cpuguy83/docker-volumes - github
jeudi 23 avril 2015 à 22:02Goldy's links 23/04/2015
Un utilitaire pour gérer les volumes containers dans docker.
C'est l'un des dernier gros soucis dans docker, la difficulté de gérer efficacement les volumes.
(Permalink)
@jeekajoo shaarlinks > Goldy's links 24/04/2015
> C'est l'un des dernier gros soucis dans docker, la difficulté de gérer efficacement les volumes.
hum, il y a aussi le soucis de la sécurité. et notamment celle du daemon docker.
https://fosterelli.co/privilege-escalation-via-docker.html
PoC: https://github.com/chrisfosterelli/dockerrootplease
Ne pas utiliser le groupe 'docker' et utiliser sudo à la place, ben ça revient au même au final. Faudra toujours faire hyper gaffe à ce qu'on spawn comme docker, en particulier si on y monte des volumes.
(Permalink)
Goldy's links > @jeekajoo shaarlinks 28/04/2015
C'est entre autre pour ça que la machine hôte ne doit pas servir à autre chose qu'à héberger des containers.
Il est évident que l'on doit considérer les utilisateurs dans le groupe docker comme ayant de facto des privilèges super-utilisateurs et qu'il ne faut qu'aucun service ne tourne sous cet utilisateur, donc soit utiliser sudo, soit créer un utilisateur docker étant le seul à faire partie du groupe docker.
ps: et un nouveau shaarli à suivre :)
(Permalink)
Un utilitaire pour gérer les volumes containers dans docker.
C'est l'un des dernier gros soucis dans docker, la difficulté de gérer efficacement les volumes.
(Permalink)
@jeekajoo shaarlinks > Goldy's links 24/04/2015
> C'est l'un des dernier gros soucis dans docker, la difficulté de gérer efficacement les volumes.
hum, il y a aussi le soucis de la sécurité. et notamment celle du daemon docker.
https://fosterelli.co/privilege-escalation-via-docker.html
PoC: https://github.com/chrisfosterelli/dockerrootplease
Ne pas utiliser le groupe 'docker' et utiliser sudo à la place, ben ça revient au même au final. Faudra toujours faire hyper gaffe à ce qu'on spawn comme docker, en particulier si on y monte des volumes.
(Permalink)
Goldy's links > @jeekajoo shaarlinks 28/04/2015
C'est entre autre pour ça que la machine hôte ne doit pas servir à autre chose qu'à héberger des containers.
Il est évident que l'on doit considérer les utilisateurs dans le groupe docker comme ayant de facto des privilèges super-utilisateurs et qu'il ne faut qu'aucun service ne tourne sous cet utilisateur, donc soit utiliser sudo, soit créer un utilisateur docker étant le seul à faire partie du groupe docker.
ps: et un nouveau shaarli à suivre :)
(Permalink)