Rootless Podman（るーとれすぽっどまん）

Rootless Podmanとは

Rootless Podmanは、コンテナ管理ツールPodmanのセキュリティを強化するための機能です。従来のPodmanは、コンテナの作成や実行にroot権限を必要としましたが、Rootless Podmanを使用することで、ユーザー権限のみでコンテナを操作できるようになります。

Root権限なしでコンテナを実行するメリット

Root権限なしでコンテナを実行することには、いくつかの重要なメリットがあります。

• セキュリティの向上: コンテナがroot権限で実行される場合、コンテナが侵害されるとシステム全体が危険にさらされる可能性があります。Rootless Podmanを使用すると、コンテナが侵害されても、影響範囲をユーザーアカウント内に限定できます。
• 権限昇格のリスク軽減: root権限を必要としないため、権限昇格攻撃のリスクを軽減できます。
• 多層防御: Rootless Podmanは、コンテナセキュリティの多層防御戦略の一部として機能します。

Rootless Podmanの仕組み

Rootless Podmanは、ユーザー名前空間を利用してコンテナを隔離します。ユーザー名前空間は、コンテナ内のユーザーIDとホストシステムのユーザーIDをマッピングする機能です。これにより、コンテナ内のrootユーザーは、ホストシステム上では権限のないユーザーとして実行されます。

Rootless Podmanの利用方法

Rootless Podmanを使用するには、Podmanのバージョン3.0以降が必要です。Podmanをインストールした後、podman machine initコマンドを使用して、Rootless Podmanを有効にすることができます。その後、通常のPodmanコマンドを使用して、コンテナを作成および実行できます。

注意点

Rootless Podmanには、いくつかの制限事項があります。例えば、ホストネットワークへのアクセスや、特定のデバイスへのアクセスが制限される場合があります。これらの制限事項については、Podmanのドキュメントを参照してください。