אני יודע שהזכרתי בעבר את השימוש בpodman כתחליף לדוקר, ואפילו הזכרתי ששימוש בדפדפן בתוך קונטיינר יעזור לייצר זהות ייחודית יותר בפעולה הזאת. הנה דוגמא איך נקבל זהות יחסית יציבה אם לא נשנה את המחשב המארח כלל (שום שינויים).
דוגמא לDockerfile:
הקובץ sources.list שמופיע פה הוא פשוט קובץ מקורות שישתמש ב apt-mirror שלי, אני מעדיף לעבוד ככה מאשר לכתוב תוכן בתוך ה Dockerfile.
כן אני מודע לזה שאפשר לייצר תמונה כמו שעשיתי בעבר פה בבלוג שכבר מכילה את כתובות המאגרים הנכונים. כן ,אני יודע שאני מייצר שכבה לחינם פה, וצריך לשרשר בשביל להקטין את כמות השורות.
דוגמא לDockerfile:
FROM debian:bookworm COPY sources.list /etc/apt/sources.list RUN apt-get update RUN DEBIAN_FRONTEND=noninteractive apt-get install -y -f firefox-esr RUN useradd -ms /bin/bash user USER user CMD ["firefox-esr"]
הקובץ sources.list שמופיע פה הוא פשוט קובץ מקורות שישתמש ב apt-mirror שלי, אני מעדיף לעבוד ככה מאשר לכתוב תוכן בתוך ה Dockerfile.
כן אני מודע לזה שאפשר לייצר תמונה כמו שעשיתי בעבר פה בבלוג שכבר מכילה את כתובות המאגרים הנכונים. כן ,אני יודע שאני מייצר שכבה לחינם פה, וצריך לשרשר בשביל להקטין את כמות השורות.
בונים זאת על ידי למשל :
podman build -t ff-esr:v1 .בנייה והפעלה תהיה משהוא כמו זה (שימו לב לשימוש להעברת ה x11 מהמחשב המארח פנימה):
podman run -e DISPLAY=$DISPLAY --name ff-esr -v /tmp/.X11-unix:/tmp/.X11-unix ff-esr:v1
אחרי ההפעלה, אם ניגש לכתובת https://browserleaks.com/canvas נראה שנקבל מזהה יציב בין מכולות שונות מאותה התמונה, וזה כי אנחנו משתמשים בX11 הזהה למחשב המארח מה שמאפשר לנו לקבל מידע זהה בכל המכולות.
שימוש בגישה הזאת כמובן שיכיל מידע שונה בcanvas וב webgl מהמחשב המארח, מהסיבה כי יש חלקית מערכת טיפה יותר שונה בתוך המכולה מאשר המחשב המארח. כמובן שאם נרצה לשמור על עוגיות בן הפעלה להפעלה אפשר להעביר גם את volume שיכיל את המידע הזה גם כן(לתוך ~/.mozilla), או פשוט להשתמש באותו הcontainer כל פעם ופשוט להפעיל
podman container start ff-esr מה שמרגיש נוח יותר למשתמש.
נקודות חשובות:
נקודות חשובות:
ברור מאליו שזה מאפשר גישה מלאה ל X11, מבחינת אבטחה ופרטיות זה די סיוט, מה שכן אפשר להשתמש ב xvfb, אפשר להשתמש ב headless ולהתחבר פנימה, יש הרבה פתרונות, אבל לא רציתי לדבר על זה, זו למעשה אחת הסיבות שאני מעדיף להשתמש ב VM לאתרים שיש לי רתיעה מהם.
רצויי מאוד לייצר registery של podman שירוץ על אחד מהשרתים שלכם ולדחוף את ה images שלכם לשם, כמו כן די חשוב לעדכן את /etc/containers/registries.conf ולהתאים אותו לצרכים שלכם, בהתקנת ברירת מחדל של podman בדדביאן יש לנו הרבה מאוד הגדרות ברירת מחדל שיכול להיות שלא יתאימו לכולם.
רצויי מאוד לייצר registery של podman שירוץ על אחד מהשרתים שלכם ולדחוף את ה images שלכם לשם, כמו כן די חשוב לעדכן את /etc/containers/registries.conf ולהתאים אותו לצרכים שלכם, בהתקנת ברירת מחדל של podman בדדביאן יש לנו הרבה מאוד הגדרות ברירת מחדל שיכול להיות שלא יתאימו לכולם.
אין תגובות:
הוסף רשומת תגובה