Toggle sidebar

Sicherheit Docker TVHeadend Freigabe

Status
Für weitere Antworten geschlossen.
T

tdse

Benutzer
Mitglied seit
27. Mrz 2018
Beiträge
63
Punkte für Reaktionen
2
Punkte
8
An Standort 1 läuft TVHeadend in Docker auf einer DS 918+. An Standort 2 möchte ich TV schauen. Die VPN Geschwindigkeit der beiden Fritzboxen reicht nicht für ruckelfreies TV. Ich könnte den Zugriff auf TVHeadend freigeben und dann ohne Probleme am 2. Standort TV schauen. Nur wie sicher ist das? TVHeadend ist passwortgeschützt, aber Docker läuft alsroot bzw. mit Adminrechten.
 
H

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.473
Punkte für Reaktionen
357
Punkte
103
Der Conainer läuft im priviled mode?

Es ist Konsens in der Container community, dass Container im privileged mode schwach isoliert vom Host laufen und ein Ausbruch nicht verhinderbar ist. Es soll nicht heissen das es einfach wäre auszubrechen... man muss immer noch einen Exploit für die Anwendung kennen und anwenden um das hinzubekommen.

Falls der Container ohne privilged mode verwendet wird, ist es vernachlässigbar wenn die Prozesse im Container als root laufen. Namespaces und CGroups beschneiden den "container root", so dass er keinen Schaden anrichten kann. Noch besser ist, wenn der TVHeadend-Prozess im Container als nicht privigiertes Benutzer gestartet wird...
 
Zuletzt bearbeitet:
T

tdse

Benutzer
Mitglied seit
27. Mrz 2018
Beiträge
63
Punkte für Reaktionen
2
Punkte
8
Danke für die Antwort. Was heißt das nun für mich? Ich verwende das Docker image von linuxserer.io. Ich glaube nicht, daß es im privilged mode ausgeführt wird. (oder anders gefragt: wie kann ich es herasufinden?) Und wie kann ich den Container als nicht privigierter Benutzer starten. Ich ging bisher davon aus, daß nur admins Docker verwenden können.
 
H

haydibe

Benutzer
Sehr erfahren
Mitglied seit
12. Apr 2016
Beiträge
1.473
Punkte für Reaktionen
357
Punkte
103
Hat damit überhaupt nichts zu tun. Docker Docker Dienst läuft IMMER als root. Die Docker-Cli kann von Haus aus nur von root oder Benutzern der Gruppe Docker verwendet werden.

Ein privileged Container ist einer, den man auf der shell mit --privleged abgelegt hat oder in der UI mit "Container mit hoher Prioriät ausführen" angelegt bzw. später hinzugefügt hat.

Container beenden, dann auf bearbeiten. Dann sieht man ob der Haken angehakt ist oder nicht.
 
T

tdse

Benutzer
Mitglied seit
27. Mrz 2018
Beiträge
63
Punkte für Reaktionen
2
Punkte
8
Vielen Dank für die Erklärung. Das Stichwort war für mich "Container mit hoher Prioriät ausführen". Habe nachgeschaut und der TVHeadend Container läuft ganz normal ohne privilged mode. Das Restrisiko ist dann nicht der Container sondern der offene port. Aber das ist ein anderes Thema.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
 
 
Oben Unten
Zurück