Ir para o conteúdo
ou

Software livre Brasil

Tela cheia Sugerir um artigo
 Feed RSS

DevOps Brasil

7 de Dezembro de 2009, 0:00 , por Software Livre Brasil - | Ninguém está seguindo este artigo ainda.

Gomex: Lançamento do 1.6.1 Docker com várias correções de segurança

10 de Maio de 2015, 3:43, por DevOps Brasil - 0sem comentários ainda

Após diversas notificações de vulnerabilidades urgentes, a equipe de segurança do Docker resolveu lançar rapidamente uma nova versão com soluções para os casos reportados.

google-container-logo-370x290Segue abaixo as falhas encontradas, que já foram resolvidas na versão 1.6.1:

[CVE-2015-3629] Symlink traversal on container respawn allows local privilege escalation

O libcontainer da versão 1.6.0 introduziu mudanças que facilitaram a fuga da montagem do namespace no respawn do container. Isso permite que imagens maliciosas possam escrever arquivos no sistema host, ou seja, que escape do container.

Descoberto por Tõnis Tiigi.

[CVE-2015-3627] Insecure opening of file-descriptor 1 leading to privilege escalation

O file descriptor passado pelo libcontainer para o processo com PID 1 do container foi encontrado com possibilidade de ser aberto antes de ser executado o chroot, sendo assim permitindo abertura insegura de symlink traversal. Isso permite que containers maliciosos possam escalar o privilégio localmente.

Descoberto por Tõnis Tiigi.

[CVE-2015-3630] Read/write proc paths allow host modification & information disclosure

Muitos caminhos abaixo de /proc estavam com permissão de escrita para o container, permitindo a manipulação de configurações globais do sistema. Esses caminhos incluíam /proc/asound, /proc/timer_stats, /proc/latency_stats, e /proc/fs.

Ao permite escrita no /proc/fs, verificou-se que volumes CIFS podem ser forçados a um “protocol downgrade attack” por um usuário root no sistema operacional dentro do container.

Descoberto por Eric Windisch do time de segurança do Docker

[CVE-2015-3631] Volume mounts allow LSM profile escalation

Ao permitir que volumes possam sobrescrever arquivos do /proc dentro de um namespace, um usuário pode específicar arbitrariamente politicas para o módulo de segurança do Linux, incluindo setar uma política de não-confinada sob o AppArmonr ou uma política “docker_t” que seria gerenciada pelo SELinux.

Descoberto por Eric Windisch do time de segurança do Docker

Todas as falhas foram corrigidas no Docker 1.6.1! Usuários que utilizam imagens inseguras estão encorajados a atualizar o seu docker urgentemente.

Atualizando seu Docker no Debian

É muito simples, basta executar os comandos abaixo:


# wget http://ftp.br.debian.org/debian/pool/main/d/docker.io/docker.io_1.6.1+dfsg1-1_amd64.deb
# dpkg -i docker.io_1.6.1+dfsg1-1_amd64.deb
# rm docker.io_1.6.1+dfsg1-1_amd64.deb


Ricardo Martins: CoreOS: O que é e como funciona?

5 de Maio de 2015, 22:05, por DevOps Brasil - 0sem comentários ainda

Em tempos de computação em nuvem, micro serviços e containers, o CoreOS é uma distribuição Linux que vem ganhando força. Neste post vou compartilhar um pouco do que tenho estudado e descoberto sobre ele com vocês. O CoreOS é um sistema operacional Linux desenvolvido para ser tolerante à falhas, distribuído e fácil de escalar. Ele […]

O post CoreOS: O que é e como funciona? apareceu primeiro em Ricardo Martins.


Gomex: O que é docker? (Vídeo)

2 de Maio de 2015, 11:17, por DevOps Brasil - 0sem comentários ainda

A ideia é demonstrar o que é Docker, principalmente para aquelas pessoas que ainda não conhecem e não perceberam ainda como isso pode ser interessante para suas atividades.

Por hoje é só! Fiquem atentos para novas postagens sobre DevOps.


Fernando (fike) Ike: Docker 1.6 lançado

27 de Abril de 2015, 17:48, por DevOps Brasil - 0sem comentários ainda

O lançamento da versão 1.6 veio com boas novidades, algumas delas são do ecossistema mas cabe destacar: Docker Compose, Docker Machine e o Registry. O Compose é o antigo Fig, ele facilita bastante se você trabalho com sistemas em múltiplos containers. O Machine permite criar uma infraestrutura Docker rapidamente, seja numa máquina virtual (exemplo: Virtualbox) ou mesmo numa IaaS (AWS, Digital Ocean, etc.).

As funcionalidades da versão 1.6 que gostei foram:

  • Suporte a Image Labels No Dockerfile pode adicionar um campo extra para usar como identificação sua. Isso permite pesquisar informações de containers e imagens usando esse campo.

  • Logging Drivers Ficou bem mais fácil enviar os logs para um Syslog ou similares. Muita gente tem dificuldade de lidar com os logs do container até essa versão.

  • Alterar as imagens de containers sem recriá-las A partir desta versão é possível alterar algumas coisas numa imagem de container sem a necessidade de gerar novamente.

  • Ulimit A minha favorita, agora é possível alterar alguns parâmetros do ulimit, bom para serviços que usam muito processos como banco de dados.

Para saber mais, acesse o blog do Docker que tem mais informações.

Obs.: Ah, a versão 1.6 está na Experimental no Debian e infezlimente não entrou na Jessie, mas logo estará disponível no Backports.

Obs.2: O original dessa imagem é do blog do Docker.


Gomex: Monitorando automaticamente o Docker com Zabbix

27 de Abril de 2015, 0:59, por DevOps Brasil - 0sem comentários ainda

Docker é uma ferramenta perfeita para criar automaticamente ambientes para novos serviços. Esse processo de criação é muito fácil e em alguns casos é feita automaticamente por outra ferramenta ou script.

static1.squarespace.com

Monitore para evitar surpresas

Problemas podem acontecer e a equipe de TI precisa estar preparada para descobrir isso antes que cause indisponibilidade.

Problema

Como o time de monitoramento poderá acompanhar esse rápido processo de criação e manter todos esses ativos no sistema de monitoramento? Nos precisamos monitorar automaticamente todos os containers.

Solution

Eu desenvolvi alguns scripts para listar containers, adicionar eles no Zabbix usando a funcionalidade LLD e monitorar todos esses novos hosts.

Infelizmente nos precisamos de acesso especial para monitorar essas informações no Docker, por conta disso eu usei sudo e job cron do root.

Abaixo os itens monitorados por essa solução:

  • Porcentagem de CPU usado
  • Porcentagem de memória usada
  • Bytes enviados e recebidos por segundo
  • Pacotes enviados e recebidos
  • Pacotes enviados e recebidos, mas descartados
  • Pacotes enviados e recebidos com erros

Quer conhecer a solução antes de testar? Olhe esse vídeo!

Eu testei no seguinte ambiente:

  • python 2.7.9
  • docker 1.6
  • zabbix agent and server 2.4

Se você testar em um diferente, por favor me avise.