Опубликованы результаты тестирования инструментов для определения неисправленных уязвимостей и выявления проблем с безопасностью в образах изолированных контейнеров Docker. Проверка показала, что в 4 из 6 известных сканеров образов Docker присутствовали критические уязвимости, позволяющие атаковать непосредственно сам сканер и добиться выполнения своего кода в системе, в отдельных случаях (например, при использовании Snyk) с правами root...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=53650
"Уязвимости в сканерах безопасности".
Смузихлёбы такие смузихлёбы.А вообще в последнее время, когда видишь слово "Docker", становится феерично смешно. Если бы не было так грустно.
Docker не про безопасность. Комментаторы на опеннете пробивают новое дно...
Docker про опасность?
Докер - про решение dependency hell, путем отвязывания методов сборки, доставки и запуска приложения и его окружения от особенностей хост-системы.Как и любой инструмент, его можно использовать правильно, а можно отстрелить себе что-нибудь.
Если приложение в докере запускается от непривилегированного пользователя, в контейнер не смонтировано чувствительных каталогов ФС хоста, и образ регулярно обновляется - в случае уязвимости приложения выход из контейнера малореален, нужна критичная дыра в ядре, позволяющая любому пользователю получить рута.
А вот рут в контейнере - это практически рут на хосте.
Кококо, в ляликсе нету dependency hell, говорили они, в ляликсе есть очень вумные пакетные менеджеры, которые решают все проблемы, говорили они...
голоса в голове?
Думаю, просто завидует -- _тот_ dependency hell, который можно развязать на линуксе, на винде приведёт к срыву шифера куда раньше... ну и вариантов разложить по полочкам всё-таки есть, в отличие от "чуть что -- остаются только виртуалки".
Про создание *Hell вместо dependencyHell, скорее.
> А вот рут в контейнере - это практически рут на хосте.user namespaces в докере не используются что ли?
Можно включить, но дыры в них находят регулярно
https://www.opennet.dev/opennews/art.shtml?num=53656 не первая и не последняя.
> Докер - про решение dependency hell, путем отвязывания методов сборки, доставки и запуска приложения и его окружения от особенностей хост-системы.Изначально-то это задумывалось не так. Микросервисные приложения и все тому подобное... Это потом, спустя годы оно превратилось в MSI для Linux. Виновато в этом отсутствие этого условного MSI. Можно его изобрести в будущем, но для этого придется сначала создать стандартизированную базовую систему, придумать что-то с безопасностью и там еще по-мелочи.
И ведь дяди-меинтейнеры не понимают, что сопротивление бесполезно. Ах сколько я слышал про чудесные репозитории как панацея, о прекрасных "юниксвеях" и прочих религиозных войнах. Получите-распишитесь. Вам придумали "инсталляторы", причем те люди, кто меньше всего в этом смыслит. Кривые косые тяп-ляп, пока все поголовно отрицали нужность. Тезис на поразмыслить: любые доводы противников всегда разбиваются о существующее рабочее решение и продолжат разбиваться до тех пор пока не будет предъявлена альтернатива решающая задачу лучше. Поэтому докеры, поэтому системд и то ли еще будет...
> А вот рут в контейнере - это практически рут на хосте.
Уффф. Да это еще полбеды. Вы на capabilities в ядре посмотрите и прослезитесь и на атрибуты из прошлого века на ФС. Вас даже мандатный контроль не спасёт, включенный и в контейнере и на хосте от дурачка с докер-контейнером.
С ростом популярности Linux, у него появляются пользователи. Пользователям в вопросах безопасности доверия нет, потому что они не администраторы и не понимают в этом ничего. Принципы и подходы к безопасности которые которые сложились в Linux за годы нужно пересматривать. Точка.
докер это про то, как сделать из линукса win xp.чтобы не пришлось линукс осиливать
> Комментаторы на опеннете пробивают новое дно...Cамокритично.
> Docker не про безопасность.
