Deaktiviere bestimmte Docker-Laufoptionen

9

Ich arbeite gerade an einem Setup, um Docker auf einem Hochleistungs-Cluster (HPC) verfügbar zu machen. Die Idee ist, dass jeder Benutzer in unserer Gruppe in der Lage sein sollte, eine Maschine für eine bestimmte Zeit zu reservieren und Docker "normal" zu benutzen. Bedeutung Zugriff auf den Docker-Daemon über die Docker-CLI.

Um dies zu tun, würde der Benutzer der Docker-Gruppe hinzugefügt werden. Dies stellt jedoch ein großes Sicherheitsproblem für uns dar, da dies grundsätzlich bedeutet, dass der Benutzer root-Rechte auf diesem Rechner hat.

Die neue Idee besteht darin, die User-Namespace-Mapping-Option zu verwenden (wie in Ссылка ). Aus meiner Sicht würde dies unser größtes Sicherheitsrisiko angehen, dass der Stamm in einem Container mit dem Root auf dem Host-Rechner identisch ist.

Aber solange Benutzer dies über --userns = host umgehen können, erhöht dies in keiner Weise die Sicherheit.

Gibt es eine Möglichkeit, diese und andere Docker-Laufoptionen zu deaktivieren?

    
StateOfTheArt89 07.11.2016, 15:25
quelle

1 Antwort

3

Wie in Problem 22223

erwähnt
  

Es gibt eine ganze Reihe von Möglichkeiten, wie Benutzer Privilegien durch den Docker-Lauf erhöhen können, zB indem sie --privileged verwenden.
Sie können dies mit

stoppen      
  • liefert entweder keinen direkten Zugriff auf den Daemon in der Produktion und verwendet Skripte,
    •   

(was Sie hier nicht wollen)

  
  • oder mithilfe eines Auth-Plug-ins , um einige Optionen zu deaktivieren.
    •   

Das ist:

%Vor%

Was zu folgendem führen kann:

    
VonC 12.11.2016 07:41
quelle

Tags und Links

Django: Verwenden von Annotate, Count und Distinct in einem Queryset comparing und thenComparing gibt Kompilierungsfehler