- Mobilinternet
- Az MSI RadiX AXE6600 tesztje – router, játékosoknak
- Hálózati / IP kamera
- 3 évig még biztosan nem rendelhetünk Xiaomi EV-t
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- HBO Max & OD topic
- Milyen program, ami...?
- Aliexpress tapasztalatok
- Microsoft Office és Office 365 topic
- Microsoft Outlook topic
Új hozzászólás Aktív témák
-
haddent
addikt
válasz instantwater #15 üzenetére
A jelszó kezelés elég bonyolult nálad, Bitwardent nézted már? Főleg a Bitwarden-rs implementációt rust nyelven, nálam hibátlan. Be tudod importálni a keepassod.
Nálunk hallani se nagyon hallottak a Dockerről, de egyből megtetszett nekik, hogy pár óra alatt migrálok bármit bárhonnan bárhova bármilyen verzióban. Nem gond, hogy 4 éve elavult és érintetlen szarokat kell újrahúzni új szerverre, majd upgradelni. Nem kérdés, hogy ez a jövő és már rég itt van (kéne lennie), csak hát rengetegen le vannak ragadva.
Én is az ELTE -n tanultam, papíron, formális matematikai nyelven papíron ciklust meg programkódot írni és C/C++ -ban mindent, de nem vagyok a magam ellensége -
haddent
addikt
válasz instantwater #19 üzenetére
Nem tudom hány néhány én 2013 -ban kezdtem, ne aggódj akkor is az ment bőven.. B szakirány, prog.mód meg analízis Nem baj ez, az alapok kellenek, adott egy látásmódot meg olyan alaptudást amivel ezek meg minden újdonság könnyen tanulható, csak mondjuk legalább a C szakirányon (vagy csinálnának egy "D" -t) ami tényleg az, hogy 3 év után használható, modern szakember legyen, ne egy elmaradt valami..
Van self-hosted bitwarden, közösbe nyilván nem tolnék én se semmit
[ Szerkesztve ]
-
Rimuru
veterán
válasz instantwater #21 üzenetére
Ezt neked kell eldonteni.
Nalam pl self hosted gitben vannak a jelszavak. (pass)
Amugy ezt a topicot lehet atneveznem ki mit hasznal dockerben topicra vagy nyitnek helyette egy olyat, ide meg johetne szakmai tartalom (pl container epitesben segiteni).[ Szerkesztve ]
Vigyázat, csalok!
-
Rimuru
veterán
válasz instantwater #23 üzenetére
Irtak(nak) azt is, csak le kell gorgetni idaig: Compatible Clients
Bármit ami linuxon elfut - akkor mar nem is kell docker ugyis linux a host.Vigyázat, csalok!
-
haddent
addikt
válasz instantwater #25 üzenetére
Is! Na meg high availability -hez IS (swarm)
-
BullZeye
veterán
válasz instantwater #40 üzenetére
Az csak remote szerverben tud syncronizálni, nem? 2 konténert nem szeretnék futtatni emiatt.
Egyik HDDn van Munka mappa, másik HDDn meg Backup mappa, ezeket kéne 1 eszközön szinkronizálni. Ezt ahogy most rákerestem megint, továbbra se tudja syncthing.
[ Szerkesztve ]
-
BullZeye
veterán
válasz instantwater #42 üzenetére
Meg CP parancsot is, tudom, viszont annál picit komolyabb dolgot szeretnék, fájlverzió követés stb.
-
őstag
válasz instantwater #48 üzenetére
Systemd-ben azért volt kényelmes, mert a compose-hoz nem értek és 3 éve nem találkoztam a restart paraméterrel. Így az upgrade is csak félig volt macera.
-
őstag
válasz instantwater #51 üzenetére
És ezt tudom valahogy elegánsan automatizálni boot után?
-
őstag
válasz instantwater #53 üzenetére
Ez nagyon jól hangzik! Köszönöm!
Sokat fogok még ide visszajárni! -
haddent
addikt
válasz instantwater #65 üzenetére
Maga a működése és az elve az nagyon is jó, csak nekem a konfigja baromira nem tetszik a composehoz képest De hát ez csak az én kis beidegződésem, ettől még marha jó cucc
-
haddent
addikt
válasz instantwater #68 üzenetére
Pontosan ezt mondtam, hogy a swarm nekem szimpatikusabb, hiszen compose syntaxot használ. Az már más dolog, hogy a Kubernetes meggyakta és nyilván azóta messze le is hagyta
-
őstag
válasz instantwater #73 üzenetére
A Kubernetestől, 0 tudásom lévén, pont a fentebb említett lehetőségek és (beállítási) kötelezettségek miatt félek.
-
szuszinho
őstag
válasz instantwater #79 üzenetére
[ Szerkesztve ]
-
szuszinho
őstag
válasz instantwater #86 üzenetére
A sor végén is van ', csak lemaradt. A logban szerepel így.
Kezdjük előről. Stack nem mindig kell? Most úgy csinálom, hogy lehúzom az image fájl, és rögtön hozzáadok egy új stacket.
Törlök mindent, és megpróbálok egy containerbe tenni mindent. -
samujózsi
tag
válasz instantwater #114 üzenetére
Előbbi. Utóbbi egyértelmű, nem nincs is köze a netfilterhez.
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
samujózsi
tag
válasz instantwater #116 üzenetére
Miután a docker belepiszkál a netfilter szabályokba, ha publikálom a portjait, szerintem valahol hozzá tartozik.
Az alapfelállás, hogy minden tiltva van.
Amikor indítoknegy konténert, ami tcp/udp szolgáltatást nyújt és a létrehozásakor a -p vagy a -P kapcsolót használom, akkor mindenkinek megnyitja azokat a portokat, amiket publikál, nem tudom szabályozni, hogy mely IP-kről legyen elérhető.
Ha nem használom ezeket a kapcsolókat, akkor viszont elég macerás összekötni a netfilter szabályokat a.konténer indításával/leállításával.Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
samujózsi
tag
válasz instantwater #121 üzenetére
No várj, sima restartnál nem vész el semmi, csak ha újragenerálom az image-et, nem?
(docker run ... ; docker exec xxx /bin/sh ; ... itt létrehozok, módosítok ezt-azt ; docker restart xxx - megmarad amit az első exec alatt módosítottam)Ezt az update-elést továbbra sem értem: ha a felhasznált image létrehozója/kezelője nem update-eli, akkor akár a végtelenségig futhat nekem egy már ismert explitokat tartalmazó rendszer? Mert ilyen alapon mondjuk elkészítek mindent magamnak, de egy alaprendszer, például egy alpine akkor is kell. Ha ebben lyukas a libc, akkor az összes konténerem lyukas lesz, míg a hivatalos image-ben be nem foltozzák. Nem gáz ez így?
Viszont az is gondot jelenthet, hogy ha mondjuk (csak példa, de az életből ellesve ) adatbázis szerverem fut konténerben és upgrade-elni kell az adatbázist. Ugyanis ez esetenként járhat az adatbázis struktúrájának változásával, amit egy közvetlenül az op.rendszerbe telepített RDBMS upgrade procedúrája általában vagy elintéz automatikusan vagy le van írva a doksiban, hogy mikor kell futtatni ezeket az upgrade script-eket az upgrade során. De egy docker konténernél, ahol nincs igazán upgrade eljárás...
[ Szerkesztve ]
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
samujózsi
tag
válasz instantwater #121 üzenetére
Közben lejárt a szerkesztési idő: ha sok adatbázisom van, azokat a fentiek értelmében önálló konténerben kellene futtatni ezek szerint? (ezt kicsit erőforrás pazarlásnak tartom, legalábbis néhány esetben)
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
samujózsi
tag
válasz instantwater #128 üzenetére
Köszi, csak... nem igazán ez volt a kérdésem lényege. Inkább arra vonatkozott, hogy hogyan illik megoldani, ha egymástól független alkalmazások/konténerek rendelkeznek közös ponttal, amilyen pl egy több sémát tartalmazó adatbázis vagy mondjuk egy syslog szerver. Ilyenkor a compose nem játszik, de valahogy mégis kapcsolódniuk kellene egymáshoz.
(Utcán vagyok, ha nem felejtem el, otthon próbálok valami ábrát készíteni, hátha érthetőbb lesz)Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
samujózsi
tag
válasz instantwater #133 üzenetére
Most csak az első mondatra reagálva (ébredés után megpróbálom megérteni a többit is )
Akkor ti itt milyen restartról beszéltetek?
Nem rebuildről?
Mert az tiszta, hogy ha saját app fejlesztéséhez használom, akkor minden módosítás után rebuild, és ekkor valóban eltűnik minden változtatás, de ez nem restart.
De én kész szoftvereket üzemeltetnék, amiket változtatni nem akarok élesítés után, így a rebuild ritka esemény lenne.És itt egy kicsit visszatérnék az eredeti kérdéshez is: készítek mondjuk egy nginx konténert. Kiderül valami zero day exploit.
A fejlesztők villámgyorsan befoltozzák.
De hogyan, mennyi idő alatt fog eljutni ez a javítás a konténerembe?
Mert ha nincs konténerben, akkor előbb az nginx forrás lesz kijavítva, ezt követően az alap OS csomagja, a disztribúció fejlesztői/maintainere által, de a docker image?
Ha nem dockerben fut, akkor (debian alapon) apt-get update && apt-get upgrade és kész. Ezt naponta megcsinálom az éles gépeken. De a dockerbe, ha ott nem illik ilyet csinálni, akkor hogy, pontosabban mennyi idő alatt jut el?Ui: gondolom, feltűnt, hogy csak ismerkedek a technológiával. Azt egyébként kár hangsúlyozni ennyiszer, hogy ez nem vm, eleve közös a kernel, nem is fut benne más, csak a legfontosabb alkatrészek, ettől kezdve kevés köze lehet virtuális gépekhez.
Ilyenkor kezdek rájönni, hogy az élőszóban folytatott kommunikáció akár gyorsabb is lehet, mint az írott
[ Szerkesztve ]
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
samujózsi
tag
válasz instantwater #135 üzenetére
Az nginx példa volt, helyettesíthető bármivel. A lényeg, hogy egy alaprendszeren én tartom kézben az update-eket, míg egy konténer esetében van egy plusz függőség, az image készítője. És tökmindegy, hogy egy hivatalos nginx-ről beszélünk vagy egy magam buildelte alpine alapú tákolmányról, ami nginx-t futtat. Utóbbi esetben az alpine készítője a plusz "réteg".
Nálam ennek nincs jelentősége, de egy netre kirakott szolgáltatásnál... nem aludnék nyugodtan, ha értesülnék egy aktívan használt exploitról és várnom kellene még arra is, hogy az image-ek készítőin átjusson.A szóbeli kommunikációval csak azt akartam mondani, hogy itt litániákat írok olyasmiről, amit munkahelyen, kollégákkal húsz másodperc megtárgyalni annak, aki nem olyan femedékeny, mint én.
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
samujózsi
tag
válasz instantwater #133 üzenetére
Nem állítom, hogy most nem voltam felszínes, de átfutottam újra azon amit írtál.
Azt hiszem, ott van köztünk a nézetkülönbség, hogy te fejlesztő eszközként tekintesz a docker konténerre, én meg egy szimpla biztonsági rétegként, mint mondjuk a FreeBSD jail-ek.
Amikor elkezdtem nézegetni a dockert, az volt a cél, hogy egy szerveren futó akármilyen szolgáltatás (DNS, proxy, saját gyártású web app, RADIUS stb.) kellőképp el legyen szeparálva a szervertől, viszonylag könnyen tudjam menteni, mozgatni.
Erre elvileg megfelel egy, max. két kvm guest valami lájtosabb op.rendszerrel, plusz némi bűvészkedés a host-on a netfilterrel/routinggal.
Ezt viszonylag könnyen kézben tudom tartani, tudom menteni, adott esetben akár más gépre átvinni nagyobb macera nélkül.
Csak láttam pár éve, hogy kezdenek divatba jönni ezek a konténeres megoldások, mint lxc/lxd és a docker és egy ismerős anno azt javasolta, hogy hagyjam a fenébe az első kettőt, mert csak a szívás van velük, tanuljam meg a dockert.
O.K., megtanulom, de lásd fent: mi a biztosíték rá, hogy a dockerben ugyanúgy és ugyanolyan gyorsan megjelennek a security update-ek, mint egy komplett, virtuális gépként futtatott linux esetében?
