Dockerコンテナー内の/ proc /へのアクセスはセキュリティ違反ですか?
Dockerコンテナーで、ファイル/ proc/statおよび/ proc/meminfoを読み取っています。私が理解しているように、彼らはホストの一人です。 (Dockerコンテナーに対してローカルではありません)
会議で、同僚は、これはセキュリティ違反であり、内部のセキュリティコンサルタントによる吟味が必要であると述べました。
コンテナは特権付きでもルートとしても実行されません。コンテナ内の私のプログラムはどちらも行いません。
質問1:これはセキュリティ違反だと彼は言っていますか?
質問2:ホストの/ procディレクトリをコンテナのフォルダにバインドマウントした場合はどうなりますか?それはセキュリティ違反でしょうか?
Dockerコンテナーで実行されているプロセスから確認できるのは、ホストのフィルターされたビューです/proc ファイルシステム。これは、ホスト上で実行されているプロセスが見ることができるものよりも少し小さいです。
q1についてこれがセキュリティ違反かどうかは、操作している環境に大きく依存します。ほとんどの環境では、これは問題になる可能性は低いので、同僚に問題の正確な考えを尋ねます(つまり、環境のセキュリティを危険にさらしている場所からどの情報が開示されているか)
Q2バインドマウント/procは、機密性の高い多くの情報をコンテナに公開するため、多少異なるストーリーです。繰り返しになりますが、環境によっては問題となる場合もあれば、そうでない場合もありますが、より危険な見通しです。