Refactor README.md to streamline security options section, removing redundant explanations and examples for seccomp and AppArmor, while retaining essential information for clarity.

0GiS0 · 0GiS0 · commit 293efa00ede4 · 2025-10-19T12:00:29.000+02:00
diff --git a/01-contenedores/contenedores-ii/README.md b/01-contenedores/contenedores-ii/README.md
@@ -172,291 +172,6 @@ Las variables de entorno permiten configurar aplicaciones sin modificar la image
 - `DB_*`: Configuración de base de datos
 - `APP_*`: Configuraciones específicas de la aplicación
 
-
-
-### 🔒 **Opciones de seguridad (--security-opt)**
-
-Configuran políticas de seguridad del contenedor y controlan qué acceso tiene el contenedor a las llamadas del sistema.
-
-Pero espera, ¿qué son **seccomp** y **AppArmor**? Si es la primera vez que lo escuchas, no te preocupes, es más sencillo de lo que parece:
-
-#### 📚 **¿Qué es seccomp?**
-
-**seccomp** (del inglés "Secure Computing") es un **filtro de seguridad a nivel del kernel de Linux** que actúa como un intermediario entre tus programas y el sistema operativo.
-
-Piénsalo así:
-- Tu aplicación quiere hacer algo (abrir un archivo, crear un proceso, acceder a la red, etc.)
-- El kernel necesita ejecutar una **"llamada del sistema"** (syscall) para hacer eso
-- **seccomp intercepta esa llamada** y comprueba si está permitida según sus reglas
-- Si está permitida → se ejecuta ✅
-- Si NO está permitida → se bloquea 🚫
-
-**Ejemplo real:**
-- Firefox necesita acceder a gráficos de bajo nivel → necesita muchas syscalls especiales
-- Una aplicación web normal → solo necesita syscalls básicas (leer archivos, conectar a red, crear procesos)
-
-Docker por defecto aplica un perfil seccomp que **solo permite las syscalls seguras y necesarias**, bloqueando operaciones peligrosas que podrían comprometer la seguridad del sistema.
-
-#### 📚 **¿Qué es AppArmor?**
-
-**AppArmor** es un **sistema de control de acceso obligatorio (MAC)** que define qué puede y qué no puede hacer cada programa.
-
-Piénsalo como un "permiso de acceso" muy granular:
-- Este programa **puede** leer archivos de `/usr/share/`
-- Este programa **no puede** acceder a `/etc/shadow` (archivo de contraseñas)
-- Este programa **no puede** modificar archivos en `/bin/`
-
-Docker aplica por defecto un perfil AppArmor llamado `docker-default` que restringe las operaciones de los contenedores.
-
-#### 🔄 **seccomp vs AppArmor - ¿Cuál es la diferencia?**
-
-| Aspecto | seccomp | AppArmor |
-|--------|---------|----------|
-| **Qué filtra** | Llamadas del sistema (syscalls) | Acceso a archivos, red, etc. |
-| **Nivel** | Kernel (muy bajo nivel) | Sistema de archivos y red |
-| **Ejemplo bloqueo** | Evita que crees procesos nuevos | Evita que leas `/etc/shadow` |
-| **Overhead** | Muy bajo | Bajo |
-
-Ambos trabajan juntos para crear múltiples capas de seguridad.
-
-#### 🧪 **Ejemplo práctico 1: seccomp - Bloqueando operaciones peligrosas**
-
-**Analogía simple:** seccomp es como un portero que ve qué intenta hacer el contenedor y le dice "sí" o "no" a nivel del kernel.
