Rootless docker ve güvenlik


TLDR1

Her ne kadar kullanımı kolay olsa da, doğru kullanılmadığı taktirde, docker ve konteyner konuları güvenlik bakımından tehlikeli teknolojiler.

Piyasanın bu konuya adapte olmaya çalışması söz konusu olduğu için, sistemin yaratabileceği sıkıntılar hakkında çok fazla 2 blog yazısı yok.

Neden böyle sıkıntılı cümleler kurduğuma gelirsek;

Aslında, o kopyala yapıştır ile sisteminizde çalıştırdığınız docker run komutları, (genellikle) sisteminizdeki root kullanıcısı ile çalışıyor. Bu durumda sisteminizde AppArmor, SELinux  gibi ekstra bir koruma yok ise işiniz sıkıntı. Konteyneneriniz sudo şifresine ihtiyaç duymayacağından sizden daha yetkili diyebilirim 🙂


İsterseniz bunu

Yukarıdaki komutunu çalıştırdıktan sonra, konteynerde /host dizinine gidip, kendi bilgisayarınızdaki önemli dosyaların içeriğini değiştirdikten sonra, olayın ne kadar vahim olabileceğini görebilirsiniz.

Bu problemden doğabilecek güvenlik sıkıntılarından dolayı, bütün kişisel projelerimin hepsini rootless dockere geçirdim. Bu özellik ile birlikte, denemek istediğim projeleri artık az yetkisi olan sistem kullanıcısı ile deniyorum. Her ne kadar bu konteynerler kendilerini root zannetselerde, esas sistemden farklı kullanıcılar ile çalışıyorlar.

Örnek:

 

Dolayısı ile sisteminizde pek fazla tahribata sebep olamayacakları için daha güvenli diyebilirim.


Daha fazlası için kaynaklar:

Eğer sizde bu sistemin nasıl çalıştığını merak ediyorsanız.

İşin teknik boyutunu anlatan bir yazı

Sisteminize entegre etmeden denemek için