![](\"https:\/\/demensdeum.com\/blog\/wp-content\/uploads\/2025\/03\/mediadocker-rootless.png\")
<\/p>\nDocker est devenu un outil indispensable dans les DevOps et le d\u00e9veloppement modernes. Il vous permet d’isoler l’encerclement, de simplifier la tenue et de mettre \u00e0 l’\u00e9chelle rapidement les applications. Cependant, par d\u00e9faut, Docker a besoin d’une racine, ce qui cr\u00e9e une zone potentiellement dangereuse, qui est souvent ignor\u00e9e dans les premiers stades.<\/p>\n
Docker utilise les capacit\u00e9s du Linux: CGroups, des espaces de noms, des iptables, du mont, de la mise en r\u00e9seau et d’autres fonctions syst\u00e8me. Ces op\u00e9rations ne sont disponibles que pour le super utilisateur.<\/p>\n
C’est pourquoi:
\n* Dockerd Demon commence \u00e0 partir de la racine,
\n* Les commandes Docker sont transmises \u00e0 ce d\u00e9mon.<\/p>\n
Cela simplifie le travail et donne un contr\u00f4le total sur le syst\u00e8me, mais en m\u00eame temps, il ouvre des vuln\u00e9rabilit\u00e9s potentielles.<\/p>\n
Avec une isolation faible, un attaquant peut utiliser Chroot ou Pivot_Root pour entrer l’h\u00f4te.<\/p>\n
Exemples d’attaques r\u00e9elles:<\/p>\n
* CVE-2019-5736-Vuln\u00e9rabilit\u00e9 \u00e0 Runc, autoris\u00e9 \u00e0 r\u00e9\u00e9crire l’application et \u00e0 ex\u00e9cuter le code sur l’h\u00f4te.
\n* CVE-2021-3156-Vuln\u00e9rabilit\u00e9 \u00e0 Sudo, autoris\u00e9 \u00e0 obtenir une racine \u00e0 l’int\u00e9rieur du conteneur et \u00e0 sortir.<\/p>\n
Si l’application dans le conteneur est vuln\u00e9rable et commence \u00e0 partir de root, RCE = contr\u00f4le complet sur l’h\u00f4te.<\/p>\n
<\/p>\n
Pour minimiser ces risques, le mode sans racine est apparu dans Docker. Dans ce mode, le d\u00e9mon et les conteneurs sont lanc\u00e9s au nom de l’utilisateur habituel, sans aucune privialit\u00e9 racine. Cela signifie que m\u00eame si un attaquant re\u00e7oit le contr\u00f4le du conteneur, il ne pourra pas nuire au syst\u00e8me h\u00f4te.
\nIl y a des restrictions: vous ne pouvez pas utiliser les ports inf\u00e9rieurs \u00e0 1024 (par exemple, 80 et 443), le mode priviled, ainsi que certains modes de r\u00e9seau, n’est pas disponible. Cependant, dans la plupart des sc\u00e9narios de d\u00e9veloppement et Docker sans racine CI \/ CD, il fait face \u00e0 sa t\u00e2che et augmente consid\u00e9rablement le niveau de s\u00e9curit\u00e9.<\/p>\n
D\u00e8s le d\u00e9but, le principe des plus petits privil\u00e8ges a \u00e9t\u00e9 appliqu\u00e9 dans le monde Unix \/ Linux. Moins les droits du processus sont moins \u00e9lev\u00e9s, moins il peut faire de mal. Docker a initialement exig\u00e9 un acc\u00e8s root, mais aujourd’hui, il est consid\u00e9r\u00e9 comme une menace potentielle.<\/p>\n
https:\/\/docs.docker.com\/engine\/security\/rootless\/<\/a> Docker est devenu un outil indispensable dans les DevOps et le d\u00e9veloppement modernes. Il vous permet d’isoler l’encerclement, de simplifier la tenue et de mettre \u00e0 l’\u00e9chelle rapidement les applications. Cependant, par d\u00e9faut, Docker a besoin d’une racine, ce qui cr\u00e9e une zone potentiellement dangereuse, qui est souvent ignor\u00e9e dans les premiers stades. Pourquoi DockerContinue reading “Docker Safety: Pourquoi le lancement de Root est-il une mauvaise id\u00e9e”<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[49],"tags":[],"class_list":["post-4147","post","type-post","status-publish","format-standard","hentry","category-blog","entry"],"translation":{"provider":"WPGlobus","version":"3.0.2","language":"fr","enabled_languages":["en","ru","zh","de","fr","ja","pt","hi"],"languages":{"en":{"title":true,"content":true,"excerpt":false},"ru":{"title":true,"content":true,"excerpt":false},"zh":{"title":true,"content":true,"excerpt":false},"de":{"title":true,"content":true,"excerpt":false},"fr":{"title":true,"content":true,"excerpt":false},"ja":{"title":true,"content":true,"excerpt":false},"pt":{"title":true,"content":true,"excerpt":false},"hi":{"title":false,"content":false,"excerpt":false}}},"jetpack_featured_media_url":"","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/demensdeum.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/4147","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/demensdeum.com\/blog\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/demensdeum.com\/blog\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/demensdeum.com\/blog\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/demensdeum.com\/blog\/fr\/wp-json\/wp\/v2\/comments?post=4147"}],"version-history":[{"count":6,"href":"https:\/\/demensdeum.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/4147\/revisions"}],"predecessor-version":[{"id":4153,"href":"https:\/\/demensdeum.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/4147\/revisions\/4153"}],"wp:attachment":[{"href":"https:\/\/demensdeum.com\/blog\/fr\/wp-json\/wp\/v2\/media?parent=4147"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/demensdeum.com\/blog\/fr\/wp-json\/wp\/v2\/categories?post=4147"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/demensdeum.com\/blog\/fr\/wp-json\/wp\/v2\/tags?post=4147"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nhttps:\/\/rootlesscontaine.rs\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"