Запрет монтирования каталогов хоста в Docker контейнере

Пользователь может запустить контейнер docker с монтированием каталога хоста.

Как примонтировать каталог хоста в Docker контейнер

например нам необходим каталог /home/user/db

Выполняем запуск:

 docker run ubuntu -v /home/user/db/ 

Как мы видим, это позволяет нам получать доступ к файлам хоста от пользователя root.

См. также Рекомендации по безопасности — постройте надежный контейнер Docker

Чтобы устранить эту уязвимость необходимо выполнить следующие действия:

добавляем пользователя

$ sudo adduser dockremap

Установим для него subiud и subgid

$ sudo sh -c 'echo dockremap:500000:65536 > /etc/subuid'
$ sudo sh -c 'echo dockremap:500000:65536 > /etc/subgid'

Добавляем параметр «userns-remap» для этого создадим/изменим файл (/etc/docker/daemon.json) добавив параметр

{
«userns-remap»: «default»
}
перезапускаем демона:

/etc/init.d/docker restart

Таким образом мы закрываем пользователю путь к монтированию каталогов хоста.

Как запустить Kali linux в Docker

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40