这是一个创建于 2374 天前的主题,其中的信息可能已经有所发展或是发生改变。
假设服务有问题,然后服务放在 docker 里面
这样,黑客进入的是 docker 环境,他能进到宿主环境吗?
 |
1
PureWhite 2018-05-25 10:22:22 +08:00
没有绝对安全的软件。
就不说 Docker 了,就那么多虚拟机还会发生逃逸呢。 Linux 下也还有漏洞能让普通用户提权到 root 呢。 楼主觉得 Docker 能做得比 Linux 还安全嘛? |
 |
2
234747005 2018-05-25 10:26:20 +08:00  2
privileged 使用该参数,container 内的 root 拥有真正的 root 权限。
否则,container 内的 root 只是外部的一个普通用户权限。 privileged 启动的容器,可以看到很多 host 上的设备,并且可以执行 mount。 甚至允许你在 docker 容器中启动 docker 容器。 所以如果没有使用 privileged 参数,应该是安全的沙盒模式。 |
 |
3
wph95 2018-05-25 15:35:05 +08:00 2
> 能进到宿主环境吗
进到这个词太抽象了,是指的隔离性吗? docker 的隔离性一般情况是足够的,但还是有办法读取到宿主环境的一些信息。(不管你开不开 privileged) 最常见的场景 cgroup 隔离性不足 就是 cgroup namespace 的支持需要打内核补丁,所以你在 docker 环境里可以读取宿主机上的进程信息。 所以对此有了很多解决方案。阿里推的 https://github.com/alibaba/pouch 主打特性就是 Strong isolation, 对比 docker 就是隔离性较弱了。 如果是黑客,一般到机器上扔个 fork 炸弹,弱一点的平台就挂了=。= 一试一个准 |
Select Language