Sistemas que não se mantém atualizados estão sujeitos a usar componentes com vulnerabilidades conhecidas. A seguir são apresentadas duas propostas de como manter um container Docker atualizado.

I. Atualizar os pacotes usando a ferramenta de atualização da distribuição Linux contida no container (por exemplo, apt-get).

II. Usar ferramentas de varredura de vulnerabilidades (por exemplo, Anchore) e, sempre que forem encontradas vulnerabilidades, corrigi-las e recompilar a imagem.

Faça a correspondência das propostas com as características apresentadas a seguir. Cada característica está relacionada somente a uma única proposta.

( ) Permite encontrar vulnerabilidades conhecidas em componentes obtidos via gerenciador de pacotes de algumas plataformas de desenvolvimento, por exemplo vulnerabilidades em pacotes NPM de aplicações NodeJS.

( ) Quebra uma propriedade geralmente tomada como verdadeira em containers Docker: a reprodutibilidade do ambiente provido pelo container a partir de uma mesma versão da imagem.

( ) Depende da existência de um fluxo de implantação automatizado para reduzir intervenção manual e atrasos na instalação de novas imagens, contendo atualizações de segurança.

Assinale a alternativa que apresenta a correspondência correta, de cima para baixo.

A UFSCar usa um sistema para correção automática de trabalhos de programação desenvolvidos por estudantes. Esse sistema é composto por 3 serviços, cada um provisionado em um container Docker distinto: banco de dados, corretor e frontend web. O container do corretor é privilegiado e também possui o Docker instalado dentro de si, pois o corretor “sobe” um novo container aninhado (ou seja, dentro de seu próprio container) para cada trabalho a ser corrigido.

O problema é que os containers aninhados têm acesso à rede interna do Docker, permitindo que acessem o banco de dados e a API do corretor. Esse fato poderia ser aproveitado por estudantes maliciosos para comprometer esses serviços. No entanto, os professores requisitaram que o acesso à rede dos containers aninhados não seja completamente cortado, pois alguns trabalhos pedem que os alunos acessem servidores na Internet a partir de seus códigos.

O container do corretor possui as interfaces de rede eth0, com endereço 172.17.0.3 e máscara /16 e docker0 com endereço 172.18.0.1 e máscara /16. Sabendo disso, assinale a alternativa que contém um conjunto correto de regras do iptables, necessárias e suficientes para mitigar esse problema, cumprindo os requisitos discutidos anteriormente.

Com relação às propriedades de isolamento, qual tecnologia pode ser considerada mais segura, sem a necessidade de usar sandboxes adicionais: containers ou máquinas virtuais? Por quê? Assinale a alternativa que contém a explicação correta e consistente com a pergunta.

Um certo servidor está hospedado como uma instância na nuvem da UFSCar. Todos os serviços disponibilizados por esse servidor são acessados pelo endereço IP 200.136.213.6. Além disso, todos os datagramas IP provenientes desse servidor que saem para a rede externa (Internet) possuem 200.136.213.6 como endereço de origem. No entanto, ao executar o comando ip addr nesse servidor, obtém-se a saída a seguir.

Assinale a alternativa que explica, de forma correta e plausível, o motivo dessa saída ter sido obtida.

Considere um cluster Docker Swarm instalado em 6 instâncias (3 managers e 3 workers) de uma nuvem, cujo único driver para volumes seja o padrão do Docker. Analise as afirmativas a seguir:

I. O Docker replica automaticamente dados de volumes para permitir que outra instância assuma os serviços de uma instância que falhar.

II. O Docker aloca os volumes especificados por um serviço na mesma instância na qual alocar o container do serviço.

III. O Docker nunca armazena volumes em workers, mas sempre em managers.

IV. Para tolerância a falhas, o ideal é que as instâncias tenham sido criadas na nuvem como parte de um grupo anti-afinidade.

Assinale a alternativa correta:

Analise as afirmativas a seguir:

I. Volumes possuem desempenho superior ao do sistema de arquivos principal dos containers.

II. Dados armazenados em um volume persistem mesmo após o container ao qual o volume foi anexado ser destruído.

III. Alterações realizadas sobre o sistema de arquivos de um container são gravadas na imagem que foi especificada quando se criou o container.

IV. Containers possuem sistema de arquivos somente-leitura, portanto diretórios que precisem de escrita devem ser mapeados para volumes.

Assinale a alternativa correta.

Considere o arquivo Dockerfile apresentado a seguir.

Executando-se várias vezes o comando docker build -t loto . && docker run --rm loto no diretório que contém esse arquivo, obtém-se sempre uma mesma saída.

Assinale a alternativa que explica esse comportamento de forma correta.

Um Dockerfile que contém a instrução EXPOSE 443 foi usado para gerar uma imagem denominada img. A partir dessa imagem, executou-se um container no servidor serv.ufscar.br, usando o comando docker run img. No entanto, não foi possível conectar ao endereço https://serv.ufscar.br, mesmo após liberar a porta 443 em todas as soluções de firewall utilizadas. Assinale a alternativa que explica o problema e sua solução de forma correta.