{"id":2166,"date":"2019-02-28T08:09:31","date_gmt":"2019-02-28T06:09:31","guid":{"rendered":"https:\/\/www.my-it-brain.de\/wordpress\/?p=2166"},"modified":"2019-02-28T08:09:32","modified_gmt":"2019-02-28T06:09:32","slug":"kommentar-zu-docker-genauso-schlimm-wie-befuerchtet","status":"publish","type":"post","link":"https:\/\/www.my-it-brain.de\/wordpress\/kommentar-zu-docker-genauso-schlimm-wie-befuerchtet\/","title":{"rendered":"Kommentar zu Docker &#8211; Genauso schlimm wie bef\u00fcrchtet"},"content":{"rendered":"\n<p>Marius hat gestern in Braunschweig dar\u00fcber gebloggt, dass <a rel=\"noreferrer noopener\" aria-label=\"Docker - Genauso schlimm wie bef\u00fcrchtet (\u00f6ffnet in neuem Tab)\" href=\"https:\/\/marius.bloggt-in-braunschweig.de\/2019\/02\/27\/docker-genauso-schlimm-wie-befuerchtet\/\" target=\"_blank\">Docker &#8211; Genauso schlimm wie bef\u00fcrchtet<\/a> ist. Bis Marius zu seiner Analyse kommt, stimme ich ihm voll und ganz zu. Auch ich geh\u00f6re zu den ewig gestrigen, den N\u00f6rglern, Pessimisten und Schwarzsehern, welche es von Anfang an gesagt haben. Und unsere d\u00fcstere Vorsehung ist eingetreten. Welch \u00dcberraschung.<\/p>\n\n\n\n<p>Wo ich Marius nicht mehr zustimme, sind die Ergebnisse seiner Analyse, welche er in der zweiten H\u00e4lfte seines Artikels vornimmt. So schreibt er dort:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\"><p>Der sicherere Ansatz ist und bleibt, da\u00df jemand das OS vorgibt und sich die Apps an die Umgebung anpassen m\u00fcssen. Damit sind die gezwungen Updates zu machen und das dient dann der allgemeinen Sicherheit.<\/p><cite>URL: https:\/\/marius.bloggt-in-braunschweig.de\/2019\/02\/27\/docker-genauso-schlimm-wie-befuerchtet\/<\/cite><\/blockquote>\n\n\n\n<p>Diese Aussage ist in meinen Augen falsch. Denn niemand wird gezwungen, Updates f\u00fcr die in einem Betriebssystem installierten Anwendungen zu ver\u00f6ffentlichen. Folgende Beispiele sollen dies verdeutlichen.<\/p>\n\n\n\n<p>Man nehme ein herk\u00f6mmliches Betriebssystem, sagen wir Ubuntu oder Red Hat Enterprise Linux. Unter beiden Betriebssystemen kann ich mir nun eine Anwendung als DEB- bzw. RPM-Paket oder auch ganz klassisch als TAR-Archiv aus dem Internet herunterladen und auf meinem Betriebssystem installieren. Habe ich nun eine Garantie, dass ich Sicherheitsupdates f\u00fcr diese Software erhalte? Die Antwort lautet: Nein.<\/p>\n\n\n\n<p>Verwendet man eine nach obigem Muster installierte Software und nutzt diese gemeinsame Bibliotheken, mag man das Gl\u00fcck haben, dass die Software nach der Aktualisierung eben dieser Bibliotheken nicht mehr funktioniert. Ob man dies als Sicherheitsgewinn wertet oder es doch nur ein \u00c4rgernis ist, sei einmal dahingestellt.<\/p>\n\n\n\n<p>Im Ubuntuversum soll die Paketquelle <em>universe<\/em> als abschreckendes Beispiel dienen. In dieser befindet sich so viel alte und nicht mehr gepflegte Software, dass man auch hier die Chance hat, Anwendungen mit ein oder mehreren Sicherheitsl\u00fccken zu finden.<\/p>\n\n\n\n<p>Zugegeben, mit einer zentralen Paketverwaltung ist es einfacher, sein System aktuell zu halten, um es vor Sicherheitsl\u00fccken zu sch\u00fctzen. Eine Garantie ist es nicht und kein Sysadmin sollte sich darauf ausruhen.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\"><p>Abzulehnen ist also alles, was eine App installiert, die mit eigener Umgebung kommt, sowas wie FlatPak, Docker und Snap.<\/p><cite>URL: https:\/\/marius.bloggt-in-braunschweig.de\/2019\/02\/27\/docker-genauso-schlimm-wie-befuerchtet<\/cite><\/blockquote>\n\n\n\n<p>Marius schlie\u00dft seinen Beitrag mit obigem Satz. Dieser ist mir zu pauschal. Denn FlatPak, Docker und Snap sind nicht per Definition unsicher. Wer sich jedoch ohne lange nachzudenken, den erstbesten Container vom Docker Hub herunterl\u00e4dt ist selber schuld.<\/p>\n\n\n\n<p>Es gibt jedoch auch die M\u00f6glichkeit eine eigene Registry f\u00fcr Container aufzusetzen und zu betreiben, um nur Container zu verwenden, die man selbst gepr\u00fcft bzw. gebaut hat. Oder man nutzt die Registries der Enterprise Distributionen wie z.B. <a rel=\"noreferrer noopener\" aria-label=\"Red Hat OpenShift (\u00f6ffnet in neuem Tab)\" href=\"https:\/\/marius.bloggt-in-braunschweig.de\/2019\/02\/27\/docker-genauso-schlimm-wie-befuerchtet\/\" target=\"_blank\">Red Hat OpenShift<\/a>, welche sich gegen Entgelt um die Bereitstellung gepr\u00fcfter Container-Images k\u00fcmmern. Auch dies ist keine Garantie f\u00fcr (absolute) Sicherheit und Aktualit\u00e4t. Doch hat hier wenigstens jemand den Sicherheitsaspekt im Auge und arbeitet an diesem Thema. Dies ist im Vergleich zur v\u00f6llig freien, unkontrollierten und schwer pr\u00fcfbaren M\u00fcllhalde ein gro\u00dfer Vorteil.<\/p>\n\n\n\n<p>\u00c4hnliches gilt f\u00fcr FlatPak und Snap. Letztlich stehen und fallen die kommerziellen Angebote damit, wie gut ihr Anbieter seinen Job macht. Auch hier wurden schon Pakete gefunden, die neben ihrer eigentlichen Aufgabe noch einen Zweitjob (<em>Crypto currency mining<\/em>) hatten.<\/p>\n\n\n\n<p>F\u00fcr pauschale bzw. absolute Aussagen ist es in meinen Augen noch zu fr\u00fch. Wir werden noch eine Weile abwarten m\u00fcssen, wie sich die einzelnen Projekte weiterentwickeln. Als Sysadmin sollte man weiterhin stets auf der Hut sein und seinen gesunden Menschenverstand benutzen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Marius hat gestern in Braunschweig dar\u00fcber gebloggt, dass Docker &#8211; Genauso schlimm wie bef\u00fcrchtet ist. Bis Marius zu seiner Analyse kommt, stimme ich ihm voll und ganz zu. Auch ich geh\u00f6re zu den ewig gestrigen, den N\u00f6rglern, Pessimisten und Schwarzsehern, welche es von Anfang an gesagt haben. Und unsere d\u00fcstere Vorsehung ist eingetreten. Welch \u00dcberraschung.<span class=\"continue-reading\"> <a href=\"https:\/\/www.my-it-brain.de\/wordpress\/kommentar-zu-docker-genauso-schlimm-wie-befuerchtet\/\">[Weiterlesen&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_metis_text_type":"","_metis_text_length":0,"_post_count":0,"footnotes":""},"categories":[1],"tags":[517,516,430,305],"class_list":["post-2166","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-container","tag-docker","tag-osbn","tag-planet"],"_links":{"self":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/2166","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/comments?post=2166"}],"version-history":[{"count":1,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/2166\/revisions"}],"predecessor-version":[{"id":2167,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/2166\/revisions\/2167"}],"wp:attachment":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/media?parent=2166"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/categories?post=2166"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/tags?post=2166"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}