在做容器化应用时,是否要指定宿主机上的容器应用权限,避免root权限运行?

在做容器化应用时,是否要指定宿主机上的容器应用权限,避免root权限运行?显示全部

在做容器化应用时,是否要指定宿主机上的容器应用权限,避免root权限运行?

收起
参与16

查看其它 3 个回答dean25的回答

dean25dean25  软件架构设计师 , 民生银行

从安全角度考虑,最好要求容器启动时的用户是非root用户。这个不是在宿主机上限制的,而是在制作应用镜像的时候配置的,所以控制权限在应用开发人员那里。建议非root用户启动容器的主要考虑是docker本身还是不间断的会出现一些bug或者漏洞,如果黑客登陆到容器里,又有root权限,可能会利用docker的漏洞搞破坏,危害到宿主机,进而威胁到宿主机上的其它应用。但是容器内禁止使用root,也会带来一些文件访问权限的问题。如果对企业内部容器平台的用户访问控制非常有信心,也即可以登陆容器的用户是可信的,并且是可以审计的,也可以考虑允许以root用户启动容器。

银行 · 2019-06-21
浏览2296
赭山东路 邀答
  • 此外,在宿主机上通过root启动容器,在生产环境是绝对不被允许的。容器的生命周期应该有容器编排系统,如K8S来控制。宿主机只能容器平台的管理员登陆,其它普通应用用户只能通过编排系统控制容器
    2019-06-21

回答者

dean25
软件架构设计师民生银行
擅长领域: 云计算容器容器云

dean25 最近回答过的问题

回答状态

  • 发布时间:2019-06-21
  • 关注会员:5 人
  • 回答浏览:2296
  • X社区推广