10.02.2016 НовостиDocker обновила свою контейнерную платформу. В новой версии системы для создания и исполнения контейнеров Docker Engine 1.10 появились усиленные средства защиты, а инструменты управления контейнерами Docker Composer 1.6 и кластеризации Docker Swarm 1.1 дополнены новыми компонентами. В состав Docker Engine 1.10 включены средства для работы с пространствами имен пользователей, позволяющие присваивать им полномочия более низкого уровня, чем у суперпользователя (root privilege). Суперпользователь имеет права системного администратора и может открывать все ресурсы хоста своего контейнера. Пространства имен позволяют минимизировать или свести к нулю возможности пользователя действовать за пределами своего контейнера. По словам Скотта Джонстона, старшего вице-президента Docker, это было сделано по многочисленным запросам членов сообщества Docker, которые настойчиво просили устранить это слабое место в защите. С помощью Docker Engine 1.10 можно присвоить каждому контейнеру соответствующий уровень групповых полномочий. Для большинства пользователей это будет означать получение более низких прав, чем у суперпользователя. Как объяснил Джонстон, если такой пользователь попытается действовать за пределами своего контейнера, то по умолчанию у него не будет доступа по записи и лишь ограниченный доступ по чтению. Это достигается с помощью средств настройки политик и пространства имен пользователей. Еще одно связанное с защитой новшество называется Seccomp (secure computing mode). Это — ...
читать далее.