参考过之前的回复:
关于借助 docker 获取 root 目录权限实现提权问题的探讨
「 Allen 谈 Docker 系列」 Docker 容器的 root 安全吗?
不过这些讨论比较老了,不知道这些年过去是否有更好的方案?
想学习一下主流的方案,看看大家目前是怎么做的?最好是公司的部署方案~
1
lost7 288 天前
确实比较好奇 dev container 的公司级别部署方案。
之前工作的地方有一个很完备的.devcontainer ,忘记保存下来了 |
2
676529483 288 天前
作为一个运维,一般不愿意 rootless ,主要是排查问题很麻烦
一般我建议做好网络隔离、防火墙策略,就免掉了绝大多数的问题了(我觉得遇到 day0 攻击也防不了,不如想想怎么备份) |
3
lovegoogle OP @676529483 #2 我觉得不太行,原因有两点:
1 、大公司有安全测试/审计/合规审查,root 权限排查可能过不去(和他们杠也没用,让整改也没招)。 2 、像数据库这种的,在没容器的时代,安装都不是用 root 用户,都需要专门配一个数据库用户,然后数据库用户只能操作数据库相关的环境。 3 、一旦爆发 0day ,rootless 策略起码还有一层安全保护。 |