请问 user namespace 可以做到吗,大佬们还有什么好办法吗?
This topic created in 2010 days ago, the information mentioned may be changed or developed.
Supplement 1 · Dec 5, 2020
说错了,应该是需要手动开的 userns-remap 。想要防止一个容器被注入导致主机 root 权限被获取或是主机上的其它容器更容易被注入。网络上找到了两种方法,一种是指定低权限用户运行,一种是 userns-remap 。请问哪种更安全,兼容性更好?指定低权限用户运行是否需要为每个容器单独创建用户起到更好隔离效果?谢谢大佬。
 |
1
codehz Dec 5, 2020 via Android
你想说的是什么影响? user namespace 不是默认就有的吗
内核 exploit 的话,rootless 的容器影响略微小一点点( |
 |
2
naoh1000 OP @codehz 说错了,应该是需要手动开的 userns-remap 。想要防止一个容器被注入导致主机 root 权限被获取或是主机上的其它容器更容易被注入。网络上找到了两种方法,一种是指定低权限用户运行,一种是 userns-remap 。请问哪种更安全,兼容性更好?指定低权限用户运行是否需要为每个容器单独创建用户起到更好隔离效果?谢谢大佬。
|
|
3
codehz Dec 5, 2020
哪有什么更安全,都是骗自己。。要安全请上基于轻量级虚拟机的
|
 |
5
ericwood067 Dec 5, 2020
记得之前 docker 以低权限用户运行会有其他问题,最近没关注了。我一般都是加上--cap-drop=ALL,userns-remap 也是个可行的选项,直接映射到一个不存在的用户上。
|
Select Language