Capabilities

Apresentação

As capabilities representam a capacidade de um processo acessar um certo recurso, limitando ou disponibilizando tal permissão.

Como visto em docker breakout - privileged flag, nós podemos alcançar acesso ao host utilizando capabilities, dessa vez iremos mostrar como rodar adicionar ou remover certo capabilitie do contêiner

Implementation

Com o auxílio da flag --cap-drop e --cap-add, podemos respectivamente remover ou adicionar um capabilitie, podemos utilizar esses argumentos passando o nome da capabilitie que quermos ou dropar ou adicionar

Vamos ver como dropar o chown

Agora vamos remover todas as capabilities e adicionar apenas o chown

Utilizamos o apk para instalar o libcap para podermos utilizar o capsh para visualizar as capabilities presentes

Podemos ver que o único capabilitie que a máquina possui é o cap_chown

Conclusão

Podemos controlar os capabilities para garantir uma maior segurança em nosso contêiner.