【发布时间】:2013-12-19 06:23:20
【问题描述】:
我想运行 docker 或 LXC 容器,但限制对容器本身的访问。具体来说,是否可以阻止根(主机上的根)访问容器? 从访问,我的意思是 SSH 进入容器,tcpdump tx/rx 放入容器,分析应用程序等。
谢谢!
【问题讨论】:
【发布时间】:2013-12-19 06:23:20
【问题描述】:
无法有效地限制主机上的特权用户检查或访问容器。如果是这样的话,很难想象 root 用户怎么可能一开始就启动容器。
一般来说,记住容器化用于将进程限制在一个受限空间是很有用的:它用于防止进程离开主机,而不是阻止其他进程进入。
【讨论】:
-
同意容器化本质上是为了包含一个从走出去的过程。我想知道是否可以在容器中使用某种访问控制来限制访问,包括来自特权用户的访问。 root 可以启动/删除容器,但我想限制对容器本身的内容以及传入和传出容器的数据的访问。
-
这真的不可行。这样看:容器的整个文件系统都可以被主机上的 root 用户访问。无论您采取什么保护措施,root 用户仍然可以在启动容器之前将文件插入到容器中(例如新的 SSH 密钥)并运行它。所有传入或传出容器的数据都经过主机,这意味着超级用户可以拦截它。我看不出有什么办法可以按照您的要求进行操作。