This media is not supported in your browser
VIEW IN TELEGRAM
БУ! Испугался? Та это ж я, Больных Артем. Работаю вот в Голове.
В общем, договорился я тут с SMM, чтобы получить местечко в главном канале The Head. Зачем - не знаю. Давайте хоть анекдот расскажу, который я придумал на 3 курсе, пока сидел на очень скучной паре по программной инженерии.
Внимание, Анекдот!
Приходит как-то программист Узумаки к сисадмину Валерию и говорит:
- Валерий, смени-ка мне пользователя
- А на какого?
- На root'а
АХАХАХАХХАХАХАХАХХАХАХАХА
Господи, боже, мне почти 27.
На что я трачу свою жизнь.
Итак, о чем это я?
Накидаю немножечко информации полезной, раз уж я у вас в ленте/чем_то_еще нужном появился.
Раз уж в анекдоте фигурирует Root, давайте подумаем о нем. Root - суперпользователь, а суперпользователь - возможный изъян безопасности.
А еще из каждого угла, где шипит шансон, слышно Docker, который пихают везде где угодно, считая это какой-то панацеей.
Docker. Докер. Докердокердокердокердокердокер. Ну давайте про докер что-ли поговорим.
Поговорим о том, как мы можем обезопаситься при использовании докера. По дефолту докер всегда внутри будет использовать PID 1, тут и говорить нечего, а вот о пользователе есть что сказать. Так вот, по дефолту, использует рутового пользователя. Если злоумышленник сможет выбраться из контейнера, то быть беде, ведь он сможет навредить хостовой машине. Используйте непривилигированного пользователя, когда строитесь от образа.
Почему 15150? Да просто захотелось. Используй хоть до 65536. Думаю, понятно почему.
Дальше что у нас еще может быть? Ну очевидно, запретить назначение привилегий, вроде setgid. Ну тут все просто, используется параметр --security-opt=no-new-privileges:true.
Теперь вернемся снова к нашим пользователям. Чуть выше я писал о том, что злоумышленник, если выберется из контейнера, может получить root права на хостовой машине. Чтобы этого избежать, можно попробовать ремаппинг пользователей. В файле демона докера /etc/docker/daemon.json посредством json укажи ремаппинг при помощи userns-remap. Да, тот самый daemon.json, в котором можно, например, ограничивать размер пакетов, передаваемых по HTTP. Если такого файлика у тебя нет (а его очень даже может и не быть) - создай его.
После установки userns-remap как default и перезапуска докера система автоматически создаст пользователя с именем dockremap. Именно через этого пользака будет идти контекст запуска контейнеров, а не через root'a.
А еще, при создании контейнеров, по дефолту они подключаются к единой сети под интерфейсом docker0. Инкапсуляцию данных знаешь? Так вот, это не про них. Банальное создание своей сети с подходящим конкретно тебе драйвером позволит ограничить неожидаемый нетворкинг
Ну драйверы сам подглядишь. Может при следующей встрече расскажу про них.
Про безопасность пользаков можно говорить очень долго, но размер поста не позволяет. Встретимся как-нибудь в следующий раз. Пока, удачи, гитлаб в придачу.
В общем, договорился я тут с SMM, чтобы получить местечко в главном канале The Head. Зачем - не знаю. Давайте хоть анекдот расскажу, который я придумал на 3 курсе, пока сидел на очень скучной паре по программной инженерии.
Внимание, Анекдот!
Приходит как-то программист Узумаки к сисадмину Валерию и говорит:
- Валерий, смени-ка мне пользователя
- А на какого?
- На root'а
АХАХАХАХХАХАХАХАХХАХАХАХА
Господи, боже, мне почти 27.
На что я трачу свою жизнь.
Итак, о чем это я?
Накидаю немножечко информации полезной, раз уж я у вас в ленте/чем_то_еще нужном появился.
Раз уж в анекдоте фигурирует Root, давайте подумаем о нем. Root - суперпользователь, а суперпользователь - возможный изъян безопасности.
А еще из каждого угла, где шипит шансон, слышно Docker, который пихают везде где угодно, считая это какой-то панацеей.
Docker. Докер. Докердокердокердокердокердокер. Ну давайте про докер что-ли поговорим.
