मैंने अब तक बहुत स्याही देखी है कि कैसे डॉकर को अलग-अलग कंटेनरों को बहु-किरायेदार वातावरण में चलाने की अनुमति देने के लिए पर्याप्त रूप से पृथक नहीं किया जाता है, और यह समझ में आता है। "यदि यह डॉकर में रूट है, तो इसे होस्ट मशीन में रूट करें।" यद्यपि गैर रूट के बारे में क्या?गैर-रूट उपयोगकर्ता के रूप में डॉकर कंटेनर में अविश्वसनीय कोड चलाने वाली संभावित सुरक्षा समस्याएं क्या हैं?
अगर मैं कुछ अविश्वसनीय कोड लेना चाहता हूं और उसे कंटेनर में चलाता हूं, तो क्या यह सुरक्षित रूप से तब तक किया जा सकता है जब कंटेनर गैर-रूट गैर-सूडो उपयोगकर्ता के रूप में चल रहा हो? ऐसा कुछ करने की संभावित सुरक्षा समस्याएं क्या हैं?
मुझे यकीन है कि उत्पादन अनुप्रयोग आज (सीआई सिस्टम, रननेबल पेस्टबिन्स) कर रहे हैं, लेकिन क्या वे सिर्फ भाग्यशाली हैं कि एक निर्धारित हमलावर नहीं है या क्या यह उत्पादन प्रणाली में उचित बात है?
+1 इस के जवाब में वास्तव में रुचि रखते हैं। मैं स्वयंसेवक बन सकता हूं कि रूट के रूप में चलने से आप सिस्टम फ़ाइलों तक पहुंच लिख सकते हैं जो डॉकर छवि का हिस्सा हैं। मुझे लगता है कि मैलवेयर का एक कल्पनाशील टुकड़ा डॉकर होस्ट के कर्नेल के भीतर मौजूद भेद्यता का उपयोग करने के लिए इसका उपयोग कर सकता है। –
मैं इस सवाल को ऑफ-विषय के रूप में बंद करने के लिए मतदान कर रहा हूं (भले ही यह एक दिलचस्प है)। सुरक्षा का सबसे अच्छा जवाब दिया जाएगा। Reackexchange.com – oleksii
एसओ पर डॉकर व्यवस्थापक प्रश्न पोस्ट करना ठीक है। कई बार चर्चा की गई है: http://meta.stackexchange.com/search?q=docker –