LINUX.ORG.RU

Так все-таки как защитить хост от докера?

 , ,


3

4

Есть разрабы которым нужен докер, и соответственно любой из них может запустить образ пробросить корень и делать все что хочет и системой, что очень неприятно. Раньше я не особо понимал глубину и не придавал этому значение, но сейчас на работе очень сильно бьют за такие дыры в безопасности и оттягивали использование докера на сколько можно.

★★★★★

не вижу проблем. говнокодеры запускают докер на локалохосте или minicube а команда эксплуатации запускает на проде

прод хостах с докером - ничего ценного. в идеале какойнить CoreOS или RancherOS

anonymous ()

Сам отдаю код в докерах. Если заказчик дает доступ на сам хост - Д.Б. Обычно в виртуалке.

Ща вообще думаю через moby загрузочные образа сразу делать, вы там на своей стороне в гипервизоре запускаете и все довольны.

BigAlex ★★★ ()

Помести в пространоство имен пользователя только тот раздел винта который выделен для пользователя и он никогда не узнает о системе за пределами своего пространства имен. Тоже самое с сетевухами и прочим.

cvv ★★★★★ ()