Vlákno názorů k článku Postřehy z bezpečnosti: co najdeš v kontejneru od D.A.Tiger - Kontejnery se skodlivym kodem? Skoro me ten clanek...

No, pokud se pamatuju, ty jsi tam zuřivě tvrdil, že kontejnery jsou absolutně bezpečné :-D

[L.]
Pamatujes se spatne. ;)

Vzdycky jsem psal, ze kontejnery nejsou urcite spatna technologie, zaroven nabadal k opatrnosti a upozornoval na jejich uzavrenost, ktere povazuji za jejich nevyhodu a riziko.

Uplne jako cerveny hadr na me pusobili Snappy a Flatpak...

21. 11. 2022, 11:16 editováno autorem komentáře

Možná. A možná taky ne, když nechceš dát důkaz.

Důkazní břemeno je na tobě, když někoho obviníš ze lži.

Ne, důkazní břemeno je na tom, kdo s tvrzením přišel. A to je D.A.Tiger.

(Můj přispěvek byl jen parodie na jeho tvrzení bez důkazu; to snad každý pochopil.)

[L.]
Kdyz uz jsme u toho vysvetlovani co kdo jak myslel, tak ten prispevek byl urcen prave temto lidem. Neco ve stylu "My vam to rikali a vy jste si mlely svou. Ted to tu mate, uzivejte si!" Jen jsem to nechtel psat tak na hulvata.

Vzhledem k tomu a k faktu, ze dost flamewaru (kterych jsem se ucastnil) na toto tema probehlo zde, fakt nevidim duvod proc ti to servirovat pod nos. Kdybys mel takovy zajem muzes si je dohledat sam, tajne nejsou.

Nijak, hlavne ale neohrozi hostitelsky system tak ako je to mozne v pripade dockeru.

Alebo je len tak malo rozsireny, ze mu hekerske skupiny nevenuju pozornost a tie chyby v nom nehladaju.

Skor je oproti dockeru pre hackerske skupiny nezaujimavy, kedze je s bezpecnostou uplne inde ako docker.

[dw]
Coz ale neznamena, ze se to nemuze casem zmenit. Pokud se s vyzname rozsiri. Pokud budou na nekontrolavanych, ne uplne duveryhodnych ulozistich, zanedbaji se aktualizace, ... Clovek je tvor vynalezavy.

Az ho bude pouzivat x korporatu tak se budou i hackerske skupiny zajimat. To, ze ho pouziva 5 lidi doma je nezajimave. Nebo snat existuje nejaky korporat kde je podman v produkci?

[Ratbatcat]
Mas samozrejme pravdu, ale zas na druhou stranu nezapominej, ze zalezi na cilech utocnika. Kdyz chce krast vykon, je samozrejme lepsi server, ale i obycejny desktop se hodi.

Njn, kazdy korporat rad bude platit licenciu za deravy docker, ked podman je zadarmo pod zastitou firmy od ktorej zrejme beztak budu mat enterprise linux...

Tak jinak: x mych korporatnich zakazniku pouziva docker, zadny z nich nepouziva podman. Duvod? Lidi znaji docker, vsechen vyvoj byl udelan s pouzitim dockru (nejenom kontejner ale vsechny skripty kolem), existuji dalsi integrace s dockrem (treba i bezpecnostni) a tohle vse nikdo nechce migrovat nekam jinam (protoze migrace neni zdarma). Takze tech $24/user za docker business licence je daleko levnejsi nez neco predelavat. Az najdete nejaky korporat s podmanem v produkci tak klidne sem napiste, ja jsem zatim podman v produkci zadneho korporatu nevidel.

No, mozno ich bude viac nez by ste cakal. Existuje wrapper pre podman, vdaka ktoremu volate 'docker ....' ale v reale sa vola podman - prikazy dockeru su vlastne podmnozinou prikazov podmanu. Takze scripty nemusite nejako moc prepisovat a prechod je lahky. Je mozne ze podman ste uz v korporate videl, akurat vam nedoslo ze to nie je docker. Kde to pouzivaju? Zkuste do google hodit "podman oracle". Myslite ze obsiahle howto a helpdesk pre podman tam maju len tak pre uplnost? Len priklad, mam na praci zaujimavejsie veci, ako vam vyhladavat zdroje pre dovzdelanie sa.
Ad vyvoj, na desktope mam uz nejaku dobu podman, spolupracujem s ludmi ktory koli hram na widle nedaju dopustit, podman by museli pustat vo virtuale. Ide to uplne hladko. Z jednoducheho dovodu. Pre vyvoj a nasadenie je dolezity repozitar so zdrojakmi. Iste existuju lopaty, ktore idu tak ze z kontajnera v ktorom vyvijaju vytvoria image a to pushnu do image repozitara, z ktoreho to pulnu do produkcie. A iste vyskytuju sa aj v korporatoch. Nie kazdy korporat si potrpi na kvalitu ohladne zamestnancov a subdodavatelov...

Ty ale mlusíš asi jen o desktopu, co? Docker na serveru se licencuje jinak a hlavně na serverech to spíše už je pod openstack nebo k8s, nikoliv jen tak. V CZ je v korporátech hodně rozšířený RHEL, tam je podman doma. Nahrazení dockeru podmanem znamená spíše žádné zásahy do kódu a procesu.

Akorát celá zprávička je o škodlivém kódu v kontejnerech. A podman spouští ty samé "image". A proti těžbě kryptoměn podman nijak nepomůže.

Mimochodem ta bezpečnost není nijak zásadně rozdílná, jelikož pod kapotou je stejně hlavně containerd nebo cri-o u Red Hatu jako runtime, které ovládá kernel (cgroups a namespaces).

Podman samozrejme nic neresi. To ze ho muzete spustit pod nonroot uctem je hezke, ale v praci to nijak nezabrani tomu aby v tom obraze bezel nejaky mining nebo aby ten obraz delal nejaky tunel pro hackery kteri pak pouziji dalsi nastroje k napadeni dalsich stroju v siti.

Ohrozí.

Podman není navržen jako snadbox pro bezpečné spouštění cizího kódu, lze očekávat řadu vyuřžitelných zranitelností na straně podmanu i linuxu.

Už jen skutečnost, že z podmanu mám stejně dostupnou celou síť (pokud tomu aktivně nezabráním) a že ve výchozím stavu obchází iptables pravidle vlastním forward skokem, lze očekávat značné množství možných útoků.