V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lovegoogle
V2EX  ›  Docker

Docker 是否需要 rootless?

  •  
  •   lovegoogle · 291 天前 · 1664 次点击
    这是一个创建于 291 天前的主题,其中的信息可能已经有所发展或是发生改变。

    参考过之前的回复:

    关于借助 docker 获取 root 目录权限实现提权问题的探讨

    「 Allen 谈 Docker 系列」 Docker 容器的 root 安全吗?

    不过这些讨论比较老了,不知道这些年过去是否有更好的方案?

    想学习一下主流的方案,看看大家目前是怎么做的?最好是公司的部署方案~

    3 条回复    2024-02-07 13:56:30 +08:00
    lost7
        1
    lost7  
       291 天前
    确实比较好奇 dev container 的公司级别部署方案。
    之前工作的地方有一个很完备的.devcontainer ,忘记保存下来了
    676529483
        2
    676529483  
       291 天前
    作为一个运维,一般不愿意 rootless ,主要是排查问题很麻烦
    一般我建议做好网络隔离、防火墙策略,就免掉了绝大多数的问题了(我觉得遇到 day0 攻击也防不了,不如想想怎么备份)
    lovegoogle
        3
    lovegoogle  
    OP
       291 天前
    @676529483 #2 我觉得不太行,原因有两点:

    1 、大公司有安全测试/审计/合规审查,root 权限排查可能过不去(和他们杠也没用,让整改也没招)。

    2 、像数据库这种的,在没容器的时代,安装都不是用 root 用户,都需要专门配一个数据库用户,然后数据库用户只能操作数据库相关的环境。

    3 、一旦爆发 0day ,rootless 策略起码还有一层安全保护。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   997 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 19:15 · PVG 03:15 · LAX 11:15 · JFK 14:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.