= Сообщение: 2882 из 8555 ========================================= RU.LINUX = От : Alexey Vissarionov 2:5020/545 04 May 16 07:00:00 Кому : Michael Dukelsky 04 May 16 07:00:00 Тема : Контейнеры для веб-приложений FGHI : area://RU.LINUX?msgid=2:5020/545+572973c0 На : area://RU.LINUX?msgid=2:5020/1042+5728fee6 = Кодировка сообщения определена как: CP866 ================================== ============================================================================== Доброго времени суток, Michael! 03 May 2016 22:38:14, ты -> мне:
MD>>>>> На выбор: docker (это контейнер, а не виртуальная машина), AV>>>> Он дырявый (можно вылезти в хост). MD>>> Если SELinux включен, то нельзя. AV>> Таки можно. AV>> Мне за описание способа это сделать даже денег заплатили :-) MD> Ты хочешь сказать, что если каждому контейнеру назначена своя MD> категория безопасности, естественно отличающаяся от категории MD> безопасности собственно хоста, то из контейнера можно вылезти MD> в хост? Тогда это дыра в ядре.
Браво, капитан! :-)
Что примечательно, в OpenVZ она заткнута лет этак сэм-восэм назад, когда никакого докера еще и в проекте не было. А то, что затычку не пропустили в mainstream (ну да, тогда про эту дыру даже я не знал) - как-то и пофигу...
-- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii