¿Agregar una ventana acoplable no es una buena idea?

3

Pregunta

¿Crear una ventana acoplable podría ser una mala idea desde la perspectiva de la seguridad?

Vi respuestas de intercambio de pila que indican que se debe crear un grupo de ventana acoplable para evitar problemas de necesidad de permisos de root o sudo.

Sin embargo, creo que el artículo ¿Por qué no permitimos que los usuarios no root ejecuten Docker en CentOS, Fedora o RHEL también tiene sentido?

  

Docker tiene la capacidad de cambiar la propiedad de grupo de /run/docker.socket para tener el permiso de grupo de 660, con la propiedad de grupo del grupo de docker. Esto permitiría a los usuarios agregados al grupo de ventana acoplable poder ejecutar contenedores de ventana acoplable sin tener que ejecutar sudo o su para convertirse en raíz.

Relacionado

pregunta mon 27.01.2018 - 14:03
fuente

1 respuesta

3

La documentación (especialmente Administrar Docker como un usuario no root parte de pasos posteriores a la instalación para Linux ) es realmente claro esto:

  

Advertencia: el grupo docker otorga privilegios equivalentes al usuario root. Para obtener detalles sobre cómo esto afecta la seguridad en su sistema, consulte Docker Daemon Attack Surface.

La creación del grupo docker por sí solo no implica un riesgo de seguridad (que es lo que ha estado preguntando). Pero agregar un usuario a este grupo puede aumentar su superficie de ataque (que es lo que probablemente quiso preguntar). El riesgo de seguridad real depende de su modelo de amenaza.

    
respondido por el Murmel 01.02.2018 - 14:20
fuente

Lea otras preguntas en las etiquetas