Oui, je comprends bien l'intérêt pour contribuer, mais bon, en tant qu'utilisateur, ça ne change pas grand chose. Et si le but est de contribuer, ça veut dire qu'il manque une fonctionnalité, donc ça revient à ma question.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Sur un système avec un peu de permission et de sandboxing, tu peux très bien avoir un logiciel malveillant qui ne peut rien qu'avoir accès au réseau. Donc, non, je ne pense pas qu'on puisse comparer.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Alors, ça ne permet pas tous les usages, mais le fait d'être root par défaut, ça complique aussi le travail de ceux qui ne veulent pas l'être parce que rien n'est fait pour eux. Je trouve que c'est plus simple de changer l'utilisateur à root pour mon besoin, plutôt que de changer l'utilisateur root vers un autre utilisateur et devoir gérer toutes les permissions qui en découle. Donc la facilité d'usage pour les utilisateurs qui veulent respecter les bonnes pratiques de base n'est pas du tout là.
Après, on pourrait aussi avoir les deux images qui se référence dans la documentation. Genre, nginx et nginx-root.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
(Parenthèse, je ne comprends pas les gens qui forkent ton projet sans jamais faire de commit, c'est pour faire joli sur leurs profils ?).
Ça m'est arrivé plusieurs fois pour bosser sur une feature en local et finalement abandonner (parce que c'était plus compliqué que je ne pensais, je perds la motivation ou parce que la feature était déjà là et j'avais mal lu la doc/le code.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
C'est précisément ce que fait ceph avec un contrat bien plus rigoureux que ce que doit fournir la db.
Mais avec une vue différente. Un pod qui est détruit est définitivement perdu. Un noeud qui reboot, est juste temporairement inaccessible et peut être récupéré, donc un rebuild n'a pas besoin d'être fait tout de suite.
Si tu considère ton cluster ceph comme parfaitement fiable et tenir complètement la charge ça vaut presque le coup d'arrêter la réplication côté db d'ailleurs. Faut juste voir combien de connexion/requête est capable d'encaisser un nœud de db. Particulièrement si tu es en active/passive.
Je ne comprends pas ce que tu veux dire. Si tu ne considère pas ton ceph comme fiable, le fait d'écrire une ou dix fois dessus ne me semble pas pertinent, il faudrait au moins écrire dans plusieurs clusters ceph distincts.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Je suis d'accord avec ton raisonnement, le problème, c'est qu'ajouter un nouveau noeud dans une base de donnée, ça demande souvent une grosse resynchronisation (avec potentiellement, du resharding), ce n'est pas anodin. Et avoir un noeud indisponible, c'est quand même assez fréquent (rien que pour les mises à jour). Tu risquerais d'être en permanence en train de resynchroniser ou d'accepter d'avoir des instances de la DB indisponibles régulièrement. Ce n'est pas forcément problématique, mais c'est à balancer avec la perte de performances apportée par Ceph (ou un autre système de réplication).
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Pour le point 2, j'ai envie de dire bof… :) Parce-que régénérer juste pour le fun est un gâchis de temps et de ressources.
Outre le fait que les projets qui n'ont pas eu de faille de sécurité en 4 ans (dans le projet ou les dépendances) sont quand même très rare. Ça permet aussi de montrer que le pipeline de build est à jour et que je ne vais pas d'abord passer 4h à corriger les dépendance si je veux l'utiliser.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Je dirais que ça dépend, si tu as 200 dev, tu n'as pas envie qu'ils perdent tous leur à temps développé sur une version différente que ce qui sera en prod. Et les test de migration, ce sera fait par une équipe spécifique. S'il y a 3 dev, l'équipe spécfique, ce sera les 3.
Après, ça dépend aussi du produit, s'il est distribué, c'est bien d'avoir des config différentes, si tu maitrise l'environnement de production, tu t'en fous de savoir qu'il ne tourne pas avec python 3.6. Dans l'absolu, c'est intéressant de le savoir mais si la probabilité que ça arrive est très faible, tu n'as pas envie des gens perdent du temps avec ça au lieu de bosser sur autre chose.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Pour prendre un exemple, les images utilisant root ou spécifiant un utilisateur. C'est pas un sujet si simple, car certaines images (par exemples des images de bases) doivent plutôt rester sur root. Par contre un service qui tourne, probablement pas. Mais au final il n'y a pas un consensus absolu sur la question.
Il n'y a pas d'absolu, mais les images de service qui ne tournent pas en root, c'est plutôt l'exception. Si on prend l'image d'exemple que je vois passé le plus souvent, c'est nginx, qui tourne en root et donc ne peut pas tourner dans un contexte de prod qui interdit ça. Et on a du coup vite l'association, les images officielle docker, ce n'est pas pour la prod.
Pour nginx, il y a plusieurs config qui ne serait pas possible sans être root, mais c'est plutôt un cas particulier qui devrait être traité comme tel et pas dans la configuration par défaut.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
The Bastion est un bastion traditionnel, c'est à dire une passerelle intermédiaire par laquelle on doit passer pour aller dans un réseau (ou des machines) spécifique.
Si c'est le cas, ça veut dire qu'il y a déjà un appel à exec/system. Et si tu as un exec/system dans le programme principal, tu as une dépendance vers un autre binaire, donc il faut la gérer.
Tu peux aussi utiliser un framework d'une manière qui fait qu'il peut faire des appels à exec sans que tu le sache. La question ne se pose pas de savoir si ton code peut charger des binaires ou pas.
Mais du coup, si tu as dnf/apt/pip dans le conteneur et une faille qui permet d’exécuter un programme arbitraire mais qui doit exister, il suffit d'installer un paquet vérolé pour exécuter du code (en l'absence d'autre mesures de protection).
Souvent, mes conteneurs n'ont pas accès au net, donc l'ajout de payload depuis l'extérieur n'est pas un problème.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Supposons qu'un attaquant arrive à avoir la capacité d’exécuter du code dans le processus du conteneur (genre, un buffer overflow classique sans protection).
Ce n'est qu'un type d'attaque, tu peux aussi avoir (l'équivalent d') un exec ou system dans ton programme (ou dans une des bibliothèques que tu utilise) et si tu n'as pas d'autres binaires à lancer (ou des binaires qui ne permettront pas de faire quelque chose d'utile). Et ce n'est pas un cas si rare que ça.
Après, je suis bien d'accord qu'il ne faut pas vouloir à tout prix supprimer tout ce qui traîne sur le système, surtout en fonction de l'exposition du container. Mais si on peut en virer pour un coût faible, autant de ne pas se priver.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Les sockets ont aussi permit d'avoir un démarrage plus maîtrisé de mysql (par exemple), qui reposait sur un for i in $( seq 30 ) ; do if test ; then break ; else sleep 1 ; done. Ce qui ne marchait pas si ça prenait plus de 30 secondes, qui attendait au pire des cas une seconde de trop, et qui réveille un script potentiellement 30 fois pour rien (ce qui n'est pas terrible quand on veut du minimalisme).
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Après, il y a aussi trois utilisations des conteneurs en parallèle qui n'ont pas les mêmes objectifs: fournir une image pour faciliter de développement, fournir une image pour faciliter la découverte du logiciel, fournir une image pour la prod. Ce ne sont pas les même politique de sécurité, paquets installé, bonne pratiques. Et ce n'est pas forcément facile de savoir ce qu'une image vise comme objectif (ça peut même se mixer en fonction des images).
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Je ne manipule aucun dockerfile, et je ne souhaite aucunement le faire,
Le Dockerfile, c'est la manière de modifier une image de conteneur qui est censé être immutable dans les bonnes pratiques. Donc tu veux te reposer sur le travail des autres (ce n'est pas une critique, juste un constat). Dans ce cas, tu ne peux que faire confiance aux gens pour fournir un système à jour. De la même manière que si tu ajoute des repos hors distribution. Il n'y a pas de grand
Oui, sur un système non-conteneurisé, je fais les mises à jour de la distribution. Sur un système conteneurisé, je n'ai plus la main sur la distribution, et en pratique les images présentes sur dockerhub, même si elles faisaient les mises à jour à la construction de l'image, et bien ça serait à la date de la construction de l'image uniquement, pas chaque jour.
Ben, soit tu reprends le Dockerfile et tu rebuild toi-même les images, soit tu considère ça comme une appliance et tu n'as pas plus la main dessus d'une appliance sur un système classique.
Ou plus simplement, avoir une image de base qui le fait sur laquelle les autres images se basent.
C'est ce que je dis dans le journal :
Je n'avais pas compris que tu parlais des images externes, je parlais de faire ta propre image de base pour les conteneurs que tu construis, mais ce n'est pertinent pour les images externes.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Cela n'implique pas forcément que la vulnérabilité est exploitable mais il convient de s'en prémunir.
