Kapitel 9. Die Container-Isolation durchbrechen
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
In Kapitel 4 hast du gesehen, wie ein Container aufgebaut ist und wie er eine begrenzte Sicht auf den Rechner erhält, auf dem er läuft. In diesem Kapitel erfährst du, wie einfach es ist, Container so zu konfigurieren, dass diese Isolation aufgehoben wird.
Manchmal willst du dies absichtlich tun, um etwas Bestimmtes zu erreichen, wie z.B. die Auslagerung von Netzwerkfunktionen in einen Sidecar-Container. In anderen Fällen könnten die in diesem Kapitel beschriebenen Ideen die Sicherheit deiner Anwendungen ernsthaft gefährden!
Lassen Sie uns zunächst über das wohl unsicherste Standardverhalten in der Containerwelt sprechen: die Ausführung als root.
Container laufen standardmäßig als Root
Wenn in deinem Container-Image kein anderer Benutzer als root angegeben ist oder du einen anderen Benutzer als den Standardbenutzer angibst, wenn du einen Container startest, läuft der Container standardmäßig als root. Und es ist leicht zu bestätigen, dass es sich dabei nicht nur um root innerhalb des Containers, sondern auch um root auf dem Host-Rechner handelt (es sei denn, du bist mit Namensräumen für Benutzer eingerichtet).
Hinweis
In diesem Beispiel wird davon ausgegangen, dass du den von Docker bereitgestellten Befehl docker verwendest. Wenn du Docker installiert hast podmaninstalliert hast, hast du vielleicht ...
Get Container Sicherheit now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
