Capítulo 9. Romper el aislamiento de los contenedores
Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com
En el Capítulo 4, viste cómo se construye un contenedor y cómo obtiene una visión limitada de la máquina en la que se ejecuta. En este capítulo, verás lo fácil que es configurar los contenedores para que se ejecuten de forma que se rompa efectivamente este aislamiento.
A veces querrás hacer esto deliberadamente, para conseguir algo específico, como descargar la funcionalidad de red a un contenedor sidecar. En otras circunstancias, las ideas expuestas en este capítulo podrían comprometer seriamente la seguridad de tus aplicaciones.
Para empezar, hablemos del que posiblemente sea el comportamiento más inseguro por defecto en el mundo de los contenedores: ejecutarse como root.
Los contenedores se ejecutan como raíz por defecto
A menos que tu imagen de contenedor especifique un usuario no root o que especifiques un usuario no predeterminado cuando ejecutes un contenedor, por defecto el contenedor se ejecutará como root. Y es fácil confirmar que (a menos que estés configurado con espacios de nombres de usuario) no se trata sólo de root dentro del contenedor, sino también de root en la máquina anfitriona.
Nota
Este ejemplo asume que estás utilizando el comando docker proporcionado por Docker. Si has instalado podmanes posible que hayas seguido el consejo de poner un alias a docker para que en realidad ejecute podman ...
Get Seguridad de los contenedores now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