(és akkor csak az official image-ek vannak használatban, a ki tudja, ki által összetákoltakat nagy ívben kerültem - ha azokat is belevesszük a buliba, akkor már a konténert sem tudom megbízhatóként kezelni)Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
samujózsi
tag
válasz instantwater #141 üzenetére
És ez már sokszor igazolódott...
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
haddent
addikt
válasz instantwater #144 üzenetére
Azért ahhoz, hogy a baremetal szervered, onnan a gatewayed és a gépeid meghackeljék az borzasztóan irreális, szerintem. Ahogy írod, mezítlábas paraszt userrel fut egy friss build ami legtöbbször konkrétan frissebb a legtöbb ilyen őskövület debian reponál. Na ebben az appban kell egy exploit, onnan kell 1 privesc és/vagy utána egy docker container escape, még 1 privesc és/vagy lateral movement, itt megfelelően szarul konfigurált tűzfal(ak), szintén megint megfelelően sérülékeny szerverek stb.. Én nem félek bár nincs is mit a saját forráskódjaimon kívül amit tessék vigyetek
Ettől függetlenül az ünnepek közti pangás alatt össze is raktam én is, vason kvm -ek, opnsense, dockerben minden reverse proxy mögött, default block policy abszolut minimum átengedve ips -sel meg intrusion detectionnel aztán gyertek, adok ip -t hajrá És ezzel túlteljesítettem a legtöbb céget, köztük azt ahol dolgozom secanalystként
[ Szerkesztve ]
-
samujózsi
tag
válasz instantwater #150 üzenetére
Teszt, tanulás vagy mint a példa mutatja, építés
Ezt nagyon utáltam a windows-okban, hogy egy diszket nem lehetett csak simán áttenni egyik gépből a másikba (licenctől függetlenül)Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
haddent
addikt
válasz instantwater #150 üzenetére
Szeparáció. Biztonságos a Docker, de épp tegnap beszéltünk paranoiáról, nem? Ezen felül részemről a Docker hoszt-guest kívülröl most egy sandbox, azt művel belül amit akar, kívülről úgyis csak 80,443/tcp van odaengedve. Illetve, részemről, ha külön vasam lenne szervernek, akkor azon natívan futna a Docker, de mivel 1 gép nálam a tűzfal, docker-szerverek + htpc, ezért tényleg indokolt, szerintem
-
samujózsi
tag
válasz instantwater #163 üzenetére
Nem állítom, hogy értem: amit írsz, inkább workaroundnak tűnik, mint korrekt leállításnak.
Arra gondolok, hogy a konténer indításához megadhatok egy ENTRYPOINT sort és akkor az a konténerrel feljön. De ugyanitt nem adhatom meg, hogy mi történjen, amikor leállítanám a konténert, pedig esetenként nem ártana. (feltételezem, most nem túrtam fel a doksit, küld egy SIGHUP-ot vagy SIGTERM-t, csak ezt nem minden szoftver kezeli tisztességesen, én meg kívülről egyrészt milyen jogon avatkoznék bele, másrészt úgy rémlik, hogy a trap-ből korlátozottan lehet csak műveleteket indítani)[ Szerkesztve ]
Primadonnát felveszünk! https://youtu.be/9lETrcMJZJM
-
haddent
addikt
válasz instantwater #168 üzenetére
Pont ezekért érdemes mindenre compose -t, akár 1 service-re is. Sokkal letisztultabb a config, és simán docker-compose logs -f, meg docker-compose exec <név> bash stb. Még sokkal szebb, ha container_name is def a composeban
-
haddent
addikt
válasz instantwater #245 üzenetére
Azta, menő cucc. Mondjuk ez meg elég erős egy reverse proxy -hoz (mindenhez, de van amihez indokolt/nem tudod máshogy):
/var/run/docker.sock:/tmp/docker.sock:ro
Okéro
, de ehh..[ Szerkesztve ]
-
haddent
addikt
válasz instantwater #248 üzenetére
Ja félreérted, egyáltalán nem azt vonom kétségbe, hogy legit a cucc, egyértelmű, hogy az. Csak én pl. egyetlen esetben mountoltam be a docker sockot, a Jenkins CI alá, hogy saját magát újra tudja rántani a konténereket. És csak lokál elérhető és így is elég szürke terület, szerintem.
