The OpenNET Project
 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

22.02.2015 08:37  Docker-контейнеры для запуска популярных декстоп-приложений

Джессика Фразили (Jessica Frazelle), работающая в компании Docker inc, опубликовала подборку docker-контейнеров для запуска популярных консольных и графических пользовательских приложений в режиме изоляции от основной системы. Готовые контейнеры доступны для установки через hub.docker.com. Среди приложений: Skype, Chrome, Spotify, Gparted, Tor Browser,

Для организации ввода и вывода на экран осуществляется проброс сокета X11 в контейнер ("-v /tmp/.X11-unix:/tmp/.X11-unix -e DISPLAY=unix$DISPLAY"), для сохранения файлов в основной системе применяется bind-монтирование директорий ("-v $HOME/Downloads:/root/Downloads"). Организация вывода звука пока требует запуска контейнера в привилегированном режиме ("-v /dev/snd:/dev/snd --privileged"), что ставит вопрос о безопасности предложенного метода, так как выполнение в контейнере кода с правами root открывает дополнительные возможности по организации доступа к ресурсам основного хоста (например, в прошлом году была исправлена уязвимость, позволяющая обращаться в внешним файлам через прямой доступ к inode). В следующем выпуске Docker для проброса звука можно будет использовать "--device /dev/snd". При запуске Gparted используется полный проброс в контейнер блочного устройства ("--device /dev/sda:/dev/sda"), что делает бессмысленным использования контейнера в этом случае.

Александр Ларсон (Alexander Larsson), известный разработчик GNOME, развивающий собственную систему контейнеров для запуска графических приложений, выступил с критикой предложенного подхода, указав на то, что это не изоляция, а способ предоставления приложениям root-доступа. Основные аргументы сводятся к небезопасности X11: приложение запускается в изолированном контейнере, но по-прежнему имеет полный доступ ко всем X11-клиентам, что позволяет атакующему воспользоваться техниками перехвата событий ввода или подстановки ввода в терминал. Второй проблемой является выполнение управляющего демона docker с правами root, что даёт пользователю, имеющему доступ к запуску контейнеров, получить широкие возможности по манипуляции системными данными (например, можно запустить контейнер "docker run -v /:/tmp ubuntu rм -rf /tmp/*", который удалит все файлы в системе).

  1. Главная ссылка к новости (https://news.ycombinator.com/item?id=908...)
  2. OpenNews: Представлено первое полностью изолированное приложение для GNOME
  3. OpenNews: Разработчики GNOME развивают систему контейнеров для запуска графических приложений
  4. OpenNews: Один из разработчиков GNOME предложил новую реализацию неименованных каналов
  5. OpenNews: Red Hat и Docker развивают систему изолированных контейнеров для десктоп-приложений
  6. OpenNews: Выпуск cистемы управления контейнерной виртуализацией Docker 1.5
Тип: Проблемы безопасности
Ключевые слова: docker, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
Обсуждение Линейный вид (Ajax) | Показать все | RSS
 
  • 1.1, Аноним, 08:59, 22/02/2015 [ответить] [смотреть все]
  • +6 +/
    контейнеры, но с дырочками.
     
     
  • 2.2, angra, 09:16, 22/02/2015 [^] [ответить] [смотреть все] [показать ветку]
  • –3 +/
    cgroups никогда не предназначались для полной изоляции Хочется нормальной безоп... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.3, Аноним, 09:22, 22/02/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    тогда почему хипсторы так радостно взялись использовать именно докер для изоляци... весь текст скрыт [показать]
     
     
  • 4.4, Аноныч, 09:33, 22/02/2015 [^] [ответить] [смотреть все]  
  • +8 +/
    Дык название "прикольное", молодёжное, а не эти ваши аббревиатуры из рекурсивных акронимов.
     
     
  • 5.11, Аноним, 10:41, 22/02/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    Докерищи когда хоть половину закроют ... весь текст скрыт [показать]
     
  • 4.6, _KUL, 10:04, 22/02/2015 [^] [ответить] [смотреть все]  
  • +5 +/
    Контейнерная виртаулизация давным давно была придумана, а сейчас сделали обертку... весь текст скрыт [показать]
     
  • 4.10, angra, 10:40, 22/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Откуда мне знать, почему они это делают Я ведь не хипстер Могу лишь отметить, ... весь текст скрыт [показать]
     
     
  • 5.15, Аноним, 10:54, 22/02/2015 [^] [ответить] [смотреть все]  
  • +7 +/
    > лишь отметить, что у OpenVZ есть свои недостатки,

    При том абсолютно фатальный для десктопа - требует кастомное ядро. Доисторическое.

    При этом уже пофигу какая там безопасность: это ядро мое железо не поддерживает.


     
     
  • 6.22, Владимир, 13:15, 22/02/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    Ничего что новые OpenVZ уже вполне себе на ванильных ядрах работают с небольшими... весь текст скрыт [показать]
     
  • 6.48, SunXE, 21:11, 22/02/2015 [^] [ответить] [смотреть все]  
  • +/
    С разморозкой... весь текст скрыт [показать]
     
  • 5.55, Аноним, 18:57, 23/02/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Я тоже Но я ффтыкнул отчего такой hype Они его юзают как инсталлер 8-0 Ну то... весь текст скрыт [показать]
     
  • 4.19, Аноним, 11:52, 22/02/2015 [^] [ответить] [смотреть все]  
  • +5 +/
    Потому что хипсторы Орешки кешью, узкие джинсы, борода, очки, айфончик, systemd... весь текст скрыт [показать]
     
     
  • 5.25, cmp, 14:51, 22/02/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Рэпчик забыл Названия прочих публикаций просто кричат об этом ... весь текст скрыт [показать]
     
     
  • 6.31, Xasd, 15:54, 22/02/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    ды вы что, ребят что-то тут не так... весь текст скрыт [показать]
     
  • 4.21, Аноним, 12:40, 22/02/2015 [^] [ответить] [смотреть все]  
  • +/
    поясняю специально для экспертов-нехипсторов запуск контейнеров по дефолту треб... весь текст скрыт [показать]
     
     
  • 5.34, Аноним, 16:22, 22/02/2015 [^] [ответить] [смотреть все]  
  • +/
    а ещё месяц назад была новость, что подписывается в докеровом репозитории не сам... весь текст скрыт [показать]
     
  • 4.59, Dmitry77, 18:58, 27/02/2015 [^] [ответить] [смотреть все]  
  • +/
    докер делается не для безопасности, он позволяет легко развёртывать приложения ... весь текст скрыт [показать]
     
  • 3.8, Алексей, 10:30, 22/02/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    cgroups ограничивает ресурсы, а изоляцией занимается namespaces... весь текст скрыт [показать]
     
     
  • 4.12, Аноним, 10:42, 22/02/2015 [^] [ответить] [смотреть все]  
  • –2 +/
    Нет Все это уровни абстракции А изоляцией занимается ядро ... весь текст скрыт [показать]
     
     
  • 5.14, Аноним, 10:52, 22/02/2015 [^] [ответить] [смотреть все]  
  • +/
    А cgroups и namespaces - это интерфейсы ядра, ВНЕЗАПНО Но в ванили для 100 изо... весь текст скрыт [показать]
     
     
  • 6.18, Аноним, 11:09, 22/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Не спорю по многим причинам У них в разработке ядра своя кухня, и свой веник ... весь текст скрыт [показать]
     
  • 6.46, Аноним, 20:00, 22/02/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    сказки не будем рассказывать хоть бы код посмотрели, а не верили в маркетинг... весь текст скрыт [показать]
     
  • 3.13, Аноним, 10:51, 22/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Вообще-то namespaces, ламо И таки для именно этого они и предназначаются, тольк... весь текст скрыт [показать]
     
  • 3.45, Аноним, 19:59, 22/02/2015 [^] [ответить] [смотреть все]  
  • +/
    а чем openvz отличается от cgroups тем что оно на них основано ... весь текст скрыт [показать]
     
  • 2.16, Аноним, 10:54, 22/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Забавно смотрится root Downloads Нормальное такое размещение диры ... весь текст скрыт [показать] [показать ветку]
     
  • 2.20, Andrey, 12:37, 22/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ага, друшлак ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, kleemhead, 14:41, 22/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Дуршлякер ... весь текст скрыт [показать]
     
  • 2.32, Отче, 15:55, 22/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    А ты как хотел Сейчас даже ложки дырявые в моде ... весь текст скрыт [показать] [показать ветку]
     
  • 2.49, Тот ещё аноним, 21:44, 22/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Как ламер спрашиваю - как создать свой докер контейнер с нуля Не предлагайте ск... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.51, epicfile, 11:02, 23/02/2015 [^] [ответить] [смотреть все]  
  • +/
    гугли creating docker base image Вообще, частный случай для дебиана, например... весь текст скрыт [показать]
     
  • 2.54, Аноним, 18:30, 23/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Когда хипстеров это останавливало https www youtube com watch v j2n0d7AZNug ... весь текст скрыт [показать] [показать ветку]
     
  • 1.23, Stax, 14:03, 22/02/2015 [ответить] [смотреть все]  
  • +3 +/
    > Организация вывода звука пока требует запуска контейнера в привилегированном режиме ("-v /dev/snd:/dev/snd --privileged"),

    Бред они какой-то написали. Рут ради /dev/snd?? Нужно пробрасывать сокет pulse и ключ для dbus: "-v /run/user/${UID}/pulse:/run/user/${UID}/pulse -v /dev/shm:/dev/shm -v /etc/machine-id:/etc/machine-id" - работает идеально и никаких лишних прав не требуется.

     
  • 1.27, XXasd, 15:29, 22/02/2015 [ответить] [смотреть все]  
  • –4 +/
    При чём тут sda Может я sdb хочу разметмть врядли я стал бы использовать gpar... весь текст скрыт [показать]
     
     
  • 2.29, ebuild_destroyer, 15:41, 22/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Везде тут небезопасность ... весь текст скрыт [показать] [показать ветку]
     
  • 2.35, Аноним, 16:23, 22/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    наверное sdb будет в следующей версии хипстоинноваций, когда эппл запатентует sd... весь текст скрыт [показать] [показать ветку]
     
  • 1.37, Нанобот, 16:45, 22/02/2015 [ответить] [смотреть все]  
  • –1 +/
    >При запуске Gparted используется полный проброс в контейнер блочного устройства ("--device /dev/sda:/dev/sda"), что делает бессмысленным использования контейнера в этом случае.

    не совсем. если вдруг какой-то параноик захочет разметить один диск, а при этом боится, что gparted сольёт порн^W важную информацию в АНБ/MI-6/ZoG с другого, то докер поможет. хотя лично я считаю, что в этом случае следует  бороться с причиной, а не со следствиями, т.е. лечить паранойю

     
  • 1.38, Аноним, 16:59, 22/02/2015 [ответить] [смотреть все]  
  • +/
    Контейнеры ради контейнеров, отсутствие безопасности и лишние неудобства ... весь текст скрыт [показать]
     
  • 1.40, EuPhobos, 17:41, 22/02/2015 [ответить] [смотреть все]  
  • +2 +/
    > "docker run -v /:/tmp ubuntu rм -rf /tmp/*"

    Какой автор заботливый, комманда "rм" явно не отработает ))

     
  • 1.41, MPEG LA, 17:45, 22/02/2015 [ответить] [смотреть все]  
  • +1 +/
    >Среди приложений: Skype, Chrome, Spotify, Gparted, Tor Browser,

    т.е. я не должен доверять всем этим приложениям, а запускать от рута контейнеры с бугра, собранные непонятно кем - это Ъ-way?

     
     
  • 2.42, Аноним, 17:49, 22/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Верить, в наше время, нельзя никому Порой даже, самому себе Мне - можно с ... весь текст скрыт [показать] [показать ветку]
     
  • 1.43, th3m3, 18:10, 22/02/2015 [ответить] [смотреть все]  
  • +1 +/
    Эти контейнеры на самом деле нужны для узкого круга задач. Во всяком случае в таком виде, в котором они есть сейчас.
     
  • 1.47, earfin, 20:26, 22/02/2015 [ответить] [смотреть все]  
  • +1 +/
    Наркоманы. А как же насчет "Docker not about security in production" или как там их главный недавно вещал?
     
     
  • 2.50, Михрютка, 22:28, 22/02/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    найдите в словах Skype Spotify и Tor browser хоть одну букву из слова продакшн... весь текст скрыт [показать] [показать ветку]
     
  • 1.52, scorry, 11:48, 23/02/2015 [ответить] [смотреть все]  
  • +/
    > При запуске Gparted используется полный проброс в контейнер блочного устройства ("--device /dev/sda:/dev/sda"), что делает бессмысленным использования контейнера в этом случае.

    На хрена тогда контейнер было делать? Чего же не сделали ещё контейнер, внутри первого?

     
  • 1.53, Аноним, 12:01, 23/02/2015 [ответить] [смотреть все]  
  • +/
    Контейнеры GNOME это статически собранный бинарник c конфигом SELinux ... весь текст скрыт [показать]
     
  • 1.56, Аноним, 00:37, 24/02/2015 [ответить] [смотреть все]  
  • +/
    Чудовищно Давно есть вменяемые средства дря запуска всего и вся в изоляции др... весь текст скрыт [показать]
     
  • 1.57, rex, 01:09, 26/02/2015 [ответить] [смотреть все]  
  • +/
    Вполне нормальный кейс, не связанный с безопасностью:

    развернуть кучу проектов с конфликтующими зависимостями;

    писать
    port = 1048
    вместо
    port = portAllocator.reservedRangeXXFor(currentProjectId).from + 44

     

    Ваш комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:
     
    Навигация
     
     Новости для экспорта XML
     В социальных сетях:  twitter  
     Сводные | за день | мини-новости
     Разделы новостей
     Что нового на OpenNet
     Поиск в новостях
     Новые комментарии
     Добавить свою новость

    Важное
    - 25.03 Релиз GNOME 3.16. Обзор новшеств (124 +50)

    Советы
    - 18.03 Подготовка качественных GIF-файлов из видео при помощи FFmpeg
    - 13.03 Обновление Debian Wheezy до Debian Jessie, не дожидаясь официального релиза
    - 12.03 Подавление шумов средствами PulseAudio
    - 23.02 Создание интерактивных графических моделей в CAS MAXIMA при использовании ОС GNU Linux
    - 05.02 Мониторинг температуры в Zabbix с использованием Digitemp

    Обсуждаемые новости
    - 23:06 Выпуск открытого медиацентра Kodi 14.2 (бывший XBMC)  (16)
    - 22:42 Космическое агентство NASA открыло код платформы для создани (20)
    - 22:35 Релиз Samba 4.2.0. Прекращение поддержки Samba 3 (80)
    - 22:31 На GitHub обрушилась необычная DDoS-атака, проведённая через (110)
    - 20:24 Второй кандидат в релизы инсталлятора Debian 8.0 (52)
    - 20:10 Новая версия легковесного Linux дистрибутива antiX 14.4 (33)
    - 20:00 Доступна финальная бета-версия Ubuntu 15.04, ознаменовавшая  (157)
    - 18:26 Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4 (13)


      Закладки на сайте
      Проследить за страницей
    Created 1996-2015 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    RUNNet TopList
    п╡п╣я│п╣п╩я▀п╣ п╨п╟я─я┌п╦п╫п╨п╦ я─п╟п╥п╡п╩п╣п╨п╟я┌п╣п╩я▄п╫я▀п╣ пЁп╦я└п╨п╦ п╦п╫я┌я─п╣я│п╫я▀п╣ я└п╟п╨я┌я▀ я│п╪п╣я┬п╫я▀п╣ п╡п╦п╢п╣п╬ я│п╪п╣я┬п╫я▀п╣ п╦я│я┌п╬я─п╦п╦ п╦п╥ я│п╬я├я│п╣я┌п╣п╧