Isolation par Docker | Bearstech Blog
mercredi 22 octobre 2014 à 11:24jeekajoo, le 22/10/2014 à 11:24
quelques points:
- utilisation de "docker exec" apparu dans la version 1.3 qui est sortie il y a 6 jours à l'heure où j'écris.
- accès à la socket X11 de l’hôte au container
- accès à la socket tcp pulseaudio de l'hôte au container
- c'est moins chiant que apparmor et ça peut donc servir à isoler des trucs potentiellement dangereux comme des logiciels proprios.
- quelques dockerfiles pour différents logiciels: chrome, teamviewer, firefox, vlc, etc.. : https://github.com/hybris42/dockerfiles
(Permalink)
CAFAI, le 23/10/2014 à 09:35
Le linuxien prudent n’aime pas les surprises. Pour limiter les surprises que peut faire une application, il faut tout simplement l’isoler.
Sans aller jusqu’à Bash (ahem…), ne pas vouloir que Skype, Chrome, Steam, Minecraft, … et même Firefox voient le reste du système est plus que légitime.
La solution la plus traditionnelle est le classique chroot, facile à mettre en place, mais à la réputation controversée (surtout par les gens utilisant les jails de BSD).
Apparmor propose aussi sa solution, mais sans faire rêver plus que ça.
Niveau buzzword, ces technologies sont quand même à la ramasse, pourquoi ne pas utiliser tout bêtement Docker?
Docker est tout simplement un outil conçu pour lancer une application dans un contexte (RAM, CPU, disque, réseau), de manière simple et économe. Personne ne vous oblige a y accoler le mot Cloud, que vous avez déjà tant de mal à expliquer.
Isoler une application consiste à ne lui donner accès qu’aux services dont elle a besoin, et de manière explicite.
(Permalink)
quelques points:
- utilisation de "docker exec" apparu dans la version 1.3 qui est sortie il y a 6 jours à l'heure où j'écris.
- accès à la socket X11 de l’hôte au container
- accès à la socket tcp pulseaudio de l'hôte au container
- c'est moins chiant que apparmor et ça peut donc servir à isoler des trucs potentiellement dangereux comme des logiciels proprios.
- quelques dockerfiles pour différents logiciels: chrome, teamviewer, firefox, vlc, etc.. : https://github.com/hybris42/dockerfiles
(Permalink)
CAFAI, le 23/10/2014 à 09:35
Le linuxien prudent n’aime pas les surprises. Pour limiter les surprises que peut faire une application, il faut tout simplement l’isoler.
Sans aller jusqu’à Bash (ahem…), ne pas vouloir que Skype, Chrome, Steam, Minecraft, … et même Firefox voient le reste du système est plus que légitime.
La solution la plus traditionnelle est le classique chroot, facile à mettre en place, mais à la réputation controversée (surtout par les gens utilisant les jails de BSD).
Apparmor propose aussi sa solution, mais sans faire rêver plus que ça.
Niveau buzzword, ces technologies sont quand même à la ramasse, pourquoi ne pas utiliser tout bêtement Docker?
Docker est tout simplement un outil conçu pour lancer une application dans un contexte (RAM, CPU, disque, réseau), de manière simple et économe. Personne ne vous oblige a y accoler le mot Cloud, que vous avez déjà tant de mal à expliquer.
Isoler une application consiste à ne lui donner accès qu’aux services dont elle a besoin, et de manière explicite.
(Permalink)