Ответ 1
Пока ваше изображение контейнера из надежного источника, оно не должно влиять на ваш хост.
Вы можете прочитать о настройках ipc здесь..
https://docs.docker.com/engine/reference/run/#ipc-settings---ipc
Докер: --ipc = хост и безопасность
Таким образом, чтобы MIT-SHM работал между приложением, запущенным в док-контейнере, и x11, работающим на хосте, я должен передать --ipc host во время запуска контейнера. Я прочитал документацию о том, что он должен делать.
Предполагая, что приложение НЕ выполняется от имени пользователя root (внутри контейнера), какие возможные векторы атаки это открывает? Другими словами, насколько --ipc host ставит под угрозу безопасность?