Open source virtualizácia

Re:Open source virtualizácia
« Odpověď #15 kdy: 02. 07. 2014, 19:28:32 »
odporucat docker niekomu, kto nie je schopny si sam zistit taku trivialnu vec, je... (kazdy nech si doplni sam)
Právěže Docker je pro lamy ideální. Akorát lama musí vědět že je lama a nemyslet si, že když umí zadat jeden z webu obsaný příkaz, který jí automagicky rozjede na serveru apache, tak že je z ní kdovíjaký sysadmin a ze všech adminů, kteří se tím živí, může mít srandu :)

(tohle myslím bez urážky pro tazatele - všichni jsme nějak začínali a něco nevědět není vůbec žádná ostuda)

Mozno niekedy ano. Ale teraz tu je neocakavana featura, ktora oficialne ani nie je zranitelnostou (nedavaju sa na to CVE) a treba si na to davat pozor. Zvlast ked to na prvy pohlad vyzera, ze to obsah kontaineru izoluje a prirovnava sa to k virtualizacii.
Tady nevím, jestli to píšeš úplně dobře - ve virtualizaci na Linuxu se úplně detailně nevyznám, takže možná dám špatný příklad: pokud se v LXC najde chyba, která umožní rootovi uniknout z kontejneru (tak, jako se to dá za nějakých okolností z chrootu), tak to samozřejmě je bezpečnostní chyba a určitě to je důvod vydat CVE. Zároveň ale každý, kdo jakoukoli OS-level virtualizaci používá, musí vědět, že principielně tohle riziko prostě vždycky hrozí - narozdíl od plné virtualizace, kde tímhle způsobem není z principu možné tohle udělat.

Nic nového pod sluncem, každý software prostě obsahuje chyby a operační systémy, které měly kontejnery když ještě Linux vypadal takhle
;) tohle samozřejmě taky řešily - např. http://www.freebsd.org/security/advisories/FreeBSD-SA-04:03.jail.asc

MAC na tom nic principielně nemění, v něm taky může být chyba, jenom přidává další level ochrany - pásek a kšandy...


student

Re:Open source virtualizácia
« Odpověď #16 kdy: 02. 07. 2014, 20:23:31 »
pokud se v LXC najde chyba, která umožní rootovi uniknout z kontejneru (tak, jako se to dá za nějakých okolností z chrootu), tak to samozřejmě je bezpečnostní chyba a určitě to je důvod vydat CVE. Zároveň ale každý, kdo jakoukoli OS-level virtualizaci používá, musí vědět, že principielně tohle riziko prostě vždycky hrozí - narozdíl od plné virtualizace, kde tímhle způsobem není z principu možné tohle udělat.
Upozornujem na to prave preto, lebo je to ako odporucat chroot na virtualizaciu. Je trochu rozdiel, ci nieco len hrozi (napr hrozi, ze mi na PC vzdalene niekto spusti kod) alebo sa o chybach uz vie a nie su opravene. Kym prve sa mimo mission-critical systemy toleruje (neda sa proti tomu dost dobre bojovat), druhemu sa ludia snazia zo vsetkych sil vyhybat alebo to nejak osetrovat.

Dovod nepriradovania CVE opisoval Daniel Walsh v inom maili:
Citace: Daniel Walsh
My point being that any process on a Linux System that has lots of linux capabilities (DAC*, SYS_ADMIN, and many others) can not be contained.

I think it is premature to treat breakouts against Docker Containers with CVE's because of this.  If people stop making claims about the security of a docker process with privs being isolated from the host system, we can prevent the flood of CVE's, that are likely to come.
(uz len osetrenie roznych ioctl bude na dlho)

Re:Open source virtualizácia
« Odpověď #17 kdy: 02. 07. 2014, 20:51:09 »
Dovod nepriradovania CVE opisoval Daniel Walsh v inom maili:
Aha. Pokud to chapu spravne, doporucuje nevydavat CVEs na veci, o kterych si nekdo mysli, ze by je Docker mel umet, ale neumi a nikdo nikdy netvrdil, ze umi. Tak to je legitimni.

