4

Containers: Podman Rootless via Systemd Quadlets (garantindo isolamento total contra escaladas de privilégio root).

Sobre esta afirmação, se quiser um aviso: não existe essa garantia aí não. Existem várias formas diferentes de ocorrer um container escape e exploits de escalação de privilégios (LPE) que exploram vulnerabilidades do kernel continuam funcionando normalmente dentro de containers.

E em termos de isolamento, container é a solução que tem o menor nível de segurança. Não tem problema usar containers, mas é importante conhecer o risco que está correndo. Não pode se iludir achando que container "garante" alguma coisa.

Carregando publicação patrocinada...
2

Sim, também tem o risco de vunerabilidades para usuarios sem root mas com acesso via ssh, é um risco que informo na wiki e já ocorreu pentest internos para analise de tudo. Além de termos o crom-ws que é um registrador de logs entre a vps para registro de todas as atividades dos membros, para auditoria e caso necessário remoção da instabilidade, informando usuário ou removendo caso tenha abuso.

Nenhum sistema é 100% seguro, mas por padrão o podman é melhor que o docker nesse quesito, pois não precisa de root para operar os containers, sendo mais dificil de escalar. Mas obrigado pelo adendo, e convido a conhecer mais os sistemas:

https://github.com/MrJc01/crom-workspace-membros
https://github.com/MrJc01/crom-workspace
https://github.com/MrJc01/crom-wiki-webapp

Tem uma wiki interna mas ainda é privado para membros apenas, no futuro espero deixar ela publica também para auditoria de curiosos. Mas é aberto para todos detalhando mais informações sobre o ecossistema.