HVJ3R: zkousel jsem posledni buildy. vlastne bych byl rad za jakykoliv do pulroku stari.

RAINBOF: No, to bys musel trochu rozvest. Verze, buildfile apod. Ted ti muzu jen odpovedet, "nam to funguje". FF 34.0.5

HVJ3R: no zatim se mi to nepovedlo. to je cely.. ff tam dam ale jak do nej otocim flash soubory zacne to chcipat.

RAINBOF: Jo. Obe v prastarych (tedy deravych) verzich. Co presne ti nejde?

pouzivate nekdo firefox s flashem v dockeru ? zaboha mi to spolu nechce jit.

Resim tady jiz druhy den pro mne mensi orisek. Na serveru mi bezi traefik, vsechny sluzby se do nej automaticky pridavaji pres label a jsou tak ve stejne siti, pokud to potrebuji. Mam ted jeden projekt, ktery pro nektere api potrebuje byt ve vpn daneho zdroje. Moje predstava byla ke kazdemu takovemu projektu dat do docker compose dperson/openvpn-client ktery se pripoji do vpn a muze sdilet toto pripojeni. Bohuzel sit bere pres network_mode ktery nelze kombinovat s networks. Tim padem nemuzu container dat i do traefik. Zkousel jsem pridat i reverse proxy pres nxing, ale to se take nedostane do spravne site. Primo treba do python containeru sem nechtel instalovat openvpn, protoze bych pak musel resit nekolik contaneru a bylo by to slozite na udrzeni.
Neresil jste to nekdo?

OMNISLASH: jo.

WOODMAKER: a skutecne je muze i menit? jinak na vice mistech jsem zahlednul, ze ta uzivatelska skupina je proste bezpecnostne ne uplne ok

WOODMAKER: RTFM: https://docs.docker.com/install/linux/linux-postinstall/

OMNISLASH: to, že může upravovat části hosting operačního systému, ke kterým normálně nemá oprávnění.

WOODMAKER: co je divneho na tom, ze uzivatel, ktery ma prava ovladat docker, ma pmoznost ovladat kontejnery?

WOODMAKER: zatím to chápu tak, že když dám uživatele do skupiny Docker je prostě díra, kterou mám najednou přístup ke všemu.

Ahoj, začal jsem se učit docker a narazil jsem na takovou zvláštní věc. Příjde mi celkem nebezpečné, že mohu udělat něco takového (a ještě horší věci):

docker run -v /etc/:/etc/ 30f8151551f4 cat /etc/shadow

Příjde mi úplně špatně, že jako normální uživatel takhle můžu měnit konfiguraci hosta. Dělám něco úplně blbě? Celé té věci nerozumím.

JINX: jinak dodavam jeste ze qubes jsem presne kvuli tomu testoval. je tam jako bezpecnostni princip definovano nekolik urovni/kontextu (barev) kde se data sdili ci naopak nesdili. navrch v desktopu je pak bezpecnost implementovana i na schrance kdyz kopirujes mezi kontexty.
pristup k siti je pak pomoci malyho virtualu s firewalem.
jako ten system je skvele vymyslenej ale je to proste porad beta stav.

JINX: hele qubes fakt ne. ten projekt je pomalej. sleduju ho uz od zacatku ale nejde nakonfugurovat tak jak bych chtel. spousta veci je na heslo nebo "not implemented yet" nebo netestovano... kdyz to pak odreportujes tak nic pripadne mail ze to preci neni testovano... cekal jsem 2 roky a za tu dobu se jen velmi malo posunul.
docker je presne to k cemu tohle slouzi - konfigurovatelnej chroot je presne ono. tim ze to ma koncept standardizovanych kontejneru to bude snazsi nekam nosit.

RAINBOF: nedavno jsem objevil https://www.manning.com/livevideo/docker-in-motion

... ale jeste jsem se k tomu samozrejme nedostal ;x

Tak to s Wine jsem teda prehlidl, sorry. Takze si raky nejsem moc jist zda to je ten pravy use case pro docker, zvlast kdyz si ty appky budou chtit nekam sahnout. Ve Windows existuje aplikace ktera se jmenuje Sandbox, na Linuxu nic takoveho neznam, napada me jen QubeOS, ktery jsem pochopil tak ze kazda aplikace jako napr. Firefox bezi v nejake oddelene virtualizaci - zde je to ale kvuli bezpecnosti, ne kvuli rozbijeni os kvuli instalaci ruzneho sw.