Будет здорово послушать про пример, каким образом процесс сервера может выйти за пределы, например, eclipse-temurin:25, если ему выдан чисто volume с его данными и проброшен один-единственный порт (это самый очевидный и распространённый сетап). Это всё на обычном рутованном докере
Твоя парадигма создает лишь иллюзию чистого и безопасного контейнера, когда это не так. Можешь загуглить, поинтересоваться. Но скажу так, большая часть взломов идут от CVE уязвимостей, а их могут столько, что ты сам физически не сможешь их всех отследить. При твоём сценарии все держится на uid 0, а это в свою очередь uid 0 на самом хосте. Если в плагине, ПО или ещё чет окажется RCE уязвимость, через неё получат доступ к контейнеру, а уже через другие найденые CVE (Которых могут быть сотни) получают доступ к хосту. Уязвимости нуелового дня тоже часто встречаются, хоть log4shell самый популярный, но он не единственный и их будет ещё много.
Но самый простой способ взлома - это подловить на человеческом факторе. Кривой образ или кривая конфигурация и все, при определённых знаниях и понимании архитектуры, атакующий хакер твой проект снесёт на раз-два.
На самом деле сценариев уж слишком много. Но проще тебе просто загуглить что такое gVisor и зачем его используют крупные корпорации. И почему Google его сделали.
Фантайм спокойно пользуется птером, так еще и панель лицом в интернет светит. Проблем никаких нет
Мне интересно с чего ты это взял? Если какой-то разработчик использует его на тестовых серверах, это не значит что он используется на основных как главный инструмент или панель.
Держать открытым админ панель будет только самый глупый человек на свете... Это буквально безопасность уровня ребёнка.
