Docker 是否需要 rootless?

291 天前
 lovegoogle

参考过之前的回复:

关于借助 docker 获取 root 目录权限实现提权问题的探讨

「 Allen 谈 Docker 系列」 Docker 容器的 root 安全吗?

不过这些讨论比较老了,不知道这些年过去是否有更好的方案?

想学习一下主流的方案,看看大家目前是怎么做的?最好是公司的部署方案~

1663 次点击
所在节点    Docker
3 条回复
lost7
291 天前
确实比较好奇 dev container 的公司级别部署方案。
之前工作的地方有一个很完备的.devcontainer ,忘记保存下来了
676529483
291 天前
作为一个运维,一般不愿意 rootless ,主要是排查问题很麻烦
一般我建议做好网络隔离、防火墙策略,就免掉了绝大多数的问题了(我觉得遇到 day0 攻击也防不了,不如想想怎么备份)
lovegoogle
291 天前
@676529483 #2 我觉得不太行,原因有两点:

1 、大公司有安全测试/审计/合规审查,root 权限排查可能过不去(和他们杠也没用,让整改也没招)。

2 、像数据库这种的,在没容器的时代,安装都不是用 root 用户,都需要专门配一个数据库用户,然后数据库用户只能操作数据库相关的环境。

3 、一旦爆发 0day ,rootless 策略起码还有一层安全保护。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1014790

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX