Шпаргалки по безопасности: Docker

[powerman]

- "/var/run/docker.sock:/var/run/docker.sock"
необходимо срочно это изменить.

Да? Может подскажете заодно, как именно? Это настраивается только для тех контейнеров, которые без этого не могут выполнять свою работу — service discovery новых контейнеров, управление докером для запуска контейнеров, etc. Если такой функционал необходим — что надо изменить, чтобы всё продолжало работать, но более безопасным образом?

[de1m]

Никак это не меняется. В целом автор прав, но как и всегда есть исключения.

[square]

Вот тоже не люблю подобные утверждения без альтернативы, звучит как: — переходить дорогу на красный очень опасно, поэтому не советуем вам вообще её переходить, сидите дома.

[Acribia]

Спасибо, немного изменили текст, чтобы не быть столь категоричными. Однако количество случаев, когда это действительно нужно значительно ниже, количество случаев, когда без этой настройки можно было бы и обойтись. На наш взгляд, гораздо лучше говорить людям, что так делать не стоит. Те, кто действительно понимают, что делают, проигнорируют такие советы, а те, кто не понимают, не наступят на грабли лишний раз.

[powerman]

Не знаю, я никогда не встречал инструкций так делать на докерхабе для образов, которым этот доступ не был нужен. А запускают обычно по этим инструкциям.