Portada
mis comunidades
otras secciones
#22:
#12 Por defecto cuando instalas Docker en servers, solo expone el UNIX socket para ser usado por el docker-cli u otra herramienta local. Pero si le pasas en la config el flag " -H tcp://0.0.0.0:2376" eso abre el puerto 2376 a internet por lo que cualquiera puede usar la api del daemon para hacer lo que quiera y como ese daemon corre como root nada impide lanzar un docker que monte / y te robe toda la info.
En realidad casi nunca es necesario habilitar ese flag puesto que la mayoría de soluciones de gestión de cluster lo que hacen es instalar un agent que incorpora ya capas de seguridad.
En realidad casi nunca es necesario habilitar ese flag puesto que la mayoría de soluciones de gestión de cluster lo que hacen es instalar un agent que incorpora ya capas de seguridad.
#1:
Gente, no seáis cafres y expongáis el socket TCP de Docker.
Comentarios
A mí no me afecta, uso windows.
#2 badum tschhhh
#6 badum bashhhh
#2 me temo que docker también usa un socket en windows
#7 chi
#12 me imagino que #1 se refiere a esto
#17 No... ese check habla de exponerlo en localhost:2375, que en principio no es peligroso (sólo admitiría conexiones desde el propio equipo y no desde red local y menos desde internet)
Lo que pasa es que habrá idiotas que lo exponen en 0.0.0.0:2375 (en este caso admitiría conexiones desde cualquier parte)
#33 Hombre , yo hasta en localhost lo veo un riesgo por el tema de que aplicaciones locales pueden no ser de confianza y acceder ahi, pero bueno , si ya tienes el bicho en tu equipo , que infecte el docker es el menor de los problemas.
Hay que ser salvaje para forzar el 0....
#7 Pero el malware es para Linux.
#2 serio candidato a troll del año
#2 Entonces tú lo que estás es recomío de malwere, de virus, de troyanos y de toda la porquería informática habida y por haber.
#2 se acaba de pasar meneame dos veces
#2 A mí tampoco, soy más de Levi's.
#12 Por defecto cuando instalas Docker en servers, solo expone el UNIX socket para ser usado por el docker-cli u otra herramienta local. Pero si le pasas en la config el flag " -H tcp://0.0.0.0:2376" eso abre el puerto 2376 a internet por lo que cualquiera puede usar la api del daemon para hacer lo que quiera y como ese daemon corre como root nada impide lanzar un docker que monte / y te robe toda la info.
En realidad casi nunca es necesario habilitar ese flag puesto que la mayoría de soluciones de gestión de cluster lo que hacen es instalar un agent que incorpora ya capas de seguridad.
Gente, no seáis cafres y expongáis el socket TCP de Docker.
#1 Vas exponiendo sockets y luego terminas preñado o con unas purgaciones.
#1 ¿A qué te refieres? Estoy empezando a aprender Docker, así que para un novato como yo es útil la información.
#3 ¿Te refieres a sockets UNIX? Y que pasa con hacerlo así?
#12 Estaba de broma.
#1 Si cualquier persona no informática ya tenía imposible entender el titular, el primer comentario ya le pone la guinda.
#5 Esto es menéame, si el titular tiene ciertas palabras clave como Linux, Gimp, grafeno o Borbón ya sabes que casi seguro va a portada, aunque sea irrelevantérrima.
#5 Si, igual me pasa a mi con muchas noticias de política...
#5 Soy programador y tampoco entiendo del todo lo que dice, no he usado docker en mi vida, creo que es algo más para gente de sistemas.
#28 Para programadores es muy útil también: puedes tener muchos servicios diferentes en diferentes versiones listos para ser usados mientras desarrollas sin tener que instalar nada, sólo levantando o apagando contenedores según te convenga.
#28 Hummmm... ¿eres programador y no sabes lo que es un socket TCP? Bueno, supongo que programarás para windows
#c-38" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/3355843/order/38">#38 si se que es un socket tcp he programado varias veces apis y comunicaciones tcp y UDP a "pelo" lo que no es usado nunca es docker, últimamente programo en c# y Unity 3d y tengo un poco abandonado el mundo web, más allá de ese tipo de cosas puntuales de comunicación entre aplicaciones.
