song4 最近的时间轴更新 song4 最近的时间轴更新 |
song4我想到了一个绝妙的签名,可惜这里太小,写不下。 V2EX 第 57436 号会员,加入于 2014-03-05 13:05:50 +08:00 |
yuankunzhang
物理系出身,却干上了程序员的行当。
染指C++、Node.js、Python和Java。
喜好数学、物理、逻辑和哲学。
对于有同样爱好的童鞋,我只有一句话:请联系我。
染指C++、Node.js、Python和Java。
喜好数学、物理、逻辑和哲学。
对于有同样爱好的童鞋,我只有一句话:请联系我。
| [新加坡] HonestBee 招 DevOps/Backend/Frontend 工程师,你来不来? 酷工作 • song4 • 2018-12-26 21:57:58 PM • 最后回复来自 song4 | 14 |
| [新加坡] HonestBee 招 DevOps 工程师~ 亚洲领先的在线生鲜杂物购买&配送 酷工作 • song4 • 2018-12-17 21:59:03 PM |
| 迫于搬家的重量,出一波书~ 二手交易 • song4 • 2017-07-14 23:37:34 PM • 最后回复来自 xingstar | 52 |
| 迫于生机,出 Macbook Pro 2015 版 15 寸 9 成以上新 二手交易 • song4 • 2017-07-06 16:39:27 PM • 最后回复来自 M1991madong | 40 |
| 出一个只玩了三天的 Synology DS216j, 2800 大洋,可小刀,包邮 二手交易 • song4 • 2017-07-02 15:43:35 PM • 最后回复来自 lamls | 12 |
| [北京] 出一款九成新正版国行 15 寸 Macbook Pro 二手交易 • song4 • 2015-02-11 22:01:47 PM • 最后回复来自 EchoChan | 39 |
song4 最近回复了
2019-03-04 13:51:43 +08:00 回复了 JozengcTzi 创建的主题 › 酷工作 › [新加坡][VISA]招聘高级 Java ,SPARK,高级 Android,自动化测试开发工程师 - 欢迎大家联系我 [email protected] |
支持一下,想来新加坡的朋友们可以考虑一下。这枚 HR 超赞的。
2019-02-26 11:25:15 +08:00 回复了 rizon 创建的主题 › 程序员 › 关于借助 docker 获取 root 目录权限实现提权问题的探讨 |
先回答第一个问题:
> 如果 docker 中的用户名交 dockeruser 宿主机没有这个用户,他是怎么映射的呢?按照 uid 吗?
是的,按照 uid 来映射。默认从 uid=0 开始映射,宿主机的 uid=0,1,2,... 映射为容器的 uid=0,1,2,...。你可以通过 `--userns-remap` 选项来改变这个行为,比如说可以指定宿主机的 uid=1000,1001,1002,... 映射为容器的 uid=0,1,2,...。
第二个问题:
> 所以在容器内就是 root 权限了,怎么避免呢?
事实确实是这样的,你可以参考 LWN 的这篇文章:[User namespaces + overlayfs = root privileges]( https://lwn.net/Articles/671641/)。这一点其实在 Docker 官方给出的 [Docker daemon attack surface]( https://docs.docker.com/engine/security/security/) 中也已经指出来了:
> Docker allows you to share a directory between the Docker host and a guest container; and it allows you to do so without limiting the access rights of the container. This means that you can start a container where the /host directory is the / directory on your host; and the container can alter your host filesystem without any restriction. This is similar to how virtualization systems allow filesystem resource sharing. Nothing prevents you from sharing your root filesystem (or even your root block device) with a virtual machine.
那么,怎么避免呢?一种方案是,可以在运行容器的时候通过 `--user` 选项指定非 root 用户名和组。另外,挂载 volumes 的时候遵循 Principle of Least Privilege 是一个好习惯:尽量避免挂载系统重要的目录或文件,如果实在需要,不妨使用只读挂载。
> 如果 docker 中的用户名交 dockeruser 宿主机没有这个用户,他是怎么映射的呢?按照 uid 吗?
是的,按照 uid 来映射。默认从 uid=0 开始映射,宿主机的 uid=0,1,2,... 映射为容器的 uid=0,1,2,...。你可以通过 `--userns-remap` 选项来改变这个行为,比如说可以指定宿主机的 uid=1000,1001,1002,... 映射为容器的 uid=0,1,2,...。
第二个问题:
> 所以在容器内就是 root 权限了,怎么避免呢?
事实确实是这样的,你可以参考 LWN 的这篇文章:[User namespaces + overlayfs = root privileges]( https://lwn.net/Articles/671641/)。这一点其实在 Docker 官方给出的 [Docker daemon attack surface]( https://docs.docker.com/engine/security/security/) 中也已经指出来了:
> Docker allows you to share a directory between the Docker host and a guest container; and it allows you to do so without limiting the access rights of the container. This means that you can start a container where the /host directory is the / directory on your host; and the container can alter your host filesystem without any restriction. This is similar to how virtualization systems allow filesystem resource sharing. Nothing prevents you from sharing your root filesystem (or even your root block device) with a virtual machine.
那么,怎么避免呢?一种方案是,可以在运行容器的时候通过 `--user` 选项指定非 root 用户名和组。另外,挂载 volumes 的时候遵循 Principle of Least Privilege 是一个好习惯:尽量避免挂载系统重要的目录或文件,如果实在需要,不妨使用只读挂载。
2019-02-12 13:29:05 +08:00 回复了 ns2250225 创建的主题 › 程序员 › 请问怎样知道 k8s 的一个 node 最多能创建多少个 pod 呀 😭 |
@monsterxx03 是对的,做 Capacity Planning 的话,还需要知道应用的工作负载特征。
2018-12-26 21:57:58 +08:00 回复了 song4 创建的主题 › 酷工作 › [新加坡] HonestBee 招 DevOps/Backend/Frontend 工程师,你来不来? |
@abmin521 是的
2018-12-26 17:43:32 +08:00 回复了 song4 创建的主题 › 酷工作 › [新加坡] HonestBee 招 DevOps/Backend/Frontend 工程师,你来不来? |
我是 DevOps 工程师
2018-12-25 23:33:44 +08:00 回复了 song4 创建的主题 › 酷工作 › [新加坡] HonestBee 招 DevOps/Backend/Frontend 工程师,你来不来? |
@tyrealgray 这个应该好协调的吧,不清楚您当时的具体情况 😂
2018-12-25 23:28:14 +08:00 回复了 song4 创建的主题 › 酷工作 › [新加坡] HonestBee 招 DevOps/Backend/Frontend 工程师,你来不来? |
@mygoare 我们业务中用到的是 React,如果你学习能力足够强,欢迎投递简历!
2018-12-25 23:23:18 +08:00 回复了 song4 创建的主题 › 酷工作 › [新加坡] HonestBee 招 DevOps/Backend/Frontend 工程师,你来不来? |
@jellyX 有的呀,要求有 React 经验: https://careers.honestbee.com/departments/job/?gh_jid=1198395
2018-12-25 22:35:16 +08:00 回复了 reachers 创建的主题 › 酷工作 › [支付宝] 高级前端开发工程师/前端专家 · [20K-40K] · [杭州/上海/成都] 🔥🔥🔥🔥 |
@jishu541464750 你够了。。。
2018-12-12 15:57:48 +08:00 回复了 summersnow521 创建的主题 › Java › Java DevOps 最贱实践讨论 |
你是想讨论“最贱实践”还是“最佳实践”?
Select Language