Il existe pleins d'outils pour faire des scan d'image docker (qui vont lire le dpkg status) et détecter celles avec des failles de sécurités. Ça te donne la liste d'image à reconstruire.
Il faudrait donc placer un RUN apt-get update && apt-get upgrade -y au début de chaque Dockerfile (se servant de debian)
Ou plus simplement, avoir une image de base qui le fait sur laquelle les autres images se basent.
Mais sinon, tu dois quasiment avoir toujours un apt-get update au début de ton dockerfile sinon, tu ne pourras pas installé de paquet vu que tu n'aura pas le cache des images.
Un système traditionnel non-conteneurisé n'aurait pas tous ces défauts.
Je ne comprends pas trop ce que tu veux dire, dans les deux cas il faut faire des mises à jour.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
ne autre solution c’est de faire comme la Chine, un seul fuseau horaire sur le territoire,
Ce qui est actuellement le cas de l'Espagne à la Pologne. On ne pas d'inventer un nouveau fuseau horaire. Par contre, je comprends bien que ça pose des soucis, je montrais juste que c'était un point bloquant.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
et qu’on a pas une infinité de fonctionnaires européens
Et qu'on s'est rendu compte que tout le monde est d'accord pour arrêter de changer l'heure mais tout le monde n'est pas d'accord sur le fuseau à choisir et qu'introduire une différence d'heure entre des pays frontaliers, ça cause quand même beaucoup de problème.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Pourquoi
Posté par claudex . En réponse au lien DuckDB: une base de données embarquée pour ceux qui en ont mare de sqlite. Évalué à 5.
Oui, je comprends bien l'intérêt pour contribuer, mais bon, en tant qu'utilisateur, ça ne change pas grand chose. Et si le but est de contribuer, ça veut dire qu'il manque une fonctionnalité, donc ça revient à ma question.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# Pourquoi
Posté par claudex . En réponse au lien DuckDB: une base de données embarquée pour ceux qui en ont mare de sqlite. Évalué à 7.
Et pourquoi on en aurait marre de sqlite ? En lisant vite fait, je ne vois pas trop la différence entre l'un ou l'autre.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: quid si tu te deconnectes de l'interface web ?
Posté par claudex . En réponse au journal Un switch beaucoup trop à l'écoute .... Évalué à 4.
Sur un système avec un peu de permission et de sandboxing, tu peux très bien avoir un logiciel malveillant qui ne peut rien qu'avoir accès au réseau. Donc, non, je ne pense pas qu'on puisse comparer.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Titre
Posté par claudex . En réponse au journal Comment sécurisez-vous les images docker externes ?. Évalué à 5.
Alors, ça ne permet pas tous les usages, mais le fait d'être root par défaut, ça complique aussi le travail de ceux qui ne veulent pas l'être parce que rien n'est fait pour eux. Je trouve que c'est plus simple de changer l'utilisateur à root pour mon besoin, plutôt que de changer l'utilisateur root vers un autre utilisateur et devoir gérer toutes les permissions qui en découle. Donc la facilité d'usage pour les utilisateurs qui veulent respecter les bonnes pratiques de base n'est pas du tout là.
Après, on pourrait aussi avoir les deux images qui se référence dans la documentation. Genre, nginx et nginx-root.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Comme toujours
Posté par claudex . En réponse au lien mold linker pourrait changer de licence pour une licence non open-source. Évalué à 4.
Ça m'est arrivé plusieurs fois pour bosser sur une feature en local et finalement abandonner (parce que c'était plus compliqué que je ne pensais, je perds la motivation ou parce que la feature était déjà là et j'avais mal lu la doc/le code.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: cloud baremetal
Posté par claudex . En réponse au journal Le cloud ça scale bien. Évalué à 3.
Mais avec une vue différente. Un pod qui est détruit est définitivement perdu. Un noeud qui reboot, est juste temporairement inaccessible et peut être récupéré, donc un rebuild n'a pas besoin d'être fait tout de suite.
Je ne comprends pas ce que tu veux dire. Si tu ne considère pas ton ceph comme fiable, le fait d'écrire une ou dix fois dessus ne me semble pas pertinent, il faudrait au moins écrire dans plusieurs clusters ceph distincts.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: cloud baremetal
Posté par claudex . En réponse au journal Le cloud ça scale bien. Évalué à 4.
