AS
Uploaded byAkihiro Suda
PPTX, PDF2,528 views

Rootlessコンテナ

https://connpass.com/event/84151/

Embed presentation

Downloaded 15 times
Copyright©2018 NTT Corp. All Rights Reserved. NTT ソフトウェアイノベーションセンタ 須田 瑛大 Rootlessコンテナ ContainerSIG LT (2018/05/28) https://slideshare.net/AkihiroSuda
2 Copyright©2018 NTT Corp. All Rights Reserved. • コンテナ関連OSSのメンテナ(いわゆるコミッタ)を務めている • Docker Moby メンテナ (2016年11月~) • 2017年4月,OSSプロジェクトとしてのDockerはMobyに名前が変わった • 商用製品としてのDockerはMobyをベースとして開発されている • Moby BuildKitメンテナ (2017年夏 プロジェクト発足時~) • 次世代 `docker build` • CNCF containerdメンテナ (2017年9月~) • Kubernetesなどで利用できる次世代コンテナランタイム : ≒ : RHEL Fedora 自己紹介
3 Copyright©2018 NTT Corp. All Rights Reserved. コンテナは本当に安全なのか? ユーザがデプロイするアプリケーション オーケストレータ (例: Kubernetes) 高位ランタイム (例: containerd) 低位ランタイム (例: runc) カーネル VM ハードウェア コンテナ技術での対策は一般に 困難 (例: Meltdown) バグを含んでいても,コンテナを 用いることで影響を限定できる
4 Copyright©2018 NTT Corp. All Rights Reserved. コンテナは本当に安全なのか? 課題 ユーザがデプロイするアプリケーション オーケストレータ (例: Kubernetes) 高位ランタイム (例: containerd) 低位ランタイム (例: runc) カーネル VM ハードウェア
5 Copyright©2018 NTT Corp. All Rights Reserved. • Kubernetes CVE-2017-1002101 • volumeMounts.subPath 内のシンボリックリンクの扱いのバグのため,悪意を持った コンテナがホストのファイルシステムをマウントすることが可能 • Kubernetes CVE-2017-1002102 • secret, configMap及びdownward APIの扱いのバグのため,悪意を持ったコンテナ がホストのファイルシステム上の任意のファイルを削除することが可能 オーケストレータのバグの例 https://kubernetes.io/blog/2018/04/04/fixing-subpath-volume-vulnerability/ https://github.com/kubernetes/kubernetes/issues/60814
6 Copyright©2018 NTT Corp. All Rights Reserved. • Docker CVE-2014-9357 • LZMAアーカイブの扱いのバグのため,悪意を持ったコンテナがホスト上で任意のバイ ナリを実行可能 • containerd #2001 • イメージレイヤの扱いのバグのため,悪意を持ったコンテナが(起動されなくてもpull されるだけで)ホスト上の/tmpを削除可能 • runc CVE-2016-9962 • プロセスの属性設定の扱いのバグのため,悪意を持ったコンテナが,`runc exec`で 新たに起動されたプロセスのファイルディスクリプタを奪うことが可能 • runc CVE-2016-3697 • UID文字列のパーズのバグのため,悪意を持ったコンテナが,ユーザの意図しないUID で動作することが可能 ランタイムのバグの例
7 Copyright©2018 NTT Corp. All Rights Reserved. • コンテナランタイムやオーケストレータを,非root権限で動かすことで,これら のバグの影響範囲を限定できる • runc: 既に凡そrootlessで動く • 後述の通り,一部はSUIDバイナリ を使う必要がある • containerd: runc側のパッチのマージ待ち • POCは既に動いている • cri-o: 未着手 • Kubernetes, Docker: 未着手 rootless container 既にimg (イメージビルダ)や Guardian (Clound Foundryのランタイム層)で 用いられている 注: Dockerの--userns-remapは似ているが別の機能 (コンテナ内のrootを別ユーザにマップするが, Docker daemon自体はrootで動く)
8 Copyright©2018 NTT Corp. All Rights Reserved. • コンテナに複数のUID・GIDを割り当てる方法 • aptなどの実行に必要 • 方法が2つある • SUIDビットつきのnewuidmap, newgidmapを使う → 真のrootlessではない (セキュリティ上の懸念あり) • ptraceで複数のUID・GIDをエミュレートする → 遅い (が,seccompでアクセラレーション可能) • 理想的には,そもそもコンテナは単一のUID・GIDだけで動作すべき • ネットワークのルーティング • initial netnsとrootless netnsとをつなぐvethが作れないので,IPマスカレードでき ない • これも方法が2つある • SUIDビットつきのバイナリでvethを作る • TAPを使ってユーザモードのネットワークスタックを動かす (slirpなど) rootlessコンテナの課題
9 Copyright©2018 NTT Corp. All Rights Reserved. • cgroupsの設定 • 現状,SUIDバイナリが必要 • CoWファイルシステム • vanillaなoverlayfsは,rootlessでは動かない • Ubuntuなら動く • XFSなら,rootlessでもreflink (copy_file_range(2)) を使ったCoWが可能 • ただしファイル毎にreflinkするオーバヘッドがある rootlessコンテナの課題
10 Copyright©2018 NTT Corp. All Rights Reserved. • コンテナランタイムやオーケストレータにはバグがあるかもしれない • 非root権限で動かすことで,これらのバグの影響範囲を限定できる • SUIDバイナリをいかに排除するか(あるいは妥協するか)が課題 • 近々KubernetesやDockerもrootlessで動くようになる(はず) まとめ https://github.com/rootless-containers

