모든 것을 중단하지 않고 오버레이에서 다른 권한을 제거할 수 있는 방법이 있습니까? /var 폴더의 추가 권한으로 인해 보안 감사 플래그가 지정되었습니다.
예:
/var/lib/containerd/io.containerd.snapshotter.v1.overlayfs/snapshots/629/fs/usr/local/etc/npmrc 5370077 4 -rw-rw-rw 1 root root 31 Jul 2020
어떤 아이디어가 있나요?
답변1
이러한 권한이 "안전하지 않은" 것으로 감지되는 이유를 이해하는 것이 도움이 될 수 있습니다. 이 분류가 타당합니까?
가정: "모든 사람"(소유자 및 그룹 제외, 여기서는 루트:루트)이 읽기 및 쓰기 권한을 갖기 때문에 권한은 안전하지 않은 것으로 간주됩니다.
어쩌면 이 문서가 도움이 될 것입니다:https://www.tenable.com/audits/items/CIS_Docker_v1.3.1_L1_Docker_Linux.audit:414d1855f72c66a847aeee9a3a9ec326
추가 정보: https://jfrog.com/community/devops/linux-permissions-dos-and-donts/
답변2
이는 배포된 이미지 콘텐츠와 관련된 것 같습니다. Grafana에서도 동일한 "문제"가 발생했습니다.
우리가 찾은 도커 파일을 확인하는 중입니다(https://github.com/grafana/grafana/blob/main/Dockerfile):
문서:
/var/lib/containerd/io.containerd.snapshotter.v1.overlayfs/snapshots/115/fs/etc/grafana/provisioning 28830982 0 drwxrwxrwx 2 472 root 9 Aug 2 04:50
Docker 파일의 줄:
chmod -R 777 "$GF_PATHS_DATA" "$GF_PATHS_HOME/.aws" "$GF_PATHS_LOGS" "$GF_PATHS_PLUGINS" "$GF_PATHS_PROVISIONING"
따라서 기본적으로 이미지가 생성되는 방식은 런타임과 관련이 없습니다. 스냅샷에서 볼 수 있는 것은 해당 이미지의 레이어뿐입니다.