Agregar la cuenta de usuario principal al grupo de docker

1

Recientemente instalé Ubuntu en mi sistema doméstico. Como lo utilizaré principalmente para la investigación de aprendizaje automático, intenté configurar un entorno de Python. Intenté hacer esto con la ventana acoplable para hacer las cosas más fáciles (interferencia con el pitón preinstalado), pero encontré algunas instrucciones que decían agregar el usuario actual a un grupo de usuarios de la ventana acoplable, por lo que es aproximadamente equivalente a un usuario root. No saber mucho sobre este tema, quiero preguntar, ¿es esto un gran riesgo para una computadora de escritorio que solo se usará en casa? El sitio web de la ventana acoplable advierte sobre algunos riesgos, pero me gustaría saber si esto se aplica a mi escenario.

    
pregunta RdeWolf 11.09.2018 - 18:37
fuente

2 respuestas

0

Por lo tanto, para un sistema de escritorio estándar donde no tiene varios usuarios, agregar su propio usuario al grupo de docker puede no ser un riesgo importante, dependiendo de su apetito de riesgo y para qué utiliza la máquina. Es aproximadamente equivalente a tener acceso a sudo sin establecer una contraseña.

Básicamente, significaría que si un atacante ya hubiera obtenido acceso a tu máquina como tu cuenta de usuario normal, entonces podría obtener acceso como usuario root a ese sistema.

    
respondido por el Rоry McCune 11.09.2018 - 19:11
fuente
0

El demonio de Docker se ejecuta con privilegios de raíz, pero los contenedores que se ejecutan dentro de él, incluso aquellos con los que no establece el usuario actual (comando USER en su Dockerfile) se ejecutarán con acceso limitado.

También puedes eliminar algunas capacidades para aislar esos contenedores y reducir la superficie de ataque. Y nunca ejecute contenedores que no sean de confianza con el privileged .

Si un contenedor se está ejecutando con root (dentro del contenedor), y usted asigna algún volumen, tendrá acceso como root . Así que este es otro punto a evitar.

Aquí, un ejemplo docker run --rm -it -v '/:/mnt' debian:9.2 cat /mnt/etc/shadow , tendrá acceso total a / como root, esto significa que puede infectar binarios, tener acceso a su archivo /etc/shadow , agregar / eliminar / cambiar la contraseña de los usuarios, etc. ..

Aquí está la referencia completa: enlace

    
respondido por el OPSXCQ 11.09.2018 - 19:08
fuente

Lea otras preguntas en las etiquetas