A veces necesito ejecutar operaciones intensivas de E / S en la memoria. La instalación tmpfs funciona muy bien para esto, pero me preguntaba si existe algún riesgo importante de utilizar montajes tmpfs dentro de un contenedor. ¿Se puede utilizar para comprometer al host?
Podría ser un riesgo, dependiendo del kernel que uses. Por datos inválidos se podría lograr un desbordamiento de búfer. Si esto sucede, la gran pregunta es qué privilegios tienen. Si lo ejecutas como root tienes un problema serio. No estoy actualizado si esta vulnerabilidad es corregida o sigue siendo un problema. Quizás alguien más sepa esto aquí. De lo contrario, eche un vistazo a lkml y pregunte a un desarrollador principal: enlace
La única preocupación de seguridad que me viene a la mente es que los datos de un tmpfs pueden ser intercambiados por el host que ejecuta el demonio Docker.
Lea otras preguntas en las etiquetas docker privilege-escalation