Je suis d'accord avec ton raisonnement, le problème, c'est qu'ajouter un nouveau noeud dans une base de donnée, ça demande souvent une grosse resynchronisation (avec potentiellement, du resharding), ce n'est pas anodin. Et avoir un noeud indisponible, c'est quand même assez fréquent (rien que pour les mises à jour). Tu risquerais d'être en permanence en train de resynchroniser ou d'accepter d'avoir des instances de la DB indisponibles régulièrement. Ce n'est pas forcément problématique, mais c'est à balancer avec la perte de performances apportée par Ceph (ou un autre système de réplication).
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Titre
Posté par claudex . En réponse au journal Comment sécurisez-vous les images docker externes ?. Évalué à 3.
Outre le fait que les projets qui n'ont pas eu de faille de sécurité en 4 ans (dans le projet ou les dépendances) sont quand même très rare. Ça permet aussi de montrer que le pipeline de build est à jour et que je ne vais pas d'abord passer 4h à corriger les dépendance si je veux l'utiliser.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Titre
Posté par claudex . En réponse au journal Comment sécurisez-vous les images docker externes ?. Évalué à 3.
Oui, il y a plein d'alternative, j'ai pris celui-là parce que c'est l'image qu'on retrouve le plus dans les exemple un peu partout.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Titre
Posté par claudex . En réponse au journal Comment sécurisez-vous les images docker externes ?. Évalué à 5.
Sinon, il y a bitnami qui en fournit aussi (et pas que pour Docker), mais ce n'était pas vraiment la question.
Je ne comprends pas trop pourquoi, ça dit juste que ce n'est pas fait.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Explication
Posté par claudex . En réponse au journal Douze facteurs dans ta tronche. Évalué à 4.
Je dirais que ça dépend, si tu as 200 dev, tu n'as pas envie qu'ils perdent tous leur à temps développé sur une version différente que ce qui sera en prod. Et les test de migration, ce sera fait par une équipe spécifique. S'il y a 3 dev, l'équipe spécfique, ce sera les 3.
Après, ça dépend aussi du produit, s'il est distribué, c'est bien d'avoir des config différentes, si tu maitrise l'environnement de production, tu t'en fous de savoir qu'il ne tourne pas avec python 3.6. Dans l'absolu, c'est intéressant de le savoir mais si la probabilité que ça arrive est très faible, tu n'as pas envie des gens perdent du temps avec ça au lieu de bosser sur autre chose.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: on n'est pas sorti de l'auberge…
Posté par claudex . En réponse au lien Le refus de communiquer le code de déverrouillage d’un téléphone portable peut constituer un délit. Évalué à 3.
Je n'ai pas dit que je ne pouvais pas la voir, mais que je ne la connaissais pas.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: on n'est pas sorti de l'auberge…
Posté par claudex . En réponse au lien Le refus de communiquer le code de déverrouillage d’un téléphone portable peut constituer un délit. Évalué à 5.
Tu connais vraiment ta clef de chiffrement luks ? Perso, je ne connais que la passphrase.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Titre
Posté par claudex . En réponse au journal Comment sécurisez-vous les images docker externes ?. Évalué à 4.
Il n'y a pas d'absolu, mais les images de service qui ne tournent pas en root, c'est plutôt l'exception. Si on prend l'image d'exemple que je vois passé le plus souvent, c'est nginx, qui tourne en root et donc ne peut pas tourner dans un contexte de prod qui interdit ça. Et on a du coup vite l'association, les images officielle docker, ce n'est pas pour la prod.
Pour nginx, il y a plusieurs config qui ne serait pas possible sans être root, mais c'est plutôt un cas particulier qui devrait être traité comme tel et pas dans la configuration par défaut.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Boundary
Posté par claudex . En réponse au lien Un bastion SSH libre. Évalué à 6.
C'est bien aussi le cas de Boundary, il faut se connecter à l'instance qui va après se connecter à la cible. https://developer.hashicorp.com/boundary/docs/getting-started/connect-to-target#connect-using-the-cli
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: FROM scratch
Posté par claudex . En réponse au journal Comment sécurisez-vous les images docker externes ?. Évalué à 3.
Tu peux aussi utiliser un framework d'une manière qui fait qu'il peut faire des appels à exec sans que tu le sache. La question ne se pose pas de savoir si ton code peut charger des binaires ou pas.
Souvent, mes conteneurs n'ont pas accès au net, donc l'ajout de payload depuis l'extérieur n'est pas un problème.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# Boundary
Posté par claudex . En réponse au lien Un bastion SSH libre. Évalué à 4.
Ça se compare comment par rapport à Boundary ?
