Вопросы Теги

Как docker предотвращает чтение root с блочного устройства?

Ваш SNAT соответствует другому номеру порта DNAT и диаграмме, поэтому эта настройка будет работать, только если клиент OpenVPN в качестве маршрутизатора выходит в Интернет через сервер OpenVPN.

Вероятно, вам следует заменить 32400 на 8081.

0
22.05.2020, 16:36
1 ответ

Контроллер устройств cgroup управляет доступом к необработанным устройствам. Основываясь на символе типа (или блоке ), старших и младших номерах устройств, он позволяет указать права на чтение, запись и создание. Docker по умолчанию не разрешает чтение и запись на большинство устройств.

В cgroup -v2 контроллер устройства удален, вместо этого вы можете присоединить программу eBPF к cgroup, чтобы определить доступ к устройству. Мне любопытно, насколько читаемым/обнаруживаемым это будет.

1
18.03.2021, 23:34

Теги

Похожие вопросы

  • 6
    Действительно ли sudo и gksudo безопасны? 27.10.2012
    Я заметил после выполнения команды sudo в терминале или запуска административного приложения, которое использует gksudo, это не попросит снова пароль какое-то время (что-то как 5 минут). Теперь позвольте нам...
  • 14
    Как создать пользователя cgroups с systemd 03.12.2014
    Я использую непривилегированные lxc контейнеры в Дуге Linux. Вот базовая система infos: [chb@conventiont ~] $ uname-a Linux conventiont 3.17.4-Chb № 1 SMP ВЫТЕСНЯЕТ пятница 28 ноября 12:39:54 UTC 2014 x86_64 GNU/...
  • 0
    Исправление TCP SACK для ядра Ubuntu 16.04 версии 4.15.0-1021-gcp 26.06.2019
    У меня есть сервер в облаке Google, на котором работает Ubuntu 16.04 с ядром версии 4.15.0-1021- gcp. Недавно было выпущено исправление для исправления некоторых уязвимостей. У меня есть вопрос по этому поводу: нужно ли мне обновлять мой ...
  • 9
    Команда «date -d» не работает в контейнере Docker Alpine Linux 03.06.2019
    Я собрал Alpine Linux в контейнере Docker со следующим файлом Dockerfile: FROM alpine: 3.2 RUN apk add --update jq curl && rm -rf / var / cache / apk / * сборка прошла успешно: $ docker build -...
  • 56
    Что делает опцию Chromium '-без песочниц' средний? 22.03.2013
    Я выполняю Хром как так: хром - без песочниц я делаю это, потому что я работаю, Debian Сжимают на Контейнере OpenVZ VM, и это - единственный способ, которым я могу заставить его работать. Хотя я продолжаю читать...
  • 3
    Установка права выполнения на целый каталог - является этим хорошая или плохая идея? 11.11.2011
    У меня есть zip-файл, содержащий партию файлов и каталогов для определенного приложения, которое должно работать на Linux. Некоторые файлы должны быть установлены как исполняемый файл, но формат zip-файла afaik не делает...
  • 4
    Acecssing NFS доля без корневых привилегий 25.06.2018
    Я хочу получить доступ к долей NFS из контейнера Docker. У меня нет контроля над тем, как начинается этот контейнер Docker, поэтому я не могу запустить его в привилегированном режиме и т. Д. Но, честно говоря, я даже не хочу ...