February 2021
Beginner to intermediate
252 pages
5h 36m
Korean
Content preview from 컨테이너 보안: 컨테이너화된 응용 프로그램의 보안을 위한 개념, 이론, 대응법과 모범 관행까지
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.
9.2 --privileged 플래그와 리눅스 능력
169
은 파일 접근 권한들을 가질 수 있다는 점이다. 이 문제가 없으려면 파일 시스템이 해당 사용자
이름공간 안에서 파일 소유권과 그룹 소유권을 재지정하는 기능을 지원해야 한다. (이 책을 쓰
는 현재 모든 파일 시스템이 이를 지원하지는 않는다. )
이 책을 쓰는 현재 루트 없는 컨테이너는 아직 미성숙 단계이다.
runc
와
podman
은 루트 없
는 컨테이너를 지원하지만, 도커는 아직 실험적으로만 지원한다(
https
://
oreil
.
ly
/
GnOoq
). 그
리고 어떤 런타임을 사용하든 쿠버네티스에서는 루트 없는 컨테이너를 사용할 수 없다. 아키히
로 스다
Akihiro
Suda
를 비롯한 여러 개발자가 만든
Usernetes
(
https
://
oreil
.
ly
/
42RRY
)이라는 개
념 증명 (
proof
of
concept
) 구현이 있긴 하다.
컨테이너 안에서 프로세스가 루트 계정으로 실행되는 것이 그 자체로 문제는 아니다. 공격
자가 어떻게든 컨테이너에서 탈출한다면 비로소 문제가 된다. 과거에 컨테이너 런타임에서 종
종 컨테이너 탈출 취약점이 발견되었으며, 아마 미래에도 발견될 것이다. 그런데 컨테이너 탈
출을 가능하게 하는 요인이 런타임의 취약점만은 아니다. 이번 장에서 살펴보겠지만, 컨테이너
의 설정이 부실하면 취약점이 없어도 공격자가 손쉽게 컨테이너에서 탈출할 수 있다. ‘부실한
설정’과 ‘루트로 컨테이너 실행’이 겹치면 대형 사고가 날 수밖에 없다.
사용자
ID
재지정과 루트 없는
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.
Read now
Unlock full access
More than 5,000 organizations count on O’Reilly
O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.Julian F.
I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.Addison B.
I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.Amir M.
I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.