On Thu, May 14, 2020 at 11:04 PM Francisco Treviño
<
zerofr...@gmail.com> wrote:
> ¿Saben si docker es tan seguro como cgroups?
Como que no tiene sentido la pregunta. Docker usa cgroups (como
reconoces tras tu pregunta). La comparación no es posible.
En mi opinión cgroups no otorga seguridad por default. Te permite
poner límites de uso de recursos. Es todo. Tu app bien puede tener un
exploit que otorga permisos de root y listo; adios "seguridad" de
cgroups.
El peligro que siempre le he visto a los contenedores es que, como al
developer le jala todo, no se preocupa por actualizar (o lo pone en
último lugar en su lista) y termina exponiendose a todos los problemas
que van saliendo en su colección de herramientas. Y, como no va a
monitorear ésto, pues así lo deja y ni se entera.
Por lo menos, cuando actualizas, hay toda una comunidad preocupada por
estos temas y te actualizan a wevo. Por lo menos aplican los parches a
los componentes que usas (digo, si haces upgrades en tu distro, claro
está).
Por otro lado, están los componentes que no son parte de tu distro;
como las librerías (gemas, addons, plugins o paquetes; como les
quieras llamar) que depende de que tú los actualices; lo cual no vas a
hacer porque estás todavía con la bronca de sacar las tareas que
tienes que sacar para que tu app jale como se supone que debe y,
seguido, al actualizar, se te rompe... más.
Yo, a mis clientes (que son los que hacen eso), siempre les he
sugerido que introduzcan una cuota de mantenimiento de la aplicación.
Dedicarle n horas al mes a mantener los componentes al día. Así, en
vez de darte weva, te significará parte de tu ganancia. Además, es
ganar <=> ganar. A tu cliente le vale gorro que mantengas actualizada
tu app; pero si le importa que no lo hackéen y que su app siga
jalando. Y, para tí; developer, pues te resulta en más feria.
Moraleja: si usas docker, actualiza constantemente todo tu stack.
Incluido el sistema operativo (imagen baste) y tu sistema operativo
(host). ;D