¿La ejecución aleatoria de "docker pull" significa esencialmente que le estoy dando acceso a alguien a la raíz?

11

Acabo de darme cuenta de que estoy ansioso por probar proyectos que tengan un contenedor Docker incluido. Me doy cuenta de que establecer una excepción sudoers para el comando "docker" básicamente significa dar acceso de root en el sistema host a los usuarios normales. ¿La ejecución aleatoria de "docker pull" también es insegura o puedo asumir que los contenedores descargados de esta manera no obtendrán fácilmente acceso de root a mi host Linux?

    
pregunta d33tah 17.10.2015 - 02:15
fuente

1 respuesta

3

Welllll .... La respuesta simple es 'no'. puller pull debe ejecutarse con privilegios elevados, pero eso no otorga esos derechos a otros usuarios. El pateador es "¿Qué viene después?" Si no le está permitiendo a otros usuarios el derecho de ejecutar la ventana acoplable (como crear un grupo de la ventana acoplable con muchos usuarios o usuarios genéricos), el riesgo es solo una cuestión de evitar los contenedores dudosos mediante la contratación de sitios confiables.

La verdadera pregunta es: "¿Por qué estás usando la ventana acoplable?" Si se trata solo de administrar imágenes y crear entornos, la herramienta se puede utilizar con muy poco riesgo. Cuanto más se acerque a permitir que los usuarios regulares ejecuten estas funciones administrativas del sistema, más riesgos asumirá.

    
respondido por el JaimeCastells 18.10.2015 - 19:09
fuente

Lea otras preguntas en las etiquetas