<div dir="ltr">Red Hat re-implemented the Docker using the Open Container Spec (which is as far as I know a standard based on Docker) as a project called CRI-O  <a href="https://cri-o.io/">https://cri-o.io/</a> which removes the need for a daemon to run containers and rectifies a lot of the security concerns by dividing the work of the daemon into multiple tools. As of RHEL/Centos 7.7 and 8+ they allow for running containers without root using that tool.<div><br></div><div>A lot of the security concerns apply more to regular servers which are running Docker (or others) vs purpose build container hosting servers which can be stripped down and hardened. <br><div><br></div><div>Thanks,</div></div><div><br>Sander</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, May 23, 2019 at 3:03 PM Jan Wender <<a href="mailto:j.wender@web.de">j.wender@web.de</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>
<br>
> Am 23.05.2019 um 15:06 schrieb Gerald Henriksen <<a href="mailto:ghenriks@gmail.com" target="_blank">ghenriks@gmail.com</a>>:<br>
> <br>
> security concerns about Docker<br>
<br>
One of the issues is that execution of a Docker container requires to be started as root, which can be done for services etc, but not for user processes. But I think that Docker is working on changing that requirement. <br>
<br>
Best, Jan<br>
-- <br>
Jan Wender - <a href="mailto:j.wender@web.de" target="_blank">j.wender@web.de</a><br>
<br>
<br>
_______________________________________________<br>
Beowulf mailing list, <a href="mailto:Beowulf@beowulf.org" target="_blank">Beowulf@beowulf.org</a> sponsored by Penguin Computing<br>
To change your subscription (digest mode or unsubscribe) visit <a href="https://beowulf.org/cgi-bin/mailman/listinfo/beowulf" rel="noreferrer" target="_blank">https://beowulf.org/cgi-bin/mailman/listinfo/beowulf</a><br>
</blockquote></div>