История изменений
Исправление KivApple, (текущая версия) :
У взломщика проникшего в контейнер не будет не только лишних прав, но ещё и лишних утилит/библиотек (так как там минимальное окружение под приложение, если Dockerfile правильно написан), что снизит поверхность атаки ещё сильнее, плюс ФС контейнера сбрасывается каждый перезапуск (даже если контейнер поломали, бекдор умрёт при его перезапуске, если не сможет проникнуть в хост систему). Поломал ты приложение, а попал в окружение, в котором даже shell нет, а один статический бинарник этого самого приложения под ограниченным пользователем (а ещё все изменения в ФС теряются при перезапуске контейнера). Очень неудобно будет бутстрапить полезную нагрузку в таких условиях. А без Docker у тебя, как правило, есть ФС с постоянным хранением данных, есть куча установленного софта, в котором может найтись 0day, есть всякие шеллы и интерпретаторы на выбор для удобного бутстрапинга (в какой-нибудь buffer overflow payload много не запихаешь, как правило там вызов какой-то системной команды, которая уже грузит основную нагрузку, если в системе нет никаких интерпретаторов и библиотек, то потребуется притащить с собой огромный payload, а это может не получиться).
Разумеется, это не что-то принципиальное. Но формально риски может снижать.
Также как и неправильное применение Docker (контейнеры с приложениями запущенными от root, контейнеры с кучей лишнего необновляемого ПО внутри и т. д.) может наоборот риски повысить.
Исправление KivApple, :
У взломщика проникшего в контейнер не будет не только лишних прав, но ещё и лишних утилит/библиотек (так как там минимальное окружение под приложение, если Dockerfile правильно написан), что снизит поверхность атаки ещё сильнее, плюс ФС контейнера сбрасывается каждый перезапуск (даже если контейнер поломали, бекдор умрёт при его перезапуске, если не сможет проникнуть в хост систему). Поломал ты приложение, а попал в окружение, в котором даже shell нет, а один статический бинарник этого самого приложения под ограниченным пользователем (а ещё все изменения в ФС теряются при перезапуске контейнера). Очень неудобно будет бутстрапить полезную нагрузку в таких условиях. А без Docker у тебя, как правило, есть ФС с постоянным хранением данных, есть куча установленного софта, в котором может найтись 0day, есть всякие шеллы и интерпретаторы на выбор для удобного бутстрапинга.
Разумеется, это не что-то принципиальное. Но формально риски может снижать.
Также как и неправильное применение Docker (контейнеры с приложениями запущенными от root, контейнеры с кучей лишнего необновляемого ПО внутри и т. д.) может наоборот риски повысить.
Исправление KivApple, :
У взломщика проникшего в контейнер не будет не только лишних прав, но ещё и лишних утилит/библиотек (так как там минимальное окружение под приложение, если Dockerfile правильно написан), что снизит поверхность атаки ещё сильнее, плюс ФС контейнера сбрасывается каждый перезапуск (даже если контейнер поломали, бекдор умрёт при его перезапуске, если не сможет проникнуть в хост систему). Поломал ты приложение, а попал в окружение, в котором даже shell нет, а один статический бинарник этого самого приложения под ограниченным пользователем (а ещё все изменения в ФС теряются при перезапуске контейнера). Очень неудобно будет бутстрапить полезную нагрузку в таких условиях.
Разумеется, это не что-то принципиальное. Но формально риски может снижать.
Также как и неправильное применение Docker (контейнеры с приложениями запущенными от root, контейнеры с кучей лишнего необновляемого ПО внутри и т. д.) может наоборот риски повысить.
Исходная версия KivApple, :
У взломщика проникшего в контейнер не будет не только лишних прав, но ещё и лишних утилит/библиотек (так как там минимальное окружение под приложение, если Dockerfile правильно написан), что снизит поверхность атаки ещё сильнее. Поломал ты приложение, а попал в окружение, в котором даже shell нет, а один статический бинарник этого самого приложения под ограниченным пользователем (а ещё все изменения в ФС теряются при перезапуске контейнера). Очень неудобно будет бутстрапить полезную нагрузку в таких условиях.
Разумеется, это не что-то принципиальное. Но формально риски может снижать.
Также как и неправильное применение Docker (контейнеры с приложениями запущенными от root, контейнеры с кучей лишнего необновляемого ПО внутри и т. д.) может наоборот риски повысить.