波德曼:如果用户是码头组的成员呢？

Question

从安全的角度看:使用波德曼运行OCI容器的用户是否有必要同时不是docker组的成员？

根据我的理解，Podman背后的想法是重新映射用户ids，这样容器中的根用户就相当于主机上的用户。安全概念更好，因为如果用户能够接管容器并突破，用户就不会自动成为主机上的根用户(考虑到容器中的进程是作为容器的根用户启动的)。

现在，如果主机上的用户在docker组中，它应该相当于拥有根访问权，如指南中所述：

docker组授予与根用户等效的权限。有关此操作如何影响系统安全性的详细信息，请参阅Docker Daemon攻击面。-- 来源

因此，如果攻击者突破了Podman管理的容器，同时启动容器的用户也在docker组中，那么与使用Docker管理容器相比，安全增益应该是零。这是正确的吗？

Answer 1

是的，我想说你的说法是正确的。访问主机上的Docker组成员的帐户(没有其他自定义保护)将允许攻击者将其权限升级为主机上的根用户。

通常，podman用于开发人员系统，而不是运行生产服务，在这种环境中通常使用CRI这样的工具。

值得注意的是，在类似podman的无根模式下运行Docker是可能的，这可能会减轻此类问题。