Exploring Rootless Docker and User Namespaces

Небольшая статья еще от того года про тестирование rootless docker (экспериментальной фичи Docker 20.10), где автор пробует различные стандартные ситуации.

Возможность создавать rootless-контейнеры базируется на user namespaces. В конце того года вышли сразу две крутые статьи про это.

Improving Kubernetes and container security with user namespaces. Что такое user namespaces, как это спасает от известной CVE-2019-5736, какие на текущий момент есть сложности и как это в теории может работать в Kubernetes.

Evolving Container Security With Linux User Namespaces. О применение user namespaces в Netflix в их системе оркестрации Titus.

P.S. Про rootless-контейнеры я также писал здесь.

#ops #k8s #docker

Security Wine (бывший - DevSecOps Wine)

Exploring Rootless Docker and User Namespaces

Небольшая статья еще от того года про тестирование rootless docker (экспериментальной фичи Docker 20.10), где автор пробует различные стандартные ситуации.

Возможность создавать rootless-контейнеры базируется на user namespaces. В конце того года вышли сразу две крутые статьи про это.

Improving Kubernetes and container security with user namespaces. Что такое user namespaces, как это спасает от известной CVE-2019-5736, какие на текущий момент есть сложности и как это в теории может работать в Kubernetes.

Evolving Container Security With Linux User Namespaces. О применение user namespaces в Netflix в их системе оркестрации Titus.

P.S. Про rootless-контейнеры я также писал здесь.

#ops #k8s #docker

raesene.github.io

Exploring Rootless Docker

hottg.com/sec_devops/419

2.67K viewsDenis Yakimov, edited  Jan 21, 2021 at 09:31