1
visitant 2020-07-11 13:48:13 +08:00
为什么不每个用户起个新的容器
|
2
ipwx 2020-07-11 13:52:16 +08:00
每个用户新的容器。。?
|
4
ipwx 2020-07-11 14:32:52 +08:00
setuid setgid? 好像这俩 posix 调用可以从 root 进程降权。
|
5
aapeli 2020-07-11 14:40:35 +08:00 via iPhone
定制一个 shell
|
6
zhoudaiyu OP @ipwx 进去的时候是就是普通用户,但是还是能乱搞出一些问题,虽然说容器可以随时销毁重建吧,但是也是有可能搞事情
|
8
dingwen07 2020-07-11 15:13:08 +08:00 via iPhone
破坏的骚操作可多了 比如限制了删除那就重定向覆盖
所以可以试试看从保护文件入手 限制权限和配置 ACL 之类的 而不只是阻止用户 |
10
abowloflrf 2020-07-11 15:39:10 +08:00 via iPhone
一个思路,进入容器不直接在那个容器里启 shell 进程,而是在同一节点新启动一个容器然后指定要 attach 到目标容器的哪些 namespace,还可以另外指定运行 user 等,达到一些隔离或者权限限制的目的。当然还要看你具体需求,进入容器的需求和具体限制什么操作。
|
11
tolerance 2020-07-11 17:26:55 +08:00
搞个不存在危险指令的容器(容器里把 mv 、rm 、cp 这些删除),用户登录启动这个容器
|
12
rmb1222 2020-07-11 17:51:42 +08:00 via Android
只要是正常的 shell 都无解 就算你把 bin 下的文件全删了 echo 一个 busybox 就能直接复活。。。
|
13
zmxnv123 2020-07-11 20:14:27 +08:00
构建一个没有这些执行文件的镜像?
|