#28 Pues ves aprendiendo que esto no es de “sistemas”.
#28 Usalo para montar un gitlab y vas probando. O usa seq para logs. Entiendo que no vayas a crear un docker según que trabajo hagas, pero puedes probar a usar alguno ya hecho.
#28 Busca DevOps por internet y verás que los "de sistema" y los "programadores" vais a empezar a bailar agarraditos!
#5 Si no entiendes ese comentario, no deberías administrar un servidor con docker...
#5 Nada que no se pueda resolver haciendo un par de búsquedas en la wikipedia
#5 Échale un ojo a las primeras portadas de mnm cuando empezó y lo flipas
#1 Pues sí... hay que ser windozo para no saber esas cosas...
#31 No sé que problemas tendrás con Windows, pero te aclaro un par de puntos.
1. No es lo mismo programar en que programar para. Por ejemplo puedes programar en Windows un proyecto web multiplataforma.
2. Programar en Windows, Linux o MacOS hoy en día es prácticamente lo mismo. Los IDES que se suelen usar y las herramientas que se suelen usar están en los 3 SSOO. Más desde que puedes usar linux embebido en Windows. Yo uso ZSH en mi Windows con Cmder
3. Microsoft es uno de los mayores contribuyentes del Software libre. Maravillas como VS Code es suyo.
4. Sois absurdos los de las guerritas de Sistemas Operativos. Yo tengo un ordenador con los 3 y según que tareas me gusta más hacerlas en uno o en otro. Con repositorios y docker el Sistema Operativo es un simple terminal.
#44 No sé que problemas tendrás con Windows, pero te aclaro un par de puntos.
Mñas bien el problema no es con wnidows sino con los usuarios de windows. En su gran mayoría son cuasi analfabetos en lo referido a la informática.
Un windozo es el que cree que saber informática es saber descargar un programa y darle siguiente/siguiente/terminar. Y ser experto es saber cómo piratear el office y cómo abrir el regedit para modificar cosas.
#44 “maravillas como vscode”
Que no por mucho que lo repitáis va a acabar siendo cierto. VSCode es caca, como todo el software de Microsoft
#59 jajaja lo que tú quieras a mi me da de comer y me paga la casa y las vacaciones.
Me hace ser más eficiente y hacer mejor mi trabajo. Y encima software libre.
Como curiosidad cuál es tu alternativa mejor que VS code? Si dices Vim o Emac será la monda.
Algunos os ciega el odio.
#61 cualquiera de Jetbrains, por ejemplo.
Pero oye, si VSCode me quiere pagar la casa y las vacaciones entonces consideraría usarlo
#63 Osea que prefieres software privativo antes que el de Microsoft, curioso.
IntellJ es bueno, pero es un IDE pesado y para mi VSCode con los plugins adecuados me es más ligero e igual de funcional.
Pero oye es una muy buena opción, de pago y privativa, pero una muy buena opción.
Eso no converte a VS Code en caca ya que para mi dentro de su territorio cada uno lo mejor que hay.
Y sí VSCode es mi herramienta principal de trabajo por tanto muy agradecido a ella.
A ver si ponen esto por defecto de una maldita vez:
https://docs.docker.com/engine/security/rootless/
Lo que no tiene sentido es que para el 95% de los casos que corres apps sencillas en docker tengas que correr el demonio como root, cuando no debería ser necesario.
#4 Estaria bien aunque tampoco mejoraría demasiado la situación, al final lo que se busca son datos y/o recursos y si el daemon de docker puede servir esos datos pues nada impide que yo monte otro contenedor montando el PATH que me permita y robar tus datos.
La norma mas importante es: No tengas abierto a internet nada que no tenga que ser consumido por terceras personas.
#8 Podman es rootless y sin demonio. Y si lo juntas con SELinux o similar, mejora bastante la seguridad.
