La ejecución de un proceso de contenedor Docker como root dentro del contenedor se considera insegura. Pero tengo algunas dudas que debo aclarar:
-
¿Sigue siendo el mismo tipo de inseguridad incluso si el contenedor no puede montar el socket de la ventana acoplable o alguna parte del sistema de archivos raíz desde el host?
-
¿Sigue siendo el mismo inseguro si hay un mapeo uno a uno de un contenedor y una máquina virtual? Por ejemplo, ¿está ejecutando solo un contenedor por máquina virtual?
-
¿Sigue siendo inseguro si el contenedor no se está ejecutando como privilegiado?
-
¿Cuál es la diferencia entre ejecutarse como root y como privilegiado?
Aparte de lo anterior, ¿hay alguna forma sencilla de falsificar la raíz? ¿Cómo podemos asignar el ID de usuario 0 para que sea algo así como un número 1001 más grande en el host?