> Не просто вскроет, а выложит рецепт.Я даже типовые технологии знаю. Только в результате я лишь поставил пару хороших замков, с которыми профи придется потрахаться, да немного кастома, который откровенно "ссыт мышке в норку". Вон тот засов тягаемый шаговиком вообще наружной скважиной не обладает. Приятный сюрприз для классического медвежатника. Конечно если ну очень хочется открыть можно что угодно, но дольше и паливнее ;)
> Закрывать правильно, а не надеяться на магическое решение уровня "секурно, потому что
> контейнеры", описываемое большинством разработчиков как "это виртуалка, но не виртуалка
> кароч" и используемое по большей части по моде и как бесплатный
> пакетный менеджер, а не ради реальных плюсов неймспейсов.
Я вполне осмысленно изолирую сервисы системдой. Умеючи самолично выписывать ему потребные юниты. И это явно улучшает состояние дел по сравнению с тем позором который был в sysv-based системах. Более того - это и майнтайнеры пакетов начали делать, поэтому мне не обязательно пробивать все стены своим лбом лично.
> Ирония судьбы в том, что обычно это магическое решение типа "всё в
> одном" наоборот мотивирует администраторов лениться и не защищать свои сервисы,
Это на совести тех администраторов. А мне прописать лишние 5-10 строк обрубающие сервис как-то не обломно совершенно. Все остальные способы получить сравнимую изоляцию почему-то значительно канительнее.
> после чего любой обладатель сканера, да ещё и знающий дефолтные для образов пароли
...получит на моих системах и образах жирную фигу, например :)
> "если хочешь сделать хорошо, сделай это сам", ты сделаешь то же
> самое на шелле или просто без контейнеров, понимая, что, как и зачем ты сделал.
Отвесить из шелла нужную последовательность сискллов вообще малореально т.к. в середине последовательности шелл с утилсами уже станет недоступен. Нет, я не хочу все это великолепие хаксорам в загоне с HTTP сервером каким оставлять. Как максимум там будет фэйк-ловушка, с идеей что если там вообще вызвали sh - "intrusion detected".
> Которых, разумеется, не возникнет, потому что контейнер с монгой под дефолтным паролем
> - это безопасность, демон о куче строк, которым ты аудита не
> проведёшь - это тоже безопасность,
А таки на системд довольно много глаз смотрит. А вот тот мега скрипт от чудо кодера - лично моя проблема, и врядли кто это сильно читал. И вообще, шелл не был создан с оглядкой на секурити и там так то довольно много не совсем очевидных капканов есть. Секурно кодить на шелскриптах это вообще такой довольно отдельный и специфичный скилл, доступный немногим.
> это синоним безопасности, потому что контейнеры - это безопасно?) - это
> безопасность, ведь так?
Не вижу смысла пытаться передергивать меня такой лажовой аргументацией.
> Если бы вместо неймспейсов были бы маунты из plan 9 или subhurd,
> ещё можно было про какое-то разделение говорить,
Namespaces так то мощнее. Скажем сеть подвиртуализовывают. И в целом clone() вроде с314жен как раз с сисколов plan9. Просто изначально начинка ядра линуха под вон те абстракции не кодилась и поэтому иногда ус таки может отклеиваться, когда какие-то проверки правов могут понять ситуацию неверно.
> но при решении уровня "скачал образ с бэкдором и забил", управляющимся стрёмным
> демоном на моноядре с дырками в виде BPF... только и остаётся, что повторять мантры:
Я сам себе (и не только) образа систем делаю. Ну, такой маленький нюанс. Удачи в рассказах мне сказок.