#9 Pero Podman no corre contenedores de docker que son los más populares
#11 Podman/CRI-O corre cualquier contenedor OCI, incluyendo todos los del docker hub. Puedes incluso usar exactamente la misma sintaxis de CLI, pero rootless, sin demonio y con un binario más ligero.
#26 Mira , estoy precisamente ahora metiendome en el tema dockers para ver si empiezo a organizar servicios en la empresa y no conocia esa plataforma , algun tutorial sencillito?
#39 Si la infra no es compleja y corre todo en uno o dos servers quizas te interese docker-compose.
https://github.com/docker/compose
https://docs.docker.com/compose/
https://www.tutorialspoint.com/docker/docker_compose.htm
#45 Si , estos ya mas o menos me los he repasado y medio comprendo , tengo un par de contenedores rulando de forma habitual en mi casa para un par de tareas y la verdad es que estoy muy contento con el docker de momento , he mirado openshift de redhat y se me ha torcido el culo con lo que son capaces de hacer , pero si hay alternativas mas ligeras y con mas aplicacion , no esta de mas echarles un ojo, podman no lo habia oido mencionar hasta ahora.
#48 Depende de si necesitas orquestación o simplemente correr unos pocos contenedores. La doc de Podman es sencilla de leer (http://docs.podman.io/en/latest/) y si quieres algo más avanzado, necesitarás montarte un cluster de Kubernetes.
Como bien dices, OpenShift es muy potente (disclaimer, trabajo para Red Hat) y te da no solo la orquestación sino una PaaS completa con muchas facilidades para desarrollar encima y olvidarte de la plataforma en sí.
#50 La verdad es que solo probe un poco por encima la demo en la web y me quede alelado de lo que se puede montar ahi , pero vamos , podria estar mucho mejor guiado , me tire 15 minutos intentando descifrar como coño meter un pull del docker hub , pero despues , una gracia, y lo de meter replicas , precioso.
Molaria probarlo en un cluster casero para hacer las pruebas y luego subirlo a plataforma y pagar por uso, creo que es una solucion realmente limpia.
#54 Al ser una plataforma grande, algunas cosas no son obvias. Pero una vez que lo conoces, la comodidad es enorme. Y si quieres, puedes usar la API de K8s, Openshift es Kubernetes integrado con todo el ecosistema que hace falta para sacarle el mayor partido.
Hay un Openshift online que puedes consumir como servicio. Y también OpenShift gestionado en Azure, y posibilidad de montarlo en AWS, GCP o IBM Cloud. Por supuesto, también en tu propia infra física o virtualizada (OpenStack, VMware).
#14 GOTO #26
#26 Exacto, contenedores OCI. Las imágenes que construyes por defecto con docker no son OCI.
#55 No. OCI es la especificación de la imagen. Docker implementa la especificación OCI. Docker, junto con otros, fundó OCI en 2015 [1]. Entrando un poco más en detalle, en realidad el runtime de ejecución del contenedor (docker usa runC por defecto) es quien abre esa imagen y la ejecuta. De nuevo: Cualquier imagen del docker hub funciona con Podman. Es un reemplazo 1:1 más seguro y ligero.
Este enlace [2] te puede ser útil. También te recomiendo leer [3] para ver cómo interactúan los distintos estándares. Y tal vez [4] si tienes interés en ver cómo el formato original de Docker se convirtió en el estándar OCI.
[1] https://opencontainers.org
[2] https://www.docker.com/blog/demystifying-open-container-initiative-oci-specifications/
[3] https://merlijn.sebrechts.be/blog/2020-01-docker-podman-kata-cri-o/
[4] https://www.padok.fr/en/blog/container-docker-oci
(se me olvidó pegar la referencia)
Entiendo y respeto que meneame es una página con una larga tradición de programadores. Y disculpad mi atrevimiento, pero jamás entenderé como estas noticias, con nulo interés general, llegan a portada. A eso sumar que para el resto de los mortales no se entiende una puta mierda de lo que explica la noticia y mira que lo he intentado.
