A volte ho bisogno di eseguire operazioni intensive I / O in memoria. La funzione tmpfs funziona davvero bene per questo, ma mi chiedevo se ci fossero grossi rischi nell'utilizzo di tmpfs mounts all'interno di un container. Può essere usato per compromettere l'host?
Potrebbe essere un rischio, a seconda del kernel che usi. Con dati non validi si potrebbe ottenere un overflow del buffer. In questo caso, la grande domanda è quale sia la finestra mobile dei privilegi. Se lo esegui come root hai un problema serio. Non sono aggiornato se questa vulnerabilità è risolta o è ancora un problema. Forse qualcun altro lo sa qui. Altrimenti, dai un'occhiata a lkml e chiedi allo sviluppatore principale: link
Non credo, poichè tmpfs è un driver maturo e, a meno che non appaia uno strano bug (improbabile ma possibile), è rischioso montare un filesystem ext3, o qualsiasi scheda di rete, o caricare qualsiasi altro driver .
L'unico problema di sicurezza che mi viene in mente è che i dati di un tmpfs potrebbero essere scambiati dall'host che esegue il daemon Docker.
Leggi altre domande sui tag docker privilege-escalation