ashed (@ashed@mastodon.ml)
NFS Relay пробиваем сетевые доступы из непривилегированного контейнера
Сценарий атаки, при котором компрометация контейнера, запущенного с root, позволяет получить доступ к защищённым NFS-ресурсам даже если они ограничены IP-адресами и привилегированными портами.
Суть проблемы.
В Linux права на открытие портов < 1024 проверяются ядром. Docker по умолчанию оставляет пользователю root (UID 0) capability CAP_NET_BIND_SERVICE, даже если контейнер запущен без флага --privileged. Это позволяет процессу внутри контейнера прикинуться доверенным для NFS-сервера.
Сценарий атаки
Точка входа — RCE в контейнере под root.
Запускаем прокси (`socat`), который пересылает трафик на NFS-сервер, принудительно биндясь к порту 532 (source port < 1024).
Пробрасываем порт прокси наружу через `SSH -R`.
Монтируем шару на своей машине через локальный порт.
Сервер видит легитимный IP контейнера и "админский" порт, разрешая доступ.
Подробности:
https://francesco.cc/posts/relaying_nfs4_from_inside_a_container/
Show Original Post
giggls (@giggls@karlsruhe-social.de)
Hm warum tut das nur mit #docker aber nicht mit #podman?
~/ > podman run docker.io/i386/debian:trixie
Trying to pull docker.io/i386/debian:trixie...
Error: choosing an image from manifest list docker://i386/debian:trixie: no image found in image index for architecture "amd64", variant "", OS "linux"
Show Original Post
schenklklopfer (@schenklklopfer@chaos.social)
Gibt es ein Tool, das mir aus so einer #K8s #helm Datei eine #Docker-#Compose Datei zimmert?
Ich weiß schon, helm macht auch noch mehr, Config und so. Das könnte ja irgendwie genrisch irgendwo in separaten Files liegen oder so.
Aber ich hab hier ne Software, die der Hersteller nur in K8s unterstützt, und ich hab halt keines...
Show Original Post
frank (@frank@social.fraxoweb.com)
I'm currently using #yunohost to #selfhost my personal stuff on a VPS.
It helps a lot.
But if I'm going to run a public #mastodon instance, I'm not sure if I would trust it.
I think yunohost is best for personal and small projects.
I'm scared it would break or give me issues on the longer term.
Ideally, I think I would need to use #docker , which is the real professional way of hosting things, but I've never used it.
Or use a managed service like #fedihost
https://social.fraxoweb.com/@frank/statuses/01KJQQCGQCKG8H13NG344ZCP6A
Show Original Post
funkysi1701 (@funkysi1701@hachyderm.io)
Working with Azure and AWS, I've found that ACR & ECR both have their perks. Just migrated my blog's pipeline to ECR. Exciting differences! https://www.funkysi1701.com/posts/2026/acr-vs-ecr/ #Azure #AWS #Docker #Containers #DevOps #ACR #ECR #Cloud
Show Original Post
jobsfordevelopers (@jobsfordevelopers@mastodon.world)
Harness is hiring Senior Software Engineer - FME
🔧 #java #api #aws #azure #cicd #docker #elasticsearch #gcp #mysql #postgresql #sql #seniorengineer
🌎 Bengaluru, Karnataka, India
⏰ Full-time
🏢 Harness
Job details https://jobsfordevelopers.com/jobs/senior-software-engineer-fme-at-harness-io-feb-10-2026-2fd13a?utm_source=mastodon.world&utm_medium=social&utm_campaign=posting
#jobalert #jobsearch #hiring
Show Original Post
habr (@habr@zhub.link)
Почему я выкинул Nginx Proxy Manager и написал 5 скриптов: Nginx на стероидах
🚀 Nginx на автопилоте: Как я перестал тратить время на конфиги и SSL Бывает так: у тебя есть крутая идея для проекта, ты быстро кодишь бэкенд, но когда дело доходит до деплоя... Вечер превращается в бесконечную настройку Nginx, борьбу с Certbot, прописывание HSTS-заголовков и попытки вспомнить, как там правильно настраивается кеширование. Знакомо? Мне — да. Именно поэтому я собрал nginx-template — инструмент, который превращает администрирование сервера в удовольствие. 🛠 Это не просто набор файлов, это полноценный пульт управления вашим сервером через один скрипт — manage.sh . Почему вам стоит это попробовать: 🔹 Скорость деплоя: Добавление нового домена с автоматической выдачей Let's Encrypt занимает ровно одну команду. Без правок конфигов руками и перезагрузок. 🔹 Image Proxy из коробки: Хотите ресайзить аватарки на лету прямо через Nginx? Теперь это делается одной командой без сторонних микросервисов. 🔹 Умный CDN: Поднимайте кеширующие узлы для статики за секунды. Разгружайте основной сервер и радуйте пользователей мгновенной загрузкой. 🔹 Профессиональная безопасность: Конфиги уже оптимизированы под требования SSL Labs (рейтинг A+), включают защиту от эксплойтов и автообновление IP Cloudflare. Никаких тяжелых интерфейсов и лишних абстракций. Только чистый, производительный Nginx в Docker и удобная автоматизация на Bash. Вы сохраняете полный контроль над каждым байтом конфига, но избавляетесь от всей рутины. Пора тратить время на код, а не на настройку прокси. ⚡ 🔗 Забирайте готовый стек здесь: github.com/Arlandaren/nginx-template Понравился подход? Ставьте ⭐ на GitHub — это лучший способ сказать «спасибо» и поддержать развитие Open Source! Узнать больше
https://habr.com/ru/articles/1005816/
#nginx #docker #devops #ssl #automation #bash #reverse_proxy #cdn #security #vps
Show Original Post
jobsfordevelopers (@jobsfordevelopers@mastodon.world)
Remote is hiring Senior Backend Engineer
🔧 #scala #angular #nextjs #react #vue #aws #cicd #docker #kubernetes #postgresql #seniorengineer
🌎 Remote; Northern Europe
⏰ Full-time
🏢 Remote
Job details https://jobsfordevelopers.com/jobs/senior-backend-engineer-at-remote-com-nov-19-2025-682101?utm_source=mastodon.world&utm_medium=social&utm_campaign=posting
#jobalert #jobsearch #hiring
Show Original Post
objects (@objects@s.umeyashiki.org)
My new daily backup script, pg_dump with zstd compression level 19.
docker exec ak-postgres-1 pg_dump -U umeyashiki umeyashiki_akkoma \
| nice -n 19 ionice -c 3 chrt --idle 0 zstd -T0 -19 --rsyncable -q > "$BACKUP_DIR/db_latest.sql.zst";
Today I learned something new about the scheduling priority. Since zstd compression is very CPU-intensive, set it to low priority so it doesn’t slow the entire system down during compression.
Commands that precede zstd here are:
nice -n 19 [cmd]ionice -c 3 [cmd]chrt --idle 0 [cmd]
By chaining nice, ionice, and chrt together before the zstd command, the script forces the compression process to run with the absolute lowest possible priority for both the CPU and the disk.
- nice 19 is the lowest priority CPU priority.
- ionice with class 3 means idle. A program running with idle I/O priority will only get disk time when no other program has asked for disk I/O for a defined grace period.
chrt --idle 0: Set scheduling policy toSCHED_IDLE(scheduling very low priority jobs).
References:
man 1 chrtman 1 niceman 1 ionice
#linux #docker #zstd #postgresql #sched
Show Original Post
objects (@objects@s.umeyashiki.org)
My Akkoma and PostgreSQL are now running inside Docker. I guess the mail server can also run inside Docker.
# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
0e70c1dc246f akkoma:latest "/opt/akkoma/docker-…" 3 seconds ago Up 2 seconds 4000/tcp ak-akkoma-1
2ba1820747a9 pl-postgres:18-rum "docker-entrypoint.s…" 3 seconds ago Up 3 seconds 5432/tcp ak-postgres-1
#linux #docker #akkoma #postgresql
Show Original Post
blackvoid (@blackvoid@mastodon.social)
@twcau Import took only a second to complete with no problems.
It's running in #Docker on a #Synology #NAS with 12GB of RAM.
Well the only issues is that it didn't drop it into a folder I have specified, but all in all, the data is there.
Show Original Post
sayzard (@sayzard@mastodon.sayzard.org)
Docker (@Docker)
Apple Silicon(M-series)에서 로컬 LLM 개발이 강화되었습니다. vllm_project가 Docker Model Runner의 macOS를 지원해 MLX 모델을 M시리즈 맥에서 기존 OpenAI-호환 API와 Docker 워크플로로 실행할 수 있습니다. 시작하려면 Docker Desktop 4.62+로 업데이트하라는 공지입니다.
https://x.com/Docker/status/2028470592899354929
#docker #vllm #applesilicon #localllm #macos
Show Original Post