Ser*_*aev 1 linux security docker
有很多消息来源说在 Docker 容器内以 root 运行应用程序是不好的,但他们总是参考这个链接:https : //blog.docker.com/2014/06/docker-container-breakout-proof-of-concept-由于较新的 Docker 版本将内核功能列入白名单,因此漏洞利用/很久以前就已解决。
所以:
所以,这有点绕开这个问题,但我将尽力为您提供信息丰富且深入的答案,以帮助您了解以 root 身份运行应用程序所涉及的问题。
首先,这不是 100% 绝对禁止。您可以以 root 身份运行应用程序,在某些情况下您可能需要这样做。但是在软件中,我们有一种称为最小权限原则的东西,在某些领域也称为最小权限原则。这是计算机安全中的一个重要概念,根据用户的工作需要,提升计算机的最低权限。每个系统组件或过程都应具有履行其职责所需的最少权限。这有助于通过消除可能导致网络攻击和计算机危害的不必要特权来减少计算机的“攻击面”。您可以将此原则应用于您通常在没有管理权限的情况下操作的计算机。
以 root 用户身份不必要地运行应用程序是在授予程序执行它不需要做的事情的权限——例如执行系统功能和管理各种操作系统的配置设置。如果您的应用程序是一个包含烹饪食谱的基本网站,则不需要访问系统配置文件。
应用程序旨在以非管理安全性(或作为普通人)运行,因此您必须提升他们的权限才能修改底层系统。这就是通用安全模型多年来的运作方式。
它还使应用程序更易于部署并增加了一层可扩展性。一般来说,应用程序需要的权限越少,在更大的环境中部署就越容易。安装设备驱动程序或需要提升安全权限的应用程序通常在其部署中涉及额外的步骤。例如,在 Windows 上,没有设备驱动程序的解决方案可以直接运行而无需安装,而设备驱动程序必须使用 Windows 安装程序服务单独安装,以便授予驱动程序提升的权限。
如果这不能回答您的问题,我深表歉意,但我已尽力解释为什么您不应以 root 身份运行应用程序。我希望这有帮助!
| 归档时间: |
|
| 查看次数: |
753 次 |
| 最近记录: |