
<div dir="ltr"><div>I admit there are security flaws that still need to be worked out with containers, but the utility is huge.</div><div>The real-life security risk depends on what software you are running within those containers. So stay patched.</div><div><br></div><div>One of my clients (a well-known large company) went from using many 100's of VMs for their services to using between 2 and 4 app servers per environment, and containerising everything that used to run in those environments.</div><div>If you use the same core filesystem image, the containers are small, and the client can deploy 100's of these services in the space of a few seconds.</div><div>It may not suit everyone, but for these guys Docker has done a lot for them, and at least penetration testing has failed to find any way to abuse the Docker-aspect of their deployment.</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Sep 23, 2014 at 3:50 PM, James Courtier-Dutton <span dir="ltr"><<a href="mailto:james.dutton@gmail.com" target="_blank">james.dutton@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 23 September 2014 14:08, Andy Smith <<a href="mailto:andy@bitfolk.com">andy@bitfolk.com</a>> wrote:<br>

> Hello,<br>

><br>

> On Tue, Sep 23, 2014 at 01:39:16PM +0100, Matthew Copperwaite wrote:<br>

>> Lately there has been some backlash against containers/Docker because the<br>

>> assumption was that, like a VM, the containers were isolated and therefore<br>

>> secure. This however was not necessarily the case, especially if SELinux is<br>

>> disabled or not installed. This meant on some PaaS services it was possible<br>

>> to "break in" to other Docker instances.<br>

><br>

<br>

</span>We are using Docker at work.<br>

It is for Continuous Integration testing.<br>

Docker is essentially a wrapper around chroot.<br>

So, Docker has all the same vulnerabilities as chroot does.<br>

For our testing, we can ensure that it is deploying to a newly built<br>

machine each time, without the overhead of a VM.<br>

In our case, Docker is running on a VM, so if we use a VM for CI, we<br>

would be doing a VM inside a VM!<br>

The application is a web site.<br>

The real deployed machines are all real VMs.as chroot would not be<br>

secure enough.<br>

<br>

Kind Regards<br>

<span class="HOEnZb"><font color="#888888"><br>

James<br>

</font></span><div class="HOEnZb"><div class="h5"><br>

_______________________________________________<br>

GLLUG mailing list<br>

<a href="mailto:GLLUG@mailman.lug.org.uk">GLLUG@mailman.lug.org.uk</a><br>

<a href="https://mailman.lug.org.uk/mailman/listinfo/gllug" target="_blank">https://mailman.lug.org.uk/mailman/listinfo/gllug</a><br>

</div></div></blockquote></div><br></div>