誰もdockerグループに追加しないことのセキュリティへの影響

nobodyユーザーは元々NFSに使用されていました。しかし、rootで実行する必要のないデーモンを実行するために、これを使用し始めました。これは1つのデーモンだけで使用する場合は問題ありませんでしたが、そのユーザーとして複数のデーモンを実行している場合はお勧めしません。 Linuxはinter-user分離のみを提供し、intra-user分離は提供しません、つまり、ユーザーXとユーザーYは互いのプロセスを改ざんすることはできませんが、ユーザーXとして実行されている1つのプロセスがユーザーXとして実行されている別のプロセスを改ざんできます。Dockerがこのユーザーとして実行されている場合、同じユーザーとして実行されているすべてのものが侵害される可能性がありますたとえば、デバッガーを接続し、ptrace()および類似のsyscallを介してメモリを変更したり、kill()またはfcntl()を介して信号を送信したり、prlimit64()。

推奨される解決策は、ownユーザーまたはグループで非特権デーモンを実行することです。