Slide 7
Slide 7 text
7
「10, 11章 セキュリティ」のご紹介
● Dan Walshはセキュリティの専門家
○ SELinuxnのメイン開発者
○ (当時の)Dockerのセキュリティ観点の課題をなんとかしたかった
● /sys, /procを可能な限りコンテナから見えない or 触れないようにする
○ ファイルには/dev/nullをバインドマウント
○ ディレクトリにはread onlyのtmpfsをマウント
■ /proc/acpi, /proc/kcore, /sys/firmware, /sys/dev/block等
○ 特定のサブディレクトリに対して、自身をread onlyでバインドマウント
■ /proc/bus, /proc/fs, /proc/irq等
○ コンテナに見せないファイルを追加したり(--security-opt mask=パス)、デフォルトではを見えな
いファイルを見えるように設定することも可能 (--security-opt unmask=パス)
● Capability
○ Docker (14個のcapをdrop) よりも多くのCapabilityをデフォルトでdrop
■ Podmanが追加でdropするcap: CAP_MKNOD, CAP_AUDIT_WRITE, CAP_NET_RAW
○ --cap-add, --cap-dropでカスタマイズ可能