如果我允许用户运行他想要的任何东西,他是否能够对在哪个容器中执行的 env 做坏事?
问问题
2181 次
2 回答
9
Docker 尽最大努力创建不允许恶作剧用户做坏事的容器。例如,它消除了任何用户能够执行的能力mount.
话虽这么说,但不能保证用户无法在 cgroups 中利用漏洞或配置完美时突破容器。这应该根据需要进行评估。
于 2013-07-25T23:14:18.183 回答
4
据我所知,答案是肯定的。所以你可能不应该在任何容器上给黑客 sudo 权限......
一个快速的谷歌搜索给了我以下信息。
在https://wiki.ubuntu.com/LxcSecurity上:
...容器将始终(按设计)与主机共享相同的内核。因此,内核接口中的任何漏洞,除非容器被禁止使用该接口(即使用 seccomp2),否则容器可以利用该漏洞危害主机。
在http://www.funtoo.org/wiki/Linux_Containers
从 Linux 内核 3.1.5 开始,LXC 可用于将您自己的私有工作负载相互隔离。它还没有准备好将潜在的恶意用户与其他用户或主机系统隔离开来。
他们建议使用 OpenVZ 作为替代方案。
于 2013-07-08T14:50:59.287 回答