Dobra poznamka, diky za tu informaci. Mne osobne se to netyka, ale kolegy by to mohlo (melo ;) zajimat.

Re:Open source virtualizácia
« Odpověď #18 kdy: 02. 07. 2014, 20:53:24 »
Dobra poznamka, diky za tu informaci. Mne osobne se to netyka, ale kolegy by to mohlo (melo ;) zajimat.
Nicmene jeste by to chtelo doplnit o informaci, jak je na tom v tomhle ohledu OpenVZ. Ja Linuxove capabilities vubec neznam, natoz jejich vztah k virtualizaci, takze pro me je to spanelska vesnice :) a nazor nekoho kovanyho by se hodil...

samalama

Re:Open source virtualizácia
« Odpověď #19 kdy: 02. 07. 2014, 22:57:14 »
odporucat docker niekomu, kto nie je schopny si sam zistit taku trivialnu vec, je... (kazdy nech si doplni sam)
Právěže Docker je pro lamy ideální. Akorát lama musí vědět že je lama a nemyslet si, že když umí zadat jeden z webu obsaný příkaz, který jí automagicky rozjede na serveru apache, tak že je z ní kdovíjaký sysadmin a ze všech adminů, kteří se tím živí, může mít srandu :)

takze si vlastne nepriamo odporujes :)

podla mna pre lamu, ktora chce len virtualizovat (v zmysle nainstalujem hypervizora, nainstalujem guesta a idem), je idealny virtualbox, kde v podstate netraba nic vediet, kdezto by kazdom inom sposobe virtualizacie/kontajnerizacie uz tomu treba hlbsie rozumiet...


Re:Open source virtualizácia
« Odpověď #20 kdy: 02. 07. 2014, 23:00:58 »
podla mna pre lamu, ktora chce len virtualizovat (v zmysle nainstalujem hypervizora, nainstalujem guesta a idem), je idealny virtualbox, kde v podstate netraba nic vediet, kdezto by kazdom inom sposobe virtualizacie/kontajnerizacie uz tomu treba hlbsie rozumiet...
Docker je pro lamy lepší v tom smyslu, že jedním příkazem rozjedou konkrétní službu. Toho prostě s VBoxem nedosáhneš, musíš si vzít k ruce minimálně Vagrant.

Samozřejmě čím jednodušší nasazení, tím větší nebezpečí, že se každá lama bude provozovat vlastní wordpress na vlastní VPSce za dvě stovky měsíčně a crackeři budou mít žně.

To jsou dvě strany jedné mince, nijak si to neodporuje - nůž je taky supr nástroj, akorát se s ním můžeš pořezat...

student

Re:Open source virtualizácia
« Odpověď #21 kdy: 03. 07. 2014, 00:45:31 »
Nicmene jeste by to chtelo doplnit o informaci, jak je na tom v tomhle ohledu OpenVZ. Ja Linuxove capabilities vubec neznam, natoz jejich vztah k virtualizaci, takze pro me je to spanelska vesnice :) a nazor nekoho kovanyho by se hodil...
Nie som velmi "kovany", ale zda sa, ze OpenVZ trpi podobnymi chybami (mozno je cast uz zaplatana - neviem). Tam je tvrdenie "containers contain" priznavana featura, tak sa na to CVE prideluju. Napr. nedavne CVE-2014-3519, ktore vyzera ako dosledok oznamenia podobnej chyby v Dockeri, kde nebolo pridelene CVE.

===POZOR! Velmi zjednoduseny opis===
Ku capabilities v kratkosti - ide o rozdrobenie uzivatelskych prav na uroven skupin akcii. Vdaka tomu prakticky neexistuje "plny root", ale existuju len skupiny akcii, ktore moze uzivatel vykonavat. Root ma napriklad bezne capabilitu, ktora mu umoznuje ignorovat prava pri pristupe k suborom. Dobre je, ze mozeme pouzivat len cast capabilit, cim zmensime riziko uspesneho napadnutia systemu. Program moze mat pravo pouzivat raw sockety (napr. ping) bez prav pristupovat k lubovolnym suborom.

S "virtualizaciou" (namespaces) to ma spolocne to, ze praca s nimi, rovnako ako praca s chrootom, su tiez len capability. Konkretne praca a pristup do namespaces casto vyzaduje dost siroku capabilitu CAP_SYS_ADMIN, ktoru vyzaduju aj niektore privilegovane ioctl, praca s driverami atd. Tak je moznost fungovat so CAP_SYS_ADMIN a ludia sa dostanu na neosetrenych miestach z kontainera alebo bez toho a ludom nieco nebude fungovat.

Da sa to riesit tak, ze budeme vsade pri capabilitach kontrolovat aj to, ci dotycny nie je v namespace, z ktoreho by sa nemal dostat von. Uprava celeho kernelu na tento styl ale nie je vec 1 dna.
===/POZOR! Velmi zjednoduseny opis===

Re:Open source virtualizácia
« Odpověď #22 kdy: 03. 07. 2014, 00:59:36 »
Jo, tak na téhle úrovni je mi to celkem jasný, spíš jsem myslel, že neumím posoudit, jak moc závažný problém to je, jak moc běžné distribuce na capabilities spoléhají atd. Prostě jestli se jedná o věc, která hrozí být masovně zneužitelná, nebo to spíš může být překvapení pro někoho, kdo si myslí, že na zabezbečení spešl zapracoval a ona to byla marná snaha a spadne do defaultu :) A kromě šířky taky o jakou jde hloubku - pokud se s velkou pravděpodobností* bude jednat o nebezpečí, že si někdo bude moct poslat packet z iface, na který by neměl mít přístup, tak je to zas něco jinýho než když získá roota na hostovi žejo :)

* protože kritičtější části kódu už někdo pečlivě prověřil

student

Re:Open source virtualizácia
« Odpověď #23 kdy: 03. 07. 2014, 02:40:36 »
Prostě jestli se jedná o věc, která hrozí být masovně zneužitelná, nebo to spíš může být překvapení pro někoho, kdo si myslí, že na zabezbečení spešl zapracoval a ona to byla marná snaha a spadne do defaultu :)
Default je este docela dobry, lebo ludia maju pred rootom respekt a nepustia pod nim vsetko. Root v Dockeri a nasledny root mimo Docker uz taky dobry nie je.

A kromě šířky taky o jakou jde hloubku - pokud se s velkou pravděpodobností* bude jednat o nebezpečí, že si někdo bude moct poslat packet z iface, na který by neměl mít přístup, tak je to zas něco jinýho než když získá roota na hostovi žejo :)

* protože kritičtější části kódu už někdo pečlivě prověřil
Spominane CVE bolo z bugu, kde mohol uzivatel zvnutra kontajneru pristupovat k lubovolnym suborom mimo kontajner, co prakticky znamena roota. O viacerych takych CVE neviem, rovnako ako neviem o viacerych hlaseniach pre Docker, z ktorych by tieto bugy mohli vzniknut. Preto tazko povedat, kde su hlavne bugy.

Radek Uhlíř

Re:Open source virtualizácia
« Odpověď #24 kdy: 17. 07. 2014, 15:11:08 »
Zkus tohle http://www.proxmox.com/cs/. Používám spoustu let, rychlé, spolehlivé, jednoduché... Prostě nic lepšího neznám!

doct0rX

Re:Open source virtualizácia
« Odpověď #25 kdy: 17. 07. 2014, 20:10:19 »
pouzivam virtualbox ke vsi spokejenosti , existuji mozna i lepsi , ale virtualbox mi fakt staci na vse