EGroupware Docker als root user - Sicherheit?

itwo 2023-03-16 09:29:42 UTC #1

Wir haben auf einem frischen Debian 11 EGroupware mit dem .deb Paket installiert, funktioniert ausgezeichnet.
Allerdings habe ich weniger Erfahrung mit Docker, ist es nicht gefährlich wenn diese Dienste alle als root laufen?

StefanU 2023-03-16 09:44:22 UTC #2

Eine Frage der Bewertung…

Rootles Docker-Betrieb ist experimentell seit Docker 20.10 möglich. Das ist die Version welche ich auf meinem Debian-Host aktuell laufen habe.

Daran siehst du aber, dass Root-Betrieb bislang der Standard ist.

Ich möchte mir aber (als Docker-Laie) nicht ausmalen was das an Problemen mit sich bringt in einer EGroupware-Umgebung. Das kann meines Erachtens nur funktionieren, wenn der/die Betreiber*in das selber managt und Ahnung von der Materie hat. Die EGroupware-Komfort-Installation und -Updates könnten dann vielleicht nicht mehr so einfach möglich sein. Meine ich als Laie…

Aber unter dem Strich: Kannst du so unbesorgt betreiben. Wenn du drumherum ordentlich/sicher betreibst.

Stefan

itwo 2023-03-16 10:03:29 UTC #3

So geht es mir auch als Docker Laie
Zumindest PHP läuft schon mal unter dem www-data Benutzer, das schadet nicht.

Ich werde das Thema weiter beobachten und später verfolgen, sonst enden wir irgendwann
beim “klassischen Windows User” bei dem alle Admin sind.

StefanU 2023-03-16 11:03:59 UTC #4

Was auf dem Host aber nichts mit dem eigentlichen EGw-Betrieb zu tun hat.

Du musst das immer im Gesamtkontext betrachten.
Dein Host muss sicher sein. Kommt dann halt auch darauf an in welcher Umgebung das läuft. Wenn du den externe Zugriff per ssh nicht erlaubst ist (was idR der Standard ist) das auch schon die halbe Miete.
Das kannst aber nur du für deine Installations-Situation betrachten/konfigurieren/…

Stefan

itwo 2023-03-16 11:08:29 UTC #5

Ich sehe das anders da PHP nur doch die Docker/EGroupware Installation auf das System gekommen ist.

Wenn dann ein EGroupware Dienst im Docker läuft und dieser wiederum als root ist das meiner Meinung nach
schon eine Gefahr, denn dieser ist ja über den Webbrowser erreichbar.

Bedeutet:
Client -> EGroupware -> Docker -> System

Das hier kein falscher Eindruck entsteht, ich kann das nicht abschätzen und möchte das nur Sicherheitstechnisch beleuchten.

StefanU 2023-03-16 11:35:10 UTC #6

Dann schau dich bitte im Netz zum Thema rooted docker um. Das ist kein Thema für hier.

Stefan