4
사용자가 원하는대로 실행하도록 허용하면 컨테이너를 실행 한 환경을 나쁜 것으로 생각할 수 있습니까?docker와 같은 linux 컨테이너 (lxc)를 사용하는 것이 안전합니까?
A
답변
4
제가 알 수있는 한 대답은 '예'입니다. 따라서 해커가 컨테이너에 대한 sudo 권한을 부여하지 않아야합니다 ...
빠른 Google 검색을 통해 다음과 같은 결과를 얻었습니다. https://wiki.ubuntu.com/LxcSecurity에
는 :
... 용기는 항상 (디자인에 의해) 호스트와 동일한 커널을 공유합니다. 따라서 커널 인터페이스의 모든 취약점은 컨테이너가 해당 인터페이스 (즉, seccomp2 사용) 사용을 금지하지 않는 한 컨테이너가 호스트를 손상시킬 수 있습니다. 리눅스 커널 3.1.5의로 http://www.funtoo.org/wiki/Linux_Containers
에
는 LXC는 서로 자신의 개인 워크로드를 분리하는 사용할 수 있습니다. 잠재적으로 악의적 인 사용자를 서로 또는 호스트 시스템에서 격리 할 준비가되지 않았습니다.
그들은 대신 OpenVZ를 제안합니다.
9
Docker는 장난 꾸러기 사용자가 나쁜 것을 할 수 없도록하는 컨테이너를 만드는 것이 최선입니다. 예를 들어, 모든 사용자가 실행할 수있는 기능을 제거합니다. mount.
즉, 사용자가 cgroup에서 익스플로잇을 받았거나 구성이 완벽하다는 것을 보증 할 수 없다는 보장은 없습니다. 이것은 필요에 따라 평가되어야합니다.
기타 : http://stealth.openwall.net/xSports/shocker.c –