-
-**Prueba esta comparación:**
-
-```bash
-# ✅ CONTENEDOR NORMAL (CON seccomp por defecto)
-# La mayoría de operaciones funcionan perfectamente
-docker run --rm alpine sh -c 'echo "Hola" > /tmp/test.txt && cat /tmp/test.txt'
-# Funciona sin problemas porque crear archivos está PERMITIDO
-
-# ❌ OPERACIÓN PELIGROSA BLOQUEADA (CON seccomp por defecto)
-# Intentar usar strace (que requiere ptrace) - bloqueado por seguridad
-docker run --rm ubuntu bash -c 'apt-get update -qq && apt-get install -y strace -qq && strace -e trace=ptrace echo "test"'
-# Output: strace: trace: execve failed: Operation not permitted
-# ❌ "Operation not permitted" = ptrace está BLOQUEADO por seccomp
-
-# ✅ MISMA OPERACIÓN PERMITIDA (SIN seccomp - security-opt seccomp=unconfined)
-# Desactivamos seccomp = permitimos todas las syscalls incluyendo ptrace
-docker run --rm --security-opt seccomp=unconfined ubuntu bash -c 'apt-get update -qq && apt-get install -y strace -qq && strace -e trace=ptrace echo "test"'
-# Output: echo(1, "test", 2) = 5
-# ✅ Funciona - ptrace está PERMITIDO (pero es peligroso)
-```
-
-**¿Qué ves?**
-- **Por defecto**: seccomp bloquea operaciones peligrosas (ptrace) ✅ Seguro
-- **Sin seccomp**: Se permite todo, incluso lo peligroso ⚠️ Menos seguro
-
-**📌 ¿Qué es ptrace y por qué está bloqueado?**
-
-`ptrace` es una syscall (llamada del sistema) que permite a un proceso **"espiar" o "debuggear" otros procesos**:
-
-- **Usos legítimos**: Debuggers (gdb, lldb), profilers, herramientas de análisis
-- **Usos maliciosos**: Un contenedor podría usarlo para:
-  - Inyectar código en otros procesos
-  - Leer la memoria de otros procesos (¡y encontrar contraseñas!)
-  - Modificar el comportamiento de otros procesos
-  - Escapar del contenedor accediendo a procesos del host
-
-Por eso Docker **bloquea ptrace por defecto** con seccomp. Si necesitas debuggear o usar herramientas de profiling dentro de un contenedor de desarrollo, es cuando desactivarías seccomp (`--security-opt seccomp=unconfined`), pero **nunca en producción**.
-
----
-
-#### 🧪 **Ejemplo práctico 2: AppArmor - Bloqueando acceso a archivos sensibles**
-
-**Analogía simple:** AppArmor es como un guardaespaldas que vigila a dónde puede ir el contenedor.
-
-**Prueba esta comparación:**
-
-```bash
-# ✅ ACCESO NORMAL A ARCHIVOS (CON AppArmor por defecto)
-# Puedes leer archivos normales sin problema
-docker run --rm alpine cat /etc/hostname
-# Funciona perfectamente
-
-# ❌ ACCESO A ARCHIVOS SENSIBLES BLOQUEADO (CON AppArmor por defecto)
-# Pero los archivos realmente sensibles están protegidos
-docker run --rm -v /etc:/etc:ro alpine cat /etc/shadow
-# ❌ Permission denied - AppArmor lo bloquea incluso si le das acceso al volumen
-
-# ✅ MISMO ARCHIVO AHORA ACCESIBLE (SIN AppArmor - security-opt apparmor=unconfined)
-# Desactivamos AppArmor = quitamos la protección
-docker run --rm --security-opt apparmor=unconfined -v /etc:/etc:ro alpine cat /etc/shadow
-# ✅ Funciona - AppArmor no está bloqueándolo (pero es peligroso)
-```
-
-**¿Qué ves?**
-- **Por defecto**: AppArmor protege archivos sensibles ✅ Seguro
-- **Sin AppArmor**: Se permite acceder a todo ⚠️ Menos seguro
-
----
-
-**📌 Conclusión simple:**
-- **seccomp**: "¿Qué operaciones de bajo nivel puedes hacer?" (Por defecto: solo las seguras)
-- **AppArmor**: "¿A dónde puedes ir?" (Por defecto: solo a lugares seguros)
-
-Ambos juntos = contenedor seguro por defecto. Desactívalo solo si realmente lo necesitas.
