Linux 不受信任的Docker容器会造成什么损害？

让我们假设我在我的Linux机器上运行一个带有恶意软件的docker容器，可以造成什么损害

从CPU、内存、磁盘I/O、网络I/O、系统等方面来看，运行Docker的安全问题有哪些

我的第一个猜测（完成）：

容器将能够烧掉我的CPU，因为没有办法限制容器可以使用的CPU百分比

它还可以直接访问我的Linux内核，这可能不是很好（如果不是用SE Linux锁定的话）

---

它能完全填满我的磁盘吗？或者能把垃圾东西注入内存吗？

是的，它可以访问你的内核，所以基本上，你可以看到，你的保护很小

关于烧掉你们的CPU，当CPU达到一定温度时，一些主板会关闭电脑以避免“烧掉”CPU（若你们正在谈论的是）

如您所见，您可以做一些事情来提高安全性：

SELinux-启用此选项将自动为每个容器生成MCS标签，从而限制其造成损害的能力

只读-您还可以将容器标记为只读，这样可以使容器的大部分图像只读，从而使攻击者更难部署恶意软件

自托管注册表-为了减少图像篡改、加载恶意容器、泄漏机密或以其他方式使自己处于风险中的风险，您可以在内部托管注册表。是一个位于S3之上的示例，尽管还有其他选项

---

谢谢使用burning，是的，我考虑过长时间使用最大负载（100%的使用率）并损坏硬件。在主机网络接口上读取数据，或者向内存中注入无用的数据，填满磁盘，怎么样？我相信你可以填满磁盘，检查处理进程是否类似于主机上运行的进程是明智的做法。容器将受到CGROUP、SELinux或ApvMor和SeCCOMP配置文件的保护，因此比在裸机上运行更好的保护，但确实要考虑：总是设置CPU和内存限制，但也考虑容器可以消耗网络带宽和磁盘空间。（通过写入文件或生成大容量日志记录）。