如何防止一个有漏洞的 Docker 容器影响其它容器?
naoh1000 · 2020-12-05 10:45:05 +08:00 via iPhone · 1878 次点击这是一个创建于 1449 天前的主题,其中的信息可能已经有所发展或是发生改变。
请问 user namespace 可以做到吗,大佬们还有什么好办法吗?
第 1 条附言 · 2020-12-05 11:58:08 +08:00
说错了,应该是需要手动开的 userns-remap 。想要防止一个容器被注入导致主机 root 权限被获取或是主机上的其它容器更容易被注入。网络上找到了两种方法,一种是指定低权限用户运行,一种是 userns-remap 。请问哪种更安全,兼容性更好?指定低权限用户运行是否需要为每个容器单独创建用户起到更好隔离效果?谢谢大佬。
 |
1
codehz 2020-12-05 11:12:22 +08:00 via Android
你想说的是什么影响? user namespace 不是默认就有的吗
内核 exploit 的话,rootless 的容器影响略微小一点点( |
 |
2
naoh1000 OP @codehz 说错了,应该是需要手动开的 userns-remap 。想要防止一个容器被注入导致主机 root 权限被获取或是主机上的其它容器更容易被注入。网络上找到了两种方法,一种是指定低权限用户运行,一种是 userns-remap 。请问哪种更安全,兼容性更好?指定低权限用户运行是否需要为每个容器单独创建用户起到更好隔离效果?谢谢大佬。
|
|
3
codehz 2020-12-05 12:34:41 +08:00
哪有什么更安全,都是骗自己。。要安全请上基于轻量级虚拟机的
|
 |
5
ericwood067 2020-12-05 14:51:23 +08:00
记得之前 docker 以低权限用户运行会有其他问题,最近没关注了。我一般都是加上--cap-drop=ALL,userns-remap 也是个可行的选项,直接映射到一个不存在的用户上。
|
Select Language