هناك مقال جيد في وثائق عامل الميناء حول الأمن مع عامل الميناء: https://docs.docker.com/articles/security/
ومع ذلك ، فإنه ليس من الواضح جدا بالنسبة لي كيف عمليات الجذر متميزة في الحاوية تعمل فعلا في النظام المضيف ، وكيف أنا من المفترض أن تكوين سيلينوكس للتعامل مع خطر عملية "تسرب" خارج الحاوية.
على سبيل المثال ، أنا تشغيل إنجن إكس في حاوية ، وعندما أفعل "بس" خارج الحاوية ، أستطيع أن أرى جميع عمليات إنجن إكس.
root 7281 4078 0 01:36 ? 00:00:00 nginx: master process nginxwww-data 7309 7281 0 01:36 ? 00:00:00 nginx: worker processwww-data 7310 7281 0 01:36 ? 00:00:00 nginx: worker processwww-data 7311 7281 0 01:36 ? 00:00:00 nginx: worker processwww-data 7312 7281 0 01:36 ? 00:00:00 nginx: worker process
هذه ليست مفاجأة ، لأن هذه هي الطريقة التي يعمل بها عامل الميناء - انها ليست الافتراضية حيث لا يظهر أي شيء خارج فم. مع عامل الميناء ، يتم تشغيل عمليات الحاوية على نظام التشغيل المضيف داخل مساحات الأسماء والامتيازات المحدودة. انهم يتحدثون مباشرة إلى نواة المضيف.
في هذه الحالة ، وأعتقد أنني يجب تكوين سيلينوكس لتأمين عملية نجينكس بدلا من عامل الميناء ، تماما مثل إذا كان يعمل دون عامل الميناء. هل هذا صحيح?
أيضا, هل هناك أي تكوين عامل ميناء معين أكثر ملاءمة لتشغيل خوادم الويب مثل إنجن إكس ?