V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
helloworld12
V2EX  ›  问与答

docker 可以防黑客吗?

  •  
  •   helloworld12 · 2018-05-25 10:17:19 +08:00 · 1903 次点击
    这是一个创建于 2409 天前的主题,其中的信息可能已经有所发展或是发生改变。

    假设服务有问题,然后服务放在 docker 里面

    这样,黑客进入的是 docker 环境,他能进到宿主环境吗?

    3 条回复    2018-05-25 15:35:05 +08:00
    PureWhite
        1
    PureWhite  
       2018-05-25 10:22:22 +08:00
    没有绝对安全的软件。
    就不说 Docker 了,就那么多虚拟机还会发生逃逸呢。
    Linux 下也还有漏洞能让普通用户提权到 root 呢。

    楼主觉得 Docker 能做得比 Linux 还安全嘛?
    234747005
        2
    234747005  
       2018-05-25 10:26:20 +08:00   ❤️ 2
    privileged 使用该参数,container 内的 root 拥有真正的 root 权限。
    否则,container 内的 root 只是外部的一个普通用户权限。
    privileged 启动的容器,可以看到很多 host 上的设备,并且可以执行 mount。
    甚至允许你在 docker 容器中启动 docker 容器。

    所以如果没有使用 privileged 参数,应该是安全的沙盒模式。
    wph95
        3
    wph95  
       2018-05-25 15:35:05 +08:00   ❤️ 2
    > 能进到宿主环境吗
    进到这个词太抽象了,是指的隔离性吗?
    docker 的隔离性一般情况是足够的,但还是有办法读取到宿主环境的一些信息。(不管你开不开 privileged)
    最常见的场景 cgroup 隔离性不足
    就是 cgroup namespace 的支持需要打内核补丁,所以你在 docker 环境里可以读取宿主机上的进程信息。
    所以对此有了很多解决方案。阿里推的 https://github.com/alibaba/pouch 主打特性就是 Strong isolation, 对比 docker 就是隔离性较弱了。

    如果是黑客,一般到机器上扔个 fork 炸弹,弱一点的平台就挂了=。= 一试一个准
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1017 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 19:40 · PVG 03:40 · LAX 11:40 · JFK 14:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.