More Related Content

PDF
Dockerからcontainerdへの移行
byKohei Tokunaga
 
PDF
コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)
byNTT DATA Technology & Innovation
 
PPTX
BuildKitによる高速でセキュアなイメージビルド
byAkihiro Suda
 
PDF
Mercari JPのモノリスサービスをKubernetesに移行した話 PHP Conference 2022 9/24
byShin Ohno
 
PPTX
Dockerからcontainerdへの移行
byAkihiro Suda
 
PDF
ネットワーク ゲームにおけるTCPとUDPの使い分け
byモノビット エンジン
 
PDF
これからのJDK 何を選ぶ?どう選ぶ? (v1.2) in 熊本
byTakahiro YAMADA
 
PDF
より速く より運用しやすく 進化し続けるJVM(Java Developers Summit Online 2023 発表資料)
byNTT DATA Technology & Innovation
 
Dockerからcontainerdへの移行
byKohei Tokunaga
 
コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)
byNTT DATA Technology & Innovation
 
BuildKitによる高速でセキュアなイメージビルド
byAkihiro Suda
 
Mercari JPのモノリスサービスをKubernetesに移行した話 PHP Conference 2022 9/24
byShin Ohno
 
Dockerからcontainerdへの移行
byAkihiro Suda
 
ネットワーク ゲームにおけるTCPとUDPの使い分け
byモノビット エンジン
 
これからのJDK 何を選ぶ?どう選ぶ? (v1.2) in 熊本
byTakahiro YAMADA
 
より速く より運用しやすく 進化し続けるJVM(Java Developers Summit Online 2023 発表資料)
byNTT DATA Technology & Innovation
 

What's hot

PDF
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
byToru Makabe
 
PDF
Paxos
byPreferred Networks
 
PPTX
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
byHitachi, Ltd. OSS Solution Center.
 
PDF
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
byYahoo!デベロッパーネットワーク
 
PDF
コンテナの作り方「Dockerは裏方で何をしているのか?」
byMasahito Zembutsu
 
PDF
Infrastructure as Code (IaC) 談義 2022
byAmazon Web Services Japan
 
PDF
開発速度が速い #とは(LayerX社内資料)
bymosa siru
 
PDF
5G時代のアプリケーション開発とは - 5G+MECを活用した低遅延アプリの実現へ
byVirtualTech Japan Inc.
 
PPTX
Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)
byNTT DATA Technology & Innovation
 
PDF
HTTP/2 入門
byYahoo!デベロッパーネットワーク
 
PDF
マイクロにしすぎた結果がこれだよ!
bymosa siru
 
PDF
コンテナ未経験新人が学ぶコンテナ技術入門
byKohei Tokunaga
 
PDF
Javaコードが速く実⾏される秘密 - JITコンパイラ⼊⾨(JJUG CCC 2020 Fall講演資料)
byNTT DATA Technology & Innovation
 
PDF
macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~
byNTT Communications Technology Development
 
PPTX
Anthos を使ったエンタープライズ向けクラスタの設計とアップグレード戦略のススメ(CloudNative Days Tokyo 2021 発表資料)
byNTT DATA Technology & Innovation
 
PDF
ソーシャルゲームのためのデータベース設計
byYoshinori Matsunobu
 
PDF
Docker Compose 徹底解説
byMasahito Zembutsu
 
PDF
kube-system落としてみました
byShuntaro Saiba
 
PDF
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)
byNTT DATA Technology & Innovation
 
PDF
OpenAPI 3.0でmicroserviceのAPI定義を試みてハマった話
byDaichi Koike
 
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
byToru Makabe
 
Paxos
byPreferred Networks
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
byHitachi, Ltd. OSS Solution Center.
 
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
byYahoo!デベロッパーネットワーク
 
コンテナの作り方「Dockerは裏方で何をしているのか?」
byMasahito Zembutsu
 
Infrastructure as Code (IaC) 談義 2022
byAmazon Web Services Japan
 
開発速度が速い #とは(LayerX社内資料)
bymosa siru
 
5G時代のアプリケーション開発とは - 5G+MECを活用した低遅延アプリの実現へ
byVirtualTech Japan Inc.
 
Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)
byNTT DATA Technology & Innovation
 
HTTP/2 入門
byYahoo!デベロッパーネットワーク
 
マイクロにしすぎた結果がこれだよ!
bymosa siru
 
コンテナ未経験新人が学ぶコンテナ技術入門
byKohei Tokunaga
 
Javaコードが速く実⾏される秘密 - JITコンパイラ⼊⾨(JJUG CCC 2020 Fall講演資料)
byNTT DATA Technology & Innovation
 
macOSの仮想化技術について ~Virtualization-rs Rust bindings for virtualization.framework ~
byNTT Communications Technology Development
 
Anthos を使ったエンタープライズ向けクラスタの設計とアップグレード戦略のススメ(CloudNative Days Tokyo 2021 発表資料)
byNTT DATA Technology & Innovation
 
ソーシャルゲームのためのデータベース設計
byYoshinori Matsunobu
 
Docker Compose 徹底解説
byMasahito Zembutsu
 
kube-system落としてみました
byShuntaro Saiba
 
Kubernetes 基盤における非機能試験の deepdive(Kubernetes Novice Tokyo #17 発表資料)
byNTT DATA Technology & Innovation
 
OpenAPI 3.0でmicroserviceのAPI定義を試みてハマった話
byDaichi Koike
 

Similar to Rootlessコンテナ

PPTX
root権限無しでKubernetesを動かす
byAkihiro Suda
 
PPTX
KubeCon EU報告(ランタイム関連,イメージ関連)
byAkihiro Suda
 
PDF
日本と世界のDockerコミュニティ
byAkihiro Suda
 
PDF
5分で振り返るKubeCon EU 2019:ランタイムとイメージの話題ダイジェスト
byKohei Tokunaga
 
PDF
OCIv2?!軽量高速なイケてる次世代イメージ仕様の最新動向を抑えよう!
byKohei Tokunaga
 
PDF
[1C5] Docker Comose & Swarm mode Orchestration (Japan Container Days - Day1)
byMasahito Zembutsu
 
