#podman

`Copy Fail`（CVE-2026-31431）は、ローカルの未特権ユーザーがroot権限を奪える脆弱性として公開された Podmanのrootless containerでも、この脆弱性でコンテナ内のrootシェルは取れてしまう ただし、Podmanのrootless構成では、ホスト全体への被害はかなり抑えられるのが重要なポイント 理由は、Podmanがuser namespaceとLinux capabilitiesを使って、コンテナのrootをホストrootと切り離しているから とはいえ、`read-only`化、capability削減、使えるコマンドの制限、firewallなど、防御を重ねる設計はやはり大事 コンテナの脆弱性の話は、どうしても「結局、全部危ないの？」で終わりがちです。 でも、Gabriel Garrido氏の記事はそこをもう一段深く掘っていて、Podmanのrootless containerは何が強くて、何が弱いのかをかなり実感しやすい形で説明していました。個人的には、こういう「理屈だけじゃなくて、実際に