Docker

1 ：login:Penguin：2013/07/27(土) NY:AN:NY.AN ID:5oaw2wHS.net

LXCを使った軽量仮想環境。
これからの動向が気になるところ。
情報共有しましょう。

http://www.docker.io/

631 ：login:Penguin：2016/08/05(金) 21:41:01.87 ID:t6hrgXVE.net

v1.12.0で実装されたSwarmについて誰か説明してくれ
Amazon ECSに変わるものって認識でいいの？

632 ：login:Penguin：2016/08/06(土) 12:44:53.72 ID:hIV9zUXg.net

>>629
俺も本番とかいう言い方嫌い

633 ：login:Penguin：2016/08/06(土) 12:56:28.36 ID:7bogyaJy.net

>>619
> 仮想マシンは一つの独立したマシン以上でも以下でもない
> 一方dockerはコンテナがホストや他のコンテナに容易に影響を与え、下手すりゃホストが乗っ取られる場合もある

アホすぎる・・・。

仮想マシンは独立したマシンだというのなら、
ホストどうのこうのじゃなくて
（ゲスト）マシンが乗っ取られる＝（ホスト）マシンが乗っ取られる
ってことだろ。

仮想マシンが独立したマシンと言うのなら、
危険性はホストマシンが乗っ取られるのと同じだ。

634 ：login:Penguin：2016/08/06(土) 13:07:01.46 ID:7bogyaJy.net

そもそも犯罪者の目的はホストマシンを乗っ取ることじゃなくて
マシンリソースやそこにあるデータを奪うことなんだわ。

ホストマシンを掌握すればより多くのことができるようになるかもしれないが、
別にそれは必須じゃない。一般ユーザー権限であっても
そのユーザーの情報は奪えるわけだからね。

ましてやゲストマシンを奪えたならば、そのゲストマシンの
全データを奪えるのと同じ。ゲストマシンで何かを動かすんだろう？

635 ：login:Penguin：2016/08/06(土) 14:37:13.43 ID:lLsp+2hO.net

そりゃ
「被害の大小にかかわらずID:7bogyaJyが死んでお詫びします!」
というならID:7bogyaJyにとっては一緒だろうさ
君が言ってるのはそういうこと
何かあったとき切腹じゃなくて焼き土下座で済ませられるように対策しようというのはセキュリティの重要な考え方の一つだよ

636 ：login:Penguin：2016/08/06(土) 15:00:23.67 ID:7bogyaJy.net

>>635
ならあんたはシステムを作らないほうが良いよｗ
物理マシンを使ったら被害は甚大だからね。

安全にシステムを保つことが出来る力がない人は
何もしない方がいい。

637 ：login:Penguin：2016/08/06(土) 15:29:14.07 ID:lLsp+2hO.net

なぜ物理マシンを使ったら被害は甚大だと思うの?
物理マシンは複数のサービスが同居してるから乗っ取られたときの被害が大きく、Dockerだとサービス一つで済むってことか？
別に俺はそこを否定してるわけじゃないが、だとしたら君はDockerでホストが乗っ取られたときのリスクの大きさを認めてることになるね
Dockerでホストが乗っ取られたらその上で動作する全コンテナへの完全なアクセスを奪取されるんだから被害は甚大だ

638 ：login:Penguin：2016/08/06(土) 16:29:15.78 ID:7bogyaJy.net

× 君はDockerでホストが乗っ取られたときのリスクの大きさを
○ 君は（コンテナ・仮想マシン・物理マシン・アプリ）でホストが乗っ取られたときのリスクの大きさを認めてることになるね

全部一緒だ。アホめ

639 ：login:Penguin：2016/08/06(土) 16:33:32.49 ID:7bogyaJy.net

× Dockerでホストが乗っ取られたらその上で動作する
○ 仮想マシンが乗っ取られたらその上で動作する
○ 物理マシンが乗っ取られたらその上で動作する

なーんもかわらんｗ

640 ：login:Penguin：2016/08/06(土) 16:43:15.03 ID:7bogyaJy.net

勉強しろアホ目

http://paiza.hatenablog.com/entry/2016/06/07/Docker%E3%81%AF%E5%8D%B1%E9%99%BA%E3%81%A8%E3%81%84%E3%81%86%E8%AA%A4%E8%A7%A3%E3%81%A8%E3%80%81%E6%9C%AC%E5%BD%93%E3%81%AB%E6%B3%A8%E6%84%8F%E3%81%99%E3%81%B9%E3%81%8D%E7%82%B9

コンテナを単に実行するだけで、ホストや他のコンテナがのっとられる
コンテナは隔離環境で実行されますので、単純に(オプションを明示せずに)
一般的なコンテナを実行するだけで、ホストや他のコンテナがのっとられることは現状はありません(知られてはいません)。

ホストのディレクトリ・ファイルを共有すれば、ホストのファイルにアクセスできますが、
明示的に指定しない限り共有されません(-v オプションなど)。
ホストのファイルを共有すればホストにアクセスできますが、
これは仮想マシン(VMware, VirtualBox)でも同じです。