En théorie je suis d'accord, et j'ai moi-même mis longtemps à trouver une utilité à Docker.
Mais en pratique et dans le cas présent (serveur web), dans l'hypothèse où le serveur se ferait hacké (par exemple via une commande PHP shell_exec, system ou passthru), c'est la porte ouverte à tout un tas de tentatives d'élévation de privilèges qui peuvent amener l'attaquant à trouver des failles pouvant amener à passer root ou un autre compte administrateur.
L'intérêt de lancer le serveur web dans un bac à sable (Docker ou n'importe quel autre outil de compartimentation des processus), c'est que dans l'éventualité où il y aurait une faille dans le système ou bien des mots de passe lisibles dans l'un des fichiers accessibles sur la machine sur laquelle il tourne, et bien ces fichiers ou cette failles ne seraient pas exploitable.
[^] # Re: Docker
Posté par Cyril Chaboisseau (Mastodon) . En réponse à la dépêche bunkerized-nginx - Sécurisez facilement et sans tracas vos services web. Évalué à 2.
En théorie je suis d'accord, et j'ai moi-même mis longtemps à trouver une utilité à Docker.
Mais en pratique et dans le cas présent (serveur web), dans l'hypothèse où le serveur se ferait hacké (par exemple via une commande PHP shell_exec, system ou passthru), c'est la porte ouverte à tout un tas de tentatives d'élévation de privilèges qui peuvent amener l'attaquant à trouver des failles pouvant amener à passer root ou un autre compte administrateur.
L'intérêt de lancer le serveur web dans un bac à sable (Docker ou n'importe quel autre outil de compartimentation des processus), c'est que dans l'éventualité où il y aurait une faille dans le système ou bien des mots de passe lisibles dans l'un des fichiers accessibles sur la machine sur laquelle il tourne, et bien ces fichiers ou cette failles ne seraient pas exploitable.