タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
この記事を読んだらできること Mobyをビルドしてruncとcontainerdを動かせます。 runcとcontainerdを使ってコンテナを動かすことでなんとなくコンテナの理解が深まります。 夏休みの自由研究にコンテナを動かす仕組みを自分で深く調べたくなります(たぶん)。 記事の背景 Dockerを使い、なるべく小さい薄いコンテナを作っていく中でDockerの中身を詳細に知りたいと思ったので、DockerのソースコードであるMobyをビルドしてコンテナ実行のコアの基盤ソフトであるrunc、containerdを動かしてみました。 1. コンテナのアーキテクチャと用語解説 まずMobyを動かす前にコンテナのアーキテクチャと用語を理解しておく必要があります Docker Desktop(mac版)を俯瞰した図が上記となります。実際はDocker DesktopはKubernetes(k8s
コンテナユーザなら誰もが使っているランタイム「runc」を俯瞰する[Container Runtime Meetup #1発表レポート]
コンテナユーザなら誰もが使っているランタイム「runc」を俯瞰する[Container Runtime Meetup #1発表レポート] こんにちは、NTTの徳永です。本稿では、コンテナユーザなら誰もが使っていると言っても過言ではない、コンテナランタイムの筆頭「runc」に注目し、その概要を仕様と実装の両面から俯瞰します。本稿は私が主催者の一人として参加した「Container Runtime Meetup #1」で発表した内容をベースにしています。詳しい内容は発表資料もぜひご参照ください。 コンテナランタイムとはKubernetes等のコンテナオーケストレータを用いてアプリケーションをコンテナ(Pod)として実行するとき、実際にコンテナの作成をしているのは誰でしょうか。実はKubernetesはコンテナを直接触らず、あるソフトウェアを用います。まさにそれがコンテナランタイム(以降、ランタ
![コンテナユーザなら誰もが使っているランタイム「runc」を俯瞰する[Container Runtime Meetup #1発表レポート]](https://cdn-ak-scissors.b.st-hatena.com/image/square/6644930c3641b401027c73728677125949c50685/height=288;version=1;width=512/https%3A%2F%2Fmiro.medium.com%2Fmax%2F809%2F1%2AmFt37mfkCaV2P1rprRuwBw.png)
DockerのデフォルトランタイムをrunCからKata containers + Firecrackerに変えるのが簡単すぎてビビった話 - inductor's blog
はじめに これはコンテナランタイム好きのオタク記事です。DockerでrunC以外のランタイムを動かしてみようと思ってはいたもののずっとやれてなかったので、実際にやってみたら超簡単でした、という記事です。 ランタイムを変える意味について Dockerでは、コンテナを作成する機能をrunCという低レベルコンテナランタイムを用いて実現しています。 runCではLinuxカーネルの機能を呼び出すためにホストOSの特権を利用しますが、これはrunCの命令を実行する瞬間に悪意のあるコードを実行されると、ホストの特権を攻撃者に奪われてしまうリスクもあります。詳しくはrunCのこのへんとかを読んでみるとおもしろいかもしれません(?) ところで、runCというランタイムはOCIの標準仕様に基づいて作られています(厳密には、LXCを置き換えるために作られたrunCが持っている機能を標準化したものがOCIとい
参考 おさらい runc architecture file main.go and command process runc create setupSpec startContainer linuxContainer LinuxFactory createContainer CreateLibcontainerConfig loadFactory factory.Create runner.run newProcess linuxContainer.Start newParentProcess parentProcess.start() runc init nsenter nsexec runc init(After nsexec) linuxStandardInit.Init runc start 低レベルコンテナランタイムruncの内部処理のまとめです。 参考 2021/05現在:
Container Runtime Meetup #1の発表資料です。 コンテナを使うひとならほぼ全員が使っている(であろう)コンテナランタイムの筆頭「runc」を俯瞰します。 - 前半では、コンテナの標準化団体OCIの定めるコンテナランタイムの標準仕様OCI Runtime Specificationとruncの概要、及びその関係について述べています。 - 後半では、runcがコンテナをシステム上に作り出す流れをコードレベルで俯瞰しています。runcの持つサブコマンドの中でも、特にコンテナ作成処理が網羅されているrunサブコマンドに注目し、その実装に迫ります。
runc working directory breakout (CVE-2024-21626) by Mohit Gupta Snyk recently identified a flaw in runc <= 1.1.11, CVE-2024-21626. This issue effectively allowed an attacker to gain filesystem access to the underlying host's OS, which could be used to gain privileged access to the host. This has an impact on orchestration based environments which use runc, such as Kubernetes. An attacker able to d
runc脆弱性に対応するためにうっかりECSからFargateにしました - KAYAC engineers' blog
こんにちは、ソーシャルゲーム事業部ゲーム技研チームの谷脇です。今日は一石n鳥の話、もしくは桶屋が儲かる話をします。 この記事はTech KAYAC Advent Calendar 2019 Migration Trackの2日目の記事です。1日目はMongoDBであるメリットが無くなってしまったのでMySQLに移行したはなしでした。 TL;DR カヤック社内で内製の開発版スマホアプリを配るための配信プラットフォーム「alphawing」を開発・運用してます alphawingはEC2上で動くAmazon ECS(以下ECS)で動いていました コンテナランタイムruncでの脆弱性 CVE-2019-5736 がでてきたのでどうしようどうしようとなりました そのあと様々な検討があり、えいやっとAWS Fargate(以下Fargate)に持っていきました 背景 ゲーム技研チームではソーシャルゲ
We will continue to update this blog with any key updates, including updates on the disclosure of any new related vulnerabilities. This blog includes links to detailed blogs on each of the disclosed vulnerabilities, as well as two open source tools to aid in exploit detection. Snyk security researcher Rory McNamara, with the Snyk Security Labs team, identified four vulnerabilities — dubbed "Leaky
The differences between Docker, containerd, CRI-O and runc
The differences between Docker, containerd, CRI-O and runc Containers run using a complex stack of libraries, runtimes, APIs and standards. The explosion in containers was kicked off by Docker. But soon afterwards, the landscape seemed to explode with tools, standards and acronyms. So what is ‘docker’ really, and what do terms like “CRI” and “OCI” mean? Should you even care? Read on to find out. S
関連キーワード Linux | セキュリティ | 仮想化 | 脆弱性 | Docker コンテナ管理ソフトウェアの「Docker」でも利用されている、オープンソースのコンテナランタイム(コンテナの実行に必要なソフトウェア)の筆頭格「runc」に重大な脆弱(ぜいじゃく)性「CVE-2019-5736」が見つかった。runcの開発者は2019年2月にこの脆弱性に対するセキュリティ情報とパッチを公開した。 攻撃者がこの脆弱性を悪用した場合、攻撃者自身がアクセス権限を持つコンテナを経由して、そのコンテナが稼働するホストシステムにおいて「root」などの管理者権限を取得できるようになる可能性がある。攻撃者が管理者権限を取得すると、システムに対する重要な操作が可能になってしまう。 こうしたコンテナを経由したホストシステムの攻撃は、「コンテナからホストシステムへの脱出」の意味で「コンテナエスケープ」とい
Dockerとruncに潜む4つのセキュリティリスク Snykが警鐘 Leaky Vesselsは4つの脆弱性で構成されており、これらを悪用された場合、サイバー攻撃者がコンテナを抜け出してホストOSにアクセスする可能性がある。これらの脆弱性の中には深刻度が「緊急」(Critical)と分類されるものが含まれているため、該当プロダクトを使用している場合は情報を確認するとともに、必要に応じて対処することが求められる。 Leaky Vesselsを構成する脆弱性の詳細は以下の通りだ。 CVE-2024-21626: 内部ファイル記述子の漏えいによって新しく起動したコンテナプロセスにおいて、ホストのファイルシステム名前空間内の作業ディレクトリを保持できる脆弱性。これを悪用した場合、ホストファイルシステムへの不正アクセスやコンテナ環境からの脱走が可能になる CVE-2024-23651: 同じキャッ
GitHub - nestybox/sysbox: An open-source, next-generation "runc" that empowers rootless containers to run workloads such as Systemd, Docker, Kubernetes, just like VMs.
Sysbox is an open-source and free container runtime (a specialized "runc"), originally developed by Nestybox (acquired by Docker on 05/2022), that enhances containers in two key ways: Improves container isolation: Linux user-namespace on all containers (i.e., root user in the container has zero privileges on the host). Virtualizes portions of procfs & sysfs inside the container. Hides host info in
Docker Security Advisory: Multiple Vulnerabilities in runc, BuildKit, and Moby | Docker
* Only CVE-2024-21626 and CVE-2024-24557 were fixed in Moby 24.0.9. If you are unable to update to an unaffected version promptly after it is released, follow these best practices to mitigate risk: Only use trusted Docker images (such as Docker Official Images). Don’t build Docker images from untrusted sources or untrusted Dockerfiles. If you are a Docker Business customer using Docker Desktop and
バグロード on Twitter: "「化学物質過敏症」は直球ストレートど真ん中のニセ科学(そもそも、「化学物質」の定義は?)。見ての通り、論理もなければエビデンスもない、キチガイの不定愁訴でしかない。こんな内容持ち上げてる奴はただの馬鹿 / “玄関の中に煙草を吸いな… https://t.co/cROTt7RuNC"
「化学物質過敏症」は直球ストレートど真ん中のニセ科学(そもそも、「化学物質」の定義は?)。見ての通り、論理もなければエビデンスもない、キチガイの不定愁訴でしかない。こんな内容持ち上げてる奴はただの馬鹿 / “玄関の中に煙草を吸いな… https://t.co/cROTt7RuNC
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Moby(Docker)をビルドしてruncとcontainerdを単体で動かしてコンテナの基礎を理解する
Low-level Container Runtime:Runc Internals - 鳩小屋
OCIランタイムの筆頭「runc」を俯瞰する
runc working directory breakout (CVE-2024-21626)
Leaky Vessels: Docker and runc Container Breakout Vulnerabilities - January 2024 | Snyk
「Docker Desktop」に最大深刻度「High」の脆弱性 ~修正版が公開へ/同梱する「runc」「BuildKit」「Moby」に全6件の脆弱性
Dockerも利用する「runc」に重大な脆弱性 何が危険か? 対策は?
Dockerとruncに4つの脆弱性が見つかる 悪用でホストOSにアクセスされるリスク
jishin-yogen.com
www.google.com
shoko.px.ebb.jp
www.itmedia.co.jp
hajimete-sangokushi.com
president.jp