קוראים כמוך עוזרים לתמוך ב-MUO. כאשר אתה מבצע רכישה באמצעות קישורים באתר שלנו, אנו עשויים להרוויח עמלת שותף. קרא עוד.

Docker היא אחת מפלטפורמות המכולות הנפוצות ביותר והיא אהובה מאוד בקרב מהנדסי תוכנה. זה מגיע עם כלי CLI רב עוצמה לניהול מכולות Docker ומשימות קשורות אחרות.

כברירת מחדל, אתה זקוק להרשאות שורש כדי להפעיל פקודות הקשורות ל-Docker ב-Linux. כמובן, אתה יכול לשנות זאת מטעמי נוחות ולהפעיל פקודות Docker ללא הרשאות שורש, אך עליך להיות מודע להשלכות האבטחה.

מהו משטח ההתקפה של Docker?

משטח התקפה הוא מספר נקודות ההתקפה, יותר כמו מספר החלונות, שמשתמש זדוני יכול להשתמש בהן כדי להיכנס למערכת שלך ולגרום להרס. ככלל אצבע, למערכות IT צריך להיות משטחי תקיפה מינימליים כדי להפחית את סיכוני האבטחה.

באופן כללי, משטח ההתקפה של Docker הוא מינימלי מאוד. מיכלים פועלים בסביבה מבודדת מאובטחת ואינם משפיעים על מערכת ההפעלה המארחת אלא אם כן אחרת. בנוסף, קונטיינרים של Docker מריצים שירותים מינימליים בלבד מה שהופך אותו לאבטח יותר.

אתה יכול להגדיר את מערכת הלינוקס שלך לשלוט ב-Docker ללא הרשאות sudo. זה יכול להיות נוח בסביבות פיתוח אבל יכול להיות פגיעות אבטחה רצינית במערכות ייצור. וזו הסיבה שאסור לך להפעיל את Docker בלי sudo.

instagram viewer

1. יכולת שליטה במכולות Docker

ללא הרשאות sudo, כל מי שיש לו גישה למערכת או לשרת שלך יכול לשלוט בכל היבט של Docker. יש להם גישה לקובצי היומן של Docker ויכולים לעצור ולמחוק מכולות כרצונם, או בטעות. אתה עלול גם לאבד נתונים קריטיים שחיוניים להמשכיות עסקית.

אם אתה משתמש בקונטיינרים של Docker בסביבות ייצור, זמן השבתה מביא לאובדן עסקים ואמון.

2. השג שליטה על ספריות מערכת ההפעלה המארח

Docker Volumes הוא שירות רב עוצמה המאפשר לך לשתף ולהתמיד בנתוני מיכל על ידי כתיבתם לתיקיה שצוינה במערכת ההפעלה המארח.

אחד האיומים הגדולים ביותר שהפעלת Docker ללא sudo מציגה הוא שכל אחד במערכת שלך יכול לקבל שליטה על הספריות של מערכת ההפעלה המארח, כולל ספריית הבסיס.

כל מה שאתה צריך לעשות הוא להריץ תמונת Linux Docker, למשל, תמונת אובונטו, ולעלות אותה על תיקיית השורש באמצעות הפקודה הבאה:

docker run -ti -v /:/hostproot ubuntu bash

ומכיוון שמכולות Linux Docker פועלות כמשתמש השורש, זה בעצם אומר שיש לך גישה לכל תיקיית השורש.

הפקודה האמורה תוריד ותפעיל את תמונת אובונטו העדכנית ותעלה אותה על ספריית השורש.

במסוף המכולות של Docker, עבור אל /hostproot ספרייה באמצעות הפקודה cd:

CD /hostproot

פירוט התוכן של ספרייה זו באמצעות הפקודה ls מציג את כל הקבצים של מערכת ההפעלה המארח הזמינים כעת במיכל שלך. כעת, אתה יכול לתפעל קבצים, להציג קבצים סודיים, להסתיר ולבטל הסתרה של קבצים, לשנות הרשאות וכו'.

3. התקן תוכנה זדונית

תמונת Docker מעוצבת היטב יכולה לרוץ ברקע ולתפעל את המערכת שלך או לאסוף נתונים רגישים. גרוע מכך, משתמש זדוני עלול להפיץ קוד זדוני ברשת שלך באמצעות קונטיינרים של Docker.

יש כמה מקרי שימוש מעשיים של מכולות Docker, ועם כל אפליקציה מגיעה קבוצה שונה של איומי אבטחה.

אבטח את מכולות ה-Docker שלך בלינוקס

Docker היא פלטפורמה חזקה ומאובטחת. הפעלת Docker ללא sudo מגדילה את משטח ההתקפה שלך והופכת את המערכת שלך לפגיעה. בסביבות ייצור, מומלץ מאוד להשתמש ב-sudo עם Docker.

עם כל כך הרבה משתמשים במערכת, זה הופך להיות קשה מאוד להקצות הרשאות לכל משתמש. במקרים כאלה, הקפדה על שיטות בקרת הגישה הטובות ביותר יכולה לעזור לך לשמור על אבטחת המערכת שלך.