🐳Что если вам нужно запустить чужой (возможно небезопасный) код?
Представьте: вам прислали бинарник, Python-скрипт или npm-пакет, и его надо выполнить. Вы не знаете, что внутри — а вдруг там rm -rf /, попытка выйти из контейнера, майнер или установка root-доступа?
🔥 Первый инстинкт: запустить в Docker. Кажется, контейнер спасёт? ⚠️ На самом деле — не всегда.
🛑Docker ≠ песочница Контейнеры по умолчанию не изолированы от ядра, сетей и сокетов хоста. Даже простое docker run -it ubuntu запускает процесс с root-доступом внутри контейнера.
🛡️Что делать, если код небезопасен:
# Запуск без root-доступа docker run --user 1000:1000 my-image
# Только для чтения docker run --read-only my-image
# Удалить все cap-привилегии ядра docker run --cap-drop=ALL my-image
# Использовать seccomp-профиль docker run --security-opt seccomp=default.json my-image
# Отключить сеть docker run --network=none my-image
Также стоит: • Настроить AppArmor / SELinux • Запретить монтирование Docker сокета • Ограничить доступ к /proc, /sys
💡Вывод: Docker — это удобный инструмент упаковки, но не синоним безопасной изоляции. Если запускаете сторонний или user-generated код (плагины, CI-скрипты, sandbox-сервисы) — относитесь к нему как к потенциально опасному.
Безопасность — это не "чеклист", а постоянная практика.
🐳Что если вам нужно запустить чужой (возможно небезопасный) код?
Представьте: вам прислали бинарник, Python-скрипт или npm-пакет, и его надо выполнить. Вы не знаете, что внутри — а вдруг там rm -rf /, попытка выйти из контейнера, майнер или установка root-доступа?
🔥 Первый инстинкт: запустить в Docker. Кажется, контейнер спасёт? ⚠️ На самом деле — не всегда.
🛑Docker ≠ песочница Контейнеры по умолчанию не изолированы от ядра, сетей и сокетов хоста. Даже простое docker run -it ubuntu запускает процесс с root-доступом внутри контейнера.
🛡️Что делать, если код небезопасен:
# Запуск без root-доступа docker run --user 1000:1000 my-image
# Только для чтения docker run --read-only my-image
# Удалить все cap-привилегии ядра docker run --cap-drop=ALL my-image
# Использовать seccomp-профиль docker run --security-opt seccomp=default.json my-image
# Отключить сеть docker run --network=none my-image
Также стоит: • Настроить AppArmor / SELinux • Запретить монтирование Docker сокета • Ограничить доступ к /proc, /sys
💡Вывод: Docker — это удобный инструмент упаковки, но не синоним безопасной изоляции. Если запускаете сторонний или user-generated код (плагины, CI-скрипты, sandbox-сервисы) — относитесь к нему как к потенциально опасному.
Безопасность — это не "чеклист", а постоянная практика.
#Docker #Security #Sandbox #DevOps #Isolation
BY Python вопросы с собеседований
Warning: Undefined variable $i in /var/www/tg-me/post.php on line 283
Telegram auto-delete message, expiring invites, and more
elegram is updating its messaging app with options for auto-deleting messages, expiring invite links, and new unlimited groups, the company shared in a blog post. Much like Signal, Telegram received a burst of new users in the confusion over WhatsApp’s privacy policy and now the company is adopting features that were already part of its competitors’ apps, features which offer more security and privacy. Auto-deleting messages were already possible in Telegram’s encrypted Secret Chats, but this new update for iOS and Android adds the option to make messages disappear in any kind of chat. Auto-delete can be enabled inside of chats, and set to delete either 24 hours or seven days after messages are sent. Auto-delete won’t remove every message though; if a message was sent before the feature was turned on, it’ll stick around. Telegram’s competitors have had similar features: WhatsApp introduced a feature in 2020 and Signal has had disappearing messages since at least 2016.
Find Channels On Telegram?
Telegram is an aspiring new messaging app that’s taking the world by storm. The app is free, fast, and claims to be one of the safest messengers around. It allows people to connect easily, without any boundaries.You can use channels on Telegram, which are similar to Facebook pages. If you’re wondering how to find channels on Telegram, you’re in the right place. Keep reading and you’ll find out how. Also, you’ll learn more about channels, creating channels yourself, and the difference between private and public Telegram channels.
