Ah excellent, ça ressemble au hack que j’ai mis plus bas sauf que:
Le conteneur tourne tout de suite avec le bon utilisateur non-root
Le binaire fixuid est avec le bitmask setuid (se lance avec les droits du fichier, ici root, et pas les droits de l’utilisateur qui lance le fichier)
Le binaire est static (sources en Go), donc facile à intégrer dans n’importe quel conteneur
C’est top, merci beaucoup c’est exactement ça qu’il me fallait.
Il va quand même falloir que j’étudie le code source de ce binaire, car vu qu’il est setuidroot ça peut être un moyen de devenir root dans le conteneur (ce qui est un peu con vu que c’est ce qu’on évite de faire).
N.B. mais pourquoi n’ai-je pas pensé avant à faire un binaire setuid root ??
[^] # Re: Root
Posté par Cyrille Pontvieux (site web personnel, Mastodon) . En réponse au journal LinuxFr avec Docker. Évalué à 4.
Ah excellent, ça ressemble au hack que j’ai mis plus bas sauf que:
fixuidest avec le bitmasksetuid(se lance avec les droits du fichier, iciroot, et pas les droits de l’utilisateur qui lance le fichier)C’est top, merci beaucoup c’est exactement ça qu’il me fallait.
Il va quand même falloir que j’étudie le code source de ce binaire, car vu qu’il est
setuidrootça peut être un moyen de devenirrootdans le conteneur (ce qui est un peu con vu que c’est ce qu’on évite de faire).N.B. mais pourquoi n’ai-je pas pensé avant à faire un binaire setuid root ??