Насколько изолирован docker-контейнер?

Question

[Kroid]

Можно ли изнутри docker-контейнера (например, подключившись к нему через ssh) получить доступ к серверу, на котором работает этот контейнер (не считая тех случаев, когда это делается специально, вроде расшаривания определенной директории)? Безопасно ли давать кому попало рутовый доступ к запущенному контейнеру, если плевать на контейнер, но не плевать на сервер?

Answer 1

[Ilya Evseev]

Безопасно, если немедленно устанавливать все обновления безопасности для ядра Linux.
Иначе есть риск, что в контейнере запустят exploit, дающий возможность выйти из контейнера, получить права суперпользователя и т.д.

Answer 2

[Сергей Протько]

Если запустите docker контейнер из под пользователя с ограниченными правами то вполне себе можно давать кому попало root внутри контейнера.

Answer 3

[brutal_lobster]

Кому попало в принципе тяжко давать ) Изоляция не полная, ядро общее..
Обновления безопасности или ограниченные права не дадут гарантии - разве что скрипткидди не сразу смогут поломать. Хотя может больше и не надо)
Да и запустить могут какую-нибудь лабуду - польются абузы и баны..

Обязательны мониторинг, тотальный контроль и бэкапы уровнем выше.
+ рекомендую ознакомиться с опытом openshift и компании )
www.youtube.com/watch?v=3gkEfzja4wc