エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
コンテナのcapabilityを落として運用する - Qiita
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
コンテナのcapabilityを落として運用する - Qiita
コンテナセキュリティの一つとして、不要なケーパビリティ(要はroot権限を細分化したもの)を落として動... コンテナセキュリティの一つとして、不要なケーパビリティ(要はroot権限を細分化したもの)を落として動かすことができる。 デフォルトではCHOWNやDAC_OVERRIDEなど、ほぼ要らない権限が含まれているので、アプリ側での防御を抜かれたときのために設定で落としておきたい。 ・・・という説明は無限に世にあるものの、具体的に何を設定すれば良いかの例が見つからなかったので、いくつか試したものをまとめる。 ケーパビリティ(Capability)とは rootユーザの、ファイルオーナー無視して読み書きしたり、ポート1024以下を開いたり、誰のプロセスでもKILLできたり、という特権を細分化したもの。 ポート80開くためだけにroot権限やるのはやり過ぎ、という時に、そのための権限NET_BIND_SERVICEだけ付与するということができる。 詳しくはmanとかここが分かりやすい。 例えばpin