4
Если я разрешу пользователю запускать все, что захочет, может ли он плохо думать, что env, в котором был запущен контейнер?Является ли использование контейнеров linux (lxc) как докер безопасным?
A
ответ
4
Насколько я вижу, ответ да. Поэтому вы, вероятно, не должны давать хакерские права sudo на любой контейнер ...
Быстрый поиск в Google дал мне следующее.
На https://wiki.ubuntu.com/LxcSecurity:
... контейнеры всегда (по дизайну) разделяют то же ядро, что и хост. Поэтому любые уязвимости в интерфейсе ядра, за исключением случаев, когда контейнер запрещен, использование этого интерфейса (то есть использование seccomp2) может быть использовано контейнером для повреждения хоста.
http://www.funtoo.org/wiki/Linux_Containers На
На Linux ядра 3.1.5, LXC может использоваться для выделения собственных частных рабочих нагрузок друг от друга. Он еще не готов изолировать потенциально злонамеренных пользователей друг от друга или от хост-системы.
Они предлагают OpenVZ в качестве альтернативы.
9
Docker прилагает все усилия, В качестве примера он удаляет возможность для любого пользователя иметь возможность выполнять mount.
Это не гарантирует, что пользователь не может вырваться из контейнера, если он использует эксплоит в группах или что эта конфигурация идеальна. Это следует оценивать по мере необходимости.
Также: http://stealth.openwall.net/xSports/shocker.c –