Докер: --ipc = хост и безопасность

Таким образом, чтобы MIT-SHM работал между приложением, запущенным в док-контейнере, и x11, работающим на хосте, я должен передать --ipc host во время запуска контейнера. Я прочитал документацию о том, что он должен делать.

Предполагая, что приложение НЕ выполняется от имени пользователя root (внутри контейнера), какие возможные векторы атаки это открывает? Другими словами, насколько --ipc host ставит под угрозу безопасность?

Ответ 1

Пока ваше изображение контейнера из надежного источника, оно не должно влиять на ваш хост.

Вы можете прочитать о настройках ipc здесь..

https://docs.docker.com/engine/reference/run/#ipc-settings---ipc