डॉकर डिमन अटॅक पृष्ठभाग किंवा त्रुटी: "डॉकर डिमन सॉकेटवर कनेक्ट करण्याचा प्रयत्न करीत असताना परवानगी नाकारली गेली ..."

या स्क्रीनशॉटचा स्त्रोत: शटरस्टॉक

सुरक्षेच्या दृष्टीकोनातून हे जाणून घेणे खूप महत्वाचे आहे की डॉकरसह कंटेनर आणि अनुप्रयोग चालविणे म्हणजे डॉकर डिमन चालविते. याची जाणीव असणे खूप महत्वाचे आहे. रूटलेस मोड अद्याप प्रायोगिक आहे.

डीफॉल्टनुसार नवीन आवृत्त्यांमध्ये ते UNIX सॉकेट वापरते जे “रूट” च्या मालकीचे आहे आणि इतर वापरकर्ते फक्त “sudo” वापरून त्यात प्रवेश करू शकतात, डॉकर डिमन टीसीपी पोर्टऐवजी त्या सॉकेटला जोडते, ते नेहमी “ रूट ”वापरकर्ता.

आपण "sudo" सह "डॉकर" चालवू इच्छित असल्यास नंतर "डॉकर" नावाचा एक गट तयार करा आणि त्यामध्ये वापरकर्ते जोडा, जेव्हा डॉकर डिमन सुरू होईल तेव्हा ते "डॉकर" गटाच्या सदस्यांद्वारे प्रवेशयोग्य सॉकेट तयार करते.

“डॉकर” गट “रूट” वापरकर्त्याच्या बरोबरीचे विशेषाधिकार मंजूर करतो.

केवळ अशी शिफारस केली जाते की केवळ विश्वासार्ह वापरकर्त्यांना आपल्या डॉकर डिमनवर नियंत्रण ठेवण्याची परवानगी दिली जावी. हे काही शक्तिशाली डॉकर वैशिष्ट्यांचा परिणाम आहे. विशेषत: डॉकर आपल्‍याला कंटेनरमधील प्रवेशाच्या अधिकारांवर मर्यादा न घालता डॉकर होस्ट आणि अतिथी कंटेनर दरम्यान एक निर्देशिका सामायिक करू देतो. याचा अर्थ असा की आपण कंटेनर सुरू करू शकता जिथे आपल्या होस्टवरील / होस्ट निर्देशिका / निर्देशिका आहे. त्यानंतर, कंटेनर कोणत्याही प्रतिबंधाशिवाय आपल्या होस्ट फाइल सिस्टममध्ये बदल करू शकतो. हे हायपरवाइजर सिस्टम फायलीसिस्टम रिसोअर्स शेअरींगला कसे परवानगी देते यासारखेच आहे.

याचा एक विशाल सुरक्षा परिणाम असू शकतो, उदाहरणार्थ एखादे एपीआयद्वारे वेब सर्व्हरपासून प्रोव्हिजन्स कंटेनरकडे आपले इन्स्ट्रुमेंट डॉकर असल्यास, पॅरामीटर तपासणीसह आपण नेहमीपेक्षा अधिक सावधगिरी बाळगली पाहिजे, हे सुनिश्चित करण्यासाठी की दुर्भावनापूर्ण वापरकर्ता डॉकरला कारणीभूत क्राफ्ट केलेले मापदंड पास करू शकत नाही. मनमानी कंटेनर तयार करण्यासाठी. डॉकरने १२7.०.०.१.२०१ bound ला बांधलेल्या टीसीपी सॉकेटऐवजी काही सीएलआय संप्रेषण युनिक्स सॉकेटवर बदलले आहे यामुळे यामुळे विशेषाधिकार वाढू शकले आहेत.

एचटीटीपीएस आणि प्रमाणपत्रांसह एपीआय एंडपॉईंट सुरक्षित करणे अनिवार्य आहे, आपल्या स्थानिक विश्वासू नेटवर्कला किंवा व्हीपीएनला विशेषतः परवानगी देण्याची देखील शिफारस केली जाते.

मी वेगळ्या लेखावर लिनक्स कर्नल क्षमता बद्दल लिहीन.

या लेखामध्ये वापरलेला स्त्रोत: https://docs.docker.com/engine/security/security/#docker-daemon-attack-surface