如果用户可以访问 docker 容器中的终端,他们可以采取任何措施来破坏其上的硬盘驱动器吗?
If a user had access to the terminal in a docker container can they do anything to destroy the hard drive its on?
如果用户可以访问 docker 容器中的根 Ubuntu 终端,他们可以做任何事情来破坏它所在的硬盘驱动器或 SSD 吗?
Link: gitlab.com/pwnsquad/term
Docker 默认情况下授予 root 访问容器的权限。
只有绕过 Docker 的容器隔离机制,容器才会损坏您的 host 系统,否则只会损坏容器本身,而不是主机.
打破隔离机制的最简单方法如下:
当您将主机路径映射到容器路径时,使用 Dockers 的绑定装载。在这种情况下,可以从容器内部完全清除该路径。避免绑定挂载(使用卷)或以 ro 模式挂载以避免
使用网络,特别是 network=host 保证容器访问所有主机的活动网络服务,因此可能使主机容易受到攻击。在这种情况下,您可以连接到绑定 locally(到 127.0.0.1/localhost)的服务,因此不需要远程连接,因此可能受到较少的保护。
如果用户可以访问 docker 容器中的根 Ubuntu 终端,他们可以做任何事情来破坏它所在的硬盘驱动器或 SSD 吗?
Link: gitlab.com/pwnsquad/term
Docker 默认情况下授予 root 访问容器的权限。
只有绕过 Docker 的容器隔离机制,容器才会损坏您的 host 系统,否则只会损坏容器本身,而不是主机.
打破隔离机制的最简单方法如下:
-
当您将主机路径映射到容器路径时,
使用 Dockers 的绑定装载。在这种情况下,可以从容器内部完全清除该路径。避免绑定挂载(使用卷)或以
ro模式挂载以避免使用网络,特别是
network=host保证容器访问所有主机的活动网络服务,因此可能使主机容易受到攻击。在这种情况下,您可以连接到绑定 locally(到127.0.0.1/localhost)的服务,因此不需要远程连接,因此可能受到较少的保护。