-
----
-
-**📝 Detalles adicionales de AppArmor:**
-
-AppArmor también protege directorios del sistema:
-
-```bash
-# CON AppArmor (por defecto - bloquea escritura en /sys)
-docker run --rm alpine sh -c 'echo "test" > /sys/test.txt'
-# ❌ Permission denied - no puedes escribir en /sys
-
-# SIN AppArmor (permite escritura)
-docker run --rm --security-opt apparmor=unconfined alpine sh -c 'echo "test" > /sys/test.txt'
-# ✅ Funciona (aunque /sys sea read-only, AppArmor no lo bloquea a nivel MAC)
-```
-
----
-
-**✅ Prueba los comandos tú mismo:**
-
-Si quieres ver la diferencia real, ejecuta estos comandos en tu máquina:
-
-```bash
-# 1. Intenta acceder a /etc/shadow (archivo de contraseñas)
-# CON protección (AppArmor):
-docker run --rm -v /etc:/etc:ro alpine cat /etc/shadow 2>&1 | head -1
-# Probablemente: "cat: can't open '/etc/shadow': Permission denied"
-
-# SIN protección (desactivamos AppArmor):
-docker run --rm --security-opt apparmor=unconfined -v /etc:/etc:ro alpine cat /etc/shadow 2>&1 | head -1
-# Funciona - ¡ve el contenido del archivo!
-
-# 2. Conclusión: AppArmor protege archivos sensibles automáticamente
-```
-
-```bash
---security-opt seccomp=unconfined  # Deshabilita el filtro de llamadas del sistema
---security-opt apparmor=unconfined # Deshabilita AppArmor
---security-opt no-new-privileges   # Evita escalada de privilegios
-```
-
-**📋 Valores por defecto (cuando no especificas nada):**
-
-Por defecto, Docker aplica configuraciones **seguras y restrictivas**:
-
-| Opción | Por defecto | Qué significa |
-|--------|-------------|---------------|
-| **seccomp** | `default` (restrictivo) | Docker aplica un perfil de seccomp que filtra llamadas del sistema peligrosas. Protege contra ataques a nivel de kernel |
-| **apparmor** | `docker-default` | Se aplica el perfil de AppArmor específico de Docker que limita operaciones del contenedor |
-| **privileges** | No permitidos | Los procesos NO pueden escalar privilegios (cambiar de usuario/grupo) |
-
-**� Entendiendo cada opción:**
-
-- **`seccomp=unconfined`**: Desactiva el filtro de seguridad de llamadas del sistema (syscalls). 
-  - **En la práctica**: Tu contenedor puede hacer prácticamente cualquier cosa a nivel del kernel, incluyendo operaciones peligrosas que podrían comprometer el host.
-  - **Cuándo necesitas esto**: Aplicaciones gráficas como Firefox, Chrome o herramientas de debugging de bajo nivel que requieren acceso directo al kernel (ej: Frida, GDB con capacidades especiales).
-  - **El coste**: **⚠️ Reduce significativamente la seguridad**. Un atacante podría usar syscalls peligrosas para escapar del contenedor o comprometer el host.
-  - **Si no lo especificas**: Docker mantiene el filtro por defecto (seguro), bloqueando syscalls peligrosas como `ptrace`, `kexec`, `bpf`, etc.
-  - **Ejemplo**: Firefox necesita `mmap` con permisos especiales y acceso a `/dev/dri/` (gráficos), por eso requiere `seccomp=unconfined`.
-
-- **`apparmor=unconfined`**: Desactiva AppArmor (el sistema de control de acceso obligatorio de Linux).
-  - **En la práctica**: Sin AppArmor, tu contenedor tiene acceso mucho más permisivo al sistema de archivos y puede acceder a más recursos.
-  - **Cuándo necesitas esto**: Raramente. La mayoría de aplicaciones funcionan bien con el perfil `docker-default`. Solo en casos muy específicos donde necesites acceso a archivos o directorios que AppArmor bloquea.