Поговорим о том, как мы можем обезопаситься при использовании докера. По дефолту докер всегда внутри будет использовать PID 1, тут и говорить нечего, а вот о пользователе есть что сказать. Так вот, по дефолту, использует рутового пользователя. Если злоумышленник сможет выбраться из контейнера, то быть беде, ведь он сможет навредить хостовой машине. Используйте непривилигированного пользователя, когда строитесь от образа.
RUN useradd -u 15150 weakuser
USER weakuser
Почему 15150? Да просто захотелось. Используй хоть до 65536. Думаю, понятно почему.
Дальше что у нас еще может быть? Ну очевидно, запретить назначение привилегий, вроде setgid. Ну тут все просто, используется параметр --security-opt=no-new-privileges:true.
Теперь вернемся снова к нашим пользователям. Чуть выше я писал о том, что злоумышленник, если выберется из контейнера, может получить root права на хостовой машине. Чтобы этого избежать, можно попробовать ремаппинг пользователей. В файле демона докера /etc/docker/daemon.json посредством json укажи ремаппинг при помощи userns-remap. Да, тот самый daemon.json, в котором можно, например, ограничивать размер пакетов, передаваемых по HTTP. Если такого файлика у тебя нет (а его очень даже может и не быть) - создай его.
{
"userns-remap": "default"
}
После установки userns-remap как default и перезапуска докера система автоматически создаст пользователя с именем dockremap. Именно через этого пользака будет идти контекст запуска контейнеров, а не через root'a.
А еще, при создании контейнеров, по дефолту они подключаются к единой сети под интерфейсом docker0. Инкапсуляцию данных знаешь? Так вот, это не про них. Банальное создание своей сети с подходящим конкретно тебе драйвером позволит ограничить неожидаемый нетворкинг
docker network create --driver драйвер_сети название_сети
Ну драйверы сам подглядишь. Может при следующей встрече расскажу про них.
Про безопасность пользаков можно говорить очень долго, но размер поста не позволяет. Встретимся как-нибудь в следующий раз. Пока, удачи, гитлаб в придачу.
❤4🔥3🫡1
Сегодня мы предлагаем вам сыграть в игру «Кто хочет стать BACK_ллионером»!
Правила остаются прежними, но если вы их забыли, то сейчас напомним😉
Мы будем публиковать карточку с заковыристыми вопросами, а вы будете выбирать свой вариант ответа в опросе ниже. Задания начнут появляться в нашем телеграм канале в 18:00 по ЕКБ. Новые вопросы будут выходить раз в 5 минут. Желаем всем участникам успехов🍀
Правила остаются прежними, но если вы их забыли, то сейчас напомним😉
Мы будем публиковать карточку с заковыристыми вопросами, а вы будете выбирать свой вариант ответа в опросе ниже. Задания начнут появляться в нашем телеграм канале в 18:00 по ЕКБ. Новые вопросы будут выходить раз в 5 минут. Желаем всем участникам успехов🍀
🔥4
Тебе нужна библиотека в коммерческий коробочный продукт, распространяемый без исходников.
Пакеты с какой лицензией возьмешь?
Пакеты с какой лицензией возьмешь?
Anonymous Quiz
39%
a
22%
b
22%
c
17%
d
Есть код вида:
if (а == 5) then begin x = x + 1; else …
В каком порядке могут быть выполнены операции на относительно современном процессоре Intel, если условие всегда выполняется?
if (а == 5) then begin x = x + 1; else …
В каком порядке могут быть выполнены операции на относительно современном процессоре Intel, если условие всегда выполняется?
Anonymous Quiz
38%
a
19%
b
24%
c
19%
d
Если взять две соседние даты (время 00:00) и вычислить разницу между ними в секундах, какой результат мы получим?
Anonymous Quiz
74%
a
4%
b
9%
c
13%
d
[ полька: ]
ра-цай-цай ариби-даби-дила бариц дан дила ландэн лан-до
абариб пата пари-пари бери-бери-бери стан дэн лан-до Чему будет равен результат выполнения операции: 3 10 5 2 - - *
ра-цай-цай ариби-даби-дила бариц дан дила ландэн лан-до
абариб пата пари-пари бери-бери-бери стан дэн лан-до Чему будет равен результат выполнения операции: 3 10 5 2 - - *
Anonymous Quiz
16%
a
5%
b
74%
c
5%
d
В каком году были описаны (все эти ваши ЧатГПТ) искусственные нейронные сети и алгоритмы их обучения?
Anonymous Quiz
60%
a
4%
b
24%
c
12%
d