Un buen ejemplo es con traefik que por defecto tienes que montar el sock de docker para que pueda usar la configuración dinamica y saber cuando se crea un nuevo contenedor, he visto que hay una charla de cómo hacer otras cosas para que funcione sin el sock pero no se hasta que punto es seguro.
Duda: en mi ejemplo tengo un servidor con un contenedor de docker con nginx proxy manager, para el tema de los certificados, como proteger de bien ese servicio que es el que al final está expuesto, este proxy expone a los otros servicios, los cuales están atras del firewall que solo permite la entrada de la IP del Nginx manager.
Entiendo que docker sigue siendo igualmente muy seguro, y en caso de duda, configurar Docker como rootless sería suficiente, o evitar exponer servicios que tengan servicios/objetos críticos del sistema montados, así como no agregar al usuario al grupo docker. En caso de otras soluciones como Podman, desde el primer momento me pareció tremendo, pero es increíble como fallan algunos contenedores.Tenía un stack completo montado en Podman, y tuve que migrarlo a docker porque no funcionaba del todo bien, y algunos servicios simplemente no arrancaban en el servidor, y trabajar con devcontainers en VSCode es un dolor de cabeza si no se usa docker.
rootless = Carente del usuario root, o en otras palabras, carente de privilegios indeterminados (dado que ahora queda determinado por el ACL u otro factor externo).
@@juanitoalimana8254 Mentira, no es Rootless es "Ruth Les" que es un apodo cariñoso para "Ruth Leslie" su ex. Todo el video se trato de el explicando como romper la barrera de indiferencia que pone Ruth cuando no esta. Para la próxima cuando una chica les sea indiferente ya saben, tienen que escribirles cosas como: docker run -v /:/mnt --rm -it alpine chroot /mnt sh Y así romperán con su indiferencia y empezara a escuchar sus comandos.
Entiendo que aunque montes deocker con root si el acceso al servidor solo esta permitido al administrador y no tienes un directo sensible montado en los docker, se puede considerar brecha de seguridad?
Buen video , propongo un reto o propuestas de video. .... puedes hacer una imagen docker con su aplicación , la imagen debe de capturar la webcam del host
Te dejé en twitter tremendo hilo con comentarios al respecto. Spoiler: Es eventualmente posible escaparse de un rootless default, sin privileges ni mounts ;)
El sistema de archivos de linux no estaba pensado para este tipo de situaciones donde los contenedores existen, es una característica del diseño, al final es una vulnerabilidad explotable
Excelente como siempre tus videos, pero la pantallita que tenes atrás mostrando la cantidad de usuarios que te siguen al canal muestra 151K y que hace en Mendoza 27º por ende esto lo grabaste en verano o en Marzo hace 27 grados en Mendoza!?!? ajajajaja bueno... nada es para que que veas que somos observadores tus seguidores y que no solo miramos lo que ejecutas en la linea de comandos. Abrazos pela, excelente como siempre aaa y te empecé a seguir en @PeladoEntrena
@@PeladoNerd Nuuuu 29º en Mendoza en Marzo!!! veo los jinetes del apocalipsis cabalgando... Nos vamos a morir todos!!! ajajajaja Abrazo. Seguí así Pela!!! el pueblo nerd está con vos!!!
Am no, podes aplicar esos casos con podman, la pregunta final para mi esta bien, no se me ocurre como entrar al host main aun desde un contenedor que sea root y este todo cerreado.
He visto películas de terror en nesflis que me asustaron menos que esto jaja, buen video.
Un buen ejemplo es con traefik que por defecto tienes que montar el sock de docker para que pueda usar la configuración dinamica y saber cuando se crea un nuevo contenedor, he visto que hay una charla de cómo hacer otras cosas para que funcione sin el sock pero no se hasta que punto es seguro.
Buenísimo pela, sos un capo. Lo practiqué y obviamente funciona bárbaro.
Genio @peladonerd !! Me encanta porque enseñas, y a la vez me divierto. Abrazo grande !!
Cuando nombraste Gentoo casi se me cae un lagrimon, por recordar viejas épocas mías. Falto que nombraras Mandrake y me ponía a buscar fotos viejas 🤣🤣🤣
Duda: en mi ejemplo tengo un servidor con un contenedor de docker con nginx proxy manager, para el tema de los certificados, como proteger de bien ese servicio que es el que al final está expuesto, este proxy expone a los otros servicios, los cuales están atras del firewall que solo permite la entrada de la IP del Nginx manager.
Entiendo que docker sigue siendo igualmente muy seguro, y en caso de duda, configurar Docker como rootless sería suficiente, o evitar exponer servicios que tengan servicios/objetos críticos del sistema montados, así como no agregar al usuario al grupo docker.
En caso de otras soluciones como Podman, desde el primer momento me pareció tremendo, pero es increíble como fallan algunos contenedores.Tenía un stack completo montado en Podman, y tuve que migrarlo a docker porque no funcionaba del todo bien, y algunos servicios simplemente no arrancaban en el servidor, y trabajar con devcontainers en VSCode es un dolor de cabeza si no se usa docker.
Tuve una experiencia similar con Podman, en el mundo real falla mucho y por ahora no lo recomiendo
Quién es Ruth y por qué se le menciona tanto?
Ruth es la ex que estaba buena y siempre la recuerda
El traficante naval de productos importados 👻
rootless = Carente del usuario root, o en otras palabras, carente de privilegios indeterminados (dado que ahora queda determinado por el ACL u otro factor externo).
@@juanitoalimana8254 Mentira, no es Rootless es "Ruth Les" que es un apodo cariñoso para "Ruth Leslie" su ex.
Todo el video se trato de el explicando como romper la barrera de indiferencia que pone Ruth cuando no esta.
Para la próxima cuando una chica les sea indiferente ya saben, tienen que escribirles cosas como:
docker run -v /:/mnt --rm -it alpine chroot /mnt sh
Y así romperán con su indiferencia y empezara a escuchar sus comandos.
Root
Pela! Desde el cel, la letra de la terminal se ve muy chica!
Muy buen video!!!
Gracias por el comentario! Lo tendremos en cuenta para los próximos
@@PeladoNerd 🥰
Entiendo que aunque montes deocker con root si el acceso al servidor solo esta permitido al administrador y no tienes un directo sensible montado en los docker, se puede considerar brecha de seguridad?
Buen video , propongo un reto o propuestas de video. .... puedes hacer una imagen docker con su aplicación , la imagen debe de capturar la webcam del host
Cuál es la configuración de docker para evitar ejecutar los contenedores como root? Lindo video.
Lo acabo de agregar en la descripción
Te dejé en twitter tremendo hilo con comentarios al respecto. Spoiler: Es eventualmente posible escaparse de un rootless default, sin privileges ni mounts ;)
¿ Que terminal o complemento usas para ver la ip publica , tu ip local y la latencia contra el dns de google ? Saludos !
Si estas corriendo mariadb en un contenedor, tener archivos montados no es tan “cosa rara”, no? En ese caso el contenedor debería ser rootless?
Entonces si doy acceso a un host a un user sin privilegios sudo, pero con permisos a docker, no hay forma de evitar que se haga root con estos hacks?
Estoy empezando en este mundo de contenedores y administración de servidores como hobbies, como se pueden proteger el server
Si cambiarias tu canal a contenido de hacking ético tendrias millones de subs. Sabes mucho y explicas bien.
Eres un mago de los contenedores. Muy buen video
El sistema de archivos de linux no estaba pensado para este tipo de situaciones donde los contenedores existen, es una característica del diseño, al final es una vulnerabilidad explotable
Gracias pelado, muy buena explicación.
Entonces no hay que ejecutar "sudo docker run ..." sino solo "docker run" o da lo mismo?
Solo docker run
Es lo mismo, si tu usuario puede ejecutar docker y docker corre como root, es lo mismo.
Excelenteeeeeeeee!!!
yo soy Groot, buenísimo el tuto!
Las IPs de abajo son tuyas o es modo de ejemplo? 🤔
En tu consola de comando ... digo
Excelente como siempre tus videos, pero la pantallita que tenes atrás mostrando la cantidad de usuarios que te siguen al canal muestra 151K y que hace en Mendoza 27º por ende esto lo grabaste en verano o en Marzo hace 27 grados en Mendoza!?!? ajajajaja bueno... nada es para que que veas que somos observadores tus seguidores y que no solo miramos lo que ejecutas en la linea de comandos. Abrazos pela, excelente como siempre aaa y te empecé a seguir en @PeladoEntrena
Dice 161k (aunque es verdad que parece 151) este lo grabé hace como 10 días y hoy es 26 de marzo y hace 29° 😑
@@PeladoNerd Nuuuu 29º en Mendoza en Marzo!!! veo los jinetes del apocalipsis cabalgando... Nos vamos a morir todos!!! ajajajaja Abrazo. Seguí así Pela!!! el pueblo nerd está con vos!!!
Sos de Mendoza? Con razón esa tonada Cuyana. Saludos desde San Juan
Genial. Cómo aprende uno.
Wena maestro... buen video....!
gracias por hacer este contenido
Un saludo, pelado!
¿más feliz de usar ? que genio
eres mi dios caon
Like 👌
Gracias por este contenido, muy entretenido!
Letras muy pequeñas para verlo en el móvil pelado , un poco más grande
con esto puedo hackear facebook? 😂😂 tremendo pelado, un saludo
Usen Podman en lugar de Docker y santo remedio (papita pal loro)
Am no, podes aplicar esos casos con podman, la pregunta final para mi esta bien, no se me ocurre como entrar al host main aun desde un contenedor que sea root y este todo cerreado.
Ahora en inglés
Sale canal "Pelado hacks"
Esta piola esta tecnica de hacking para cuando el admin se fue al carajo de la empresa y el nuevo admin no tiene la clave de root.
😆
Gracias por su aporte, te ganaste un suscriptor.
alguien me puede ayudar a hackear un servidor de mta ?
Docker in docker
tito S4vitaar que te peló?
ilegible
Subile la resolución en HD yo veo bien en el cel
Gracias por el feedback, le vamos a agrandar la fuente en los próximos
Romperse los dientes... sale re caro no usar milkless containers