LINUX.ORG.RU
ФорумGeneral

безопасный docker?

 


0

2

Цель - установить в контейнер недоверенный софт.
Контейнер не должен уйти в сторонние репозитории.
docker пригоден для этого?
Стоит поднимать демон docker от рута, или создать для этой цели отдельного юзера?


FATAL: kernel too old
отключились зеркала дебиана

Контейнер не должен уйти в сторонние репозитории

Не запушишь - не уйдет.

Стоит поднимать демон docker от рута, или создать для этой цели отдельного юзера?

Из-за того, что докер настраивает сам себе сеть на уровне ядра ОС, демон работает ТОЛЬКО под рутом. Но если вам не нравится сидение под рутом, вы можете сделать точку входа в контейнер под любым пользователем, какую-то дополнительную безопасность получиите.

l0stparadise ★★★★★
()
Последнее исправление: l0stparadise (всего исправлений: 1)

Стоит поднимать демон docker от рута, или создать для этой цели отдельного юзера?

не стоит, а нужно это делать. В интренетах есть инструкция какие группы нужны пользователю

docker пригоден для этого?

более чем, скорее всего приложение даже не будет знать что оно в контейнере

Dred ★★★★★
()
Ответ на: комментарий от Dred

Существует адекватный русский мануал по созданию своих контейнеров?
Вот хочу создать новый контейнер:

docker create --name name --user user --workdir /home/user/ --run
unknown flag: --run
See 'docker create --help'.
docker create --name name --user user --workdir /home/user/ run
Unable to find image 'run:latest' locally
Error response from daemon: repository run not found: does not exist or no pull access

gelius
() автор топика
Ответ на: комментарий от gelius

русский

не знаю, использую официавльные,рекомендую сделать так же, для технической литературы хватает гугла и школьного курса.

repository run not found:

если коротко, то ты ошибся в синтаксисе команды, контейнеры создаются на базе уже готового образа из репозитория, у тебя указан «run», он и пытается найти его в репах, соотвественно не может.

Dred ★★★★★
()
Ответ на: комментарий от WereFox

То есть готовый контейнер из репозитория - обязательное условие? Гугл не торт, там глупости и ошибки вперемешку с полезной инфой.

gelius
() автор топика
Ответ на: комментарий от gelius

Не контейнер, а образ. Если есть желание - можешь и сам его собрать.
https://docs.docker.com/engine/userguide/eng-image/baseimages/

Гугл не торт, там глупости и ошибки вперемешку с полезной инфой

Ну что тут сказать, добро пожаловать в интернет.

WereFox ★☆
()
Ответ на: комментарий от gelius

Гугл не торт, там глупости и ошибки вперемешку с полезной инфой.

У нас какие то разные интернеты, что ли. Смотри как собирается образ - на предмет Dockerfile. На гитхабе их полно.

ving2
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
FATAL: kernel too old
General
отключились зеркала дебиана