Upgrade to Pro — share decks privately, control downloads, hide ads and more …

rootlessコンテナのすゝめ - 研究室サーバーでもできる安全なコンテナ管理

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for Azuma Azuma
November 16, 2024
Technology
3
2.6k

rootlessコンテナのすゝめ - 研究室サーバーでもできる安全なコンテナ管理

#2 学生と社会人LT
https://gijutsu-club.connpass.com/event/334645/

Avatar for Azuma

Azuma

November 16, 2024
Tweet

More Decks by Azuma

See All by Azuma
Beyond Multiprocessing: A Real-World ML Workload Speedup with Python 3.13+ Free-Threading
Avatar for Azuma kitsuya0828
1
1.5k
研究室サーバーとKubeflowで実践するNotebook as a Service
Avatar for Azuma kitsuya0828
0
580

Other Decks in Technology

See All in Technology
システム標準化PMOから ガバメントクラウドCoEへ
Avatar for 高橋広和 techniczna
1
100
銀行の​内製開発にて​2つの​プロダクトを​1つのチームで​スクラムしてみてる​話
Avatar for koba1210 koba1210
1
130
PMとしての意思決定とAI活用状況について
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
130
Abuse report だけじゃない。AWS から緊急連絡が来る状況とは?昨今の攻撃や被害の事例の紹介と備えておきたい考え方について
Avatar for kazzpapa3 kazzpapa3
1
820
マルチアカウント環境でSecurity Hubの運用!導入の苦労とポイント / JAWS DAYS 2026
Avatar for GENDA genda
0
780
us-east-1 に障害が起きた時に、 ap-northeast-1 にどんな影響があるか 説明できるようになろう!
Avatar for Kazuki Miura miu_crescent
PRO
13
4.4k
[E2]CCoEはAI指揮官へ。Bedrock×MCPで構築するコスト・セキュリティ自律運用基盤
Avatar for ishii-takuya taku1418
0
180
情シスのための生成AI実践ガイド2026 / Generative AI Practical Guide for Business Technology 2026
Avatar for Akira Maeda glidenote
0
270
The_Evolution_of_Bits_AI_SRE.pdf
Avatar for 株式会社ヌーラボ nulabinc
PRO
0
230
ソフトバンク流!プラットフォームエンジニアリング実現へのアプローチ
Avatar for SoftBank Tech Night sbtechnight
0
150
OCI技術資料 : コンピュート・サービス 概要
Avatar for Oracle Cloud Infrastructure ソリューション・エンジニア ocise
4
54k
進化するBits AI SREと私と組織
Avatar for 株式会社ヌーラボ nulabinc
PRO
1
200

Featured

See All Featured
How to build an LLM SEO readiness audit: a practical framework
Avatar for Nick Samuel nmsamuel
1
680
How GitHub (no longer) Works
Avatar for Zach Holman holman
316
140k
From Legacy to Launchpad: Building Startup-Ready Communities
Avatar for Dug Song dugsong
0
180
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
25
1.8k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
46
2.7k
B2B Lead Gen: Tactics, Traps & Triumph
Avatar for Sophie Logan marketingsoph
0
77
Building AI with AI
Avatar for Ines Montani inesmontani
PRO
1
800
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
Avatar for Christian Goodrich cargoodrich
3
120
How To Speak Unicorn (iThemes Webinar)
Avatar for Michelle Schulp Hunt marktimemedia
1
410
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
187
22k
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
666
130k
Deep Space Network (abreviated)
Avatar for Tony Rice tonyrice
0
92

Transcript

  1. rootlessコンテナのすゝめ 研究室サーバーでもできる安全なコンテナ管理 Azuma (@azuma_alvin) 学生と社会人LT #2

  2. 1 自己紹介 • 修士1年 • Go, Kubernetes, Vimが好き • 研究室サーバーの管理人

    Azuma @azuma_alvin @kitsuya0828

  3. 突然ですが 2

  4. 3 Dockerを使ったことがある人!

  5. 4 Dockerに「rootlessモード」が あるのを聞いたことがある人!

  6. 実は… ((((;゚Д゚)))) 5

  7. 6 デフォルトのroot権限で動作する Dockerは設定次第でホストに 深刻なリスクをもたらす!

  8. 7 $ sudo usermod -aG docker \ azuma dockerグループにユーザーを追加 すると何ができるようになる?

  9. 8 $ docker run –it \ --rm \ -v /:/tmp

    \ ubuntu \ rm -rf /tmp Q1. 実行結果は? ※ 検証環境以外で実行しないでください

  10. 9 $ docker run -ti \ --name hacker \ --privileged

    \ -v /:/host \ ubi8 \ chroot /host Q2. 実行結果は? ※ 検証環境以外で実行しないでください

  11. 10 https://docs.docker.com/engine/install/linux-postinstall/ • dockerグループはrootレベルの権限付与 • 非rootで実行するにはrootlessモード

  12. 11 rootlessモード移行を 検討する前に

  13. コンテナエンジンの比較 12 rootlessモード デフォルトで rootless かつ daemonless ユーザーごとに daemonを起動させる

  14. 13 DockerとPodmanはほぼCLI互換 $ docker run -d \ --name my-nginx \

    -p 8080:80 \ nginx $ podman run -d \ --name my-nginx \ -p 8080:80 \ nginx alias docker=podmanで切り替え可能

  15. 14 rootlessコンテナに 話を戻しましょう

  16. 15 rootlessコンテナ内でも apt-get installするために root権限を使える? → 可能 コンテナ内のrootユーザーは ホスト側から見た一般ユーザー

  17. ユーザー名前空間 16 ホスト コンテナ 65536 0 … 2401 … 1083040

    … 1148575 … 232 0 1 … 1000 1001 … 65536 nobody ... azuma:1083040:65536 /etc/subuid の内容: コンテナ内のrootユーザー = ホストから見た一般ユーザー azuma

  18. 17 $ podman run –it \ --rm \ -v /:/tmp

    \ ubuntu \ rm -rf /tmp Q3. 実行結果は? ※ 検証環境以外で実行しないでください

  19. 18 研究室サーバー…|д゜)チラッ

  20. 研究室サーバーのPodman移行 19 • rootless • daemonless • Dockerと 高いCLI互換性 メリット

    デメリット • 認知負荷? • 引き継ぎ?

  21. NASをコンテナにマウントして書き込む 20 $ id uid=2401(azuma) gid=2401(azuma) groups=2401(azuma),995(nas_access),998(docker) の場合 $ docker

    run -it --rm \ -u $(id -u):$(id -g) \ --group-add 995 \ -v $NAS_SOURCE:$DESTINATION \ myimage

  22. NASをコンテナにマウントして書き込む 21 $ id uid=2401(azuma) gid=2401(azuma) groups=2401(azuma),995(nas_access),998(docker) の場合 $ podman

    run -it --rm \ --userns keep-id \ --group-add keep-group \ -v $NAS_SOURCE:$DESTINATION \ myimage

  23. 22 コンテナって面白い!

  24. 23 もっと詳しく Podman入門とrootlessコンテナ(#9) てっく・ざ・ぶろぐ! https://alvinvin.hatenablog.jp/entry/9

  25. 24 参考書籍 Podman in Action Daniel Walsh https://developers.redhat.com/e-books/podman-action Podmanイン・アクション Daniel

    Walsh (著)、磯田雄輝 ほか (翻訳)、秀和システム http://www.shuwasystem.co.jp/book/9784798070209.html