Một Docker blog post chỉ: containerBảo Mật Của Những Docker vì nó chạy như người dùng root
Docker là, theo mặc định, khá an toàn; đặc biệt là nếu bạn chăm sóc quá trình hoạt động của bạn bên trong container như người dùng không có đặc quyền (tức là không root)."
Vì vậy, vấn đề bảo mật là gì nếu tôi chạy như một gốc dưới Docker Ý tôi là, nó khá an toàn nếu tôi xử lý các quy trình của mình với tư cách người dùng không có đặc quyền, vì vậy, làm cách nào để tôi có thể gây hại cho máy chủ lưu trữ trong vùng chứa với tư cách là người dùng root? nó sẽ bị cô lập nếu nó không an toàn khi chạy dưới dạng root? Các cuộc gọi hệ thống nào có thể phơi bày hệ thống máy chủ sau đó?
Vì vậy, bạn sẽ gần như an toàn khi Docker bạn chạy chạy một người sử dụng không phải root để thực thi công cụ tùy ý – Mustafa
Tôi muốn có gốc truy cập trong vùng chứa, nhưng hãy chắc chắn rằng nó không thể phá vỡ hệ thống máy chủ. Điều này giúp việc thực hiện triết lý vùng chứa đơn lẻ trở nên dễ dàng hơn. – CMCDragonkai
Câu cuối cùng liên quan đến việc phá vỡ thùng chứa là một chút gây hiểu nhầm. Nếu bạn có thể thoát ra khỏi một thùng chứa, bất kể bạn ở bên trong thùng chứa nào, bạn sẽ thoát ra khi chính quy trình LXC đang chạy như trên hệ điều hành máy chủ. Đây thường là root. Điều đó nói rằng, nó vẫn là một ý tưởng tốt để chạy các quá trình container như một người dùng không có đặc quyền, vì điều đó làm cho nó khó khăn hơn để thoát ra khỏi container (ít nhất là trong lý thuyết). – nateware