Docker (Usermgmt) Best Practice

mi2g · 19. September 2016

Hallo zusammen

Ich bin gerade mein neues NAS am planen. Das ganze werde ich mit OpenMediaVault Version 3 (Debian 8) machen.
Applikationen installier ich nicht mit den Plugins von OMV, sondern mit Docker Containern.

Wie sieht da Eure Empfehlung bezüglichen Usern aus? Ohne Docker Container sollte man pro Services ein User erstellen. Also z.B. ein User für Plex, Nextcloud, Sickrage, SABNZBD, etc..

Wenn ich jetzt all die Services in einem eigenen Container betreibe, ist das das selbe? Also pro Service (Container) ein User? Oder ein Docker User, unter dem alle Container laufen?

Danke & Gruss
mi2g

Kyze · 19. September 2016

Am sichersten ist es doch für jeden Service einen Benutzer anzulegen.

Ein Kompromiss wäre ein User für alle Dockers anzulegen.

Am einfachsten wäre es, alle Containter und Services unter dem normalen User/root laufen zu lassen.

Du hast die Wahl zwischen Aufwand und Security.
"Best practice" wäre meiner Meinung nach Variante 1.

TheSir · 19. September 2016

AFAIK muss doch der Dockerservice auf dem Wirtssystem sowieso mit erhöhten Rechten arbeiten - da kann man ihn doch direkt mit Root Rechten laufen lassen. Die einzelnen Programme in den Containern laufen dann jeweils mit ihren Usern (Apache/Nginx mit www-user, mysql mit mysql etc.)

exoterrist · 19. September 2016

Ja, Docker selbst läuft als root.

fax668 · 19. September 2016

Mit Debian 8 hat man bei Containern nur root als Option, weil das mit einem relativ alten Linux Kernel läuft. In neueren Linux Versionen (frag mich nicht, in welcher Debian Version das steckt), könnte man prinzipiell auch einen eigenen Benutzer pro Container anlegen. Was genau Docker in neueren Debian Versionen kann, bin ich aber überfragt.

Tumbleweed · 20. September 2016

Container ohne root zu starten funktioniert (noch) nicht. Es gibt Bestrebungen, vor allem auch seitens rkt, aber da hat sich meines Wissens noch nichts getan.

Nutzt man Docker, kann man immerhin capabilities droppen beim Container-Start. Nutzt man bind mounts, kann man diese, wo möglich, als read-only mounten. Bastelt man eigene Container, sollte man natürlich darauf achten seine Prozesse (im besten Fall sollte es ja nur einer sein) nicht als root auszuführen.

Man sollte die Isolations-Eigenschaften von Containern nicht überbewerten. Aber sie haben auch einige weitere Vorteile, die ihr Dasein definitiv rechtfertigen.

mi2g · 20. September 2016

Hört sich gut an. Danke euch.

Würdet ihr bei Debian 8 auf ein Backport Kernel (also 4.x) setzen? Oder gibts da mehr Probleme als es mir etwas bringt?

fax668 · 20. September 2016

Warum würdest du das machen wollen, ohne einen guten Grund dafür zu haben?

mi2g · 21. September 2016

Eventuell bessere Unterstützung für Docker?

mensch183 · 24. September 2016

fax668 schrieb:
Warum würdest du das machen wollen, ohne einen guten Grund dafür zu haben?

Das wäre meine Rückfrage auf das in Beitrag #1 genannte Ansinnen gewesen, in dem Fall überhaupt Docker zu verwenden.

Suche

Docker (Usermgmt) Best Practice

mi2g

Lieutenant

Kyze

Commander

TheSir

Lieutenant

exoterrist

Gast

fax668

Lieutenant

Tumbleweed

Captain

mi2g

Lieutenant

fax668

Lieutenant

mi2g

Lieutenant

mensch183

Captain

Ähnliche Themen

Passend zum Thema

Audacity 3.5.0 Update Update bringt Cloud-Speicherung und mehr

Fedora wird 40 Linux-Distribution feiert runden Geburtstag und lädt AI ein

Linux-News der Woche Neues bei Gnome, AMD ROCm, LXQt und Gaming-Notebooks