-  - **El coste**: Aumenta la superficie de ataque. Un contenedor malicioso podría acceder a más recursos del sistema.
-  - **Si no lo especificas**: Se aplica el perfil `docker-default`, que es una buena combinación de seguridad y funcionalidad.
-  - **Diferencia respecto a seccomp**: Mientras seccomp filtra *qué* se puede hacer a nivel del kernel, AppArmor filtra *a dónde* se puede acceder (archivos, puertos, etc.).
-
-- **`no-new-privileges`**: Evita que procesos dentro del contenedor puedan **escalar privilegios** (cambiar de usuario/grupo o ganar más permisos).
-  - **En la práctica**: Un proceso que corre como usuario normal (ej: www-data) NO puede convertirse en root, incluso si encuentra una vulnerabilidad en setuid binaries.
-  - **Ejemplo de ataque bloqueado**: Sin `no-new-privileges`, un atacante podría aprovechar un binario setuid para escalar a root. Con esta opción, se previene.
-  - **Caso de uso**: Aplicaciones que no necesitan cambiar de usuario durante su ejecución (la mayoría).
-  - **El coste**: Muy bajo. Principalmente la restricción de que no puedas usar `sudo` o funcionalidades que requieran cambio de usuario dentro del contenedor.
-  - **Si no lo especificas**: Este es el **por defecto** en Docker, así que tu aplicación ya está protegida contra escalada de privilegios.
-
-**⚠️ Importante**: `seccomp=unconfined` se usa para apps gráficas que necesitan acceso completo al sistema, pero reduce la seguridad. Solo úsalo cuando sea absolutamente necesario.
-
-**💡 Recomendación**: La configuración por defecto de Docker es segura. Mantén la restricción si tu aplicación no necesita acceso de bajo nivel. Solo desactívalo cuando sea necesario, y siempre como última opción después de otros intentos.
-
-#### 🎯 **Resumen: Las tres capas de seguridad**
-
-Docker proporciona tres capas de seguridad que trabajan juntas:
-
-1. **seccomp**: ¿Qué syscalls (operaciones de kernel) puedo ejecutar?
-   - Por defecto: Bloqueado (muy restrictivo)
-   - Activado en: Aplicaciones gráficas (Firefox, Chrome), debugging de bajo nivel
-2. **AppArmor**: ¿A qué archivos, puertos y recursos puedo acceder?
-   - Por defecto: Perfil `docker-default` (restrictivo pero funcional)
-   - Raramente necesitas desactivarlo
-3. **no-new-privileges**: ¿Puedo cambiar de usuario/grupo para ganar más permisos?
-   - Por defecto: Desactivado (protegido contra escalada)
-   - Previene que un atacante use vulnerabilidades para convertirse en root
-
-**Analogía**: Es como entrar en una escuela:
-- **seccomp** = "¿Qué actividades puedo hacer?" (solo las permitidas por la dirección)
-- **AppArmor** = "¿A qué lugares puedo acceder?" (aulas permitidas, no la directiva)
-- **no-new-privileges** = "¿Puedo pretender ser un profesor?" (no, el sistema lo bloquea)
-
-Todas juntas crean un contenedor **muy restringido pero funcional** que es seguro por defecto.
