DSM 7.2 Docker/Portainer = Risiko?

[stevenfreiburg]

Frage an die Netzwerkexperten: Docker setzt eigene iptables-Regeln und kann – wie auf jedem anderen Linux-System – somit wahrscheinlich auch auf DSM die Firewall teilweise umgehen/ändern. Ich kenne einen Fall, bei dem ein Kryptotrojaner nach einer Portainer-Installation (auf einem Linux-VPS) aufgetreten ist.

Selbst wenn man nur intern Applikationen mit Docker/Portainer laufen lässt, ist es mir persönlich irgendwie schon unheimlich, damit „jemanden im Haus zu haben“, der Firewall Einstellungen verändern kann.

Wie bewertet ihr die Sicherheit einer Synology mit Docker/Portainer und wie geht ihr damit um?

 

[JohneDoe]

damit „jemanden im Haus zu haben“, der Firewall Einstellungen verändern kann.

Wie jede Anwendung die als root läuft.

Ich bezweifle ganz stark dass er nur Portainer installiert hat. Und woher weiß er, dass es an Docker lag und nicht irgendwie anders rein kam?

Ansonsten Docker rootless verwenden oder podman.

 

[JohneDoe]

Was mir einfällt: du musst die Container ja nicht als root laufen lassen oder ein root Image verwenden. Das es Risiken gibt, wenn man den Docker Socket mappt ist ja auch nichts neues. Wer darauf Zugriff hat, hat root Rechte. Und du kannst ja die rechte entfernen was der Container darf. Dafür müsste man sich halt einarbeiten.
Aber ich glaube nicht, dass es durch Portainer drauf kam.

 

[plang.pl]

Ich nutze schon lange Portainer. Sehe da wie @JohneDoe erstmal nicht ein Problem bei Portainer an sich. Denke auch nicht, dass darüber eine Malware ohne Zutun reinkam.
Wie schon geschrieben. Das Laufen des Containers als Root und das Mappen des Docker Sockets ist das "Problem".