Ir para o conteúdo
ou

Thin logo

Tela cheia Sugerir um artigo
 Feed RSS

Grupo de Usuários Debian da Bahia - GUD/BA

6 de Dezembro de 2009, 22:00 , por Desconhecido - | No one following this article yet.

Seja bem vind@, se você é um debiano (um baiano que usa debian) faça parte de nossa comunidade!


Docker – Mapeamento de portas (Vídeo)

18 de Maio de 2015, 0:04, por PSL-BA Feeds - 0sem comentários ainda

Nesse vídeo você verá como é possível acessar os serviços hospedados nos containers docker por diversas formas.



Lançamento do 1.6.1 Docker com várias correções de segurança

10 de Maio de 2015, 0:43, por PSL-BA Feeds - 0sem comentários ainda

Após diversas notificações de vulnerabilidades urgentes, a equipe de segurança do Docker resolveu lançar rapidamente uma nova versão com soluções para os casos reportados.

google-container-logo-370x290Segue abaixo as falhas encontradas, que já foram resolvidas na versão 1.6.1:

[CVE-2015-3629] Symlink traversal on container respawn allows local privilege escalation

O libcontainer da versão 1.6.0 introduziu mudanças que facilitaram a fuga da montagem do namespace no respawn do container. Isso permite que imagens maliciosas possam escrever arquivos no sistema host, ou seja, que escape do container.

Descoberto por Tõnis Tiigi.

[CVE-2015-3627] Insecure opening of file-descriptor 1 leading to privilege escalation

O file descriptor passado pelo libcontainer para o processo com PID 1 do container foi encontrado com possibilidade de ser aberto antes de ser executado o chroot, sendo assim permitindo abertura insegura de symlink traversal. Isso permite que containers maliciosos possam escalar o privilégio localmente.

Descoberto por Tõnis Tiigi.

[CVE-2015-3630] Read/write proc paths allow host modification & information disclosure

Muitos caminhos abaixo de /proc estavam com permissão de escrita para o container, permitindo a manipulação de configurações globais do sistema. Esses caminhos incluíam /proc/asound, /proc/timer_stats, /proc/latency_stats, e /proc/fs.

Ao permite escrita no /proc/fs, verificou-se que volumes CIFS podem ser forçados a um “protocol downgrade attack” por um usuário root no sistema operacional dentro do container.

Descoberto por Eric Windisch do time de segurança do Docker

[CVE-2015-3631] Volume mounts allow LSM profile escalation

Ao permitir que volumes possam sobrescrever arquivos do /proc dentro de um namespace, um usuário pode específicar arbitrariamente politicas para o módulo de segurança do Linux, incluindo setar uma política de não-confinada sob o AppArmonr ou uma política “docker_t” que seria gerenciada pelo SELinux.

Descoberto por Eric Windisch do time de segurança do Docker

Todas as falhas foram corrigidas no Docker 1.6.1! Usuários que utilizam imagens inseguras estão encorajados a atualizar o seu docker urgentemente.

Atualizando seu Docker no Debian

É muito simples, basta executar os comandos abaixo:


# wget http://ftp.br.debian.org/debian/pool/main/d/docker.io/docker.io_1.6.1+dfsg1-1_amd64.deb
# dpkg -i docker.io_1.6.1+dfsg1-1_amd64.deb
# rm docker.io_1.6.1+dfsg1-1_amd64.deb



O que é docker? (Vídeo)

2 de Maio de 2015, 8:17, por PSL-BA Feeds - 0sem comentários ainda

A ideia é demonstrar o que é Docker, principalmente para aquelas pessoas que ainda não conhecem e não perceberam ainda como isso pode ser interessante para suas atividades.

Por hoje é só! Fiquem atentos para novas postagens sobre DevOps.



Monitorando automaticamente o Docker com Zabbix

26 de Abril de 2015, 21:59, por PSL-BA Feeds - 0sem comentários ainda

Docker é uma ferramenta perfeita para criar automaticamente ambientes para novos serviços. Esse processo de criação é muito fácil e em alguns casos é feita automaticamente por outra ferramenta ou script.

static1.squarespace.com

Monitore para evitar surpresas

Problemas podem acontecer e a equipe de TI precisa estar preparada para descobrir isso antes que cause indisponibilidade.

Problema

Como o time de monitoramento poderá acompanhar esse rápido processo de criação e manter todos esses ativos no sistema de monitoramento? Nos precisamos monitorar automaticamente todos os containers.

Solution

Eu desenvolvi alguns scripts para listar containers, adicionar eles no Zabbix usando a funcionalidade LLD e monitorar todos esses novos hosts.

Infelizmente nos precisamos de acesso especial para monitorar essas informações no Docker, por conta disso eu usei sudo e job cron do root.

Abaixo os itens monitorados por essa solução:

  • Porcentagem de CPU usado
  • Porcentagem de memória usada
  • Bytes enviados e recebidos por segundo
  • Pacotes enviados e recebidos
  • Pacotes enviados e recebidos, mas descartados
  • Pacotes enviados e recebidos com erros

Quer conhecer a solução antes de testar? Olhe esse vídeo!

Eu testei no seguinte ambiente:

  • python 2.7.9
  • docker 1.6
  • zabbix agent and server 2.4

Se você testar em um diferente, por favor me avise.



Automatically monitoring of docker using Zabbix

26 de Abril de 2015, 21:49, por PSL-BA Feeds - 0sem comentários ainda

Docker is a perfect tool to quickly create many environments to new services. That creation process is so easy, in some cases this is done automatically by other tool or script.

static1.squarespace.com

Monitor to avoid surprises

Problems can happens and IT team should be ready to figure it out before causing unavailability.

Problem

How can a monitoring team follow this quickly creation process and keep all this new assets in monitoring system? We need to automatically monitor all containers.

Solution

I developed some scripts to list docker containers, add it in Zabbix using LLD feature and monitor these new hosts.

Unfortunately we need special access to monitor that information in docker, so I used sudo and root cron job.

Follow the items monitored by this solution:

  • CPU used percent
  • Memory used percent
  • Bytes received and sent per second
  • Packages received and sent
  • Packages received and sent, but dropped
  • Packages received and sent with erros

Do you wanna know the solution before test? Take a look at the video:

I tested tested in the follow environment:

  • python 2.7.9
  • docker 1.6
  • zabbix agent and server 2.4

If you test in a different one, please let me know.