4

如果我允许用​​户运行他想要的任何东西,他是否能够对在哪个容器中执行的 env 做坏事?

4

2 回答 2

9

Docker 尽最大努力创建不允许恶作剧用户做坏事的容器。例如,它消除了任何用户能够执行的能力mount.

话虽这么说,但不能保证用户无法在 cgroups 中利用漏洞或配置完美时突破容器。这应该根据需要进行评估。

于 2013-07-25T23:14:18.183 回答
4

据我所知,答案是肯定的。所以你可能不应该在任何容器上给黑客 sudo 权限......

一个快速的谷歌搜索给了我以下信息。

  • https://wiki.ubuntu.com/LxcSecurity上:

    ...容器将始终(按设计)与主机共享相同的内核。因此,内核接口中的任何漏洞,除非容器被禁止使用该接口(即使用 seccomp2),否则容器可以利用该漏洞危害主机。

  • http://www.funtoo.org/wiki/Linux_Containers

    从 Linux 内核 3.1.5 开始,LXC 可用于将您自己的私有工作负载相互隔离。它还没有准备好将潜在的恶意用户与其他用户或主机系统隔离开来。

    他们建议使用 OpenVZ 作为替代方案。

于 2013-07-08T14:50:59.287 回答