PPTX
高速にコンテナを起動できるイメージフォーマット (NTT Tech Conference #2)
byAkihiro Suda
 
PDF
DOO-013_Docker 最新動向と Azure Container Service 入門
bydecode2016
 
PDF
コンテナ導入概要資料2018
byMasahito Zembutsu
 
PDF
高速にコンテナを起動できるイメージフォーマット
byAkihiro Suda
 
PDF
Dockerコミュニティ近況
byAkihiro Suda
 
PDF
Docker国内外本番環境サービス事例のご紹介
byThinkIT_impress
 
PDF
Docker向けOSとか[LT] @ #techgirl 2015/01
byEmma Haruka Iwao
 
PDF
Docker事始めと最新動向 2015年6月
byEmma Haruka Iwao
 
PDF
[Docker Tokyo #35] Docker 20.10
byAkihiro Suda
 
PDF
オトナのDocker入門
byTsukasa Kato
 
PPTX
Docker & Kubernetes基礎
byDaisuke Hiraoka
 
PDF
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
byAkihiro Suda
 
PDF
インフラエンジニアのためのRancherを使ったDocker運用入門
byMasahito Zembutsu
 
PDF
cf-containers-broker を使ってローカル環境もサービスの恩恵をうける
byTakeshi Morikawa
 
root権限無しでKubernetesを動かす
byAkihiro Suda
 
KubeCon EU報告(ランタイム関連,イメージ関連)
byAkihiro Suda
 
日本と世界のDockerコミュニティ
byAkihiro Suda
 
5分で振り返るKubeCon EU 2019:ランタイムとイメージの話題ダイジェスト
byKohei Tokunaga
 
OCIv2?!軽量高速なイケてる次世代イメージ仕様の最新動向を抑えよう!
byKohei Tokunaga
 
[1C5] Docker Comose & Swarm mode Orchestration (Japan Container Days - Day1)
byMasahito Zembutsu
 
高速にコンテナを起動できるイメージフォーマット (NTT Tech Conference #2)
byAkihiro Suda
 
DOO-013_Docker 最新動向と Azure Container Service 入門
bydecode2016
 
コンテナ導入概要資料2018
byMasahito Zembutsu
 
高速にコンテナを起動できるイメージフォーマット
byAkihiro Suda
 
Dockerコミュニティ近況
byAkihiro Suda
 
Docker国内外本番環境サービス事例のご紹介
byThinkIT_impress
 
Docker向けOSとか[LT] @ #techgirl 2015/01
byEmma Haruka Iwao
 
Docker事始めと最新動向 2015年6月
byEmma Haruka Iwao
 
[Docker Tokyo #35] Docker 20.10
byAkihiro Suda
 
オトナのDocker入門
byTsukasa Kato
 
Docker & Kubernetes基礎
byDaisuke Hiraoka
 
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
byAkihiro Suda
 
インフラエンジニアのためのRancherを使ったDocker運用入門
byMasahito Zembutsu
 
cf-containers-broker を使ってローカル環境もサービスの恩恵をうける
byTakeshi Morikawa
 

More from Akihiro Suda

PDF
20251113 [KubeCon NA Pavilion] Lima.pdf_
byAkihiro Suda
 
PDF
20251112 [KubeCon NA Pavilion] containerd.pdf
byAkihiro Suda
 
PDF
20250617 [KubeCon JP 2025] containerd - Project Update and Deep Dive.pdf
byAkihiro Suda
 
PDF
20250616 [KubeCon JP 2025] VexLLM - Silence Negligible CVE Alerts Using LLM.pdf
byAkihiro Suda
 
PDF
20250403 [KubeCon EU] containerd - Project Update and Deep Dive.pdf
byAkihiro Suda
 
PDF
20250403 [KubeCon EU Pavilion] containerd.pdf
byAkihiro Suda
 
PDF
20250402 [KubeCon EU Pavilion] Lima.pdf_
byAkihiro Suda
 
PDF
20241115 [KubeCon NA Pavilion] Lima.pdf_
byAkihiro Suda
 
PDF
20241113 [KubeCon NA Pavilion] containerd.pdf
byAkihiro Suda
 
PDF
【情報科学若手の会 (2024/09/14】なぜオープンソースソフトウェアにコントリビュートすべきなのか
byAkihiro Suda
 
PDF
【Vuls祭り#10 (2024/08/20)】 VexLLM: LLMを用いたVEX自動生成ツール
byAkihiro Suda
 
PDF
20240415 [Container Plumbing Days] Usernetes Gen2 - Kubernetes in Rootless Do...
byAkihiro Suda
 
