memories

Đọc bài này  Secure your containers one weird trick  của một bác bên Redhat thấy hay nên mình tạm dịch ở đây. Ý của bác này là nên bỏ các Linux capability khỏi container, cần dùng capability nào thì thêm vào. Một kiểu như là quản lý không xuể thì nên cấm ngay từ đầu. Bạn có biết có một tùy chọn có thể tắt Linux capabilities trong Docker? Sử dụng `docker run --cap-drop` bạn có thể khóa root trong container để nó có quyền truy cập giới hạn trong container. Đáng buồn là hầu hết không ai từng thắt chặt security cho một container. Trong bài này mình để nguyên từ " capability " trong " Linux capability " mà không dịch là " khả năng " để bạn biết đó là một khái niệm của Linux. Ngày hôm sau là quá muộn Có một xu hướng đáng buồn trong dân IT khi nghĩ về security khi đã quá trễ. Người ta chỉ chú ý đến security system ngay sau khi hệ thống đã bị bẻ gãy. Gỡ bỏ capability có thể là một giải pháp đơn giản để cải thiện container security. Thế nào là Li