Új hozzászólás Aktív témák
-
haddent
addikt
válasz
samujózsi
#177
üzenetére
#173: -ra: hát ha bemountolod neki a filesystemet, akkor nyilván tudja írni
lehet ro kapcsolóval is. User mapping, iptables nyulkapiszka alapból stb., lehet erről vitatkozni, de amíg van egyenes és nem gány workaround megoldás, addig nem gondolom, hogy baj. Konténeren belül nem root futtatja a dolgokat, az egy dolog, hogy te hosztról hozzáférsz a roothoz, de az alkalmazást feltörőnek ugyanúgy privescelnie kell, majd onnan még konténerből megszöknie, nem lesz könnyaű dolga.. De igen, nyilván vitatathatatlanu könnyebb, mint vm -ből szökni.A frissítéseknél pedig pull lehúzza a latest tagű imidzset, re-upnál már azzal indul. Official imidzseknél ergo megbízol a csomagolóban, hogy frissíti, ha van 0day hotfix, ami rendszerint meg is történik. Erről lehet vitatkozni, csak felesleges. Igen, +1 absztrakció, valóban. De ennyi erővel mindenféle csomagkezelő meg csomag is az, hiszen van sok dependencia, mi van, ha a láncban valahol valami hotfix kijön és egyik ráépülő meg nem reagál stb..? Ugyanez. De igen, ez is +1 absztrakció. Ellenkező esetben a "tökéletes" megoldás, hogy kizárólag saját imidzseket használsz, automatizálsz mindent, folyamatosan figyel, amint kijön valami buildel, deployol. Nekem van Jenkins CI -om erre, baromira nem használom
Ha ez még mind mindig nem elég, akkor egyetlen megoldás it-sec szempontból a teljesen saját implementáció teljesen saját, zárt forráskóddal, ami aztán telis tele lehet hibával és exploittal, mert senkinek fingja nincs róla és vaktyúk is talál szemet módszerrel jóval nehezebb feltörni valamit, mintha a kódot elemezgetve unatkozva játszanak a gyerekek
Log: de épp ezt mondom, hogy nem syslognak, hanem foreground non-daemon, stdout/stderr. Azt kapja el a docker log, azt tudja és továbbítja konténer névre és id -re szűkítve a host syslognak, gelf -nek vagy aminek akarod. Az official imagek így működnek. Ha ezen felül valami nem sztenderd elk*#!t logolása is van az appnak, akkor azt sajnos neked kell megoldani valamilyen más módon
lehet ro kapcsolóval is. User mapping, iptables nyulkapiszka alapból stb., lehet erről vitatkozni, de amíg van egyenes és nem gány workaround megoldás, addig nem gondolom, hogy baj. Konténeren belül nem root futtatja a dolgokat, az egy dolog, hogy te hosztról hozzáférsz a roothoz, de az alkalmazást feltörőnek ugyanúgy privescelnie kell, majd onnan még konténerből megszöknie, nem lesz könnyaű dolga.. De igen, nyilván vitatathatatlanu könnyebb, mint vm -ből szökni.Új hozzászólás Aktív témák
- Pánik a memóriapiacon
- Háztartási gépek
- Linux Mint
- Milyen NAS-t vegyek?
- Apple Watch
- Milyen videókártyát?
- Samsung Galaxy Watch4 és Watch4 Classic - próbawearzió
- Proxmox VE
- Mit tehetsz jogilag, ha átvertek, megkárosítottak a Hardveraprón?
- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- További aktív témák...
- ÁRGARANCIA!Épített KomPhone Ryzen 5 7600X 32/64GB RAM RX 9070 16GB GAMER PC termékbeszámítással
- GYÖNYÖRŰ iPhone 14 Pro 128GB Space Black -1 ÉV GARANCIA - Kártyafüggetlen
- magyar billentyűzet - 173 - Lenovo Legion Pro 7 (16IAX10H) - Intel Core U9 275HX, RTX 5080
- HIBÁTLAN iPhone 13 mini 256GB Midnight -1 ÉV GARANCIA - Kártyafüggetlen, MS4078
- Új DreamQuest mini PC, mini számítógép
Állásajánlatok
Cég: BroadBit Hungary Kft.
Város: Budakeszi
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest