forum.opennet.ru

Составление сообщения

Исходное сообщение

"Docker-контейнеры для запуска популярных декстоп-приложений"
Отправлено opennews, 22-Фев-15 08:59

Джессика Фразили (Jessica Frazelle), работающая в компании Docker inc, опубликовала (https://blog.jessfraz.com/posts/docker-containers-on-the-des...) подборку docker-контейнеров (http://github.com/jfrazelle/dockerfiles) для запуска популярных консольных и графических пользовательских приложений в режиме изоляции от основной системы. Готовые контейнеры доступны для установки через hub.docker.com (http://hub.docker.com/u/jess). Среди приложений: Skype, Chrome, Spotify, Gparted, Tor Browser,
Для организации ввода и вывода на экран осуществляется проброс сокета X11 в контейнер ("-v /tmp/.X11-unix:/tmp/.X11-unix -e DISPLAY=unix$DISPLAY"), для сохранения файлов в основной системе применяется bind-монтирование директорий ("-v $HOME/Downloads:/root/Downloads"). Организация вывода звука пока требует запуска контейнера в привилегированном режиме ("-v /dev/snd:/dev/snd --privileged"), что ставит вопрос о безопасности предложенного метода, так как выполнение в контейнере кода с правами root открывает дополнительные возможности по организации доступа к ресурсам основного хоста (например, в прошлом году была исправлена (http://www.opennet.ru/opennews/art.shtml?num=40046) уязвимость, позволяющая обращаться в внешним файлам через прямой доступ к inode). В следующем выпуске Docker для проброса звука можно будет использовать "--device /dev/snd". При запуске Gparted используется полный проброс в контейнер блочного устройства ("--device /dev/sda:/dev/sda"), что делает бессмысленным использования контейнера в этом случае.
Александр Ларсон (Alexander Larsson), известный разработчик GNOME, развивающий собственную систему контейнеров (http://www.opennet.ru/opennews/art.shtml?num=41514) для запуска графических приложений, выступил (https://news.ycombinator.com/item?id=9087293) с критикой предложенного подхода, указав на то, что это не изоляция, а способ предоставления приложениям root-доступа. Основные аргументы сводятся к небезопасности X11: приложение запускается в изолированном контейнере, но по-прежнему имеет полный доступ ко всем X11-клиентам, что позволяет атакующему воспользоваться техниками перехвата (https://github.com/magcius/keylog) событий ввода или подстановки ввода в терминал. Второй проблемой является выполнение управляющего демона docker с правами root, что даёт пользователю, имеющему доступ к запуску контейнеров, получить широкие возможности по манипуляции системными данными (например, можно запустить контейнер "docker run -v /:/tmp ubuntu rм -rf /tmp/*", который удалит все файлы в системе).
URL: https://news.ycombinator.com/item?id=9086751
Новость: http://www.opennet.ru/opennews/art.shtml?num=41709

Исходное сообщение
"Docker-контейнеры для запуска популярных декстоп-приложений" Отправлено opennews, 22-Фев-15 08:59
Джессика Фразили (Jessica Frazelle), работающая в компании Docker inc, опубликовала (https://blog.jessfraz.com/posts/docker-containers-on-the-des...) подборку docker-контейнеров (http://github.com/jfrazelle/dockerfiles) для запуска популярных консольных и графических пользовательских приложений в режиме изоляции от основной системы. Готовые контейнеры доступны для установки через hub.docker.com (http://hub.docker.com/u/jess). Среди приложений: Skype, Chrome, Spotify, Gparted, Tor Browser, Для организации ввода и вывода на экран осуществляется проброс сокета X11 в контейнер ("-v /tmp/.X11-unix:/tmp/.X11-unix -e DISPLAY=unix$DISPLAY"), для сохранения файлов в основной системе применяется bind-монтирование директорий ("-v $HOME/Downloads:/root/Downloads"). Организация вывода звука пока требует запуска контейнера в привилегированном режиме ("-v /dev/snd:/dev/snd --privileged"), что ставит вопрос о безопасности предложенного метода, так как выполнение в контейнере кода с правами root открывает дополнительные возможности по организации доступа к ресурсам основного хоста (например, в прошлом году была исправлена (http://www.opennet.ru/opennews/art.shtml?num=40046) уязвимость, позволяющая обращаться в внешним файлам через прямой доступ к inode). В следующем выпуске Docker для проброса звука можно будет использовать "--device /dev/snd". При запуске Gparted используется полный проброс в контейнер блочного устройства ("--device /dev/sda:/dev/sda"), что делает бессмысленным использования контейнера в этом случае. Александр Ларсон (Alexander Larsson), известный разработчик GNOME, развивающий собственную систему контейнеров (http://www.opennet.ru/opennews/art.shtml?num=41514) для запуска графических приложений, выступил (https://news.ycombinator.com/item?id=9087293) с критикой предложенного подхода, указав на то, что это не изоляция, а способ предоставления приложениям root-доступа. Основные аргументы сводятся к небезопасности X11: приложение запускается в изолированном контейнере, но по-прежнему имеет полный доступ ко всем X11-клиентам, что позволяет атакующему воспользоваться техниками перехвата (https://github.com/magcius/keylog) событий ввода или подстановки ввода в терминал. Второй проблемой является выполнение управляющего демона docker с правами root, что даёт пользователю, имеющему доступ к запуску контейнеров, получить широкие возможности по манипуляции системными данными (например, можно запустить контейнер "docker run -v /:/tmp ubuntu rм -rf /tmp/*", который удалит все файлы в системе). URL: https://news.ycombinator.com/item?id=9086751 Новость: http://www.opennet.ru/opennews/art.shtml?num=41709

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Джессика Фразили (Jessica Frazelle), работающая в компании Docker inc, опубликовала (https://blog.jessfraz.com/posts/docker-containers-on-the-desktop.html) 
> подборку  docker-контейнеров (http://github.com/jfrazelle/dockerfiles) для запуска 
> популярных консольных и графических пользовательских приложений в режиме изоляции от основной 
> системы. Готовые контейнеры доступны для установки через hub.docker.com (http://hub.docker.com/u/jess). 
> Среди приложений: Skype, Chrome, Spotify, Gparted, Tor Browser,

> Для организации ввода и вывода на экран осуществляется проброс сокета X11 в 
> контейнер ("-v /tmp/.X11-unix:/tmp/.X11-unix -e DISPLAY=unix$DISPLAY"), для сохранения 
> файлов в основной системе применяется bind-монтирование директорий ("-v $HOME/Downloads:/root/Downloads"). 
> Организация вывода звука пока требует запуска контейнера в привилегированном режиме ("-v 
> /dev/snd:/dev/snd --privileged"), что ставит вопрос о безопасности предложенного метода, 
> так как выполнение в контейнере кода с правами root открывает дополнительные 
> возможности по организации доступа к ресурсам основного хоста (например, в прошлом 
> году была исправлена (http://www.opennet.ru/opennews/art.shtml?num=40046) уязвимость, 
> позволяющая  обращаться в внешним файлам через прямой доступ к inode). 
> В следующем выпуске Docker для проброса звука можно будет использовать "--device 
> /dev/snd". При запуске Gparted используется полный проброс в контейнер блочного устройства 
> ("--device /dev/sda:/dev/sda"), что делает бессмысленным использования контейнера в 
> этом случае.

> Александр Ларсон (Alexander Larsson), известный разработчик GNOME, развивающий собственную 
> систему контейнеров (http://www.opennet.ru/opennews/art.shtml?num=41514) для запуска 
> графических приложений, выступил (https://news.ycombinator.com/item?id=9087293) 
> с критикой предложенного подхода, указав на то, что это не изоляция, 
> а способ предоставления приложениям root-доступа. Основные аргументы сводятся к небезопасности 
> X11: приложение запускается в изолированном контейнере, но по-прежнему имеет полный доступ 
> ко всем X11-клиентам, что позволяет атакующему воспользоваться техниками перехвата (https://github.com/magcius/keylog) 
> событий ввода или подстановки ввода в терминал. Второй проблемой является выполнение 
> управляющего демона docker с правами root, что даёт пользователю, имеющему доступ 
> к запуску контейнеров, получить широкие возможности по манипуляции системными данными 
> (например, можно запустить контейнер "docker run -v /:/tmp ubuntu rм -rf 
> /tmp/*", который удалит все файлы в системе).

> URL: https://news.ycombinator.com/item?id=9086751 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=41709

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру