<div dir="ltr"><div>I admit there are security flaws that still need to be worked out with containers, but the utility is huge.</div><div>The real-life security risk depends on what software you are running within those containers. So stay patched.</div><div><br></div><div>One of my clients (a well-known large company) went from using many 100's of VMs for their services to using between 2 and 4 app servers per environment, and containerising everything that used to run in those environments.</div><div>If you use the same core filesystem image, the containers are small, and the client can deploy 100's of these services in the space of a few seconds.</div><div>It may not suit everyone, but for these guys Docker has done a lot for them, and at least penetration testing has failed to find any way to abuse the Docker-aspect of their deployment.</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Sep 23, 2014 at 3:50 PM, James Courtier-Dutton <span dir="ltr"><<a href="mailto:james.dutton@gmail.com" target="_blank">james.dutton@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 23 September 2014 14:08, Andy Smith <<a href="mailto:andy@bitfolk.com">andy@bitfolk.com</a>> wrote:<br>
> Hello,<br>
><br>
> On Tue, Sep 23, 2014 at 01:39:16PM +0100, Matthew Copperwaite wrote:<br>
>> Lately there has been some backlash against containers/Docker because the<br>
>> assumption was that, like a VM, the containers were isolated and therefore<br>
>> secure. This however was not necessarily the case, especially if SELinux is<br>
>> disabled or not installed. This meant on some PaaS services it was possible<br>
>> to "break in" to other Docker instances.<br>
><br>
<br>
</span>We are using Docker at work.<br>
It is for Continuous Integration testing.<br>
Docker is essentially a wrapper around chroot.<br>
So, Docker has all the same vulnerabilities as chroot does.<br>
For our testing, we can ensure that it is deploying to a newly built<br>
machine each time, without the overhead of a VM.<br>
In our case, Docker is running on a VM, so if we use a VM for CI, we<br>
would be doing a VM inside a VM!<br>
The application is a web site.<br>
The real deployed machines are all real VMs.as chroot would not be<br>
secure enough.<br>
<br>
Kind Regards<br>
<span class="HOEnZb"><font color="#888888"><br>
James<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
GLLUG mailing list<br>
<a href="mailto:GLLUG@mailman.lug.org.uk">GLLUG@mailman.lug.org.uk</a><br>
<a href="https://mailman.lug.org.uk/mailman/listinfo/gllug" target="_blank">https://mailman.lug.org.uk/mailman/listinfo/gllug</a><br>
</div></div></blockquote></div><br></div>