LINUX.ORG.RU

История изменений

Исправление firkax, (текущая версия) :

1) докер не нужен как и sudo

2) ну ладно, если по производственной необходимости от него некуда деться - то выдача на него прав делается нативно его же функционалом безо всяких sudo

Но надо учитывать, что это дыра в безопасности (вне зависимости от способа выдачи прав).

не могли сломать Linux

Могли, разумеется.

Чтобы выдать права правильно - нужно было делать над докером обёртку (можно сразу suid-root чтобы два раза не делать), которая разрешала бы более-менее безопасные действия, но не давала бы создавать --privileged или --cap-add контейнеры (а может и ещё что-то, там слишком много всякого разного).

Прекрати уже мыслить категориями админов локалхоста и мелких контор. Linux всё же для крупного энтерпрайза делается.

Что за бредоярлыки?

Исправление firkax, :

1) докер не нужен как и sudo

2) ну ладно, если по производственной необходимости от него некуда деться - то выдача на него прав делается нативно его же функционалом безо всяких sudo

Но надо учитывать, что это дыра в безопасности (вне зависимости от способа выдачи прав).

не могли сломать Linux

Могли, разумеется.

Чтобы выдать права правильно - нужно было делать над докером обёртку (можно сразу suid-root чтобы два раза не делать), которая разрешала бы более-менее безопасные действия, но не давала бы создавать --privileged или --cap-add контейнеры.

Прекрати уже мыслить категориями админов локалхоста и мелких контор. Linux всё же для крупного энтерпрайза делается.

Что за бредоярлыки?

Исходная версия firkax, :

1) докер не нужен как и sudo

2) ну ладно, если по производственной необходимости от него некуда деться - то выдача на него прав делается нативно его же функционалом безо всяких sudo

Но надо учитывать, что это дыра в безопасности (вне зависимости от способа выдачи прав).

могли сломать Linux

Могли, разумеется.

Чтобы выдать права правильно - нужно было делать над докером обёртку (можно сразу suid-root чтобы два раза не делать), которая разрешала бы более-менее безопасные действия, но не давала бы создавать --privileged или --cap-add контейнеры.

Прекрати уже мыслить категориями админов локалхоста и мелких контор. Linux всё же для крупного энтерпрайза делается.

Что за бредоярлыки?