In esecuzione correttamente la finestra mobile

Question

Capisco che il daemon docker richiede runs as root quindi mi viene detto che ciò può causare alcune implicazioni sulla sicurezza, ad esempio se il contenitore è stato compromesso, gli autori di attacchi possono apportare modifiche ai file di sistema dell'host.

Quali precauzioni posso prendere per attenuare i danni in caso di attacco?

Esiste una pratica che dovrei tenere presente durante l'esecuzione del daemon docker? Ho pensato di avere un vagabondo su un VM e di avere la finestra mobile eseguita nel vm.

Answer 1

La principale fonte di informazioni sulle pratiche di sicurezza del docker è la pagina "Docker security".

solo gli utenti fidati dovrebbero essere autorizzati a controllare il demone Docker.
Questa è una conseguenza diretta di alcune potenti funzioni di Docker.

In particolare, Docker consente di condividere una directory tra l'host Docker e un contenitore ospite; e ti consente di farlo senza limitare i diritti di accesso del contenitore.

Se si espone l'API REST, è necessario farlo su https.

Infine, se si esegue Docker su un server, si consiglia di eseguire esclusivamente Docker nel server, e spostare tutti gli altri servizi all'interno di contenitori controllati da Docker

Per quanto riguarda la macchina virtuale, vedere "Are Docker containers really secure? "

Il problema più grande è che tutto in Linux non è assegnato ai nomi. Attualmente Docker utilizza cinque spazi dei nomi per modificare la visualizzazione dei processi del sistema: Processo, Rete, Monta, Nome host, Memoria condivisa.

Mentre questi forniscono all'utente un certo livello di sicurezza non è affatto completo, come KVM (Kernel-based Virtual Machine).
In un ambiente KVM i processi in una macchina virtuale non parlano direttamente con il kernel dell'host. Non hanno accesso ai file system del kernel come /sys e /sys/fs, /proc/*.