電源ポチはできない、という前提での話かな。
Dockerってroot権限になれるんだ、あと半分くらい用語わからない
タイトルにもDockerって書いておこうというかこの用途でのDockerはオワコンでは?
後で確認するけど、面白いパスだなぁ...
Docker経由でSysRq叩くとかライフハックすぎるw
ちなみにサーバー機器はDELLのiDRACとかHPのiLOとかあるので、サーバーがフリーズしてても遠隔操作や再起動が出来るから、こんなことで悩まなくて良い。自宅の機器はリモートでなんとかする機会がそうそう多くない
最終手段に近いか。
dockerが動くレベルのハードウェアでドライバをいじることは私は当面なさそう。
そもそも、Docker コンテナを privileged で動かすのが、特殊なケースを除けば、避けるべきなものだと思うが。
そんなコンテナ動かしてないだろ。自分ならメモリ食いまくるプロセスを作って祈りながらカーネルパニックを待つかな。
データセンターに行ってサーバーのスイッチや電源を物理的にどうにかする話では無かった
privilegedなコンテナとsudoせずにdockerグループの権限持ってるユーザーの組み合わせって、油断してるとセキュリティホールだね。ポリシーとしてそれを許容する権限管理がちゃんとできてればよいけど
いちかばちかリセットボタンぽちー!
特権コンテナでサービスを動かすなど何度言えば……だからドッカーは嫌いなんだよ。第一話であっさりスピリチア吸われやがって(意味不明
sudoで出来ないものが出来たらセキュリティ的にアレやろ
IPMIにも触れないってこたぁ…iLOとかBMCの類からの操作もNGか。きつい状況
飛び先を正しく仕込まずに既知の脆弱性を叩いて勝手に再起動されたことはわりとある…。
電源長押しでいいじゃん。後のことは後のことよ。
“PAM の pam_systemd.so は DBus 経由で logind の CreateSession を呼びますが、応答待ちで停止します。結果として新規 sudo や新規 SSH ログインが PAM の open_session で詰まります。sudo reboot も systemd 経由で graceful に落とそうとして hung task
systemd-logind の設計が脆弱だということだけ覚えた
デスクトップだけどスリープからの復帰に失敗時など打つ手がない時REISUBってキー操作でシャットダウンできて電源ボタン長押しなくていいって最近知った。もっと早く知ってればよかった。この記事と関係あるか知らんが
むしろクラッキング経路になるね。覚えとかないといけない。
Magic SysReqも詰まる状態から再起動かけるとかすごいな。むしろ脆弱性なんじゃないかと思えるレベル。
そんなことできんのか。
太古の昔から言われているコンテナに特権を与えてはいけないという話だった、これが必要になるシーンがあまり浮かばない(データセンターでも普通は物理的に再起動してもらうオペレーションがあるはずなので)
詳しくないので印象でしかないのですが「生きていた rootを持ってる Docker コンテナに docker exec で入り、コンテナ内から /proc/sysrq-trigger を叩いてカーネルに強制リブートさせる」というのは危なくないのでしょうか?
sudoもrebootも効かないLinuxサーバをなんとか再起動する時のメモ - お腹.ヘッタ。
電源ポチはできない、という前提での話かな。
Dockerってroot権限になれるんだ、あと半分くらい用語わからない
タイトルにもDockerって書いておこうというかこの用途でのDockerはオワコンでは?
後で確認するけど、面白いパスだなぁ...
Docker経由でSysRq叩くとかライフハックすぎるw
ちなみにサーバー機器はDELLのiDRACとかHPのiLOとかあるので、サーバーがフリーズしてても遠隔操作や再起動が出来るから、こんなことで悩まなくて良い。自宅の機器はリモートでなんとかする機会がそうそう多くない
最終手段に近いか。
dockerが動くレベルのハードウェアでドライバをいじることは私は当面なさそう。
そもそも、Docker コンテナを privileged で動かすのが、特殊なケースを除けば、避けるべきなものだと思うが。
そんなコンテナ動かしてないだろ。自分ならメモリ食いまくるプロセスを作って祈りながらカーネルパニックを待つかな。
データセンターに行ってサーバーのスイッチや電源を物理的にどうにかする話では無かった
privilegedなコンテナとsudoせずにdockerグループの権限持ってるユーザーの組み合わせって、油断してるとセキュリティホールだね。ポリシーとしてそれを許容する権限管理がちゃんとできてればよいけど
いちかばちかリセットボタンぽちー!
特権コンテナでサービスを動かすなど何度言えば……だからドッカーは嫌いなんだよ。第一話であっさりスピリチア吸われやがって(意味不明
sudoで出来ないものが出来たらセキュリティ的にアレやろ
IPMIにも触れないってこたぁ…iLOとかBMCの類からの操作もNGか。きつい状況
飛び先を正しく仕込まずに既知の脆弱性を叩いて勝手に再起動されたことはわりとある…。
電源長押しでいいじゃん。後のことは後のことよ。
“PAM の pam_systemd.so は DBus 経由で logind の CreateSession を呼びますが、応答待ちで停止します。結果として新規 sudo や新規 SSH ログインが PAM の open_session で詰まります。sudo reboot も systemd 経由で graceful に落とそうとして hung task
systemd-logind の設計が脆弱だということだけ覚えた
デスクトップだけどスリープからの復帰に失敗時など打つ手がない時REISUBってキー操作でシャットダウンできて電源ボタン長押しなくていいって最近知った。もっと早く知ってればよかった。この記事と関係あるか知らんが
むしろクラッキング経路になるね。覚えとかないといけない。
Magic SysReqも詰まる状態から再起動かけるとかすごいな。むしろ脆弱性なんじゃないかと思えるレベル。
そんなことできんのか。
太古の昔から言われているコンテナに特権を与えてはいけないという話だった、これが必要になるシーンがあまり浮かばない(データセンターでも普通は物理的に再起動してもらうオペレーションがあるはずなので)
詳しくないので印象でしかないのですが「生きていた rootを持ってる Docker コンテナに docker exec で入り、コンテナ内から /proc/sysrq-trigger を叩いてカーネルに強制リブートさせる」というのは危なくないのでしょうか?