Посмотреть список привилегий процесса позволяет команда getpcaps.
Существует множество утилит для сканирования образов контейнеров, начиная от реализаций с открытым исходным кодом, таких как Trivy (https://oreil.ly/SxKQT), Clair (https://oreil.ly/avK-2) и Anchore (https://oreil.ly/7rFFt), и до коммерческих решений от таких компаний, как JFrog, Palo Alto и Aqua. Во многих реестрах образов контейнеров, например Docker Trusted Registry (https://docs.docker.com/ee/dtr), и в проекте Harbor (https://goharbor.io/) от CNCF, а также в реестрах от основных поставщиков облачных сервисов есть встроенные возможности сканирования.
Если же у файла установлен бит setuid, то процесс получит идентификатор пользователя владельца файла.
права доступа к файлам — краеугольный камень безопасности
до мизера, необходимого для выполнения их задачи.
Имеет смысл уменьшить до минимума объем запущенного на каждом хосте программного обеспечения, чтобы сократить поверхность атаки.
Контейнеры изолируют зависимости друг от друга, и потому выполнение нескольких приложений на одном сервере не доставляет никаких проблем.
Программный интерфейс, с помощью которого код из пользовательского пространства выполняет подобные запросы к ядру, называется интерфейсом системных вызовов (system call).
Каждая виртуальная машина влечет накладные расходы по выполнению всего ядра целиком. Благодаря совместному использованию ядра контейнеры гораздо рациональнее задействуют ресурсы и демонстрируют высокую производительность.
Хотя обычно используется название «контейнеры», правильнее было бы называть их «контейнеризованные процессы». Контейнер остается процессом Linux, работающим на хост-компьютере, просто видит лишь ограниченную часть этого хост-компьютера и имеет доступ только к части файловой системы, а возможно, и к ограниченному контрольными группами набору ресурсов.
