我知道默认情况下会在自己的网络堆栈中创建一个 docker 容器。
我想--net host在运行 docker 容器时使用该标志以允许使用所有主机端口。
我知道的缺点:
- 在容器内运行的服务可能会与在同一端口上运行的其他容器中的其他服务发生冲突。
- 容器可以访问完整的网络堆栈。
我的问题是,当允许容器使用完整的网络堆栈时,安全影响是什么?
问问题
1429 次
1 回答
1
威胁模型
这有点矫枉过正,但通常最好对发生的威胁进行建模,而不是说“不要这样做,这是不安全的”。
用例
我创建了一个 Web 控制面板,用于管理 Docker 容器中的游戏服务器。基本上每个容器都运行一个 FTP 服务器和游戏服务器。我每台主机运行大约 50 个容器。需要打开端口的客户端安装模块。
这听起来就像您托管同一个游戏的多个实例,例如 Minecraft。
但是,模组可能会引入 MySQL 或 MongoDB 等新软件,这意味着新的攻击面会打开。
我将假设启用进程控制组 (cgroups) 以防止一个容器在主机上使用完整的 CPU 或 GPU。
恶意演员
- 主机提供商。
- 无关紧要,可以完全访问容器。如果主机是恶意的,我们就完蛋了。
- 游戏服务器。
- 目前只能访问三个端口:FTP、游戏端口、一个模组端口。
- 作弊者希望访问托管的其他游戏上的 SQL 以在其他游戏中作弊。使游戏主机。
- 可能不是一个现实的威胁向量,因为您可能正在托管相同的游戏,所以此时所有用户都被开发者搞砸了。
- 模组
- 更新为包括加密矿工,需要更多的主机资源。
- 黑客在游戏 XYZ 中听说 MongoDB 中的零日,为 Mongo 数据库添加端口扫描
- 在最现实的情况下,模组有时会变成抽水和倾倒方案。
- 方案 1
- 假模组。
- 与 #2 类似,有人知道游戏 xyz 已托管并已
--net host启用。作弊者知道他们可以访问数据库以更改存储在本地 MySQL 数据库中的硬币数量或将自己设置为其他实例的主持人。 - 他们为游戏的一个实例付费,并安装该模组以有效地为另一个容器实例提供后门。
- 方案 2
- 与 #2 类似,有人知道游戏 xyz 已托管并已
使用--net host
场景一:加密矿工
之前,只暴露了某些端口,使用带有 Mongo 的 mod 的其他游戏实例是安全的。您可能在公共防火墙中禁用了 Mongo 端口。
但是,现在所有容器都可以互相聊天,使用--net host,并且没有启用防火墙来防止彼此恶意向彼此发送流量。
因此,当 mod 更新为不仅包括加密矿工而且还包括端口扫描器时,mod 会扫描 localhost 并找到打开的 MongoDB。然后它接管其他容器并使用主机的更多 CPU/GPU,假设容器应用了 cgroups。
如果没有应用 cgroups(进程利用率控制组),那么唯一的威胁就是额外的访问权限。
场景 2:Cheater mod 后门
之前,只暴露了某些端口,使用带有 MySQL 的 mod 的游戏的其他实例是安全的。您可能在公共防火墙中禁用了 SQL 端口。
但是,现在所有容器都可以互相聊天,使用--net host,并且没有启用防火墙来防止彼此恶意向彼此发送流量。
因此,当作弊者在他们的实例上安装他们的 mod 时,他们会直接访问 MySQL 服务器并增加存储的硬币数量,从而使他们变得富有。服务器版主很困惑,因为没有显示此访问权限的游戏日志,他们想知道他们的服务器是否已被黑客入侵。
概括
总而言之,--net host假设你有一个活动的防火墙,不会增加额外的外部访问,但它确实减少了主机上运行的容器之间的分离,这意味着如果你托管恶意容器,你正在为非恶意容器创造更大的可能性被利用。
也可以看看
于 2021-11-30T16:19:19.697 回答