新闻中心
News centre

如何通过Docker组用户,直接攻击Docker宿主机(内有干货)?

发布日期: 2018-03-02
浏览次数: 47

通常大家认为Docker引擎已经将多个进程作到了隔离,在互操作上是很安全的。而且在Docker宿主机中,只需要给普通用户授予Docker用户组,便可以放心地让运维人员自由管理。殊不知Docker Daemon进程是由root来启动的,滥用docker命令不仅危害容器间的安全,也对宿主机造成直接的影响,接下来我们就来看看,如何通过Docker组用户,直接攻击Docker宿主机。


第一步:你必须要有一个Docker用户组的用户,能够执行docker run


如何通过Docker组用户,直接攻击Docker宿主机(内有干货)?


第二步:执行rootplease镜像,并且将宿主机磁盘映射到容器内。并且在容器内执行useradd,passwd和编辑/etc/passwd


如何通过Docker组用户,直接攻击Docker宿主机(内有干货)?


上述例子中,我们将新增的hacker用户的,UID/GID都设置为0


第三步:退出容器,回到宿主机,直接查看宿主机的/etc/passwd,惊奇发现已经被添加了一个hacker用户,而且UID/GID=0


如何通过Docker组用户,直接攻击Docker宿主机(内有干货)?


第四步:当然是切换到hacker啦。 su - hacker,docker宿主机已经被你拿到了。


分析:上述Demo中有一些点值得探讨。

Docker用户组的成员,由于可以执行docker命令,实际上可以借助Docker Daemon进程(进程UID=0)对宿主机资源控制。

不应该放任镜像可以随意映射磁盘。虽然编排工具可以指定什么镜像映射什么网络volume,但是这个并非强制性的,需要从引擎层面去控制volume mapping。

生产环境不应该允许非法的镜像执行。那什么叫非法的镜像呢?一般我们认为,那些不在合法registry中的,都可以认为非法,比如通过docker pull获得的,或者docker load装载的。


在生产环境中,特别是大型金融、电信、关键业务系统的PaaS平台,Docker集群的管理员也应该减少直接接触Docker底层操作系统,更应管理好Docker组成员的密码,不要因为其实普通用户就放任不管控了。


请关注微信号:aquasec 

获得更多容器安全技术与解决方案。下一步我们将介绍 "如何通过AquaSec对运行的镜像进行精细化控制”




News / 推荐新闻 More
2018 - 04 - 03
Ruckus高性能网络基础设施产品正在成为酒店行业吸引顾客并提升满意度的黄金标配     【北京,2018年3月5日】——ARRIS旗下致力于研发创新型有线及无线网络技术的优科网络公司(Ruckus Networks)日前宣布已完成对中国首家安曼纳卓悦酒店——上海安曼纳卓悦大酒店主楼网络建设的部署工作。此次部署,Ruckus将其行业领先的无线产品与ICX®有线交换产品相结合,对343间豪华客房,以及电梯间、餐厅、大堂、健身房、游泳池等公共区域实现了全面覆盖,室内外总覆盖面积达到了2万平米左右,旨在为所有莅临酒店的顾客提供一流的网络接入体验。根据中国旅游饭店业协会最新公布数据显示,到2017年上半年,国内五星级酒店已达848家。仅上海一个城市就已拥有72家不同品牌的五星级酒店[1]。因此,随着行业竞争的不断加剧,高端酒店品牌急需构筑面向未来的核心竞争力...
2018 - 02 - 04
RUCKUS为2017上海ATP网球大师赛提供简单出色的WI-FI网络连接服务【北京,2018年1月 4日】——ARRIS旗下致力于研发创新型有线及无线网络技术的优科网络公司(Ruckus Networks)日前宣布,在近期举行的2017上海ATP网球大师赛上,Ruckus与赛事主办方上海久事独家赞助商中国电信倾力合作,为比赛工作区提供简单出色的Wi-Fi网络连接,协助媒体工作者顺畅完成比赛直播和即时新闻发布,同时也为现场工作人员的赛事管理工作提供了技术保障。为期9天的2017上海ATP网球大师赛巨星云集、高潮迭起,留下无数精彩瞬间,也让中国观众继2007年该项赛事后,时隔十年再次见证网坛最顶级的“费纳决”。高品质、高水准的赛事加上人性化的赛事服务,令该品牌赛事在世界网坛的影响力不断提升。 作为一场全球瞩目的国际赛事,现场工作人员需要全面精准地把控比赛的方方面面,确保比赛有条不紊...
2018 - 02 - 04
MAXHUB推会议互联网+,升级用户体验变革传统会议商业模式近几年来,中国商业模式的“新风口”层出不穷——颠覆传统零售的O2O电商,带来了“无人超市”的超前购物体验;曾遭看贬的知识付费,随着炫耀性消费时代的结束及大众无形消费欲望的提升也迎来了希望;资本风口上的共享单车,因为解决了人们“最后一公里”的出行难题而赢得市场……就连B2B领域,也掀起了诸如MAXHUB“会议互联网+”等平台化商业模式。这些商业案例,除了印证了管理学名家彼得·德鲁克“企业之间的竞争是商业模式之间的竞争”的观点外,还映射出什么新现象?一位成功投资过独角兽科技公司的资深投资人,透露了答案:“用户体验,正是变革商业模式的核心。”用户体验是变革商业模式的核心,而用户需求是体验基础以提出新兴会议平台概念的MAXHUB为例。其负责人认为,用户需求是用户体验的根本。“我们模拟、还原了上千场的真实会议场景,跟踪用户的使用习...
2018 - 03 - 02
智能门禁的动态监管,将便于独居老人看护、民警追缉嫌犯,营造安全的智慧社区。本文介绍的是基于NB-IoT的智能门禁“小兔开门”,它有以下几部分组成:物联网门禁视频硬件设备、“小兔开门”用户端个人安全管理系统、“小兔关门”管理端公共安全管理系统、PC端管理平台等。小兔开门于2016年10月上线,是一个公共安全人口大数据管理的平台,现服务于智慧城市中的智慧社区、智慧园区和智慧校园等项目。小兔开门app在新用户注册时,需要填写身份信息和住所。每次开门可以通过刷手机app或ID卡(许和身份证信息挂钩)进门。民警可通过查看实时开门图像,对重点人员(犯罪嫌疑人等)进行管控;同时app提供进出门记录,如发现出入记录不正常,可及时联系小孩/老人,或通知居委会网格员上门探访。现阶段小兔开门还可实现app远程开门、通过手机/平板电脑进行双向对讲、缴水电费、推送便民信息、开放社区公共视频等服务。目前小兔开门注册用...
helpline
服务热线:
400-838-0881
友情链接:
Copyright ©2018 思路讯北京网络技术
犀牛云提供企业云服务