В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

ru_gitlab

1138 membersпожаловаться на группу
2020 January 16

A

Alexander in ru_gitlab
На заметку разработчикам, которым админы не дают рута на проде, но дают доступ к докеру.
источник
13:21пожаловаться#1

GG

George Gaál in ru_gitlab
Alexander
Вообще, о безопасности при выдаче доступа к докер сокету достаточно знать вот это :)
alias su="docker run -it --rm --privileged --uts=host --pid=host --net=host --userns=host -v /:/tmp/root busybox chroot /tmp/root sh -l"
+++
источник
13:21пожаловаться#2

GG

George Gaál in ru_gitlab
Я тоже так делал
источник
13:21пожаловаться#3

AG

Andrey Gumilev in ru_gitlab
Alexander
Вообще, о безопасности при выдаче доступа к докер сокету достаточно знать вот это :)
alias su="docker run -it --rm --privileged --uts=host --pid=host --net=host --userns=host -v /:/tmp/root busybox chroot /tmp/root sh -l"
согласен
источник
13:21пожаловаться#4

D

DjinN in ru_gitlab
Alexander
Вообще, о безопасности при выдаче доступа к докер сокету достаточно знать вот это :)
alias su="docker run -it --rm --privileged --uts=host --pid=host --net=host --userns=host -v /:/tmp/root busybox chroot /tmp/root sh -l"
Т.е. используя shell ранер я даю доступ к хосту
источник
13:24пожаловаться#5

D

DjinN in ru_gitlab
ой
источник
13:24пожаловаться#6

D

DjinN in ru_gitlab
root доступ к хосту
источник
13:24пожаловаться#7

A

Andor in ru_gitlab
не обязательно
источник
13:25пожаловаться#8

D

DjinN in ru_gitlab
Andor
не обязательно
это фиксится  privileged false в конфига ранера?
источник
13:26пожаловаться#9

A

Andor in ru_gitlab
shell раннер не имеет опции privileged
источник
13:27пожаловаться#10

D

DjinN in ru_gitlab
А как тогда тут защититься? На локалхосте я так спокойно могу в рут попасть
источник
13:33пожаловаться#11

D

DjinN in ru_gitlab
даже не думал об этом никогда, теперь понятно почему существует подман
источник
13:34пожаловаться#12

A

Andor in ru_gitlab
какое отношение подман имеет к shell экзекутору?
источник
13:35пожаловаться#13

D

DjinN in ru_gitlab
Andor
какое отношение подман имеет к shell экзекутору?
если я на локал хосте могу получить рута с помощью докера, то что мешает так же сделать в shell ранере?
источник
13:36пожаловаться#14

A

Andor in ru_gitlab
ваще никак не связано
источник
13:38пожаловаться#15

GG

George Gaál in ru_gitlab
DjinN
если я на локал хосте могу получить рута с помощью докера, то что мешает так же сделать в shell ранере?
Только если в Шелл раннере у тебя непривилегированный юзер с докером
источник
13:38пожаловаться#16

GG

George Gaál in ru_gitlab
Так что да ;# ты прав
источник
13:38пожаловаться#17

A

Alexander in ru_gitlab
DjinN
это фиксится  privileged false в конфига ранера?
Нет. Без privileged просто не будет доступа к девайсам и cap_sys_admin. Но полный доступ к фс (и, соответственно, конфигурации), а также процессам хоста останется.
источник
13:47пожаловаться#18

D

DjinN in ru_gitlab
Т.е.  если на шел ранере стоит докер это дыра, а использовать cache с dind без создание дыры так же не получиться?
источник
13:49пожаловаться#19

A

Andor in ru_gitlab
DjinN
Т.е.  если на шел ранере стоит докер это дыра, а использовать cache с dind без создание дыры так же не получиться?
"стоит" - нет
источник
13:50пожаловаться#20