Стоит еще добавить классическую дыру безопасности, когда в контейнер пробрасывают /var/run/docker.sock. Так как Docker по умолчанию работает от root, любой пользователь внутри контейнера, имеющий доступ к этому сокету, может выполнить docker run с рутовыми правами и получить полный контроль над хостом. В Dockerless/Rootless средах вроде Podman с этим попроще
Краткое содержание: Мориарти красиво говорит «царь хороший, бояре плохие» → продаёт VPN → оба лагеря хлопают. А вы говорите, что ещё и РКН плохой → предлагаете отдать всё Хабру → хабровчане хлопают. Коллеги, мы в зеркале?
Хорошая статья, но это не просто смерть завода, это смерть производственного суверенитета. Когда исчезнет последний производитель сложного путевого инструмента, РЖД окажутся в зависимости от того, смогут ли менеджеры из фирмы-прокладки договориться с китайцами. И когда что-то пойдёт не так, ремонтировать пути будет нечем.
Стоит еще добавить классическую дыру безопасности, когда в контейнер пробрасывают
/var/run/docker.sock. Так как Docker по умолчанию работает от root, любой пользователь внутри контейнера, имеющий доступ к этому сокету, может выполнитьdocker runс рутовыми правами и получить полный контроль над хостом. В Dockerless/Rootless средах вроде Podman с этим попрощемда… как же знакома эта боль с ИИ рекрутерами
Доходчиво и понятно пишете, спасибо у вас талант
Краткое содержание: Мориарти красиво говорит «царь хороший, бояре плохие» → продаёт VPN → оба лагеря хлопают. А вы говорите, что ещё и РКН плохой → предлагаете отдать всё Хабру → хабровчане хлопают. Коллеги, мы в зеркале?
Хорошая статья, но это не просто смерть завода, это смерть производственного суверенитета. Когда исчезнет последний производитель сложного путевого инструмента, РЖД окажутся в зависимости от того, смогут ли менеджеры из фирмы-прокладки договориться с китайцами. И когда что-то пойдёт не так, ремонтировать пути будет нечем.