以Root用户身份运行Docker容器
以Root用户身份运行Docker容器
提问于 2018-10-08 19:22:03
在容器内以根用户身份运行Docker容器进程被认为是不安全的。但我有一些疑问,我需要澄清:
- 即使容器不能从主机挂载对接器套接字或根文件系统的任何部分,它仍然是同样的不安全吗?
- 如果有一个容器和虚拟机的一对一映射,它是否仍然一样不安全?例如,每个VM只运行一个容器?
- 如果容器没有以特权的方式运行,是否仍然不安全?
- 作为根用户运行和特权运行有什么区别?
除此之外,是否有一些简单的方法来伪造根呢?我们如何将用户id 0映射为主机上更大的号码1001?
回答 1
Security用户
回答已采纳
发布于 2018-10-27 06:55:11
回答你的问题:
- 不不一样。如果您没有设置容器访问坞插座,这意味着容器将无法创建,检查,删除或其他操作的主机码头容器,仅此而已。但是在容器中,根用户仍然可以“破坏”它的软件。
- 每个虚拟机只运行一个容器,意味着如果有人以某种方式侵入您的容器并逃离它,它将只访问您的VM。这可能是一个很好的做法,但在我看来是过分的。您可以在不同的网络上创建容器来隔离它们,尽管这样,如果它们逃脱,它们将访问所有容器。
- 运行“非特权”容器比将它们作为“特权”运行更安全。这很明显。
- 以根用户身份运行容器意味着容器中的进程将具有容器中的所有特权。以特权的形式运行容器意味着,即使在主机上,容器也将拥有所有的特权。这通常是在特殊情况下.假设您有一个容器,需要访问主机上的物理无线网络接口。当然,这将需要作为特权启动,否则容器将无法访问该设备。
希望能帮上忙。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/195330
复制相关文章
相似问题
腾讯云开发者