PDF
20240321 [KubeCon EU Pavilion] Lima.pdf_
byAkihiro Suda
 
PDF
20240320 [KubeCon EU Pavilion] containerd.pdf
byAkihiro Suda
 
PDF
20240201 [HPC Containers] Rootless Containers.pdf
byAkihiro Suda
 
PDF
[Podman Special Event] Kubernetes in Rootless Podman
byAkihiro Suda
 
PDF
[KubeConNA2023] Lima pavilion
byAkihiro Suda
 
PDF
[KubeConNA2023] containerd pavilion
byAkihiro Suda
 
PDF
[DockerConハイライト] OpenPubKeyによるイメージの署名と検証.pdf
byAkihiro Suda
 
PDF
[CNCF TAG-Runtime] Usernetes Gen2
byAkihiro Suda
 
20251113 [KubeCon NA Pavilion] Lima.pdf_
byAkihiro Suda
 
20251112 [KubeCon NA Pavilion] containerd.pdf
byAkihiro Suda
 
20250617 [KubeCon JP 2025] containerd - Project Update and Deep Dive.pdf
byAkihiro Suda
 
20250616 [KubeCon JP 2025] VexLLM - Silence Negligible CVE Alerts Using LLM.pdf
byAkihiro Suda
 
20250403 [KubeCon EU] containerd - Project Update and Deep Dive.pdf
byAkihiro Suda
 
20250403 [KubeCon EU Pavilion] containerd.pdf
byAkihiro Suda
 
20250402 [KubeCon EU Pavilion] Lima.pdf_
byAkihiro Suda
 
20241115 [KubeCon NA Pavilion] Lima.pdf_
byAkihiro Suda
 
20241113 [KubeCon NA Pavilion] containerd.pdf
byAkihiro Suda
 
【情報科学若手の会 (2024/09/14】なぜオープンソースソフトウェアにコントリビュートすべきなのか
byAkihiro Suda
 
【Vuls祭り#10 (2024/08/20)】 VexLLM: LLMを用いたVEX自動生成ツール
byAkihiro Suda
 
20240415 [Container Plumbing Days] Usernetes Gen2 - Kubernetes in Rootless Do...
byAkihiro Suda
 
