Come sviluppatore, utilizzo la finestra mobile e ho un server docker in esecuzione sulla mia macchina. Mi aspetto che la finestra mobile non dia al mio utente il permesso di operare su file oltre il set corrente di permessi dell'utente. L'esempio seguente mostra che frainteso il modello di sicurezza della finestra mobile o il mio sistema non è configurato correttamente:
Il mio utente non può accedere direttamente al file di password del sistema ( /etc/shadow
) senza usare sudo e fornendo una password:
% ls -l /etc/shadow
-rw-r----- 1 root shadow 1275 Dec 18 2016 /etc/shadow
% cat /etc/shadow
cat: /etc/shadow: Permission denied
% sudo cat /etc/shadow
[sudo] password for ryan:
sudo: 1 incorrect password attempt
Tuttavia, il mio utente può stampare il contenuto di /etc/shadow
tramite il server docker senza l'uso di sudo o una password :
% docker run -v "/etc:/share" alpine cat /share/shadow
... prints contents of the system's /etc/shadow
Suppongo che ciò sia possibile perché il server docker viene eseguito come utente root.
Innanzitutto, quanta preoccupazione dovrebbe avere questo problema in termini di sicurezza? E se è un problema, come posso configurare correttamente la mia macchina di sviluppo?