Software: Docker
Original author(s): Solomon Hykes
Developer(s): Docker, Inc.With Docker, you get an integrated __security__ framework for delivering __safer__ applications and improving policy automation without sacrificing performance. Docker adds an __extra layer of protection___ that travels with your applications in a __secure supply chain__ that traverses any infrastructure and across the application lifecycle.
With our system, you get every f***ng benefit you can imagine without sacrificing any f***ng hair from you head, cutting nails, washing feet, feeding cat, whatever. Our SHIT(tm) adds so many layers of protection that you have never imagined in your life, a secure security chain that does not allow even kernel to traverse over any tiny bit in your precious big data containing milliards of visits to your ultimately(tm) necessary(tm) pages.(of course this all is a load of utter bullshit, but who cares? don't care, drink smoothies)
> Docker не про безопасность.Так-так... Вы у нас девелопер-погроммист? Очень жаль... Лет 15 назад профессией программист можно было гордиться.
> Лет 15 назад профессией программист можно было гордиться.1С:Предприятие был уже тогда.
Изучал программирование под 1С 8.3 . Мне понравилось. Иногда жалею, что не стал работать с ним.
> Уязвимости в сканерах безопасности образов...Да прочитай хоть заголовок новости. А смех без причины - признак закоренелого опеннетовца.
Да, докер - это всего лишь система контейнеризации приложений, что по определению будет опаснее любой виртуальной машины.
Но вот только к чему докер здесь? Вот приходилось мне когда-то blackduck гонять. В виртуалке... Я сканировал образа докера без использования самого докера.
>В итоге сделан вывод, что сканеры Docker-контейнеров следует запускать в изолированных окруженияхзапускать сканер докера внутри докера
но с начала нужно просканировать докер для запуска сканера докера.
Нужен сканер безопасности для сканера
На JavaScript, или ещё лучше Rust!
Традициям Лаборатории Касперского Верны !!
Что ещё раз показывает, что дыры надо выявлять и чинить, а не оборачивать в 10 слоёв таких же дырявых "контейнеров" "песочниц" и "виртуальных машин".
> дыры надо выявлять и чинитьКонечно надо! Даже при увеличении стоимости разработки в несколько раз из-за этого... Хотя... Вот я сейчас нахожусь в такой ситуации, когда просто невозможно перейти на третий питон.
А ещё у одного из моих заказчиков какой-то начальничек говорил что код надо "сразу писать правильно!". Но он вроде потом понял почему над ним не только поржали, но и цитировали потом.
Увеличение ресурсопотребления в несколько раз. Но это же у юзера. Юзер стерпит (в прочем сейчас могут резко закончится деньги на апгрейды/обломаться закон Мура)...
PS Достали. Написать что ли аддон для хрома, чтобы как только процесс с вкладкой жиреет до 500 мб, он начинал этот сайт ддосить ??
Ты там сверху не на тот вопрос ответил, наверное.> PS Достали. Написать что ли аддон для хрома, чтобы как только процесс с вкладкой жиреет до 500 мб, он начинал этот сайт ддосить ??
Пиши, но без плагина можешь рразу начинать дудосить сайты аутглюка, зума и шлака.
> Написать что ли аддон для хрома, чтобы [...] сайт ддосить ??От всего сердца желаю удачи. Потому что скорее всего получится только свой комп заддосить отожранным хромом )
> Вот я сейчас нахожусь в такой ситуации, когда просто невозможно перейти на третий питонНу вы сами себе этот язычок выбрали. Страдайте.
> Даже при увеличении стоимости разработки в несколько раз из-за этогоНе экономь. За счёт. Моих. Ресурсов. Сcцука.
Пусть увеличивается стоимость разработки, 6леaть - вы ж сами работой и баблом дольше будете обеспечены, deбилы.
Вот кстати да, я всегда охреневаю с этих камикадзе, ратующих за уменьшение стоимости разработки.
Во-первых, это понижает общий уровень разработки - обезьянки становятся востребованнее профессионалов.
Во-вторых, говнокод в перспективе всегда оборачивается херовой тучей убытков - случаев тьма.
В-третьих, скупой/слепой/жадный всегда платит дважды, просто в других местах. ССЗБ.
