Capítulo 2. Llamadas al sistema Linux, permisos y capacidades
Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com
En la mayoría de los casos, los contenedores se ejecutan dentro de un ordenador que ejecuta un sistema operativo Linux, y te será útil comprender algunas de las características fundamentales de Linux para que puedas ver cómo afectan a la seguridad, y en particular cómo se aplican a los contenedores. Cubriré las llamadas al sistema, los permisos basados en archivos y las capacidades, y concluiré con un análisis de la escalada de privilegios. Si estás familiarizado con estos conceptos, puedes pasar al capítulo siguiente.
Todo esto es importante porque los contenedores ejecutan procesos Linux que son visibles desde el host. Un proceso en contenedor utiliza llamadas al sistema y necesita permisos y privilegios del mismo modo que un proceso normal. Pero los contenedores nos ofrecen nuevas formas de controlar cómo se asignan estos permisos en tiempo de ejecución o durante el proceso de creación de la imagen del contenedor, lo que tendrá un impacto significativo en la seguridad.
Llamadas al sistema
Las aplicaciones se ejecutan en lo que se denomina espacio de usuario, que tiene un nivel de privilegios inferior al del núcleo del sistema operativo. Si una aplicación quiere hacer algo como acceder a un archivo, comunicarse utilizando una red o incluso averiguar la hora del día, tiene que pedir al núcleo que lo ...
Get Seguridad de los contenedores now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
