Menú
Plataformas

Contenedores sin raíces

NOT ON THE CURRENT EDITION
This blip is not on the current edition of the radar. If it was on one of the last few editions it is likely that it is still relevant. If the blip is older it might no longer be relevant and our assessment might be different today. Unfortunately, we simply don't have the bandwidth to continuously review blips from previous editions of the radarUnderstand more
Nov 2019
Evaluar?

En teoría, los contenedores se deben controlar desde el respectivo tiempo de ejecución del contenedor, sin privilegios de usuario root. Esto no es sencillo ni trivial pero cuando se consigue, reduce la superficie de ataque y previene muchos problemas de seguridad, en particular la escalación de privilegios fuera del contenedor. Ya desde hace tiempo se habla de los contenedores sin raíces, y es parte de la especificación del tiempo de ejecución de contenedores abiertos y sus estándares de implementación runc, parte de Kubernetes. Por otra parte, Docker 19.03 introduce contenedores sin privilegios, como una funcionalidad experimental. Aunque esta funcionalidad no va bien todavía con varias de otras funcionalidades como los controles de recursos cgroups y los perfiles de seguridad AppArmor.