![](\"https:\/\/demensdeum.com\/blog\/wp-content\/uploads\/2025\/03\/mediadocker-rootless.png\")
<\/p>\nO Docker se tornou uma ferramenta indispens\u00e1vel no DevOps e no desenvolvimento modernos. Ele permite que voc\u00ea isole o cerco, simplifique a roupa e escala rapidamente aplicativos. No entanto, por padr\u00e3o, o Docker requer uma raiz, e isso cria uma zona potencialmente perigosa, que \u00e9 frequentemente ignorada nos est\u00e1gios iniciais.<\/p>\n
O Docker usa os recursos do Linux: CGROUPS, Namespaces, iptables, Mount, Networking e outras fun\u00e7\u00f5es do sistema. Essas opera\u00e7\u00f5es est\u00e3o dispon\u00edveis apenas para o super -usu\u00e1rio.<\/p>\n
\u00c9 por isso:
\n* Dockerd Demon come\u00e7a da raiz,
\n* Os comandos do Docker s\u00e3o transmitidos a este dem\u00f4nio.<\/p>\n
Isso simplifica o trabalho e fornece controle total sobre o sistema, mas ao mesmo tempo abre vulnerabilidades em potencial.<\/p>\n
Com isolamento fraco, um invasor pode usar chroot ou pivot_root para entrar no host.<\/p>\n
Exemplos de ataques reais:<\/p>\n
* CVE-2019-5736-Vulnerabilidade para Runc, permitido reescrever o aplicativo e executar o c\u00f3digo no host.
\n* CVE-2021-3156-Vulnerabilidade para sudo, permitido obter uma raiz dentro do cont\u00eainer e sair.<\/p>\n
Se o aplicativo no cont\u00eainer estiver vulner\u00e1vel e iniciar da raiz, RCE = controle total sobre o host.<\/p>\n
<\/p>\n
Para minimizar esses riscos, o modo sem raiz apareceu no Docker. Nesse modo, o dem\u00f4nio e os cont\u00eaineres s\u00e3o lan\u00e7ados em nome do usu\u00e1rio usual, sem nenhum privil\u00e9gio de raiz. Isso significa que, mesmo que um invasor receba controle sobre o cont\u00eainer, ele n\u00e3o poder\u00e1 prejudicar o sistema host.
\nExistem restri\u00e7\u00f5es: voc\u00ea n\u00e3o pode usar portas abaixo de 1024 (por exemplo, 80 e 443), o modo -privilegiado, bem como alguns modos de rede, n\u00e3o est\u00e3o dispon\u00edveis. No entanto, na maioria dos cen\u00e1rios de desenvolvimento e no Docker sem raiz CI\/CD, ele lida com sua tarefa e aumenta significativamente o n\u00edvel de seguran\u00e7a.<\/p>\n
Desde o in\u00edcio, o princ\u00edpio dos menores privil\u00e9gios foi aplicado no mundo Unix\/Linux. Quanto menos direitos o processo, menos danos ele puder causar. O Docker exigiu inicialmente um acesso \u00e0 raiz, mas hoje \u00e9 considerado uma amea\u00e7a potencial.<\/p>\n
https:\/\/docs.docker.com\/engine\/security\/rootless\/<\/a> O Docker se tornou uma ferramenta indispens\u00e1vel no DevOps e no desenvolvimento modernos. Ele permite que voc\u00ea isole o cerco, simplifique a roupa e escala rapidamente aplicativos. No entanto, por padr\u00e3o, o Docker requer uma raiz, e isso cria uma zona potencialmente perigosa, que \u00e9 frequentemente ignorada nos est\u00e1gios iniciais. Por que o Docker funcionaContinue reading “Seguran\u00e7a do Docker: por que o lan\u00e7amento da raiz \u00e9 uma m\u00e1 ideia”<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[49],"tags":[],"class_list":["post-4147","post","type-post","status-publish","format-standard","hentry","category-blog","entry"],"translation":{"provider":"WPGlobus","version":"3.0.2","language":"pt","enabled_languages":["en","ru","zh","de","fr","ja","pt","hi"],"languages":{"en":{"title":true,"content":true,"excerpt":false},"ru":{"title":true,"content":true,"excerpt":false},"zh":{"title":true,"content":true,"excerpt":false},"de":{"title":true,"content":true,"excerpt":false},"fr":{"title":true,"content":true,"excerpt":false},"ja":{"title":true,"content":true,"excerpt":false},"pt":{"title":true,"content":true,"excerpt":false},"hi":{"title":false,"content":false,"excerpt":false}}},"jetpack_featured_media_url":"","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/demensdeum.com\/blog\/pt\/wp-json\/wp\/v2\/posts\/4147","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/demensdeum.com\/blog\/pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/demensdeum.com\/blog\/pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/demensdeum.com\/blog\/pt\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/demensdeum.com\/blog\/pt\/wp-json\/wp\/v2\/comments?post=4147"}],"version-history":[{"count":6,"href":"https:\/\/demensdeum.com\/blog\/pt\/wp-json\/wp\/v2\/posts\/4147\/revisions"}],"predecessor-version":[{"id":4153,"href":"https:\/\/demensdeum.com\/blog\/pt\/wp-json\/wp\/v2\/posts\/4147\/revisions\/4153"}],"wp:attachment":[{"href":"https:\/\/demensdeum.com\/blog\/pt\/wp-json\/wp\/v2\/media?parent=4147"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/demensdeum.com\/blog\/pt\/wp-json\/wp\/v2\/categories?post=4147"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/demensdeum.com\/blog\/pt\/wp-json\/wp\/v2\/tags?post=4147"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nhttps:\/\/rootlesscontaine.rs\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"