Docker adalah salah satu platform containerisasi yang paling banyak digunakan dan sangat disukai oleh para insinyur perangkat lunak. Muncul dengan alat CLI yang kuat untuk mengelola wadah Docker dan tugas terkait lainnya.
Secara default, Anda memerlukan hak akses root untuk menjalankan perintah terkait Docker apa pun di Linux. Tentu saja, Anda dapat mengubahnya demi kenyamanan dan menjalankan perintah Docker tanpa hak akses root, tetapi Anda harus mengetahui implikasi keamanannya.
Apa Permukaan Serangan Docker?
Permukaan serangan adalah jumlah titik serangan, lebih seperti jumlah jendela, yang dapat digunakan pengguna jahat untuk masuk ke sistem Anda dan menyebabkan malapetaka. Sebagai aturan praktis, sistem TI harus memiliki permukaan serangan minimal untuk mengurangi risiko keamanan.
Secara umum, permukaan serangan Docker sangat minim. Kontainer berjalan di lingkungan terisolasi yang aman dan tidak memengaruhi sistem operasi host kecuali sebaliknya. Selain itu, wadah Docker hanya menjalankan layanan minimal yang membuatnya lebih aman.
Anda dapat mengonfigurasi sistem Linux Anda untuk mengontrol Docker tanpa hak istimewa sudo. Ini bisa nyaman di lingkungan pengembangan tetapi bisa menjadi kerentanan keamanan yang serius dalam sistem produksi. Dan inilah mengapa Anda tidak boleh menjalankan Docker tanpa sudo.
1. Kemampuan untuk Mengontrol Kontainer Docker
Tanpa hak istimewa sudo, siapa pun yang memiliki akses ke sistem atau server Anda dapat mengontrol setiap aspek Docker. Mereka memiliki akses ke file log Docker Anda dan dapat menghentikan dan menghapus kontainer sesuka hati, atau secara tidak sengaja. Anda juga bisa kehilangan data penting yang sangat penting untuk kelangsungan bisnis.
Jika Anda menggunakan wadah Docker di lingkungan produksi, waktu henti mengakibatkan hilangnya bisnis dan kepercayaan.
2. Dapatkan Kontrol Direktori OS Host
Docker Volumes adalah layanan andal yang memungkinkan Anda berbagi dan menyimpan data kontainer dengan menulisnya ke folder tertentu di OS host.
Salah satu ancaman terbesar yang menjalankan Docker tanpa sudo adalah bahwa siapa pun di sistem Anda dapat memperoleh kendali atas direktori OS host, termasuk direktori root.
Yang harus Anda lakukan adalah menjalankan image Docker Linux, misalnya image Ubuntu, dan memasangnya di folder root menggunakan perintah berikut:
docker run -ti -v /:/hostproot ubuntu bashDan karena kontainer Linux Docker dijalankan sebagai pengguna root, pada dasarnya berarti Anda memiliki akses ke seluruh folder root.
Perintah tersebut akan mendownload dan menjalankan image Ubuntu terbaru dan memasangnya di direktori root.
Di terminal kontainer Docker, buka /hostproot direktori menggunakan perintah cd:
CD /hostprootCantumkan isi direktori ini menggunakan perintah ls menampilkan semua file OS host yang sekarang tersedia di wadah Anda. Sekarang, Anda dapat memanipulasi file, melihat file rahasia, menyembunyikan dan menyembunyikan file, mengubah izin, dll.
3. Instal Perangkat Lunak Berbahaya
Gambar Docker yang dibuat dengan baik dapat berjalan di latar belakang dan memanipulasi sistem Anda atau mengumpulkan data sensitif. Lebih buruk lagi, pengguna jahat dapat menyebarkan kode jahat di jaringan Anda melalui wadah Docker.
Ada beberapa kasus penggunaan praktis wadah Docker, dan dengan setiap aplikasi muncul serangkaian ancaman keamanan yang berbeda.
Amankan Kontainer Docker Anda di Linux
Docker adalah platform yang kuat dan aman. Menjalankan Docker tanpa sudo meningkatkan permukaan serangan Anda dan membuat sistem Anda rentan. Di lingkungan produksi, sangat disarankan agar Anda menggunakan sudo dengan Docker.
Dengan begitu banyak pengguna pada suatu sistem, menjadi sangat sulit untuk memberikan izin kepada setiap pengguna. Dalam kasus seperti itu, mengikuti praktik kontrol akses terbaik dapat membantu Anda menjaga keamanan sistem Anda.
