新闻中心
News centre

如何通过Docker组用户,直接攻击Docker宿主机(内有干货)?

发布日期: 2018-03-02
浏览次数: 57

通常大家认为Docker引擎已经将多个进程作到了隔离,在互操作上是很安全的。而且在Docker宿主机中,只需要给普通用户授予Docker用户组,便可以放心地让运维人员自由管理。殊不知Docker Daemon进程是由root来启动的,滥用docker命令不仅危害容器间的安全,也对宿主机造成直接的影响,接下来我们就来看看,如何通过Docker组用户,直接攻击Docker宿主机。


第一步:你必须要有一个Docker用户组的用户,能够执行docker run


如何通过Docker组用户,直接攻击Docker宿主机(内有干货)?


第二步:执行rootplease镜像,并且将宿主机磁盘映射到容器内。并且在容器内执行useradd,passwd和编辑/etc/passwd


如何通过Docker组用户,直接攻击Docker宿主机(内有干货)?


上述例子中,我们将新增的hacker用户的,UID/GID都设置为0


第三步:退出容器,回到宿主机,直接查看宿主机的/etc/passwd,惊奇发现已经被添加了一个hacker用户,而且UID/GID=0


如何通过Docker组用户,直接攻击Docker宿主机(内有干货)?


第四步:当然是切换到hacker啦。 su - hacker,docker宿主机已经被你拿到了。


分析:上述Demo中有一些点值得探讨。

Docker用户组的成员,由于可以执行docker命令,实际上可以借助Docker Daemon进程(进程UID=0)对宿主机资源控制。

不应该放任镜像可以随意映射磁盘。虽然编排工具可以指定什么镜像映射什么网络volume,但是这个并非强制性的,需要从引擎层面去控制volume mapping。

生产环境不应该允许非法的镜像执行。那什么叫非法的镜像呢?一般我们认为,那些不在合法registry中的,都可以认为非法,比如通过docker pull获得的,或者docker load装载的。


在生产环境中,特别是大型金融、电信、关键业务系统的PaaS平台,Docker集群的管理员也应该减少直接接触Docker底层操作系统,更应管理好Docker组成员的密码,不要因为其实普通用户就放任不管控了。


请关注微信号:aquasec 

获得更多容器安全技术与解决方案。下一步我们将介绍 "如何通过AquaSec对运行的镜像进行精细化控制”




News / 推荐新闻 More
2018 - 06 - 11
日前,ARRIS旗下致力于研发创新型有线及无线网络技术的优科网络公司(Ruckus Networks)推出了两款全新802.11acWave 2接入点(AP),专为空间有限和难以连接有线链路的地点提供WiFi覆盖。优科E510是业界首款嵌入式企业级AP,创新的设计使其适合部署在对尺寸和美观有严格要求的地点。优科M510是具有LTE上行链路的802.11ac Wave 2 WiFi接入点,能够部署在难以连接以太网和需要冗余回程网络的地区,以确保达到服务水平协议(SLA)的要求。优科网络公司中国区总经理邓卫东:我们的客户和服务提供商合作伙伴希望提升对终端用户的服务水平,因为他们经常遇到一些具有挑战性的部署场景,采用一般的处理方法并不奏效。我们致力于帮助客户提供卓越的WiFi体验,而不受环境限制。E510和M510的推出正是我们兑现承诺的体现。SmartWave是全新AP的最早使用者之一,与优科...
2018 - 06 - 04
BYOD时代来临,在互联互通的世界里,企业WLAN面临着员工终端设备接入的不确定性,让企业信息安全在无线网络中时刻有被侵袭的威胁,企业WLAN的安全问题引发了网络运维人员的广泛关注。那么,部署了网络安全设备之后,企业WLAN是否就会受到保护,变得更加安全了?在无线安全方面,是否存在认识误区呢?下面一起来了解下。强大的认证和加密能全面防护?通过了解不难发现,单单依靠网络安全设备,并不能完全解决企业的WLAN安全问题。而凭借强大的认证与加密,虽然在大部分情况下,能够为WLAN的安全性进行升级。但如果无线管理员过度依赖加密,则有可能陷入麻烦之中。其中,使用WPA2与PEAP(受保护的EAP)加密与认证是一个明显的例子。使用WPA2-PEAP时,可基于802.1x(活动目录或Radius)协议进行认证,安全性按理说是较高的。可是,如果管理员配置了无线设备,例如员工笔记本电脑、平板电脑或者智能手机,...
2018 - 05 - 24
当今社会,网络可以说是一家企业的血管。高速顺畅的网络可以帮助企业的业务快速成长,同时让内部沟通更加便捷。尤其是现在“BYOD”(自带设备办公)已经非常流行,WiFi已经成为企业的必需品,部署无线AP少不了交换机的帮忙。另一方面,很多企业业务的开展需要大量的资料传输,包括视频、图像等在内,这也离不开交换机的支持。作为致力于研发创新型有线及无线网络技术的企业,Ruckus的ICX系列交换机可以完美满足企业无线建设和数据传输对于交换机的需求,解决企业在网络部署中面临的任何难题。Ruckus ICX交换机综述Ruckus致力于有线技术和无线网络技术的开发,以便实现一流的客户体验。Ruckus ICX 交换机能够通过软件许可证提供 1GbE 到 10GbE 的上行链路端口升级能力,还可以通过单个 IP 地址对多达 1800 个端口进行管理。  它们可为客户提供轻松构建和扩展网络的灵活性,以...
2018 - 05 - 16
15日,赛迪顾问发布《2018年5G产业与应用发展白皮书》,该白皮书根据现阶段4G发展情况预测到2020年,5G渗透率将达到30%,到2024年这一比例将升至75%。也就是说,到2024年,5G手机保有量将达到10亿台。根据介绍,2020年到2025年,5G将直接拉动智能网联汽车发展,届时智能网联汽车数量有望达到1.3亿辆。同时5G的发展也将会带动AR/VR产业发展,预计在2020年到2025年的五年时间里,AR/VR设备出货量将超过2356万台。这份白皮书还介绍说,我国现阶段5G产业链相对完整,并在部分环节拥有一定的优势,但是目前还存在一些问题,如5G标准尚未完全确定,核心零件无法自主化,5G产业成本压力巨大等问题。
helpline
服务热线:
400-838-0881
友情链接:
Copyright ©2018 思路讯北京网络技术
犀牛云提供企业云服务