Как защитить сервер от docker

Рет қаралды 8,782

Күн бұрын

#docker #linux #iptables #tcp#ip открытые порты!
Приятного просмотра!
Поддержи выход новых видео на Патреоне!
/ theartofdevelopment
Другие видео:
Уроки по Golang. Advanced. REST API. Вебсервер.
• Уроки по Golang. Advan...
Изучаем Python. Урок 1. Основы. Бонус: Пишем приложение на FastAPI • Изучаем Python. Урок 1...
Изучаем Golang. Урок 1. Основы + веб-сервер в 3 строки в конце урока! • Изучаем Golang. Урок 1...
Разработка системы заметок на Python, Golang и микросервисы в 2021 году • Разработка системы зам...
Как стать разработчиком. Часть 1 • Как стать разработчико...
Что такое микросервисы за 200 секунд • Что такое микросервисы...
Что такое Apache Kafka за 200 секунд • Что такое Apache Kafka...
Telegram Group: t.me/theartofd...
VK: thearto...
Дружественный Golang чат: t.me/gogolang
----
Меня зовут Артур Карапетов и я занимаюсь всем, что связано с разработкой. Я создаю высоконагруженные информационные системы, стартапы, занимаюсь личным обучением людей в сфере разработки (программисты, аналитики, системные администраторы), также я помогаю компаниям и стартапам с обучением людей работать и повышением их квалификации.
На этом канале я выкладываю ролики на интересующие меня темы, здесь можно найти серию роликов про создание информационной системы с нуля, а также можно найти серию уроков по языкам, которые я люблю. Добро пожаловать и приятного просмотра!
#docker #iptables #tutorial #development #howto #learnbasics #coding #programming #изучаемIT #программирование #разработка

Пікірлер: 50

@rumartru 2 жыл бұрын

Спасибо 👍 Я бы с удовольствием посмотрел видео по настройке сервака (что-то вроде шпоры для быстрой установки и настройки). Например: postgres, iptable, ssh и простенький hello world на гошке и возможно k8s, т.е. какой-нибудь продакш реди на минималках.

@ПавелМорозов-л8м 2 жыл бұрын

Согласен! Тоже хотелось бы что то такое посмотреть

@TheArtofDevelopment 2 жыл бұрын

в рамках рубрики production сервис дойдем до деплоя этого сервиса и будем настраивать сервер

@rumartru 2 жыл бұрын

@@TheArtofDevelopment Спасибо! Будем ждать)

@the237th 2 жыл бұрын

Спасибо! С удовольствием бы послушал про ip-tables и реализацию tcp/ip в Linux

@_skeptik 2 жыл бұрын

Сначала подумал, что какое-то скучное видео, но в итоге оказалось всё понятно и очень интересно

@vladimirtatarsky9928 2 жыл бұрын

Топовый контент, лайк автоматом) Можешь рассказать что-то подобное, но ещё с базой

@GlebSemin-i9n 2 жыл бұрын

Спасибо за ролик! Очень интересно посмотреть видео про настройку безопасного сервера

@user-pu5xs1sj8d 2 жыл бұрын

Топ канал. Спасибо!

@NickNaskida 2 жыл бұрын

Раскажи про зашиту, Firewall

@DoCodeRu 2 жыл бұрын

Спасибо, совет пригодится. А так еще лучше не использовать опцию ports для локальных контейнеров, так как для этого есть expose.

@TheArtofDevelopment 2 жыл бұрын

expose этого не делает и с целом является просто индикатором что контейнер может выпустить какие-то порты наружу.

@deverloperfantom1372 2 жыл бұрын

видосик топчик одно но точное не одно, вы все разрешаете на 8081 а надо конкретику прописывать какое именно содержание должно выходить, но это уже не много глубже подписался и поставил лайк, жду видео по защите linux, как понимаю в какой то момент просто ввели дыру которую выпилить реально .... не понимаю как... интересно послушать т.к. в безопасности я не шарю да и в рандомизации динамической для резолва порта что то посмотрел видосы, вижу вы великий гуру, жду быстрейшего видео, научита в начале делать образы кастомные linux потом уже о безопасности поговорим... с ходу въежать давольно тяжело... просто смотрю что все под телегу пишут ботов а то что она уязвима неее по этому то вы пишите потому тчо думаете что она защищина? видосик зачетный молодец

@ArslanArslan-ph2pz 2 жыл бұрын

Как всегда лайкос

@Логовотестировщика 10 ай бұрын

лучший!

@fedor_ado 2 жыл бұрын

А где защита-то, не понял? Сто раз повторил про строчку прероутинг и дальше что? После перезагрузки эта строчка восстановится. Даже не показал, как этого избежать. Плюс - зачем мне запускать контейнер с проброшенным портом и после закрывать этот порт? Вобщем куку.

@aaaaoooo4298 Жыл бұрын

Есть ли решение как избежать восстановления строки прероутинг после перезагрузки?

@b33slayer 4 ай бұрын

@@aaaaoooo4298восстанавливать сохранённые правила

@ilmiriliasov2521 Жыл бұрын

Мораль сей басни такова - сносите погремушку ufw и привыкайте к iptables/nftables

@sammygun84 2 жыл бұрын

Спасибо было очень интересно. Хотел спросить есть ли будущие у docker правда что он уже отходит ? Kuber уже вроде не использует docker ? Red hat вообще полностью от него ушли, так ли все плохо у docker ? И что придет ему на замену ?

@TheArtofDevelopment 2 жыл бұрын

пока что докер, а потом неизвестно

@meemeebeebee 2 жыл бұрын

Не надо ничего удалять. Нужно просто почитать официальную документацию и найти там упоминание цепочки DOCKER-USER, чтобы добавить свои правила.

@TheArtofDevelopment 2 жыл бұрын

так не интересно =)

@itsmith32 Жыл бұрын

И даже в оф. документации правила не помогают

@dmitrymiloserdov911 2 жыл бұрын

Было интересно услышать как защитить некоторые сервисы докера от доступа из каких-то сетей, но ваш вариант это не решение. Вы сломали работоспособность докера - у вас сломался сварм у вас сломалось взаимодействие между контейнерами к тому же в докере часть правил динамическая.

@ARTSKYShow 2 жыл бұрын

да я выше как раз похоже отписал, что внешний порт или локальный можно установить в параметрах докера, и не лезть в систему

@dmitrymiloserdov911 2 жыл бұрын

@@ARTSKYShow дело не в этом. Часто хочется чтобы порт был внешний но доступен не отовсюду, а с доверенных хостов. К примеру демо-стенд на чужой площадке и публиковать порт монго ты точно не хочешь но все же хочется иметь к нему доступ со своих серверов для бэкапа или оперативного анализа. И тут докер из коробки дает либо все либо ничего. Так что пока из удобных вариантов только поставить перед полуоткрытым сервисом haproxy или traeffic и ограничивать ими

@ARTSKYShow 2 жыл бұрын

@@dmitrymiloserdov911 ну речь шла как защитить сервер, и все видео рассказывается о том как закрыть порт, про полуоткрытый сервис повествования не шло

@TheArtofDevelopment 2 жыл бұрын

на текущий момент я не заметил сломанность докера, контейнеры между собой взайимодействуют успешно - за это отвечают другие правила.

@TheArtofDevelopment 2 жыл бұрын

@@dmitrymiloserdov911 чтобы ограничить доступ к докеру с доверенных хостов, это можно сделать и без nginx/traefik, а просто правилами в iptables.

@yarbersheer8559 2 жыл бұрын

Докер просит, но делает это без уважения))

@herrmittelfinger4965 2 жыл бұрын

firewalld в centos и redhat, из коробки всё запрещает

@TheArtofDevelopment 2 жыл бұрын

надо протестить

@user-pu5xs1sj8d 2 жыл бұрын

Внукер-докер ) кто заметил тот заметил

@kodaf 2 жыл бұрын

Я хочу развернуть несколько разных приложений на сервере. Есть несколько docker-compose.yml и все(или несколько) приложений пробрасываются на 80 порт. Как можно решить эту проблему? Задача по сути сводится к пробросу запросов с разных поддоменов в разные контейнеры, но как это можно сделать? Я не нашёл каких-то конкретных решений(предполагаю, что плохо искал). Из того что посоветовали - кубер, траефик или ансибл. Что можешь посоветовать на такие случаи?

@TheArtofDevelopment 2 жыл бұрын

1 варивант docker: 8080 --> 80, 8081 --> 80, 8082 --> 80 ну и так далее локальный или в докере nginx: domain.com --> 8080, a.domain.com --> 8081 2 вариант все в докере без портов наружу, локально торчит только nginx на 80 порту, который оркестрирует весь софт.

@domainsale3981 2 жыл бұрын

Можно использовать jwilder/nginx-proxy

@belerafon9288 2 жыл бұрын

А может лучше сетями докера настраивать что нужно на сервере без доступа из вне? Ну и в идеале иметь сервер в приватной сети

@TheArtofDevelopment 2 жыл бұрын

Так сервисы требуют порты извне. Почта, Jitsi, ssh.

@delay_gryaz_chisto 2 жыл бұрын

так вам же по-любому нужно как-то достучаться до своего приложения извне ) ну только если у вас оно не какое-то специфичное типо кронджобы которое раз в час вам что-то отсылает в телеграм)

@belerafon9288 2 жыл бұрын

@@TheArtofDevelopment я про то что какие порты нужны наружу пробрасывать есть смысл на хост машину, а которые не нужны, лучше внутренними сетями настраивать от контейнера к контейнеру. А в приватной сети так же проброс портов работает.

@belerafon9288 2 жыл бұрын

@@delay_gryaz_chisto проброс портов настроить не проблема. Те порты которые не нужны не зачем на хост пробрасывать.

@delay_gryaz_chisto 2 жыл бұрын

@@belerafon9288 об этом это видео )