Je suis en train de créer un conteneur Docker SFTP uniquement , qui sera utilisé par plusieurs personnes dans le seul but de télécharger et de gérer des fichiers dans leur propre chroot
environnement ed.
Sur le papier, c'est assez sûr: je désactiverai toutes les formes de bash
connexion et je n'y exécuterai aucun autre processus. Cependant, je voudrais le durcir un peu plus:
Je veux empêcher ce conteneur d'accéder à Internet de l'intérieur, sauf dans le but d'être un serveur SFTP.
Pour que les choses soient claires: je sais comment empêcher le monde extérieur d'accéder à mon conteneur - je peux configurer les iptables
règles entrantes et je ne peux exposer que le port SFTP dans ma commande runer docker.
Cependant, je voudrais faire échouer la commande suivante (à titre d'exemple), lorsqu'elle est exécutée à l' intérieur du conteneur:
curl google.com
Mon intention est de réduire la quantité de dommages qu'un conteneur piraté peut faire (ne pas pouvoir être utilisé pour envoyer des spams, etc.).
--net=none
indicateur docker run
désactivera toutes les cartes réseau externes, vous permettant d'ajouter les vôtres et de personnaliser les règles de trafic réseau.