-
-**Ejemplos de uso:**
-
-```bash
-# Contenedor seguro (sin especificar nada, usa valores por defecto)
-docker run -d --name mi-app mi-app:latest
-# ✅ Tiene: seccomp restrictivo + apparmor + no-new-privileges
-
-# Para una aplicación gráfica que necesita acceso completo
-docker run -d \
-  --security-opt seccomp=unconfined \
-  --name firefox \
-  lscr.io/linuxserver/firefox:latest
-# ⚠️ Menos seguro, pero necesario para apps gráficas
-
-# Para una aplicación de debugging que necesita más permisos
-docker run -d \
-  --security-opt seccomp=unconfined \
-  --security-opt apparmor=unconfined \
-  --name debug-app \
-  mi-app-debug:latest
-# ⚠️ Máximo permiso (usar solo para debugging)
-
-# Para una aplicación que quieres mantener segura (explícitamente)
-docker run -d \
-  --security-opt no-new-privileges \
-  --name secure-app \
-  mi-app:latest
-# ✅ Especificamos explícitamente que no hay escalada de privilegios
-```
-
-**📊 Matriz de seguridad:**
-
-```
-Más seguro  ───────────────────────────────── Menos seguro
-    ↓                                            ↓
-[Por defecto] → [no-new-privileges] → [seccomp=unconfined] → [--privileged]
-  (seguro)      (muy seguro)          (arriesgado)           (muy arriesgado)
-```
-
-### 🧠 **Memoria compartida (--shm-size)**
-
-Algunos navegadores y apps gráficas necesitan más memoria compartida:
-
-```bash
---shm-size="1gb"    # Asigna 1GB de memoria compartida
---shm-size="512m"   # Asigna 512MB
-```
-
-**🎯 Uso típico**: Firefox, Chrome, aplicaciones que renderizan gráficos.
-
-### 🎭 **Privilegios (--privileged)**
-
-Da acceso completo al sistema host al contenedor:
-
-```bash
---privileged  # Acceso completo (usar con precaución)
-```
-
-**🚨 Solo usar cuando sea absolutamente necesario** (ej: Home Assistant para acceso a hardware USB).
-
 ---
 
 ## 🌟 Algunas imágenes interesantes
@@ -523,10 +238,9 @@ lscr.io/linuxserver/speedtest-tracker:latest
 ```bash
 docker run -d \
   --name=filezilla \
-  --security-opt seccomp=unconfined `# ¡Recuerdas esto! Para apps gráficas` \
   -e PUID=1000 -e PGID=1000 -e TZ=Etc/UTC \
   -p 3000:3000 -p 3001:3001 \
-  --restart unless-stopped `# Política de reinicio que aprendiste` \
+  --restart unless-stopped \
   lscr.io/linuxserver/filezilla:latest
 ```
 
@@ -548,7 +262,6 @@ docker run -d \
 ```bash
 docker run -d \
   --name=libreoffice \
-  --security-opt seccomp=unconfined `# Para aplicación gráfica` \
   -e PUID=1000 -e PGID=1000 -e TZ=Etc/UTC \
   -p 3000:3000 -p 3002:3001 \
   lscr.io/linuxserver/libreoffice:latest
@@ -561,11 +274,10 @@ docker rm -f libreoffice  # Para limpiar después de probar
 ```bash
 docker run -d \
   --name=firefox \
-  --security-opt seccomp=unconfined `# Necesario para el navegador` \
   -e PUID=1000 -e PGID=1000 -e TZ=Etc/UTC \
-  -e FIREFOX_CLI=https://www.lemoncode.net/ `# URL inicial personalizada` \
+  -e FIREFOX_CLI=https://www.lemoncode.net/ \
   -p 3000:3000 -p 3001:3001 \
-  --shm-size="1gb" `# ¡Memoria compartida para el navegador!` \
+  --shm-size="1gb" \
   lscr.io/linuxserver/firefox:latest
 ```
 
@@ -602,8 +314,6 @@ docker run -d \
 
 **Acceso:** Una vez ejecutado, accede a `http://localhost:5678` para completar la configuración inicial.
 
-> 💡 **Nota**: En próximas clases aprenderemos a usar volúmenes (`-v`) para persistir datos en n8n y otras aplicaciones.
-
 ### 📌 ¿Qué puerto tengo que abrir?
 ¿Y cómo sé qué puertos tengo que abrir? Pues en la documentación de cada imagen te lo indican. Por ejemplo, en la de [Radarr](https://hub.docker.com/r/linuxserver/radarr) te indican que tienes que abrir el puerto 7878.
 Por otro lado, puedes saber qué puerto puedes exponer para una imagen que ya tienes descargada con el siguiente comando:
