@docker_ru
Docker — русскоговорящее сообщество

Обсуждаем вопросы, посвященные Docker🐳, Docker Swarm и всей экосистеме. Обмениваем идеями, новостями и решаем пробемы. Вам могут быть полезны: @coreos_ru, @kubernetes_ru, @devops_ru, @rkt_ru Рекомендуем сразу отключить уведомления для удобства

2608 members

Архив канала @docker_ru 19 февраля 2017 г.

12:14:58 ПП
User 211930163
Гаспада.
А какие есть решения для того, чтобы контейнер мог использовать ssh-ключи с виндового хоста?
12:23:58 ПП
User 288627620
-v не получится?
12:26:59 ПП
User 211930163
нет, разрешения на файл не те, а "те" разрешения поставить невозможно
12:28:20 ПП
User 211930163
если быть точным - расшарить ключ получится, но не получится его использовать
12:28:55 ПП
User 112565265
сделать свой образ, на базе нужного образа, и при билде что нужно скопировать
12:29:10 ПП
User 211930163
ммммм
12:29:13 ПП
User 211930163
и все?
12:29:28 ПП
User 211930163
т.е. других альтенатив нет?
12:29:53 ПП
User 112565265
а что вообще делаешь?
12:30:01 ПП
User 112565265
может ты вообще не тем путем идёшь изначально
12:31:19 ПП
User 211930163
я хочу, чтобы некие скрипты, которые бегают в контейнере, могли использовать мои ключи для авторизации
12:33:21 ПП
User 112565265
http://serverfault.com/questions/81746/bypass-ssh-key-file-permission-check ну как вариант обойти проверку прав ключей
serverfault.com/questions/81746/bypass-ssh-key-file-permission-check
I have an encrypted FAT volume (for compatibility) containing a private key file and other sensitive data. I want to connect to my server through SSH using my private key, but of course, as FAT do...
12:35:29 ПП
User 211930163
'AFAIK, there is no way to bypass the keyfile permission check with ssh or ssh-add (and you can't trick it with named pipe or such)'
12:35:45 ПП
User 112565265
кстати да, там чуваки ниже пишут, ты же можешь поднять локально ssh-agent и пробросить его сокет внутрь контейнера, и тогда скрипты будут юзать аус сокет
12:36:18 ПП
User 112565265
не, там чел описывает сложный способ, но он рили сложный, и к докеру не применим скорее всего, ссылку кинул не глянув
12:36:48 ПП
User 112565265
а вот с проброской аус сокета вполне реальный способ
12:38:29 ПП
User 112565265
https://gist.github.com/d11wtq/8699521 вот чуваки тут делают так, но у них походу не винда
12:40:34 ПП
User 112565265
но по мне так проще всё же забилдить свой образ на базе нужного, и добавить в него ключей, всё остальное геморой какой то
12:43:03 ПП
User 211930163
ну, как один чувак написал
Many developers implement either insecure or inconsistent cut-offs, for example, embedding secrets into the image or installing gems at run time instead of build time.

These approaches can be sufficient for quickly getting applications up and running, but they create a technical debt by introducing architecture that isn’t consistent with common security requirements and continuous delivery principle
12:43:24 ПП
User 211930163
хочется, чтобы было по феншую
01:23:54 ПП
User 112565265
пробросить AUTH_SOCKET вполне себе фэншуйно
01:27:56 ПП
User 77550740
User 211930163
Гаспада.
А какие есть решения для того, чтобы контейнер мог использовать ssh-ключи с виндового хоста?
Тебе для гита?
01:33:39 ПП
User 211930163
и для капистраны
01:40:27 ПП
User 112565265
деплоишь с локальной тачки из под винды?
01:45:30 ПП
01:45:44 ПП
User 211930163
винда про руби ничего не знает
02:07:22 ПП
User 77550740
если для гита то можно readonly ключ ложить в контейнер
02:07:26 ПП
User 77550740
ничего страшного в этом не вижу.
02:08:45 ПП
User 77550740
образ все равно содержит кодовую базу продакшена, следовательно он также ценен как и сама кодовая база, следовательно его надо также секьюрно хранить. А если он так секьюрно хранится то не вижу проблем что при сборке будет ключ который позволит читать кодовую базу.
02:09:30 ПП
User 77550740
в общем не вижу security breach если там и так внутри кодовая база есть.
03:15:59 ПП
User 198678190
Том смонтировать?
04:15:46 ПП
User 211930163
не сработает
04:16:06 ПП
User 211930163
том смонтируется, конечно, но ssh-agent ключ не сожрет
08:54:23 ПП
User 24306243
Всем привет,
а как вставлять envirement данные, которые я указываю в настройках docker container.
в файл ~/.aws/config
---

все что в голову приходит, чтоб он каждый раз при запуске контейенра собирал файл с конфигом, при помощи dockerize.

но может есть более правильный способ, не хочется что image был большим.