Toggle sidebar

DSM 7.2 Docker/Portainer = Risiko?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

S

stevenfreiburg

Benutzer
Sehr erfahren
Registriert
05. Apr. 2022
Beiträge
469
Reaktionspunkte
260
Punkte
113
Frage an die Netzwerkexperten: Docker setzt eigene iptables-Regeln und kann – wie auf jedem anderen Linux-System – somit wahrscheinlich auch auf DSM die Firewall teilweise umgehen/ändern. Ich kenne einen Fall, bei dem ein Kryptotrojaner nach einer Portainer-Installation (auf einem Linux-VPS) aufgetreten ist.

Selbst wenn man nur intern Applikationen mit Docker/Portainer laufen lässt, ist es mir persönlich irgendwie schon unheimlich, damit „jemanden im Haus zu haben“, der Firewall Einstellungen verändern kann.

Wie bewertet ihr die Sicherheit einer Synology mit Docker/Portainer und wie geht ihr damit um?
 
stevenfreiburg schrieb:
damit „jemanden im Haus zu haben“, der Firewall Einstellungen verändern kann.
Zum Vergrößern anklicken....
Wie jede Anwendung die als root läuft.

Ich bezweifle ganz stark dass er nur Portainer installiert hat. Und woher weiß er, dass es an Docker lag und nicht irgendwie anders rein kam?

Ansonsten Docker rootless verwenden oder podman.
 
  • Like
Reaktionen: WX8EC9 und plang.pl
Was mir einfällt: du musst die Container ja nicht als root laufen lassen oder ein root Image verwenden. Das es Risiken gibt, wenn man den Docker Socket mappt ist ja auch nichts neues. Wer darauf Zugriff hat, hat root Rechte. Und du kannst ja die rechte entfernen was der Container darf. Dafür müsste man sich halt einarbeiten.
Aber ich glaube nicht, dass es durch Portainer drauf kam.
 
  • Like
Reaktionen: stevenfreiburg
Ich nutze schon lange Portainer. Sehe da wie @JohneDoe erstmal nicht ein Problem bei Portainer an sich. Denke auch nicht, dass darüber eine Malware ohne Zutun reinkam.
Wie schon geschrieben. Das Laufen des Containers als Root und das Mappen des Docker Sockets ist das "Problem".
 
  • Like
Reaktionen: stevenfreiburg
Synology NAS eignen sich nicht für kernelbasiertes IP-Blocking.
Durch fehlende Netfilter-Module wie ip_set_hash_net ist ipset praktisch nicht nutzbar.
Sicherheitslösungen wie CrowdSec funktionieren deshalb nur eingeschränkt oder auf Application-Layer.
Für ernsthafte Netzwerk-Security ist ein eigenes System mit Standard-Linux-Kernel notwendig. Also die "Lappen" von Synology gehen mir langsam auf den Sack. Systemwechsel Garantiert!!
 

Additional post fields

NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten