web-dev-qa-db-ja.com

Dockerコンテナー内からFirefoxを実行する

Root以外のユーザーの下でDockerコンテナー(XUbuntu)内からFirefoxを実行して、セキュリティレベルを上げますか?

さまざまな種類のマルウェアやブラウザのホールから保護するためにそうすることは理にかなっていますか?

web-browserfirefoxsandboxdocker
2
Vladimir Berlev

何故なの?それはあなたがしようとしている用途に依存します。このようにして、たとえば何かをダウンロードした場合、それはコンテナ内にダウンロードされます。 docker runコマンド中にボリュームマウントを指定した場合にのみ、ホストからアクセスできます。そうすることで、ダウンロードしたウイルスはコンテナ内に「サンドボックス化」されます。

しかし、それを忘れてはなりません。

  • コンテナはカーネルをホストと共有しています。
  • 非rootユーザーのホストでコンテナーを起動した場合でも、とにかくRCE(リモートコマンド実行)が発生すると、コンテナーからホストにエスケープできます。

したがって、良いアイデアかもしれませんが、100%リスクのない手法ではありません。それはあなたがやろうとしている用途に依存します。

1
OscarAkaElvis