Capabilities
Last updated
Last updated
As capabilities representam a capacidade de um processo acessar um certo recurso, limitando ou disponibilizando tal permissão.
Como visto em docker breakout - privileged flag, nós podemos alcançar acesso ao host utilizando capabilities, dessa vez iremos mostrar como rodar adicionar ou remover certo capabilitie do contêiner
Com o auxílio da flag --cap-drop e --cap-add, podemos respectivamente remover ou adicionar um capabilitie, podemos utilizar esses argumentos passando o nome da capabilitie que quermos ou dropar ou adicionar
Vamos ver como dropar o chown
Agora vamos remover todas as capabilities e adicionar apenas o chown
Utilizamos o apk para instalar o libcap para podermos utilizar o capsh para visualizar as capabilities presentes
Podemos ver que o único capabilitie que a máquina possui é o cap_chown
Podemos controlar os capabilities para garantir uma maior segurança em nosso contêiner.