Мы в «СекьюрДев» разрабатываем софт для банков, и безопасность для нас — это всё. Недавно провели аудит, и он показал неприятную картину: Docker daemon у нас запускается от root. А это значит, что любой, кто состоит в группе docker, по сути получает root-доступ ко всей нашей хост-системе. Согласитесь, это серьёзный риск.
# Демонстрация проблемы Docker
# Пользователь в группе docker может стать root:
docker run -v /:/host -it alpine chroot /host
# Теперь мы root на хосте. Читаем /etc/shadow, добавляем SSH-ключи...
Podman — drop-in замена Docker без центрального демона, с поддержкой rootless-контейнеров из коробки.
| Критерий | Docker | Podman |
|---|---|---|
| Архитектура | Клиент → daemon (root) | Без демона (fork/exec) |
| Rootless | Экспериментально | По умолчанию |
| CLI совместимость | — | alias docker=podman |
| Compose | docker compose | podman-compose / podman compose |
| Pod-ы | Нет | Да (как в Kubernetes) |
| Systemd интеграция | Слабая | Quadlet (нативная) |
| Лицензия | Apache 2.0 | Apache 2.0 |

Комментарии 0