A Docker blog post zeigt:Sicherheit Docker wie es läuft als Root
Docker Behälter sind, die standardmäßig recht sicher; vor allem, wenn Sie in den Containern Pflege Ihre Prozesse laufen als nicht-privilegierte Benutzer (dh nicht root).“
Also, was ist das Sicherheitsproblem, wenn ich als root unter dem Docker renne nehmen ? Ich meine, es ist ziemlich sicher, wenn ich mich um meine Prozesse als nicht-privilegierte Benutzer kümmere, also, wie kann ich schädlich sein, in einem Container als root-Benutzer zu hosten? Ich frage nur, um es zu verstehen, wie kann es isoliert werden, wenn es nicht sicher ist, wenn es als root läuft? Welche Systemaufrufe können das Host-System dann freilegen?
Also würde man fast sicher sein, wenn die Docker Sie einen Benutzer nicht-root läuft laufen – Mustafa
beliebiges Material auszuführen Ich mag Wurzel haben Zugriff in den Container, aber stellen Sie sicher, dass es das Host-System nicht ausbrechen konnte. Dies macht es einfacher, die Single-App-Single-Container-Philosophie zu machen. – CMCDragonkai
Der letzte Satz bezüglich des Ausbrechens eines Containers ist ein wenig irreführend. Wenn Sie aus einem Container ausbrechen können, unabhängig davon, wer Sie in dem Container waren, würden Sie ausbrechen, wie der LXC-Prozess selbst ausgeführt wird, wie auf dem Host-Betriebssystem. Dies ist oft root. Allerdings ist es immer noch eine gute Idee, Containerprozesse als nicht-privilegierter Benutzer auszuführen, da es dadurch (zumindest theoretisch) schwieriger wird, aus dem Container auszubrechen. – nateware