Vuelvo a insistir en las disculpas y entiendo que para muchos sigue siendo un buen refugio donde debatir, pero a ver si algún experto nos la traduce para que nos enteremos de algo y me tenga que tragar eso de que "tienen nulo interés general" y quedar como un gilipollas.
#34 Te has respondido tú mismo. Menéame es una web con una enorme base de usuarios programadores y por eso este tipo de noticias suele llegar a portada.
#40 ya, pero no estaría de más que lo explicaseis para el resto de los mortales. Si esto solo es un nicho concreto del que el resto no podemos aprender o debatir, pues eso, que me parece que no debería llegar a portada.
#75 Estoy completamente de acuerdo contigo. Debería haber un sub para estas cosas y aplicar un baremo especial para que no lleguen a portada.
#34 Es una cuestión que afecta a los servidores (los ordenadores que te dan el servicio demandado, sea una web o una peli en Netflix). No tiene relevancia para el usuario normal.
#56 gracias por intentar echar luz sobre el asunto (de hecho, eres el único que lo ha hecho).
#34 Por el mismo motivo que no hay apenas noticias de futbol en esta web. Porque cada web decide a lo que se decida.
#34 vota para sacarla de portada y ya está.
Me quito el sombrero ante el diseño del software para sacar el dominio desde donde controla el malware.
Normalmente las autoridades acaban bloqueando la IP desde donde se dan las órdenes a los equipos infectados (C2). En este caso la botnet consulta unos movimientos sobre una cuenta de criptomonedas (información publica) en control del atacante y se va al a última transacción que ha realizado, coge las primeras letras del identificador de la ultima transacción y es ahí donde conecta para esperar órdenes.
Si le bloquean ese dominio, hace otra pequeña transacción de poco dinero con esa cuenta de criptomoneda y registra el nuevo dominio.
Una gran idea usada para el mal, pero gran idea.
Hay muchos cripto supporters que usan en nodos dockers en servers públicos online, igual van por ahí también
#30 Claro, porque Docker solo se usa para deployar blogs personales.
#32 tú sí que estás apollardao... digo, deployao
Para confirmarlo... La portada esta en castellano verdad?
Hoy en: "Razones para no usar docker".
#10 Qué alternativas hay a Docker en Linux?
En BSD, Docker sería equivalente a las "zones", no?
#14 Por falta de alternativas no es, el mayor problema es que hay gente que usa docker hasta para cagar.
#14 Las Zones de Solaris, ni las Jails de BSD, son "lo mismo que Docker". La verdad he oído a lo largo de los años a tanta gente, con carrera terminada y años de experiencia, decir esa chorrada que ya he perdido la cuenta.
https://blog.jessfraz.com/post/containers-zones-jails-vms/
Al final es lo que yo siempre le digo a todo el mundo: la gente habla sin tener ni puta idea, por puro ego. Por no quedarse callados y parecer que "no saben" van y abren la boca y demuestran que, efectivamente, no tienen ni puta idea.
#23 "Containers are not a Linux isolation primitive, they merely consume Linux primitives which allow for some interesting interactions. They are not perfect; Nothing is."
Eso es la clave.
#27 No deja de ser un motivo. Si no lo sabes usar, mejor no lo uses.
#23 Yo no tengo la carrera y era una pregunta más bien.
#41 Lo sé, no me refería a ti exactamente Daba por hecho que estabas preguntando y que alguien te habría dicho alguna vez eso exactamente.
Disculpas si ha sonado mal el comentario.
#14 lxd.
#10 No. Si acaso: Hoy, en "razones para no hacer lo que no sabes hacer".
#10 Menuda tonteria. Decimos lo mismo de MySQL porque se puede bindear a 0.0.0.0 y es un queso de gruyere? mongodb? redis? Basicamente cualquier servicio es un problema si lo configuras mal.
#25 Hoy en "Gente que se cree que necesita la infraestructura de Google para instalar su blog que nadie lee".