Debian には Docker に関する警告項目があります。
Dockerグループのメンバーシップはsudoよりも危険です
私にとって、これはsudo自体が危険であることを意味します(Docker(グループメンバーシップ)よりも少ないですが)。
sudoのリスクは何ですか(おそらく一般的に、間違った構成に加えて)?
特に、どのようにダーバンこれはsudoが危険だということですか?
ベストアンサー1
dockerとsudoの両方がフルルートアクセスを提供します。最悪のリスクは本質的にどちらの場合も同じです。
ハッカーがフルルートアクセス権を取得した場合、リカバリには通常サーバーの再構築が含まれます。彼らは何でもすることができ、サーバーから何でも隠すことができます。
したがって、sudoは設定を介してルートアクセスを制限する可能性があるため、それほど危険ではありません。 Sudoは、ユーザーに対して実行するコマンドを制御するように構成できます。また、sudoユーザーは(通常)パスワードを入力する必要があります。これにより、ハッカーはそのユーザーアカウントにアクセスできますが、パスワードがない場合は悪意のある攻撃を防ぐことができます。
Dockerの場合、これらの設定機能がないため、「より危険」です。正しい「docker run」コマンドがわかっている場合は、dockerホストからrootにコマンドラインをインポートできます。例:
docker run -it --rm --privileged --pid=host alpine:latest nsenter -t 1 /bin/sh