Postfix in einem Docker Container ohne root Rechte betreiben, geht das?

Christian Bricart christian at bricart.de
Mi Aug 4 15:00:59 CEST 2021 

Am 04.08.21 um 12:36 schrieb Christian Schoepplein:
> Das Problem sind leider nicht die Ports unter 1024, sondern der Master
> Prozess von Postfix. Der braucht für den Start root-Rechte, soweit ich das
> aus irgendwelchen Mails und Forenbeiträgen richtig verstanden habe :-(. So
> einfach, wie die Ports auf etwas größer 1024 zu verlegen, ist es leider
> nicht :-(.

...die Frage ist halt, wie man genau "root" oder "nicht-root" definiert, 
also aus welcher Perspektive man draufschaut ;)
Natürlich kann man *im* Container UID=0 sein, welches *ausserhalb* auf 
UID!=0 gemappt wird.. ;-)
Und wenn die capabilities aussen für die unprivilegierte UID passen, 
dann darf UID=0 *im* container sogar alles tun was es denkt als 0 tun zu 
können..
Und mit den richtigen Kombinationen und Konfigurationen aus allen 
verfügbaren Namespaces (uid-, pid-, network-, ..) mappt das auch alles 
transparent wie erwartet/gewünscht.

Aber das ist halt schon ein wenig mehr Konfigurationsarbeit als einfach 
nur das Docker-Paket zu installieren und zu erwarten das man mit seinem 
diesem extra Security-Bewusstsein direkt bedient wird.
Docker ist halt eher "*von* Entwicklern - *für* Entwickler, und das »S« 
in »Docker« steht für *S*ecurity". Aber ich sage nicht, dass es sich 
nicht auch konfigurieren lässt, muss man halt auch tun ;)

Ich benutze - wenn ich mit sowas rumspiele - eigentlich nur noch Podman 
statt Docker und starte dann alle Container als mein normaler User und 
nirgendswo wird auch nur einmal sudo oder setuid benutzt um 
Seiteneffekte auszuschliessen. Was dann nicht direkt geht muss halt 
untersucht und behoben werden. Nur so als Hint für UID-mapping: 
/etc/subuid und /etc/subgid

Desweiteren will man vielleicht auch nicht Docker sondern LXC machen - 
das ist halt zumindest schonmal in einen Container sperren - aber halt 
nicht ein fertiges Image pullen und starten.

Kommt drauf an was das Ziel ist - Jeder Depp ist halt anders ;)

Grüssele
   Christian

Mehr Informationen über die Mailingliste Postfixbuch-users