不考虑 Docker 本身存在的漏洞,仅正常部署容器,是否存在从容器中访问外部文件或执行外部操作的可能性?

2022-02-19 15:20:54 +08:00
 LxnChan

假设现有一个容器已经部署完成并且在运行,该容器的启动参数如下

docker run dit -v /root/con1:/data -p 980:80 -p 9443:443/udp --hostname xiaoqiang maintainer:images:latest

该容器是否有对外部操作的可能(包括读写外部文件、操作外部设备等)?

Ps:Docker 是否有办法对容器执行白名单防火墙(仅放行白名单中的域名 /IP )?

1132 次点击
所在节点    Docker
3 条回复
Explr
2022-02-20 09:09:46 +08:00
如果不考虑 Docker 漏洞造成的容器逃逸,攻击者还可以渗透你容器中的服务,再用其作为跳板渗透你的宿主机。

防火墙的问题我以前也问过,可以试试写 iptables 。
LxnChan
2022-02-20 12:27:27 +08:00
@Explr iptables 实在是有点写不明白啊
Jacky23333
2022-02-20 15:39:55 +08:00
很明显有呀,你都挂载(bind mount)了一个宿主机的'/root/con1'文件夹到容器中,那容器自然可以自由的读写宿主机这个文件夹呀

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/835042

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX