Комментарии 4

Вот только сегодня пытался разрешить котейнеру с node-exporter доступ к сокету dbus — пробовал натравить на dicker-compose, на Docker — не помогло. Теперь понял почему. Спасибо. Правда не понятно что делать кроме как запускать вообще без профиля.

Как-то у меня был VPS c Ubuntu, Nginx, PHP на котором было штук 10 сайтов на WordPress. Один из этих сайтов взломали, что-то запустили на системе, компроментированным стали несколько сайтов. Теперь я держу каждый сайт в отдельном Docker контейнере и в случае взлома — остальные сайты компроментированы не будут.

Будет ли верным сказать, что контейнеры (например Docker), могут решить те же проблемы, что и SELinux / AppArmor?

Или этот же вопрос по другому: может ли AppArmor предоставить защиту лучше, чем Docker?

С Docker'ом я разобрался за час. Приятная технология. А вот AppArmor как-то выглядит довольно мутно, и вникать не хочется. А SELinux — ещё хуже.

Просто каждый отдельный докер-контейнер запускается по дефолту с AppArmor профилем docker-default, в котором запрещено лазить куда-то в систему глубоко. Вон выше написал сокет дбас контейнер читать не смог без отключения для него docker-default. AppArmor в связке с докером защищает систему, имхо, от юзеров у которых есть права на запуск контейнеров, которые могут прокинуть в контейнейр что угодно.

Это наверное технологии с различными областями применения. Например, не будешь же в системе каждое приложение пихать в докер. А с другой стороны, готовых профилей AppArmor (раньше, во всяком случае) не было, а сделать свой — очень долго и сложно. Я пытался, например, для Skype (т.к. Skype был приложением с закрытыми исходниками, и потенциалом для слежки за пользователем). Приходится действовать методом проб и ошибок: правишь профиль, запускаешь Skype, что-то не работает. Смотришь ошибки, правишь, новая итерация. И так сотни раз. В итоге, получаешь профиль, в котором всё равно Skype дозволено слишком многое...


Ну и кстати, из докера можно выйти. Тут и ошибки в коде ОС, и в коде докера, и просто могут быть просчёты в настройке докера (например, пробросить в контейнер сокет докера, как этого требуют некоторые конфигурации — равнозначно дать приложению в докере рута на локальной системе).

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Информация

Дата основания
Местоположение
Россия
Сайт
ruvds.com
Численность
11–30 человек
Дата регистрации

Блог на Хабре