Linux on Antonio Cortés (DrZippie)

Analizando el aislamiento de filesystems en contenedores para cargas multi-tenant

Fri, 13 Feb 2026 00:00:00 +0000

Recientemente me encontré con un análisis técnico excepcionalmente denso sobre seguridad de contenedores que merece la pena ser compartido. El autor empezó con una hipótesis simple: el aislamiento de filesystems de los contenedores debería ser suficiente para cargas de trabajo multi-tenant sin necesidad de máquinas virtuales, si se entiende suficientemente bien qué está pasando a nivel de syscall.

Después de una investigación exhaustiva, la conclusión es más incómoda de lo que esperaba: los valores por defecto te protegen bien, pero en el momento que empiezas a usar características “avanzadas” como la propagación de montajes bidireccional o el reetiquetado de SELinux, estás a un paso de entregarle las llaves de tu host a un atacante.

Analyzing Container Filesystem Isolation for Multi-Tenant Workloads

Fri, 13 Feb 2026 00:00:00 +0000

I recently came across an exceptionally dense technical analysis about container security that’s worth sharing. The author started with a simple hypothesis: container filesystem isolation should be sufficient for multi-tenant workloads without virtual machines, if you sufficiently understand what’s happening at the syscall level.

After thorough investigation, the conclusion is more uncomfortable than expected: the defaults protect you well, but the moment you reach for “advanced” features like bidirectional mount propagation or SELinux relabeling, you’re one misconfiguration away from handing an attacker the keys to your host.

Actualización claves GPG repositorios Ubuntu

Sat, 09 Jan 2010 00:00:00 +0000

Algunas veces es posible que debamos actualizar las claves públicas de algunos repositorios de Ubuntu. Un síntoma es el siguiente error:

Update GPG keys Ubuntu repositories

Sat, 09 Jan 2010 00:00:00 +0000

Sometimes we may need to update the public keys of some Ubuntu repositories. A symptom is the following error: