¿Es peligroso ejecutar wp-cli como root en el contenedor de la ventana acoplable?

5

Estoy implementando una aplicación web que consta de 5 contenedores:

  1. MariaDB
  2. PHP-FPM
  3. nginx
  4. Contenedor de datos solamente
  5. WP CLI

Cuando intento ejecutar un comando WP CLI, aparece la siguiente advertencia:

  

Error: ¡YIKES! Parece que estás ejecutando esto como root. Probablemente quiso ejecutar esto como el usuario bajo el que se encuentra su instalación de WordPress.

     

Si REALMENTE pretende ejecutar esto como root, no lo detendremos, pero tenga en cuenta que cualquier código de este sitio tendrá el control total de su servidor, lo que lo hace PELIGROSO.

     

Si desea continuar como root, ejecute esto nuevamente, agregando este indicador: --allow-root

Sé que en una instalación normal de WP tendré varios problemas. Sin embargo, como los contenedores están aislados, ¿tendré algunos problemas de seguridad con mi caso de uso?

    
pregunta IAmJulianAcosta 28.01.2016 - 00:14
fuente

2 respuestas

5

Aunque generalmente no es una buena idea ejecutar como root, hacerlo en un contenedor generalmente es menos peligroso que en el host y si está usando Docker = > 1.10 con los espacios de nombres de usuario habilitados, la preocupación realmente no se aplica ya que la raíz en el contenedor no es la raíz en el host.

Sin espacios de nombres de usuario, existen riesgos al ejecutar un contenedor como root, ya que si un atacante puede romper el aislamiento del contenedor, será root en el host. Eso no quiere decir que sea necesariamente trivial salir del contenedor. Docker utiliza funciones de Linux como espacios de nombre y capacidades para reducir los derechos del proceso en ejecución.

Con los espacios de nombre de usuario, el usuario raíz en el contenedor se asigna a un usuario no root fuera del contenedor, por lo que en caso de que se rompa el contenedor, el usuario solo será un usuario normal con pocos privilegios. Es probable que el software que no reconoce el contenedor aún se queje, ya que no se da cuenta de que no está utilizando el usuario root "real".

    
respondido por el Rоry McCune 12.02.2016 - 19:14
fuente
4

Sí, tendrás problemas si haces cosas que los autores del software describen como peligrosas.

En general, ejecutar código como raíz significa que elimina un límite que el atacante tendría que cruzar, lo que reduce el esfuerzo para ellos y hace que la recuperación sea más difícil.

(Si hay problemas de la ventana acoplable, es más probable que estén expuestos a la raíz que un ID de usuario aleatorio)

    
respondido por el Adam Shostack 28.01.2016 - 00:19
fuente

Lea otras preguntas en las etiquetas