Dobrý den,
CoreOS opustil docker? To se mi moc nezdá, nebo jsem tu větu pochopil špatně?
Příspěvky CoreOS – proč byste o něm měli uvažovat
opustil rkt a presiel na Docker, tak je to tam myslene
tak ja tam teda ctu "prinasi rkt", nikoli ze ho opousti, pak ze je rkt podobne Dockeru a ten ze byl drive vyuzivan ;) Doplnim ze rkt dokaze pustit docker image...
https://coreos.com/blog/
https://github.com/coreos/rkt
https://coreos.com/blog/
https://github.com/coreos/rkt
... žijeme v době, kdy běžný desktop nabootuje za pár vteřin ...
Panebože, některé distribuce bootují desítky sekund i z rychlého úložiště !
Panebože, některé distribuce bootují desítky sekund i z rychlého úložiště !
a to jake distro z kategorie bezny desktop ? me napr. na 5let starem HW s i5 a SSD nabootuje Xubuntu 14.04LTS(tedy bez systemd) za 6 vterin :)
Re: Re: CoreOS – proč byste o něm měli uvažovat
Lukáš Jelínek 16. 07. 2015, 20:42:53
Odpovědět Odkaz
Jak je to s bezpecnosti v kontejnerech?
Je root v kontejneru stejny root jako v rodicovskem systemu?
Jsou tam dalsi zajimave bezpecnostni "diry", o kterych se moc nepise?
Dale me me zajima, zdali lze postavit jednoduse server, kde ma pristup 50 lidi, ale kazdy pouze ke svym 5 kontejnerum, ktere spravuje a pritom neni mozne, aby se z nich vysekal ven a zacal se vrtat i jinde (tento dotaz vychazi z realneho use-case, ke kteremu u nas smerujeme)?
Je root v kontejneru stejny root jako v rodicovskem systemu?
Jsou tam dalsi zajimave bezpecnostni "diry", o kterych se moc nepise?
Dale me me zajima, zdali lze postavit jednoduse server, kde ma pristup 50 lidi, ale kazdy pouze ke svym 5 kontejnerum, ktere spravuje a pritom neni mozne, aby se z nich vysekal ven a zacal se vrtat i jinde (tento dotaz vychazi z realneho use-case, ke kteremu u nas smerujeme)?
Co se týče roota v kontejneru, není stejný, jako root v hostitelském systému - oproti rootu na hostiteli má omezená oprávnění. Konkrétně v případě Dockeru se používají pro zvýšení bezpečnosti prvky z kernelu (např. namespaces nebo cgroups). Nejsem bezpečnostní expert, takže Vás bohužel můžu akorát odkázat např. na článek zde - https://docs.docker.com/articles/security/.
K druhému dotazu - jednoduše by se to dalo vyřešit pomocí uživatelských účtů v kontejnerech. Jinak řečeno by měl v kontejneru účet pouze uživatel, který má mít přístup. Ale to je opravdu primitivní řešení a pravděpodobně bude obtížně spravovatelné.
K druhému dotazu - jednoduše by se to dalo vyřešit pomocí uživatelských účtů v kontejnerech. Jinak řečeno by měl v kontejneru účet pouze uživatel, který má mít přístup. Ale to je opravdu primitivní řešení a pravděpodobně bude obtížně spravovatelné.
