https://adambrodziak.pl/czy-docker-ma-sens-w-2021-roku
" Problemy z kontem root i zależnościami
Inną niefortunną decyzją było uruchomienie demona Docker na użytkowniku root, czyli administratorowi który może wszystko na danej maszynie. To powoduje że atak typu "container breakout" jest dużo bardziej grożny, niż gdyby demon działał z mniejszymi uprawnieniami. Zresztą, samo użycie demona jest też legacy, bo Podman (alternatywa Dockera od Red Hat) nie wymaga żadnego demona do uruchamiania kontenerów.
Domyślnie proces w kontenerze też jest uruchomiony z uprawnieniami root. Przez to łatwiej o atak typu "privilege escalation" i przejęcie kontroli nie tylko nad aplikacją, ale nad całą maszyną na której działa kontener."
No comments:
Post a Comment