https://www.opennet.ru/openforum/vsluhforumID3/117412.html Джерри Гамблин (Jerry Gamblin) решил выяснить насколько распространена недавно выявленная проблема (https://www.opennet.ru/opennews/art.shtml?num=50654) в Docker-образах дистрибутива Alpine, связанная с указанием пустого пароля для пользователя root. Анализ тысячи самых популярных контейнеров из каталога Docker Hub показал (https://www.kennasecurity.com/20-of-the-1000-most-popular-docker-containers-have-no-root-password/), что в 194 (https://gist.github.com/jgamblin/6015a2020c1de3bc3aab19b361573b7f) из них (19.4%) для root установлен пустой пароль, без блокировки учётной записи ("root:::0:::::" вместо "root:!::0:::::").<br><br><br>Наиболее популярным среди проблемных контейнеров является kylemanna/openvpn (https://hub.docker.com/r/kylemanna/openvpn/), который насчитывает более 10 млн загрузок. Также выделяются контейнеры<br>hashicorp/terraform (https://hub.docker.com/r/hashicorp/terraform)<br>govuk/gemstash-alpine (https://hub.docker.com/r/govuk/gemstash-alpine), mesosphere/aws-cli (https://hub.docker.com/r/govuk/mesos https://www.opennet.ru/openforum/vsluhforumID3/117412.html#68 Thu, 23 May 2019 04:13:43 GMT проблема что для редактирования и читания нечеловеками он тоже не очень подходит - поскольку придуман рептилоидами и подброшен дятлам, неспособными заранее оценить, насколько угребищен, прожорлив и ненадежен получится парсер. api единственно-верного libxml2 тоже не айс. В результате пачки уязвимостей раз в месяц, при том что все уже на него забили и специально давно уже никто не ищет.<br><br>в результате - очередное феерическое ненужно, от неосиляторов написать собственный парсер примитивнейших конфигов.<br><br>json, понятно, ничем особо не лучше, но ломают его все же пореже.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/117412.html#67 Thu, 23 May 2019 04:08:02 GMT P.S. lsd не советую - его надо употреблять в спокойно-расслабленном состоянии, а не когда "ждешь ебилдов" - бэдтрип почти гарантирован, тем более начинающим психонавтам.<br>Переходи на спиды - заодно и ебилд не проспишь.<br><br>эх, потрут щас познавательную инфу, нутром чую<br> https://www.opennet.ru/openforum/vsluhforumID3/117412.html#66 Thu, 23 May 2019 04:03:12 GMT если контейнеры сутки будут пользоваться тобой, это немножко не то же самое, правда ведь?<br><br>если ты уже по уши увяз в контейнерах (последняя уязвимость, afair, общая с lxc) - тебе будет немного нескучно даже вовремя узнав о выходе cve, "ждать ебилдов".<br><br> https://www.opennet.ru/openforum/vsluhforumID3/117412.html#65 Thu, 23 May 2019 03:55:10 GMT и действительно...<br><br>расходимся, ничего интересного. Владельцы azure-cli должны же страдать? (подозреваю, там контейнер не предназначенный для публикации портов, на самом деле)<br><br> https://www.opennet.ru/openforum/vsluhforumID3/117412.html#64 Wed, 22 May 2019 13:46:38 GMT я так делаю, логин по sshd по паролю запрещен, только по ключу<br>поцелуйте меня в тапки<br><br>а то что вы предлагаете потенциально лечится через rowhammer<br>так что лучше уж ключ<br> https://www.opennet.ru/openforum/vsluhforumID3/117412.html#63 Wed, 22 May 2019 13:42:02 GMT XML если адекватно написан читается лучше чем JSON<br> https://www.opennet.ru/openforum/vsluhforumID3/117412.html#62 Wed, 22 May 2019 13:39:54 GMT ты походу с него не слазишь<br><br>ты контейнерами (вообще) будешь пользоваться только сутки?<br> https://www.opennet.ru/openforum/vsluhforumID3/117412.html#61 Wed, 22 May 2019 11:32:28 GMT &gt; так он вам тогда обновленный докер даст)) <br><br>да ладно, пока он ждет ебилдов, мы тут пару битков поднимем<br> https://www.opennet.ru/openforum/vsluhforumID3/117412.html#60 Wed, 22 May 2019 09:45:01 GMT &gt; Человекочитаемые конфиги, говорили они&#8230;<br><br>Человек может прочитать != человек должен понять прочитанное.<br>