È in esecuzione wp-cli come root nel contenitore docker pericoloso?

5

Sto distribuendo un'app Web composta da 5 contenitori:

  1. MariaDB
  2. PHP-FPM
  3. nginx
  4. Contenitore solo dati
  5. WP CLI

Quando provo a eseguire un comando CLI WP, viene visualizzato il seguente avviso:

Error: YIKES! It looks like you're running this as root. You probably meant to run this as the user that your WordPress install exists under.

If you REALLY mean to run this as root, we won't stop you, but just bear in mind that any code on this site will then have full control of your server, making it quite DANGEROUS.

If you'd like to continue as root, please run this again, adding this flag: --allow-root

So che in una normale installazione di WP avrò diversi problemi. Tuttavia, poiché i contenitori sono isolati, avrò dei problemi di sicurezza con il mio caso d'uso?

    
posta IAmJulianAcosta 28.01.2016 - 00:14
fonte

2 risposte

5

Sebbene non sia generalmente una buona idea eseguire come root, farlo in un contenitore è generalmente meno pericoloso che sull'host e se stai usando Docker = > 1.10 con gli spazi dei nomi utente abilitati, il problema non si applica in realtà come root nel contenitore non è root sull'host.

Senza spazi dei nomi utente ci sono dei rischi nell'esecuzione di un container come root, come se un utente malintenzionato fosse in grado di uscire dall'isolamento del contenitore che sarà root sull'host. Questo non vuol dire che è necessariamente banale uscire dal contenitore. Docker utilizza funzionalità di linux come namespacing e funzionalità per ridurre i diritti del processo in esecuzione.

Con gli spazi dei nomi utente, l'utente root nel contenitore viene mappato a un utente non root al di fuori del contenitore, quindi nel caso in cui il contenitore venga violato l'utente sarebbe semplicemente un normale utente con privilegi bassi. Probabilmente il software che non è consapevole del contenitore si lamenterà perché non si rende conto che non sta utilizzando l'utente root "reale".

    
risposta data 12.02.2016 - 19:14
fonte
4

Sì, avrai problemi se fai cose che gli autori del software descrivono come pericolose.

Generalmente, l'esecuzione del codice come root significa che rimuovi un confine che l'aggressore avrebbe altrimenti dovuto attraversare, diminuendo lo sforzo per loro e rendendo il recupero più impegnativo.

(Se ci sono problemi di docker, sono più probabilmente esposti a root di un id utente casuale)

    
risposta data 28.01.2016 - 00:19
fonte

Leggi altre domande sui tag