Seguridad en Podman

Resumen de una línea

Seguridad Podman: rootless nativo, SELinux/AppArmor, aislamiento de usuarios, mejores prácticas.

Información

Fuente: Curso Podman 2024 - Módulos 9-10

Rootless: La Mejor Defensa

# Contenedor rootless
podman run myapp
 
# Si se compromete: usuario normal, no root ✅
# Máximo daño: tu usuario, no sistema ✅

SELinux y AppArmor

SELinux (RHEL/Fedora)

# Ver política
getenforce
 
# Podman usa políticas SELinux automáticamente
podman run myapp  # Ejecuta con contexto SELinux

AppArmor (Debian/Ubuntu)

# Podman genera perfiles AppArmor
podman run myapp

Mejores Prácticas

1. Usar Rootless

# ✅ Recomendado
podman run myapp
 
# ❌ Evitar
sudo podman run myapp

2. No usar —privileged

# ❌ Peligroso (casi root)
podman run --privileged myapp
 
# ✅ Usar capabilidades específicas si necesario
podman run --cap-add NET_ADMIN myapp

3. Imágenes confiables

# ✅ Oficiales
podman pull docker.io/library/ubuntu
 
# ✅ Verificadas
podman pull registry.access.redhat.com/ubi8
 
# ❌ Desconocidas
podman pull random-registry.com/random-image

4. Read-only filesystem

podman run --read-only myapp

Limitaciones Rootless

Puertos < 1024
Algunas capabilities
Red slirp4netns (más lento)

But: Worth it for security

Relaciones

Conecta con

Introducción a Podman — Seguridad

Fuentes

Curso Podman 2024 (GitHub)

Wiki Pledin

Explorador

Seguridad en Podman

Seguridad en Podman

Resumen de una línea

Información

Rootless: La Mejor Defensa

SELinux y AppArmor

SELinux (RHEL/Fedora)

AppArmor (Debian/Ubuntu)

Mejores Prácticas

1. Usar Rootless

2. No usar —privileged

3. Imágenes confiables

4. Read-only filesystem

Limitaciones Rootless

Relaciones

Conecta con

Fuentes

Vista Gráfica

Tabla de Contenidos

Retroenlaces