不考虑 Docker 本身存在的漏洞,仅正常部署容器,是否存在从容器中访问外部文件或执行外部操作的可能性?
LxnChan · lxnchan · 2022-02-19 15:20:54 +08:00 · 1273 次点击这是一个创建于 994 天前的主题,其中的信息可能已经有所发展或是发生改变。
假设现有一个容器已经部署完成并且在运行,该容器的启动参数如下
docker run dit -v /root/con1:/data -p 980:80 -p 9443:443/udp --hostname xiaoqiang maintainer:images:latest
该容器是否有对外部操作的可能(包括读写外部文件、操作外部设备等)?
Ps:Docker 是否有办法对容器执行白名单防火墙(仅放行白名单中的域名 /IP )?
3 条回复 • 2022-02-20 15:39:55 +08:00
 |
1
Explr 2022-02-20 09:09:46 +08:00 via Android
如果不考虑 Docker 漏洞造成的容器逃逸,攻击者还可以渗透你容器中的服务,再用其作为跳板渗透你的宿主机。
防火墙的问题我以前也问过,可以试试写 iptables 。 |
 |
3
Jacky23333 2022-02-20 15:39:55 +08:00
很明显有呀,你都挂载(bind mount)了一个宿主机的'/root/con1'文件夹到容器中,那容器自然可以自由的读写宿主机这个文件夹呀
|
Select Language