p
Херню можно делать любым инструментом.
Size: a a a
2021 August 13
AB
безусловно, только в докере её можно дольше прятать
AB
с запуском приложения от root и лохматой версией openssl
VK
Вот кстати, а что не так с запуском от рута в докере? :) там же пофиг на uid
p
С таким же успехом можно прятать внутри rpm/deb/whatever. Например, сделать мета-пакет, который то ли в pre-install, то ли в post-install лезет в интернеты и что-то там доустанавливает.
AB
и это сломается в ci/cd, где артефакты только с внутренней репы тащатся
МН
Для хостовой системы UId остается нулем, если удастся вылезти из чрута и пр. изоляции, то можно будет стать рутом на хосте. user namespaces придумали не просто так, systemd-nspawn, например, умеет делать private users - на хосте пользователь виден как UID+N, а внутри контейнера - как UID, при вылезании из контейнера рут внутри контейнера не станет рутом на хосте
МН
От запуска от рута в докере один шаг до запуска от рута в привелигированном докер-контейнере, с CAP_SYS_ADMIN
OS
А старый пердун с ансиблом наперевес перед бизнесом чем отвечает, кроме заношенного свитера?
OS
Не делай рута в докере, делов то
AB
проблема в том, что сам docker научился этому не так давно "Rootless mode was introduced in Docker Engine v19.03 as an experimental feature. Rootless mode graduated from experimental in Docker Engine v20.10."
p
К счастью, да. Но там это сломалось когда cpan прилёг.
p
podman
AB
лично я бы на этапе наличия чего-то из cpan уже зацепился бы глазом (если это не оформлено в пакет, а тащится прямо из репы)
p
Это пакет, который при установки тащит из репы.
МН
сейчас думаю, как задеплоить веб-ПО на ruby on rails, скорее всего, недостающие гемы опакечу в rpm
AB
да, но нет, RH много сделала для создания контейнеров с человеческим лицом, но инерция не даст вам использовать podman из коробки, придётся много работать руками
AS
А это уже моя работа сделать его предсказуемым и совместимым.