17 meneos
142 clics
Los docker Alpine linux vienen con cuenta de root sin password [EN]
Investigadores de Cisco han revelado hoy que las imágenes de docker Alpine linux distribuidas desde el portal oficial Docker Hub han estado usando un password en blanco para el usuario root durante los últimos tres años. La distribución alpine linux es una de las más populares en Docker Hub, con cerca de 10 millones de descargas.
|
comentarios cerrados
Yo pienso que no se podía hacer login con root, pero quizás servicios que usen el sistema de usuarios para autenticar puedan estar comprometidos.
$ docker exec -ti -u 0 [container] /bin/sh
Si quieres proteger la cuenta root lo haces en tu Dockerfile, pero por defecto lo puedes hacer en todas las imágenes de linux (las que he probado).
[...]Services like sshd will not allow logins with blank passwords at all.
Unfortunately we missed the case when a user installs shadow and linux-pam instead of using the default tools.
Vale, interesante aporte extra. Luego efectivamente el fallo no fué el aparente; no se permitía el login con password (era un fallo imposible) pero sí que parece según este otro enlace que algo se les escapó. Curioso. Mañana lo leo con más tiempo.
cuando creas el contenedor le pones otro usuario por defecto que no tenga permisos cuando se ha creado todo.
RUN useradd -ms /bin/bash toto_user
USER toto_user
el usuario root seguira ahi, aunque corras el servicio en cuestion en otro
Si no esta root sin password estara con una password POR DEFECTO.
Por tanto cual es el problema?