如何防止一个有漏洞的 Docker 容器影响其它容器?

2020-12-05 10:45:05 +08:00
 naoh1000
请问 user namespace 可以做到吗,大佬们还有什么好办法吗?
1878 次点击
所在节点    Docker
5 条回复
codehz
2020-12-05 11:12:22 +08:00
你想说的是什么影响? user namespace 不是默认就有的吗
内核 exploit 的话,rootless 的容器影响略微小一点点(
naoh1000
2020-12-05 11:58:15 +08:00
@codehz 说错了,应该是需要手动开的 userns-remap 。想要防止一个容器被注入导致主机 root 权限被获取或是主机上的其它容器更容易被注入。网络上找到了两种方法,一种是指定低权限用户运行,一种是 userns-remap 。请问哪种更安全,兼容性更好?指定低权限用户运行是否需要为每个容器单独创建用户起到更好隔离效果?谢谢大佬。
codehz
2020-12-05 12:34:41 +08:00
哪有什么更安全,都是骗自己。。要安全请上基于轻量级虚拟机的
naoh1000
2020-12-05 13:53:22 +08:00
@codehz 怎么相对减小被攻击的影响
ericwood067
2020-12-05 14:51:23 +08:00
记得之前 docker 以低权限用户运行会有其他问题,最近没关注了。我一般都是加上--cap-drop=ALL,userns-remap 也是个可行的选项,直接映射到一个不存在的用户上。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/732367

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX