Aggiungi l'account utente principale al gruppo docker

1

Recentemente ho installato ubuntu sul mio sistema domestico. Poiché lo utilizzerò principalmente per la ricerca sull'apprendimento automatico, ho provato a configurare un ambiente python. Ho provato a farlo con la finestra mobile per semplificare le cose (interferenze con il python preinstallato), ma mi sono imbattuto in alcune istruzioni che dicevano di aggiungere l'utente corrente a un gruppo di utenti docker, rendendolo approssimativamente equivalente a un utente root. Non sapendo molto su questo argomento, voglio chiedere, sta facendo questo un grande rischio per un desktop che verrà utilizzato solo a casa? Il sito Web di docker avvisa di alcuni rischi, ma mi piacerebbe sapere se questo si applica al mio scenario.

    
posta RdeWolf 11.09.2018 - 18:37
fonte

2 risposte

0

Quindi, per un sistema desktop standard in cui non si dispone di più utenti, l'aggiunta del proprio utente al gruppo docker potrebbe non rappresentare un grave rischio, a seconda della propensione al rischio e del tipo di utilizzo della macchina. È approssimativamente equivalente ad avere accesso sudo senza una password impostata.

Essenzialmente significherebbe che se un utente malintenzionato avesse già ottenuto l'accesso al tuo computer come account utente normale, sarebbe quindi in grado di ottenere l'accesso come utente root a quel sistema.

    
risposta data 11.09.2018 - 19:11
fonte
0

Il daemon Docker viene eseguito con i privilegi di root, ma i contenitori in esecuzione al suo interno, anche quelli che non vengono impostati dall'utente corrente (comando USER nel file Docker) verrà eseguito con accesso limitato.

Puoi anche eliminare alcune funzionalità per isolare quei contenitori che riducono la superficie di attacco. E non eseguire mai contenitori non attendibili con privileged .

Se un contenitore è in esecuzione con root (all'interno del contenitore) e si esegue il mapping di alcuni volumi, avrà accesso come root . Quindi questo è un altro punto da evitare.

Qui un esempio docker run --rm -it -v '/:/mnt' debian:9.2 cat /mnt/etc/shadow , avrà accesso completo a / come root, significa che può infettare i binari, avere accesso al tuo file /etc/shadow , aggiungere / rimuovere / cambiare la password degli utenti, ecc. ..

Ecco il riferimento completo: link

    
risposta data 11.09.2018 - 19:08
fonte

Leggi altre domande sui tag