
|
|
|
| 2.15, angra (ok), 15:34, 27/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
Расскажи это хостерам с openvz, они посмеются. А тем, кто заикнется про XEN и прочая, можно напомнить, сколько уязвимостей было там.
| | |
| |
| |
| 4.29, angra (ok), 20:28, 27/11/2016 [^] [^^] [^^^] [ответить]
| +6 +/– |
Уязвимости находили практически везде. Объявишь весь софт минным полем и откажешься от него?
| | |
| |
| 5.33, KonstantinB (ok), 21:55, 27/11/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Это был ответ на "расскажи хостерам".
В целом же, openvz изначально сделан грамотно. Openvz - это прежде всего патчи на ядро, достичь безопасности на дырявом ядре за счет проверок в userspace там никому в голову не приходило.
lxc же это просто юзерспейсный набор инструментов, упрощающих использование linux containers/namespaces/cgroups. Говорить о его безопасности вообще не имеет смысла, его безопасность равна безопасности ядра. И патчи, подобные вот этой ерунде, на которую ссылка - это лечение симптомов, костыль, затыкающий один из бесконечного числа возможных векторов атаки.
Реально уязвимость в ядре, в реализации ptrace(). В ядре уязвимости всегда были и еще много найдут, их там исправят, это нормально. Ненормально пихать userspace-затычки на один частный случай и называть это security fix.
| | |
| |
| 6.36, Аноним (-), 22:40, 27/11/2016 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> В целом же, openvz изначально сделан грамотно
еще бы. долгое время тестировали на бесплатных юзерах, прежде чем закрыть его.
Все же помним - как SWSoft - (тогда так назывался) взял и закрыл и никому не давал свои патчи на ядро.
| | |
| 6.38, angra (ok), 22:45, 27/11/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
> достичь безопасности на дырявом ядре за счет проверок в userspace там никому в голову не приходило
> его безопасность равна безопасности ядра.
Ты уже отказался от дырявого линуксового ядра или еще ходишь по этому минному полю? Или ты вообще считаешь, что ходить по минному полю это нормально так как "В ядре уязвимости всегда были и еще много найдут, их там исправят, это нормально"? Тогда к чему вообще был пассаж про рута в контейнере?
| | |
| |
| 7.40, KonstantinB (ok), 22:55, 27/11/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я имел ввиду linux containers в их текущем состоянии, а не какие-нибудь там абстрактные контейнеры.
| | |
| |
| 8.42, angra (ok), 00:02, 28/11/2016 [^] [^^] [^^^] [ответить] | +/– | Теперь стало понятней и я даже частично согласен По-крайней мере давать чистого... текст свёрнут, показать | | |
|
|
| 6.43, Валик228 (?), 04:57, 28/11/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> В целом же, openvz изначально сделан грамотно. Openvz - это прежде всего патчи на ядро, достичь безопасности на дырявом ядре за счет проверок в userspace там никому в голову не приходило.
в целом же, ты чушь морозишь несусветную ибо некомпетентен совершенно.
openvz 10 лет тому возможно таким и было. сейчас опенвз целиком работает на неймспейсе, цпусетах и прочих ядерных технологиях (как и lxc), авторами большей части которых и являются openvz-шники.
| | |
| |
| 7.44, angra (ok), 07:32, 28/11/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
Целиком? Сам то пробовал, компетентный ты наш? Кое-какую функциональность с vzctl 4.x и ванильным ядром получить конечно можно, но это будет лишь жалкая тень openvz, уступающая lxc. Полноценная работа openvz возможна лишь с их ядром.
| | |
| |
| 8.50, Аноним (-), 16:10, 28/11/2016 [^] [^^] [^^^] [ответить] | –2 +/– | не тупи - openvz потихоньку сливается - все наработки переливая в ванилу скор... текст свёрнут, показать | | |
| |
| 9.54, angra (ok), 22:12, 28/11/2016 [^] [^^] [^^^] [ответить] | –1 +/– | Ничего себе степень альтернативной одаренности Да если весь патч openvz перейде... текст свёрнут, показать | | |
|
|
|
|
| 5.47, Аноним (-), 14:48, 28/11/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Уязвимости находили практически везде. Объявишь весь софт минным полем и откажешься от
> него?
Компьютеры - минное поле. Срочно отказываемся от них и возвращаемся в пещеры! Мамонт стынет! /s
| | |
|
|
|
| 2.28, Аноним (-), 20:09, 27/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Давать кому попало рута в контейнере - это уже заведомо хождение по
> минному полю. Такие уязвимости, боюсь, будут всегда.
Выделяя пользователю контейнер по сути на откуп отдают отдельную виртуальную систему, чтобы пользователь сам в ней всё настраивал. Root в контейнере при user namespace никаким образом не должен пересекаться с root-ом в основной системe.
| | |
| 2.30, Michael Shigorin (ok), 21:21, 27/11/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > Давать кому попало рута в контейнере - это уже заведомо хождение по минному полю.
Смотря в каком. Но особо воодушевлённые давно уж не верили, что LXC не для безопасности, а для удобства.
Жаль, с ovz containers что-то непонятное творится.
| | |
| |
| 3.35, KonstantinB (ok), 22:00, 27/11/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Смотря в каком
В linux containers, разумеется - в контексте новости. Solaris zones я не имел ввиду точно.
> Жаль, с ovz containers что-то непонятное творится.
Да вроде понятное - "дом свободный, живите кто хотите".
| | |
| |
| |
| 5.56, Аноним (-), 22:53, 28/11/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Так опенвз вроде слился с виртуоззо?
openvz это подачка в виде Open Core от виртуозы.
| | |
|
|
|
|
| 1.61, seyko (??), 03:53, 30/11/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Какой host-провайдере предоставляет возможность использовать свой OS-template для контейнеров openxz ? Почему-то большинство предлагают только ими приготовленные заготовкии. Своя ОС -- только при использовании KVM (в виде ISO)
| | |
|
