Docker: importance of UserID for volumes

Рет қаралды 11,359

Жыл бұрын

📽️ Subscribe: bit.ly/2UnOdgi
🖥️ Become a VIP member: bit.ly/3dItQU9
Let's continue on our docker training, in this Docker tutorial, we will discover an important concept of operation and security. Containers remain processes that are launched on the host operating system. Indeed, as we have seen recently, unlike virtual machines, a container does not have its own OS.
Nevertheless, if we talk about a process, we must talk about the user owner of this process. And this is where containers bring ease but also security risks. Thus, containers are often launched as root. This is a fairly high security risk.
In addition, the permissions of the volumes and therefore of the directories present on the host must be adapted to this user.
The user id is therefore essential but can be an important factor in allowing a person isolated in the container to take control of the host machine of the docker container.
Slides & Docker Codes: gitlab.com/xavki/docker-v2
Summary of over 1450 videos:
- on github: bit.ly/2P5x8Xj
- on gitlab : bit.ly/2BvYouO
➡️ ➡️ You want to encourage me like the video, comment on it and subscribe! 😃

Пікірлер: 38

@xavki Жыл бұрын

Abonnez-vous et pour soutenir la chaine et la vidéo, n'hésitez pas à en parler autour de vous (réseaux sociaux, bous à oreille, tchat, forums...). Pour vous former je vous invite à suivre la playlist kzfaq.info/sun/PLn6POgpklwWq0iz59-px2z-qjDdZKEvWd

@cheikhmara Жыл бұрын

Merci xavki pour cette védéo très instructive. Thanks

@xavki Жыл бұрын

Avec plaisir

@mamadoumansour7564 Жыл бұрын

Elles sont hyper intéressantes les vidéos. Encore merci xavki

@xavki Жыл бұрын

Cool merci ça me fait plaisir

@florentpa5187 Жыл бұрын

Superbe vidéo ! En entreprise, j'ai beaucoup vu de 777 et de uid/gid qui ne matchaient pas entre la machine hôte et le conteneur (parfois plusieurs conteneurs avaient un volume de type "bind" sur le même volume hôte avec des users différents). Content de voir qu'il est possible de faire des choses plus propre !

@xavki Жыл бұрын

C'est clair c'est souvent la jungle.

@loanvigouroux66 Ай бұрын

Super tuto, c'est très clair et bien expliqué ! tu devrais peux être moins souvent clear le terminal pour qu'on est le temps de lire et pas faire entrer directe pour pas qu'on doivent revenir 6 fois en arrière mais sinon c'est vrai super !

@xavki Ай бұрын

merci. Après certains les veulent d'autres les veulent pas ;) Pas facile de choisir ;)

@loanvigouroux66 Ай бұрын

Oui c'est sur ! En tout cas, ces cours sont super simples et bien expliqués, ça va beaucoup m'aider donc merci 😁

@casedor7251 8 ай бұрын

Excellent contenu, super pédagogique, merci beaucoup !

@xavki 8 ай бұрын

Merci à toi 😊

@hugoboss632 Жыл бұрын

Salut merci pour cette excellente vidéo. Enore une fois très instructif.

@xavki Жыл бұрын

Avec plaisir 👍

@fallphenix Жыл бұрын

Très bonne vidéo, très claire.

@xavki Жыл бұрын

Merci bien

@MrToratora95 Жыл бұрын

Merci pour ces vidéos, moi qui commence sur Docker c'est très enrichissant 🙂👍

@xavki Жыл бұрын

Merci à toi 🙂

@bbilal4025 Жыл бұрын

super merci

@xavki Жыл бұрын

Avec plaisir

@marcpotel2391 5 ай бұрын

Super vidéo merci ! Juste pour bien comprendre à 15:58 tu dis que nous avons monté dans ton exemple un bind mount. Si j'ai bien compris quand ont RUN notre image avec un -v comme argument il s'agit la d'un volume docker, pas d'un bind mount Je n'ai pas compris cette partie. Merci

@xavki 5 ай бұрын

Hello il s'agit d'un montage de type bind mount. C'est à dire un bind mount comme au sens linux. Un montage d'un répertoire vers un autre répertoire sur la même machine.

@smitchou35 8 ай бұрын

Très bonne vidéo ! Est-ce que tu comptes faire des vidéos sur les Gitlab CI ?

@xavki 8 ай бұрын

Oui tu pourras trouver cela dans la playlist gitlab v2

@smitchou35 8 ай бұрын

Merci :)@@xavki

@boursicoton Жыл бұрын

merci Beaucoup pour toutes ses explications qui clarifie le fonctionnement aux non initié. Je vois que tu utilises le répertoire /home/vagrant. Si tu avais dans tes videos une explication de se logiciel et son fonctionnement avec docker je suis prenneur. un peu perdu... merci pour le travail que tu donnes à la communautés.

@xavki Жыл бұрын

Bonjour je pense que tu trouveras tout cela dans cette playlist : kzfaq.info/sun/PLn6POgpklwWqhH2CKZnjZhpg-jbgq-Zhq Par contre rien de particulier démon côté entre vagrant et docker. Cela pourrait être sur un autre type d'hyperviseur. ++

@boursicoton Жыл бұрын

@@xavki Merci pourta réponse rapide, je vais regarder tout ça.

@bensaidhassan2569 Жыл бұрын

✌

@xavki Жыл бұрын

Thx

@guertedy4251 Жыл бұрын

Hello xafki, très intéressant. Mais si les volumes sont montés dans un docker compose comment spécifié l'utilisateur par défaut a l'exécution du dicker compose pour eviter l'usage du root? Merci

@xavki Жыл бұрын

Bonjour il y a effectivement des paramètres possibles dans docker-compose pour cela. Mais cela fera l'objet d'autres vidéos (docker-compose).

@guertedy4251 Жыл бұрын

@@xavki Merci beaucoup pour tes oeuvres

@inopsek Жыл бұрын

C'est un problème ces volumes. Et il me semble que la règle c est de faire tourner docker en rootless et de n'avoir dans le container que des id qui n'existent pas sur la machine... Mais dans ce cas comment faire... Les privilèges en 777 sont à bannir totalement...

@xavki Жыл бұрын

Bonjour. Oui on le verra plus tard il y a le user remap. Mais bon comme tu le dis ce n'est pas simple.

@derios629 Жыл бұрын

Création d'un groupe avec un ID, qui à les droits nécessaire sur le volume, et le propager au conteneur qui doivent avoir ces droits, ce qui n'empeche pas les conteneurs d'être rootless et d'être différent en fonction des conteneurs si besoin est. C'est la mm logique que les points de montages réseau sur des machines "classiques".