Configurazione della finestra mobile in modo sicuro su un computer dello sviluppatore

1

Come sviluppatore, utilizzo la finestra mobile e ho un server docker in esecuzione sulla mia macchina. Mi aspetto che la finestra mobile non dia al mio utente il permesso di operare su file oltre il set corrente di permessi dell'utente. L'esempio seguente mostra che frainteso il modello di sicurezza della finestra mobile o il mio sistema non è configurato correttamente:

Il mio utente non può accedere direttamente al file di password del sistema ( /etc/shadow ) senza usare sudo e fornendo una password:

% ls -l /etc/shadow
-rw-r----- 1 root shadow 1275 Dec 18  2016 /etc/shadow
% cat /etc/shadow
cat: /etc/shadow: Permission denied
% sudo cat /etc/shadow
[sudo] password for ryan:
sudo: 1 incorrect password attempt

Tuttavia, il mio utente può stampare il contenuto di /etc/shadow tramite il server docker senza l'uso di sudo o una password :

% docker run -v "/etc:/share" alpine cat /share/shadow
... prints contents of the system's /etc/shadow

Suppongo che ciò sia possibile perché il server docker viene eseguito come utente root.

Innanzitutto, quanta preoccupazione dovrebbe avere questo problema in termini di sicurezza? E se è un problema, come posso configurare correttamente la mia macchina di sviluppo?

    
posta Ryan 20.08.2017 - 09:11
fonte

1 risposta

1

Citando da sicurezza Docker | Documentazione Docker - Superficie di attacco demone Docker (l'enfasi è dalla sorgente):

"First of all, only trusted users should be allowed to control your Docker daemon".

La mia interpretazione:

L'obiettivo principale di Docker è fornire l'isolamento di programmi / risorse utilizzando il concetto di contenitore, ovvero l'isolamento di un contenitore da un altro.

Per fare questo, il demone docker ha bisogno di superpoteri (ad esempio, i privilegi di root). Se si "possiede" il daemon docker in qualche modo (ad esempio, si fa parte del gruppo docker) e si utilizza tale privilegio, è possibile utilizzare il demone per esercitare quei superpoteri.

Dalla riga di comando di esempio, sembra che tu faccia parte del gruppo docker (altrimenti dovresti usare sudo docker ... ), quindi è il comportamento previsto per le versioni correnti della finestra mobile.

Potresti voler leggere la documentazione di sicurezza di Docker un paio di volte per scoprire cosa vuoi proteggere e come puoi farlo.

    
risposta data 20.08.2017 - 10:49
fonte

Leggi altre domande sui tag