Bonjour à tous, et bienvenue dans cette nouvelle vidéo où nous allons parler de docker rootless. Alors le mot important dans docker rootless, ce n’est pas pas docker, c’est « rootless ». Parce que la technique qui permet de sécuriser docker en se passant de l’utilisateur « root » repose sur des notions linux qu’on pourrait appliquer dans toute autre circonstance.
Merci à Timo Versemann pour les extraits sonores (Verleih uns Frieden gnädiglich.mp3).
00:00 Introduction
00:31 DOCKER ROOTLESS, c'est quoi ?
02:18 Pourquoi DOCKER ROOTLESS ?
02:50 La vulnérabilité DOCKER PRIVILEGE ESCALATION
03:27 OWASP DOCKER SECURITY CHEAT SHEET
05:10 Passage en DOCKER ROOTLESS sur UBUNTU
Cette vidéo va s’articuler autour de 3 questions. Déjà, le « quoi », « docker rootless, qu’est-ce-que c’est ? ». Ensuite le « pourquoi », « pourquoi utiliser le mode docker rootless » ? Et puis pour terminer on passera à la pratique avec le « comment », « comment fait-on du docker rootless ? ». Si vous n’êtes intéressé que par l’une des parties, vous pouvez tout simplement cliquer sur le chapitre correspondant.
Donc « Docker rootless, qu’est-ce que c’est ? ». Docker déjà. Docker, c’est à la fois un « démon » qui manipule des conteneurs, et un « client » (le CLI pour command line interface) qui permet d’interagir avec le démon, de lui donner des ordres à exécuter. Le problème, c’est que le démon et les conteneurs sont lancés avec l’utilisateur « root ». Et ça c’est mal. On y reviendra dans le chapitre suivant, un grand pouvoir implique de grandes responsabilités, et surtout de grands risques, et c’est pour ça que l’utilisateur « root », ça doit rester pour les grandes occasions. Le rootless maintenant. En rootless, le démon et les conteneurs ne sont plus lancés avec l’utilisateur « root ». Ils s’exécutent dans un user namespace avec ce qu’on pourrait appeler un « faux root ». Dans un user namespace, les utilisateurs sont mappés avec les utilisateurs du système et c’est ce qui me permet de définir un utilisateur qui aura l’identifiant 0, qui pourra être vu comme « root », mais qui correspondra par exemple à l’utilisateur d’identifiant 2000 du système, qui n’a rien à voir avec « root » et possède des droits limités. La réalité est bien sûr plus complexe. Comme on peut le lire ici « quand docker crée un conteneur, Docker crée de façon masquée tout un ensemble de namespaces et de control group. Les namespaces vont lui procurer un certain niveau d’isolation. Les processus du conteneur ne pourront ni voir, ni affecter les processus d’un autre conteneur, ni encore ceux du système. Les control group sont un autre élément clé des conteneurs. Ils permettent d’attribuer des ressources aux conteneurs (mémoire, cpu principalement) et de les superviser...
Негізгі бет Ғылым және технология Installer DOCKER en mode ROOTLESS sur UBUNTU
Пікірлер: 4