De valamit valamiért, ahogy mondod. Én személy szerint inkább írom vimmel a kis nginx configjaim, bár a múltkor napokat szotyiztam, hogy ssllabs teszten A+ minősítést kapjon a domainem minden tagja
Néha scannelgetnek meg próbálkoznak egyébként nálam pl, de pfSense + egy hányásnyi IPS szabály azért elég szépen pofánveri őketsamujózsi de, épp ez a "baj" (ami nem baj, csak ésszel..). RO -ban max reconnaissance lehet belőle, de rendes mount esetén már elég ocsmány dolgokat lehet, pl ugye többek közt bemountolod egy új konténerbe a host rootot rw -ben
[ Szerkesztve ]
-
aicon
senior tag
válasz instantwater #297 üzenetére
Nem állt szándékomban senkit se megbántani.
======== Sim kártyás routerek olcsón ======== https://hardverapro.hu/tag/aicon#aprohirdetesei
-
_q
addikt
válasz instantwater #469 üzenetére
Azt elfelejtettem, hogy van domain-em amit betársítottam cloudflare alá és ddclient-el küldöm az IP-t cloudflare-nek. Nextcloudot letsencrypten belül sikerült beállítani, van rá opció, weblapot viszont nem tudom hogyan tudok továbbítani.
-
footy
addikt
válasz instantwater #503 üzenetére
Marmint az inspect parancs kimenetet egy compose-fileba?
-
donat_sz
senior tag
válasz instantwater #509 üzenetére
ezt a funkciót nem ismerem de ha van ilyen lehetőség, akkor az szimpatikusan hangzik
"clone hdd asustor" kulcsszavakra sajnos semmi hasznosat nem dobott google. ha tudsz segíteni kicsit akár csak linkel is akkor utána olvasok, de ha megmondod mi kell hozzá azt is megnézem. -
donat_sz
senior tag
válasz instantwater #512 üzenetére
Ez így már nem is hangzik annyira jó ötletnek, mivel laptop+nas kombó mellett a szükséges eszközök nincsenek meg ehhez.
Más lehetőség? -
aicon
senior tag
válasz instantwater #516 üzenetére
pendrive-ról inditható mindkettő, de kell egy másodlagos hordozó a mentésnek
nem tud önmagáról ugyanarra a lemezre menteni
gpartedhez nem kell másodlagos lemez======== Sim kártyás routerek olcsón ======== https://hardverapro.hu/tag/aicon#aprohirdetesei
-
aicon
senior tag
válasz instantwater #518 üzenetére
a lehetőséget írtam le, ha nincs meg a feltétele, akkor más utat kell követni.
de másnak még jól jöhet, inkább így tekints a leírásra[ Szerkesztve ]
======== Sim kártyás routerek olcsón ======== https://hardverapro.hu/tag/aicon#aprohirdetesei
-
gazso75
aktív tag
válasz instantwater #636 üzenetére
Igen privát címre mennek a domainek.
Nincs port forward, haddent kolléga javaslatára már csak 80/443 portok vannak nyitva. Minden működik is ezeken kívül.
Viszont pl. az nzb360 simán megeszi és szépen dolgozik a qbitt-el, pedig maga a qbittorrent app. nem akarja az igazságot. -
gazso75
aktív tag
válasz instantwater #667 üzenetére
Igen
-
haddent
addikt
válasz instantwater #701 üzenetére
Ugye egy ideje nem arány van, hanem h'n'r, és premiumnál nem számít
-
Nagymelák
aktív tag
válasz instantwater #837 üzenetére
Azt már néztem de nem jutottam vele semmire, OMV 5-re nem sikerült még normális leírást sem találni hozzá.
Új hozzászólás Aktív témák
- Call of Duty: Modern Warfare III (2023)
- Fényképeken a Google Pixel 9 Pro
- Garmin Forerunner 165 - alapozó edzés
- Milyen autót vegyek?
- Samsung Galaxy S24 - nos, Exynos
- Redmi Note 13 Pro+ - a fejlődés íve
- S.T.A.L.K.E.R.: Shadow of Chernobyl
- Mobilinternet
- Vezeték nélküli fülhallgatók
- S.T.A.L.K.E.R. Clear Sky
- További aktív témák...