如果用户可以访问docker容器中的终端,他们能做些什么来破坏其上的硬盘驱动器吗?
如果用户可以访问docker容器中的根Ubuntu终端,他们能做些什么来破坏它所在的硬盘或SSD吗如果用户可以访问docker容器中的终端,他们能做些什么来破坏其上的硬盘驱动器吗?,docker,security,exploit,Docker,Security,Exploit,如果用户可以访问docker容器中的根Ubuntu终端,他们能做些什么来破坏它所在的硬盘或SSD吗 链接:gitlab.com/pwnsquad/term默认情况下,Docker允许root用户访问容器 只有绕过Docker的容器隔离机制,容器才能损坏主机系统,否则唯一的损坏是容器本身,而不是主机 打破隔离机制的最简单方法如下: 当您将主机路径映射到容器路径时,使用Dockers的绑定挂载。在这种情况下,可以从容器内部完全清洁该路径。避免绑定装载(使用卷)或在ro模式下装载以避免这种情况 使用
链接:gitlab.com/pwnsquad/term默认情况下,Docker允许root用户访问容器 只有绕过Docker的容器隔离机制,容器才能损坏主机系统,否则唯一的损坏是容器本身,而不是主机 打破隔离机制的最简单方法如下:
- 当您将主机路径映射到容器路径时,使用Dockers的绑定挂载。在这种情况下,可以从容器内部完全清洁该路径。避免绑定装载(使用卷)或在
模式下装载以避免这种情况ro - 使用网络,特别是
可以保证容器访问所有主机的活动网络服务,从而使主机容易受到攻击。在这种情况下,您可以连接到本地绑定的服务(到network=host
),因此不需要远程连接,因此可能会受到较少的保护127.0.0.1/localhost