Widziałem już mnóstwo atramentu rozlanego do tej pory na temat tego, jak Docker nie jest wystarczająco izolowany, aby umożliwić dowolne pojemniki uruchamiane w środowisku z wieloma dzierżawcami, i to ma sens. "Jeśli jest to root w Dockerze, pomyśl o root w komputerze głównym." A co z użytkownikiem niezarejestrowanym?Jakie są potencjalne problemy z bezpieczeństwem, które powodują uruchomienie niezaufanego kodu w kontenerze Docker jako użytkownik inny niż root?
Jeśli chcę wziąć niezaufany kod i uruchomić go w kontenerze, czy można to zrobić bezpiecznie, o ile kontener działa jako użytkownik inny niż root? Jakie są potencjalne pułapki bezpieczeństwa związane z robieniem czegoś takiego?
Jestem przekonany, że dzisiaj są aplikacje produkcyjne (systemy CI, działające pastebaby), ale czy są one po prostu szczęśliwe, że nie miały zdeterminowanego napastnika, czy też jest to rozsądne w systemie produkcyjnym?
+1 Naprawdę zainteresowane odpowiedziami na ten temat. Mogę zgłosić się na ochotnika, że uruchamianie się jako root daje ci dostęp do zapisu do plików systemowych, które są częścią obrazu Docker. Domyślam się, że pomysłowe oprogramowanie może wykorzystać tę lukę, aby wykorzystać lukę, która może istnieć w jądrze hosta Docker. –
Głosuję, aby zamknąć to pytanie jako nie na temat (mimo że jest to interesujące). Najlepiej będzie odpowiedzieć na security.stackexchange.com – oleksii
Możesz zadawać pytania administratora Docker na SO. Zostało to omówione kilka razy: http://meta.stackexchange.com/search?q=docker –