20240321 [KubeCon EU Pavilion] Lima.pdf_
byAkihiro Suda
 
20240320 [KubeCon EU Pavilion] containerd.pdf
byAkihiro Suda
 
20240201 [HPC Containers] Rootless Containers.pdf
byAkihiro Suda
 
[Podman Special Event] Kubernetes in Rootless Podman
byAkihiro Suda
 
[KubeConNA2023] Lima pavilion
byAkihiro Suda
 
[KubeConNA2023] containerd pavilion
byAkihiro Suda
 
[DockerConハイライト] OpenPubKeyによるイメージの署名と検証.pdf
byAkihiro Suda
 
[CNCF TAG-Runtime] Usernetes Gen2
byAkihiro Suda
 

Rootlessコンテナ

  • 1.
    Copyright©2018 NTT Corp.All Rights Reserved. NTT ソフトウェアイノベーションセンタ 須田 瑛大 Rootlessコンテナ ContainerSIG LT (2018/05/28) https://slideshare.net/AkihiroSuda
  • 2.
    2 Copyright©2018 NTT Corp.All Rights Reserved. • コンテナ関連OSSのメンテナ(いわゆるコミッタ)を務めている • Docker Moby メンテナ (2016年11月~) • 2017年4月,OSSプロジェクトとしてのDockerはMobyに名前が変わった • 商用製品としてのDockerはMobyをベースとして開発されている • Moby BuildKitメンテナ (2017年夏 プロジェクト発足時~) • 次世代 `docker build` • CNCF containerdメンテナ (2017年9月~) • Kubernetesなどで利用できる次世代コンテナランタイム : ≒ : RHEL Fedora 自己紹介
  • 3.
    3 Copyright©2018 NTT Corp.All Rights Reserved. コンテナは本当に安全なのか? ユーザがデプロイするアプリケーション オーケストレータ (例: Kubernetes) 高位ランタイム (例: containerd) 低位ランタイム (例: runc) カーネル VM ハードウェア コンテナ技術での対策は一般に 困難 (例: Meltdown) バグを含んでいても,コンテナを 用いることで影響を限定できる
  • 4.
    4 Copyright©2018 NTT Corp.All Rights Reserved. コンテナは本当に安全なのか? 課題 ユーザがデプロイするアプリケーション オーケストレータ (例: Kubernetes) 高位ランタイム (例: containerd) 低位ランタイム (例: runc) カーネル VM ハードウェア
  • 5.
    5 Copyright©2018 NTT Corp.All Rights Reserved. • Kubernetes CVE-2017-1002101 • volumeMounts.subPath 内のシンボリックリンクの扱いのバグのため,悪意を持った コンテナがホストのファイルシステムをマウントすることが可能 • Kubernetes CVE-2017-1002102 • secret, configMap及びdownward APIの扱いのバグのため,悪意を持ったコンテナ がホストのファイルシステム上の任意のファイルを削除することが可能 オーケストレータのバグの例 https://kubernetes.io/blog/2018/04/04/fixing-subpath-volume-vulnerability/ https://github.com/kubernetes/kubernetes/issues/60814
  • 6.
    6 Copyright©2018 NTT Corp.All Rights Reserved. • Docker CVE-2014-9357 • LZMAアーカイブの扱いのバグのため,悪意を持ったコンテナがホスト上で任意のバイ ナリを実行可能 • containerd #2001 • イメージレイヤの扱いのバグのため,悪意を持ったコンテナが(起動されなくてもpull されるだけで)ホスト上の/tmpを削除可能 • runc CVE-2016-9962 • プロセスの属性設定の扱いのバグのため,悪意を持ったコンテナが,`runc exec`で 新たに起動されたプロセスのファイルディスクリプタを奪うことが可能 • runc CVE-2016-3697 • UID文字列のパーズのバグのため,悪意を持ったコンテナが,ユーザの意図しないUID で動作することが可能 ランタイムのバグの例
  • 7.
    7 Copyright©2018 NTT Corp.All Rights Reserved. • コンテナランタイムやオーケストレータを,非root権限で動かすことで,これら のバグの影響範囲を限定できる • runc: 既に凡そrootlessで動く • 後述の通り,一部はSUIDバイナリ を使う必要がある • containerd: runc側のパッチのマージ待ち • POCは既に動いている • cri-o: 未着手 • Kubernetes, Docker: 未着手 rootless container 既にimg (イメージビルダ)や Guardian (Clound Foundryのランタイム層)で 用いられている 注: Dockerの--userns-remapは似ているが別の機能 (コンテナ内のrootを別ユーザにマップするが, Docker daemon自体はrootで動く)
  • 8.
    8 Copyright©2018 NTT Corp.All Rights Reserved. • コンテナに複数のUID・GIDを割り当てる方法 • aptなどの実行に必要 • 方法が2つある • SUIDビットつきのnewuidmap, newgidmapを使う → 真のrootlessではない (セキュリティ上の懸念あり) • ptraceで複数のUID・GIDをエミュレートする → 遅い (が,seccompでアクセラレーション可能) • 理想的には,そもそもコンテナは単一のUID・GIDだけで動作すべき • ネットワークのルーティング • initial netnsとrootless netnsとをつなぐvethが作れないので,IPマスカレードでき ない • これも方法が2つある • SUIDビットつきのバイナリでvethを作る • TAPを使ってユーザモードのネットワークスタックを動かす (slirpなど) rootlessコンテナの課題
  • 9.
    9 Copyright©2018 NTT Corp.All Rights Reserved. • cgroupsの設定 • 現状,SUIDバイナリが必要 • CoWファイルシステム • vanillaなoverlayfsは,rootlessでは動かない • Ubuntuなら動く • XFSなら,rootlessでもreflink (copy_file_range(2)) を使ったCoWが可能 • ただしファイル毎にreflinkするオーバヘッドがある rootlessコンテナの課題
  • 10.
    10 Copyright©2018 NTT Corp.All Rights Reserved. • コンテナランタイムやオーケストレータにはバグがあるかもしれない • 非root権限で動かすことで,これらのバグの影響範囲を限定できる • SUIDバイナリをいかに排除するか(あるいは妥協するか)が課題 • 近々KubernetesやDockerもrootlessで動くようになる(はず) まとめ https://github.com/rootless-containers