Топ 19.4 Docker контейнерлеринин 1000% бош сырсөздү камтыйт

Джерри Гэмблин жаңы аныкталган канчалык кеңири тараганын билүү үчүн чечти маселе түпкү колдонуучу үчүн бош сырсөз көрсөтүү менен байланышкан Alpine бөлүштүрүүнүн Docker сүрөттөрүндө. Docker Hub каталогунан миңдеген эң популярдуу контейнерлердин анализи көрсөттүошол 194 алардын ичинен (19.4%) эсепти кулпулоосуз тамыр үчүн бош сырсөз коюлган («root:::0:::::» ордуна «root:!::0:::::»).

Эгерде контейнер көлөкө жана Linux-pam пакеттерин колдонсо, бош тамыр сырсөзүн колдонуңуз Бул берет контейнерге артыкчылыксыз кирүү мүмкүнчүлүгүңүз болсо же контейнерде иштеген артыкчылыксыз кызматтын кемчилигин пайдалангандан кийин, контейнердин ичиндеги артыкчылыктарыңызды жогорулатыңыз. Ошондой эле, инфраструктурага кирүү мүмкүнчүлүгүңүз болсо, тамыр укуктары менен контейнерге туташа аласыз, б.а. /etc/securetty тизмесинде көрсөтүлгөн TTYга терминал аркылуу туташуу мүмкүнчүлүгү. Бош сырсөз менен кирүү SSH аркылуу бөгөттөлгөн.

арасында эң популярдуу бош сырсөз менен контейнерлер болуп саналат microsoft/azure-cli, kylemanna/openvpn, Governmentpaas/s3-ресурс, phpmyadmin/phpmyadmin, мезосфера/aws-cli и hashicorp/terraform, 10 миллиондон ашык жүктөлүп алынган. Контейнерлер да баса белгиленет
govuk/gemstash-alpine (500 миң), monsantoco/logstash (5 миллион),
avhost/docker-matrix-riot (1 миллион),
azuresdk/azure-cli-python (5 миллион)
и ciscocloud/haproxy-consul (1 миллион). Бул контейнерлердин дээрлик бардыгы Alpine негизделген жана Shadow жана Linux-pam пакеттерин колдонушпайт. Дебианга негизделген microsoft/azure-cli гана өзгөчө.

Source: opennet.ru