SLES 16 환경에서 Rootless Podman으로 구현하는 보안 컨테이너 설계

Context

Docker 데몬의 Root 권한 실행으로 인한 호스트 보안 취약점 존재. 컨테이너 탈출 발생 시 호스트 전체 제어권 상실 위험 상존. 루트 파티션 내 이미지 저장으로 인한 OS 디스크 공간 부족 및 시스템 불안정 문제 발생.

Technical Solution

• Root 권한 없이 컨테이너를 실행하는 Daemonless 아키텍처 도입을 통한 공격 표면 최소화
• OS 디스크(40GB)와 컨테이너 저장소(20GB)를 물리적으로 분리하여 저장소 고립 및 관리 효율성 확보
• XFS 파일 시스템 기반의 /var/lib/containers 마운트 설계를 통한 데이터 영속성 및 확장성 유지
• setgid 비트(2775)가 적용된 공유 스토리지 구조 설계로 다중 사용자 환경의 그룹 권한 일관성 유지
• Linux kernel의 user_namespaces 기능을 활용한 호스트-컨테이너 간 UID 매핑 전략 적용
• 표준 입력 유지를 위한 -i 플래그 활용으로 호스트 데이터와 컨테이너 프로세스 간 파이프라인 통신 구현

Impact

• OS 전용 디스크 40GB, 컨테이너 전용 디스크 20GB로 저장 공간 분리 운영
• SubUID 100,000부터 65,536개의 사용자 ID 매핑 범위 확보

Key Takeaway

컨테이너 런타임의 권한 분리와 저장소 물리적 격리는 엔터프라이즈 환경에서 시스템 안정성과 보안성을 동시에 확보하는 필수 설계 원칙임.