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: FROM scratch
Posté par claudex . En réponse au journal Comment sécurisez-vous les images docker externes ?. Évalué à 4.
Ce n'est qu'un type d'attaque, tu peux aussi avoir (l'équivalent d') un
execousystemdans ton programme (ou dans une des bibliothèques que tu utilise) et si tu n'as pas d'autres binaires à lancer (ou des binaires qui ne permettront pas de faire quelque chose d'utile). Et ce n'est pas un cas si rare que ça.Après, je suis bien d'accord qu'il ne faut pas vouloir à tout prix supprimer tout ce qui traîne sur le système, surtout en fonction de l'exposition du container. Mais si on peut en virer pour un coût faible, autant de ne pas se priver.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: 4 fonctions
Posté par claudex . En réponse au lien 4 fonctionnalités de Twitter que Mastodon ferait mieux de ne pas avoir. Évalué à 5.
Sans compter que ça veut potentiellement dire que des gens indexent mais ne rende pas ça publique, donc ils peuvent l'utiliser pour harceler.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Si on repart aux sources...
Posté par claudex . En réponse au journal Les problèmes d’un desktop sans systemd ?. Évalué à 9.
Les sockets ont aussi permit d'avoir un démarrage plus maîtrisé de mysql (par exemple), qui reposait sur un
for i in $( seq 30 ) ; do if test ; then break ; else sleep 1 ; done. Ce qui ne marchait pas si ça prenait plus de 30 secondes, qui attendait au pire des cas une seconde de trop, et qui réveille un script potentiellement 30 fois pour rien (ce qui n'est pas terrible quand on veut du minimalisme).« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Titre
Posté par claudex . En réponse au journal Comment sécurisez-vous les images docker externes ?. Évalué à 10.
Après, il y a aussi trois utilisations des conteneurs en parallèle qui n'ont pas les mêmes objectifs: fournir une image pour faciliter de développement, fournir une image pour faciliter la découverte du logiciel, fournir une image pour la prod. Ce ne sont pas les même politique de sécurité, paquets installé, bonne pratiques. Et ce n'est pas forcément facile de savoir ce qu'une image vise comme objectif (ça peut même se mixer en fonction des images).
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Titre
Posté par claudex . En réponse au journal Comment sécurisez-vous les images docker externes ?. Évalué à 5.
Le Dockerfile, c'est la manière de modifier une image de conteneur qui est censé être immutable dans les bonnes pratiques. Donc tu veux te reposer sur le travail des autres (ce n'est pas une critique, juste un constat). Dans ce cas, tu ne peux que faire confiance aux gens pour fournir un système à jour. De la même manière que si tu ajoute des repos hors distribution. Il n'y a pas de grand
Ben, soit tu reprends le Dockerfile et tu rebuild toi-même les images, soit tu considère ça comme une appliance et tu n'as pas plus la main dessus d'une appliance sur un système classique.
Je n'avais pas compris que tu parlais des images externes, je parlais de faire ta propre image de base pour les conteneurs que tu construis, mais ce n'est pertinent pour les images externes.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# Titre
Posté par claudex . En réponse au journal Comment sécurisez-vous les images docker externes ?. Évalué à 6.
Il existe pleins d'outils pour faire des scan d'image docker (qui vont lire le dpkg status) et détecter celles avec des failles de sécurités. Ça te donne la liste d'image à reconstruire.
Ou plus simplement, avoir une image de base qui le fait sur laquelle les autres images se basent.
Mais sinon, tu dois quasiment avoir toujours un apt-get update au début de ton dockerfile sinon, tu ne pourras pas installé de paquet vu que tu n'aura pas le cache des images.
Je ne comprends pas trop ce que tu veux dire, dans les deux cas il faut faire des mises à jour.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: tz database
Posté par claudex . En réponse au journal Passage Heure d'hiver : SFR a oublié ?. Évalué à 4.
Ce qui est actuellement le cas de l'Espagne à la Pologne. On ne pas d'inventer un nouveau fuseau horaire. Par contre, je comprends bien que ça pose des soucis, je montrais juste que c'était un point bloquant.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: tz database
Posté par claudex . En réponse au journal Passage Heure d'hiver : SFR a oublié ?. Évalué à 2.
Et qu'on s'est rendu compte que tout le monde est d'accord pour arrêter de changer l'heure mais tout le monde n'est pas d'accord sur le fuseau à choisir et qu'introduire une différence d'heure entre des pays frontaliers, ça cause quand même beaucoup de problème.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche