L'esecuzione di un processo contenitore Docker come root all'interno del contenitore è considerata non sicura. Ma ho alcuni dubbi che devo chiarire:
-
È ancora lo stesso tipo di insicurezza anche se il contenitore non può montare il socket docker o alcuna parte del file system di root dall'host?
-
È ancora la stessa insicurezza se esiste una mappatura uno-a-uno di un contenitore e di una macchina virtuale? Ad esempio, stai utilizzando un solo contenitore per VM?
-
Non è ancora sicuro se il contenitore non è in esecuzione come privilegiato?
-
Qual è la differenza tra l'esecuzione come utente root e come privilegiato?
Oltre a quanto sopra, c'è un modo semplice per fingere root? Come possiamo mappare l'ID utente 0 come qualcosa di simile a un numero più grande 1001 sull'host?