Upgrade to Pro — share decks privately, control downloads, hide ads and more …

rootlessコンテナのすゝめ - 研究室サーバーでもできる安全なコンテナ管理

Azuma
November 16, 2024
Technology
3
420

rootlessコンテナのすゝめ - 研究室サーバーでもできる安全なコンテナ管理

#2 学生と社会人LT
https://gijutsu-club.connpass.com/event/334645/

Azuma

November 16, 2024
Tweet

Other Decks in Technology

See All in Technology
セキュリティ系アップデート全体像と AWS Organizations 新ポリシー「宣言型ポリシー」を紹介 / reGrowth 2024 Security
masahirokawahara
0
380
PHPからGoへのマイグレーション for DMMアフィリエイト
yabakokobayashi
1
140
Kubernetes環境のオブザーバビリティの次の一歩をOpenTelemetryで実現すると何がどうなるの? - CloudNative Days Winter 2024
katzchang
0
130
GPTsで模擬問題生成して資格対策してみる
hsg_alf
2
120
NilAway による静的解析で「10 億ドル」を節約する #kyotogo / Kyoto Go 56th
ytaka23
3
350
KubeCon NA 2024 Recap / Running WebAssembly (Wasm) Workloads Side-by-Side with Container Workloads
z63d
1
220
バクラクのドキュメント解析技術と実データにおける課題 / layerx-ccc-winter-2024
shimacos
2
690
Jetpack Composeで始めるServer Cache State
ogaclejapan
2
150
Snowflake女子会#3 Snowpipeの良さを5分で語るよ
lana2548
0
200
統計データで2024年の クラウド・インフラ動向を眺める
ysknsid25
2
800
Splunk Enterpriseで​ S3のデータを直接検索してみた!
recruitengineers
PRO
2
140
alecthomas/kong はいいぞ / kamakura.go#7
fujiwara3
1
280

Featured

See All Featured
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
1.9k
A Tale of Four Properties
chriscoyier
157
23k
Become a Pro
speakerdeck
PRO
26
5k
Fashionably flexible responsive web design (full day workshop)
malarkey
405
65k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
330
21k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Adopting Sorbet at Scale
ufuk
73
9.1k
Practical Orchestrator
shlominoach
186
10k
KATA
mclloyd
29
14k
The Power of CSS Pseudo Elements
geoffreycrofte
73
5.4k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
26
1.8k
Fireside Chat
paigeccino
34
3.1k

Transcript

  1. rootlessコンテナのすゝめ 研究室サーバーでもできる安全なコンテナ管理 Azuma (@azuma_alvin) 学生と社会人LT #2

  2. 1 自己紹介 • 修士1年 • Go, Kubernetes, Vimが好き • 研究室サーバーの管理人

    Azuma @azuma_alvin @kitsuya0828

  3. 突然ですが 2

  4. 3 Dockerを使ったことがある人!

  5. 4 Dockerに「rootlessモード」が あるのを聞いたことがある人!

  6. 実は… ((((;゚Д゚)))) 5

  7. 6 デフォルトのroot権限で動作する Dockerは設定次第でホストに 深刻なリスクをもたらす!

  8. 7 $ sudo usermod -aG docker \ azuma dockerグループにユーザーを追加 すると何ができるようになる?

  9. 8 $ docker run –it \ --rm \ -v /:/tmp

    \ ubuntu \ rm -rf /tmp Q1. 実行結果は? ※ 検証環境以外で実行しないでください

  10. 9 $ docker run -ti \ --name hacker \ --privileged

    \ -v /:/host \ ubi8 \ chroot /host Q2. 実行結果は? ※ 検証環境以外で実行しないでください

  11. 10 https://docs.docker.com/engine/install/linux-postinstall/ • dockerグループはrootレベルの権限付与 • 非rootで実行するにはrootlessモード

  12. 11 rootlessモード移行を 検討する前に

  13. コンテナエンジンの比較 12 rootlessモード デフォルトで rootless かつ daemonless ユーザーごとに daemonを起動させる

  14. 13 DockerとPodmanはほぼCLI互換 $ docker run -d \ --name my-nginx \

    -p 8080:80 \ nginx $ podman run -d \ --name my-nginx \ -p 8080:80 \ nginx alias docker=podmanで切り替え可能

  15. 14 rootlessコンテナに 話を戻しましょう

  16. 15 rootlessコンテナ内でも apt-get installするために root権限を使える? → 可能 コンテナ内のrootユーザーは ホスト側から見た一般ユーザー

  17. ユーザー名前空間 16 ホスト コンテナ 65536 0 … 2401 … 1083040

    … 1148575 … 232 0 1 … 1000 1001 … 65536 nobody ... azuma:1083040:65536 /etc/subuid の内容: コンテナ内のrootユーザー = ホストから見た一般ユーザー azuma

  18. 17 $ podman run –it \ --rm \ -v /:/tmp

    \ ubuntu \ rm -rf /tmp Q3. 実行結果は? ※ 検証環境以外で実行しないでください

  19. 18 研究室サーバー…|д゜)チラッ

  20. 研究室サーバーのPodman移行 19 • rootless • daemonless • Dockerと 高いCLI互換性 メリット

    デメリット • 認知負荷? • 引き継ぎ?

  21. NASをコンテナにマウントして書き込む 20 $ id uid=2401(azuma) gid=2401(azuma) groups=2401(azuma),995(nas_access),998(docker) の場合 $ docker

    run -it --rm \ -u $(id -u):$(id -g) \ --group-add 995 \ -v $NAS_SOURCE:$DESTINATION \ myimage

  22. NASをコンテナにマウントして書き込む 21 $ id uid=2401(azuma) gid=2401(azuma) groups=2401(azuma),995(nas_access),998(docker) の場合 $ podman

    run -it --rm \ --userns keep-id \ --group-add keep-group \ -v $NAS_SOURCE:$DESTINATION \ myimage

  23. 22 コンテナって面白い!

  24. 23 もっと詳しく Podman入門とrootlessコンテナ(#9) てっく・ざ・ぶろぐ! https://alvinvin.hatenablog.jp/entry/9

  25. 24 参考書籍 Podman in Action Daniel Walsh https://developers.redhat.com/e-books/podman-action Podmanイン・アクション Daniel

    Walsh (著)、磯田雄輝 ほか (翻訳)、秀和システム http://www.shuwasystem.co.jp/book/9784798070209.html