Docker-Alternative Podman: Container ohne Root-Rechte betreiben

Podman ist eine alternative Container-Engine zu Docker. Wir zeigen, wie Sie mit Podman "Rootless"-Container betreiben, ohne sich umzugewöhnen.

Artikel verschenken

27

(Bild: Podman.io)

01.07.2022, 06:05 Uhr

Lesezeit: 8 Min.

c't Magazin

Von

Niklas Dierking

Docker-Alternative Podman: Container ohne Root-Rechte betreiben
Installation und Vorbereitung
Mit und ohne Root-Rechte
Stolperfallen

Artikel in c't 15/2022 lesen

Dank Container-Engines wie Docker und prall gefüllten Container-Registries mit fertigen Images für jeden erdenklichen Zweck dauert es heutzutage wenige Sekunden, eine Webanwendung oder einen Webserver aufzusetzen. Was soll schon schiefgehen? Immerhin sehen die Prozesse im Container ja nur dessen Dateisystem und sind dank Kernel-Namespaces vom Host isoliert. Wenn Sie jedoch mit dem Befehl docker run ein Container-Image aus der Docker-Registry ziehen und den Container starten, dann läuft dieser gewöhnlich mit Root-Rechten. Das heißt, der Benutzer root im Container entspricht root auf dem Host.

Es könnte einem geschickten Angreifer gelingen, aus einem Container auszubrechen, indem er eine Schwachstelle im Container ausnutzt. Dann ist der Host in Windeseile übernommen. Weil der Docker-Daemon, der alle Fäden in der Hand hält, mit Root-Rechten läuft, kann man damit auch das Wurzelverzeichnis / in einen Container hineinreichen und so Dateiberechtigungen aushebeln. Alle Nutzer, die Zugriff auf den Docker-Daemon haben, verfügen also de facto über Systemverwalterrechte. Ein Albtraum für Administratoren.

Rootless-Container, also Container, die nicht als root laufen, verkleinern die Angriffsfläche erheblich. Praktisch: Solche Container können von gewöhnlichen Nutzern gestartet werden. Das ist wichtig für Systeme, die sich mehrere Nutzer für die Containerei teilen, etwa in der Forschung oder auf einer geteilten Entwicklungsmaschine.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Virtualisierungsoftware: Alternativen zu VMware

VMware ist vielen Bereichen nicht mehr das Maß der Dinge. Wir sehen uns die spannendsten Alternativen an, von denen viele sogar kostenlos oder Open Source sind.

Virtualisierung: Wie man Proxmox Virtual Environment produktiv nutzt

Wir zeigen, wie Sie Proxmox aufsetzen, virtuelle Maschinen erstellen oder bestehende importieren und was man beachten muss, um es produktiv zu nutzen.

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

GrapheneOS ist eine besondere Android-Spielart. Seine Bandbreite reicht von "sicher wie Fort Knox" bis "komfortabel vernetzt wie ein Google-Phone".

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Mercedes hat sein kleinstes Elektroauto ein wenig überarbeitet. Es fährt gediegen, kann bei der Spitzenladeleistung allerdings nicht glänzen.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Von Apple iPhone 15 Pro Max bis Xiaomi 14 Ultra: Spitzen-Smartphones haben immer aufwendigere Kameras. Unser Vergleich zeigt, welches die besten Bilder liefert.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Virtualisierungsoftware: Alternativen zu VMware

VMware ist vielen Bereichen nicht mehr das Maß der Dinge. Wir sehen uns die spannendsten Alternativen an, von denen viele sogar kostenlos oder Open Source sind.

Virtualisierung: Wie man Proxmox Virtual Environment produktiv nutzt

Wir zeigen, wie Sie Proxmox aufsetzen, virtuelle Maschinen erstellen oder bestehende importieren und was man beachten muss, um es produktiv zu nutzen.

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

GrapheneOS ist eine besondere Android-Spielart. Seine Bandbreite reicht von "sicher wie Fort Knox" bis "komfortabel vernetzt wie ein Google-Phone".

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Mercedes hat sein kleinstes Elektroauto ein wenig überarbeitet. Es fährt gediegen, kann bei der Spitzenladeleistung allerdings nicht glänzen.

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

Das "Cheap Yellow Display" samt ESP32 ist günstig und bereits verlötet. Bastler können es zum Informationen anzeigen oder zum Steuern des smarten Heims nutzen.

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Von Apple iPhone 15 Pro Max bis Xiaomi 14 Ultra: Spitzen-Smartphones haben immer aufwendigere Kameras. Unser Vergleich zeigt, welches die besten Bilder liefert.

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Docker-Alternative Podman: Container ohne Root-Rechte betreiben

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Virtualisierungsoftware: Alternativen zu VMware

Virtualisierung: Wie man Proxmox Virtual Environment produktiv nutzt

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Virtualisierungsoftware: Alternativen zu VMware

Virtualisierung: Wie man Proxmox Virtual Environment produktiv nutzt

Custom-ROM "GrapheneOS" vorgestellt: Android ganz privat

Elektroauto Mercedes EQA 300 4Matic im Test: Fährt gut, lädt gemächlich

Günstiges Display samt Einplatinencomputer für Bastelanfänger im Kurztest

High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.