> Что ещё раз показывает, что дыры надо выявлять и чинить, а не оборачивать в 10 слоёв таких же дырявых "контейнеров" "песочниц" и "виртуальных машин".Ага, запускайте все от рута, и будет вам счастье. Если вас ломанут - подайте в суд, почему дыру не выявили и не починили.
пффф. как будто вас не ломанут из под докера или виртуалки...
это может быть даже проще сделать...
экосистема какого-нить мелкого контейнера всяко проще исследовать, нежели монструозное ядро, сетевой стэк ос и тп. другой вопрос в том, что в виртуалках проще админить, бэкапить и тп.
Дядя, ты кагбэ вообще оторвался от реальности, или просто хороший тролль. Нужно просто инвертировать всё тобой сказанное.
Хотите нормальной изоляции, берите тот же легковесный Alpine и вращайте на KVM.Докер это костыль.
Alpine точно не стоит. Там вместо libc здорового человека вкорячен musl, написанный крайне талантливым разработчиком. Переполнение буфера в функции printf - это надо уметь.
Вот *все* CVE на musl:
CVE-2012-2114 (5.0)
CVE-2015-1817 (7.5)
CVE-2016-8859 (7.5)
CVE-2017-15650 (7.5)Вот CVE на glibc только за прошлый год:
CVE-2019-9169 (7.5)
CVE-2019-1010022 (7.5)
CVE-2019-1010023 (6.8)
CVE-2019-1010024 (5.0)
CVE-2019-1010025 (5.0)И кто талантливее?
Там с обеих сторон хватает талантов.
Тем не менее, в musl (пока) намного меньше кода, он (пока) сильно меньше засран слоями legacy и совместимости со всем сущим.
С другой стороны, и щиплют musl пока в разы меньше.
Забыл самое главное - количество хостов с glibc и musl
Это ж надо все роутеры и прочую эмбедовку посчитать. У меня нет таких данных. Поделись, если у тебя есть.
Alpine можно и на хосте вращать.
> изначально написанный с оглядкой на обеспечение безопасностиДа уж, и впрямь девляпсы -- анализатор непоймичего писать левойногой, не включая голову...
С дыркером всё стало ясно ещё после тех детских ошибок пятилетней давности в уже набирающем обороты "продукте", вылезшем там, куда не смогли добраться ovz-шники, увы.
повторю вопрос тут, а то в оригинальной локации вы отвечать не спешите:>>> единственными нормальными контейнерами в плане изоляции были OpenVZ-шные
>> и чем же OpenVZ-контейнеры безопасней тех, что на базе cgroups?
> Изоляцией.поясните, пожалуйста, раз вы специалист в этом вопросе
>>>> единственными нормальными контейнерами в плане изоляции
>>>> были OpenVZ-шные
>>> и чем же OpenVZ-контейнеры безопасней тех, что на базе cgroups?
>> Изоляцией.
> поясните, пожалуйста, раз вы специалист в этом вопросеovz изначально делался для хостинга, т.е. для агрессивной с обеих сторон среды с осуществляемыми атаками как извне на контейнер и хост, так и из контейнера на хост (неважно, вследствие "заинтересованного" ли или проломленного пользователя).
cgroups -- это те ошмётки технологии, которые успели попасть в ядро, пока их туда ещё пропихивали разработчики ovz. Без ubc, без вычитки (которая местами попала отдельно, но вся ли -- мне неизвестно).
lxc -- это те ошмётки управления, которые лет десять назад сделал IBM (очень напоминали то ли набросок, то ли кусок большей и не опубликованной разработки, но тут точней мне сказать нечего).
PS: вот на этой точке подумал и позвонил xemul@; он прокомментировал так, что в ovz был kmem accounting (для меня это часть ubc) и "что-то там насчёт рута в контейнере, но вроде в lxc это тоже затыкали"; ещё упомянул про user namespaces (на что я удивился, памятуя неприятные CVE по ним, но Паша говорит, что вроде уже позатыкали тоже). То есть сейчас, если правильно понимаю, где-то на уровне -- в том числе и потому, что vz7 переехал на уже заапстримленное, а не продолжил "ту" разработку на "том" уровне (это моя оценка, не его).
