假设,我在 Docker.io 容器中有一个易受攻击的 OpenSSL 服务器。Docker 是否会阻止读取主机的内存?
我的假设是,确实如此。因为漏洞在 OpenSSL 而不是在内核中,所以 Docker 应该隔离容器中的根访问。但是维基百科只说“部分根权限隔离”并暗示它依赖于后端。因此,请指定您是否使用 libcontainer 或 lxc 或其他方式回答。
问问题
301 次
2 回答
2
如果易受攻击的服务器在容器中运行,则只会泄漏该容器的内存。
事实上,即使没有容器,也只会泄漏该服务器的进程内存。例如,如果你有一个易受攻击的 Apache+OpenSSL 服务器和一个 SSH 服务器在同一台机器上运行,攻击者可以从 Apache 服务器获取内存碎片,但永远无法从 SSH 服务器获取任何内容。(除非这个 Apache 服务器用于分发 SSH 私钥或类似的东西,当然......)
于 2014-04-14T18:35:34.257 回答
0
这个相关问题表明只有易受攻击的应用程序的内存受到影响。除非可以获取本地登录数据或以其他方式获得本地 root 访问权限,否则这个问题是无关紧要的。
于 2014-04-13T10:51:45.780 回答