Seite 6: Fazit

Inhaltsverzeichnis

Die Podman-Entwickler pflegen den Satz "Containers are Linux". Dieser Teil des Artikels hat genauer beleuchtet, was hinter dem Satz steckt, denn Linux kennt als solches keinen Container. Ein Container ist vielmehr ein herkömmlicher Prozess auf dem System mit einem bestimmten RootFS, was über viele Zwiebelschalen vom Rest des Systems abgeschottet wird, um Angreifern das Leben zu erschweren. Die Fork-Exec-Architektur von Podman unterstreicht das Credo, denn Podman ist ein herkömmlicher Prozess auf dem Linux-System und kann sowohl als Root als auch Nicht-Root ausgeführt werden und untersteht dem Audit-Subsystem. All das kommt nicht nur Benutzerfreundlichkeit und breiten Anwendungsmöglichkeiten, sondern auch der Sicherheit zugute.

Valentin Rothberg
ist Softwareentwickler in Red Hats Container-Runtimes-Team und arbeitet an Container-Tools wie CRI-O, Podman, Buildah und Skopeo und den zugrunde liegenden Techniken und Bibliotheken.

Daniel Walsh
ist seit mehr als 35 Jahren in der IT-Sicherheit tätig. Seit 2001 arbeitet Daniel bei Red Hat und leitet seit 2013 das Container-Engineering-Team, arbeitete aber schon Jahre zuvor an Container-Technologien und trug wesentlich zum Docker Open-Source Projekt bei. Seine Aufmerksamkeit gilt der CRI-O Container-Runtime für Kubernetes, Buildah zum Bauen von Container-Images, Podman, sowie den zugrundeliegenden Bibiliotheken. Zuvor leitete er das SELinux Projekt, und arbeitete an Secure Virtualization sowie an SELinux Sandbox, einem frühen Container-Tool für Desktops. (bbo)