Pull to refresh

Comments 4

Вот только сегодня пытался разрешить котейнеру с node-exporter доступ к сокету dbus — пробовал натравить на dicker-compose, на Docker — не помогло. Теперь понял почему. Спасибо. Правда не понятно что делать кроме как запускать вообще без профиля.

Как-то у меня был VPS c Ubuntu, Nginx, PHP на котором было штук 10 сайтов на WordPress. Один из этих сайтов взломали, что-то запустили на системе, компроментированным стали несколько сайтов. Теперь я держу каждый сайт в отдельном Docker контейнере и в случае взлома — остальные сайты компроментированы не будут.

Будет ли верным сказать, что контейнеры (например Docker), могут решить те же проблемы, что и SELinux / AppArmor?

Или этот же вопрос по другому: может ли AppArmor предоставить защиту лучше, чем Docker?

С Docker'ом я разобрался за час. Приятная технология. А вот AppArmor как-то выглядит довольно мутно, и вникать не хочется. А SELinux — ещё хуже.

Просто каждый отдельный докер-контейнер запускается по дефолту с AppArmor профилем docker-default, в котором запрещено лазить куда-то в систему глубоко. Вон выше написал сокет дбас контейнер читать не смог без отключения для него docker-default. AppArmor в связке с докером защищает систему, имхо, от юзеров у которых есть права на запуск контейнеров, которые могут прокинуть в контейнейр что угодно.

UFO just landed and posted this here
Sign up to leave a comment.