Ең жақсы 19.4 Docker контейнерлерінің 1000%-ында бос түбірлік құпия сөз бар

Джерри Гэмблин жаңадан анықталғанның қаншалықты кең таралғанын білуге ​​шешім қабылдады мәселе Түбірлік пайдаланушы үшін бос құпия сөзді көрсетумен байланысты Alpine таратылымының Docker кескіндерінде. Docker Hub каталогындағы мыңдаған ең танымал контейнерлерді талдау көрсеттісол 194 олардың (19.4%) түбір тіркелгіні құлыптаусыз бос құпия сөзге орнатылған («root:!::0:::::» орнына root:::0:::::»).

Контейнер көлеңке және linux-pam бумаларын пайдаланса, бос түбірлік құпия сөзді пайдаланыңыз ол мүмкіндік береді контейнерге артықшылықсыз қатынасыңыз болса немесе контейнерде жұмыс істейтін артықшылықсыз қызметтегі осалдықты пайдаланғаннан кейін контейнер ішіндегі артықшылықтарыңызды арттырыңыз. Сондай-ақ, инфрақұрылымға рұқсатыңыз болса, түбірлік құқықтары бар контейнерге қосылуға болады, яғни. /etc/securetty тізімінде көрсетілген TTY-ге терминал арқылы қосылу мүмкіндігі. Бос парольмен кіру SSH арқылы бұғатталған.

арасында ең танымал бос түбірлік құпия сөзі бар контейнерлер болып табылады microsoft/azure-cli, kylemanna/openvpn, Governmentpaas/s3-ресурсы, phpmyadmin/phpmyadmin, мезосфера/aws-cli и hashicorp/terraform10 миллионнан астам жүктеп алынған. Контейнерлер де ерекшеленген
govuk/gemstash-alpine (500 мың), monsantoco/logstash (5 млн.),
avhost/docker-matrix-riot (1 млн.),
azuresdk/azure-cli-python (5 млн.)
и ciscocloud/haproxy-consul (1 млн.). Бұл контейнерлердің барлығы дерлік Alpine негізінде жасалған және shadow және linux-pam пакеттерін пайдаланбайды. Жалғыз ерекшелік - Debian негізіндегі microsoft/azure-cli.

Ақпарат көзі: opennet.ru