PPS: ну очень смешному автору удалённого #24 могу отметить, что ответственность за угробленный проект openvz несёт также тот полутруп, которого традиционно "по рреволюционным нуждам" попытались порешить "свои" же (пиджаку запаса РХБЗ слышать о высокоточечном применении ОМП особенно забавно, остальное даёт корреляционный анализ аналогичных случаев). Да, у доброго и умнейшего Кирилла Колышкина не хватило мудрости отличить вопли от действительности и он простодушно понауехал, в отличие от подначивавших _других_ к тому уродов. Не делайте так, проверяйте загодя, исполняют ли вопящие сами то, к чему призывают.
Да всё нормально с OpenVZ, просто после проталкивания основной массы бэкграунда в ядро объём работы сильно подсократился, чего сами в общем-то не ожидали.Ну и то, что понауехал, это очень хорошо. По крайней мере хватило мозгов и, главное, смелости не задерживаться там, где перспектив 0. Red Hat - местечко куда лучше.
Кто бы сомневался.Надо больше дырявых контейнеров, контейнеров в контейнерах. И внутри ещё снапошлаков. Вот тогда заживём.
Сначала наделают ерунды, а потом с ней героически сражаются.
О ужас, мы потеряли 3% производительности железа и получили 500% к скорости выпуска релиза.
Конечно, вместо контейнеров нам нужно поддерживать 20 разных способов установки ПО, какие-то 3rd party репозитории которые постоянно падают и ломают обновление всей системы.
Ну пустили вебмакак к серверам, обозвали громким словом девопс, ну чего? Нормально. Нечему теперь таким результатам удивляться.
Предлагаю разработать сканеры безопасности для сканеров безопасности
А почему тут все резко начали кукарекать про безопасность? Такого рода софт, как правило, запускают внутри сети и/или на ci/cd системах, куда у мамкиных хацкеров изначально не может быть доступа.К тому же началась школа и количество активных хакеров интернете уменьшилось на 60%
То-то что ни девляпсная монга, то утечка.
А мужики-то и не знают, что к CI/CD системам не то, что школота, NSA не подлезет.
> А почему тут все резко начали кукарекатьвот в таком виде вопрос уже достаточен
и ответ очевиден - иксперты опеннет
Я вообще удивляюсь, чего на опеннете начали кукарекать про безопасность.
Ранее тут повально были мнения от старожилов и почтенных бородачей в свитерах, что фаерволы - пустая трата времени, никто никому не нужен и никто никого ломать не будет.
Переобулся опеннет.
firewall не про безопасность
Это как пример
> Такого рода софт, как правило, запускают внутри сети и/или на ci/cd системах, куда у мамкиных хацкеров изначально не может быть доступа.Ну дык вот новость как раз о том, как он внезапно может появиться.
>> Такого рода софт, как правило, запускают внутри сети и/или на ci/cd системах, куда у мамкиных хацкеров изначально не может быть доступа.
> Ну дык вот новость как раз о том, как он внезапно может
> появиться.Если не следить за софтом - то хацкеры внезапно могут появиться на любой системе, даже без докера
докер - это не про изоляцию, и не про безопасность. докер - это про то, что девелопер теперь может сам выкатывать свое приложение без помощи админа/девопса/инфраструктурного инженера и т.д.сам может управлять лимитами ресурсов, сам может управлять балансировкой и т.д.
достаточно только написать yaml файл для клауд-хостет сверверлес кластера кубернетес.
в россии правда это пока не очень очевидно.
> докер - это не про изоляцию, и не про безопасность. докер -
> это про то, что девелопер теперь может сам выкатывать свое приложение
> без помощи админа/девопса/инфраструктурного инженера и т.д.
> сам может управлять лимитами ресурсов, сам может управлять балансировкой и т.д.
> достаточно только написать yaml файл для клауд-хостет сверверлес кластера кубернетес.Спасибо, но нет, спасибо. Насмотрелся на монстров от таких вот senior full stack архитекторов. Лучше пусть и дальше код пишут