Dockerは危険という誤解と、本当に注意すべき点 - paiza times

こんにちは、吉岡(@yoshiokatsuneo)です。 Dockerは、シンプルで使い易い軽量仮想環境という特徴を生かして急速に発展しており弊社でも利用しています。 しかし、独自の概念を持つことや、機能が次々追加されていることから、誤解を生じることもあります。 特にセキュリティについては感情的になりやすいので正確な情報を把握することが大切です。ここでは、Dockerコンテナのセキュリティについてよくある誤解と注意点を紹介します。 ◆Dockerコンテナのセキュリティに関する誤解 コンテナを単に実行するだけで、ホストや他のコンテナがのっとられる コンテナは隔離環境で実行されますので、単純に(オプションを明示せずに)一般的なコンテナを実行するだけで、ホストや他のコンテナがのっとられることは現状はありません(知られてはいません)。 ホストのディレクトリ・ファイルを共有すれば、ホストのファイルに

[taguch1]

awsもgceもdockerも危険だからみんな使わないほうがいいよ。俺は使うけど。

[tanakh]

殆どの操作がrootなのは潜在的にリスキーだとは思うんですけどねえ

[NOV1975]

多分昨日の話題がトリガーなんだろうけど、少なくともあのあたりにはあんまり誤解している人はいなかったし、危険性があることは一般的な話としては誤解ではない（特別危険というわけでもないが

[mapk0y]

書いてあるとおりですが、これだけみるとdocker危ないしめんどくさいにしかならない気がするｗ。userns-remapが標準になると随分改善されそうだけど使いにくいと言われてSELinuxみたいに最初にOFFしましょうになるのかな

[John_Kawanishi]

コンテナはサンドボックスではない。通常のサーバー運用のSecurity対策となんらかわりはないというのか

[sho]

「信用できないDockerイメージ」の見極め方の指針が必要なのでは?

[naga_sawa]

要は Docker の向き不向き考えて適用場所を間違えちゃダメってことだろうか

[hinail]

"特にファイル共有に関するオプション(-v)を使うと、コンテナからホストにアクセスできるようになるので注意します。〜ファイル共有は最低限必要な範囲のみ行います。"

[t-tsuruoka]

“セキュリティについては感情的になりやすいので正確な情報を把握することが大切です。”

[adiboy]

後で読む

[mmorita44]

以前コンテナに対するSSH接続の必要性についても議論があった。やはりvmware等のハイバーバイザー型仮想環境を想定した利用方法は不向き。

[b-wind]

“信用できるDockerイメージを使い、コンテナをサーバとして公開しないようにすれば危険性は少ないです。”

[Rinta]

最近のセキュリティ事故関連の話を聞くと、「宇宙の戦士」に出てきた訓練教官の「危険な武器など存在しない。あるのは危険な人間だけだ。」という言葉を思い出す。

[hylom]

あとFedoraならSELinuxを有効にしておくとデフォルト設定でもコンテナからホストへの危なげなアクセスをそれなりに制限してくるっぽいのでこれは利用するべきと思った（RHEL/CentOSだとどうなるかは知らん）

[miau]

昨日の記事 http://qiita.com/titilat/items/f4f94a0cee9049125156 にはリンク無しかー。誤解を広めないためだろうけど、インシデント事例もセットで紹介したほうが理解が進みやすいからいいと思う。

[kgrock]

Dockerは危険という誤解と、本当に注意すべき点

[qtamaki]

情報は有用だけど、取り扱いに細心の注意が必要なことにかわりない。危険だけど便利だから注意して扱うべきものだ

[masatomo-m]

docker.sockの権限が強すぎるのは気になると言えば気になる所かなあ。個人開発端末で使うDocker運用と本番（インターネットに公開されている）環境でのDocker運用は異なるってとこを理解しとけば大丈夫かなと思う