L'esecuzione casuale di "docker pull" significa essenzialmente che sto dando accesso root a qualcuno?

11

Ho appena notato che sono piuttosto desideroso di testare i progetti con un contenitore Docker in dotazione con loro. Mi rendo conto che impostare un'eccezione sudoers per il comando "docker" significa fondamentalmente fornire l'accesso di root sul sistema host agli utenti regolari. Anche l'esecuzione casuale di "docker pull" non è sicura o posso supporre che i contenitori scaricati in questo modo non ottengano facilmente l'accesso come root al mio host Linux?

    
posta d33tah 17.10.2015 - 02:15
fonte

1 risposta

3

Welllll .... La semplice risposta è 'no'. pull docker deve essere eseguito con privilegi elevati, ma ciò non garantisce tali diritti ad altri utenti. Il kicker è "Cosa viene dopo?" Se non permetti ad altri utenti il diritto di eseguire la finestra mobile (come la creazione di un gruppo di docker con molti utenti o utenti generici) rispetto al rischio è solo una questione di evitare contenitori ingannevoli solo acquistando da siti affidabili.

La vera domanda è: "Perché stai usando la finestra mobile?" Se si tratta solo di gestire immagini e creare ambienti, lo strumento può essere utilizzato con un rischio minimo. Più ti avvicini a consentire agli utenti regolari di eseguire queste funzioni amministrative di sistema, maggiore è il rischio che intraprendi.

    
risposta data 18.10.2015 - 19:09
fonte

Leggi altre domande sui tag