V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
LxnChan
V2EX  ›  Docker

不考虑 Docker 本身存在的漏洞,仅正常部署容器,是否存在从容器中访问外部文件或执行外部操作的可能性?

  •  
  •   LxnChan ·
    lxnchan · 2022-02-19 15:20:54 +08:00 · 1285 次点击
    这是一个创建于 1006 天前的主题,其中的信息可能已经有所发展或是发生改变。

    假设现有一个容器已经部署完成并且在运行,该容器的启动参数如下

    docker run dit -v /root/con1:/data -p 980:80 -p 9443:443/udp --hostname xiaoqiang maintainer:images:latest
    

    该容器是否有对外部操作的可能(包括读写外部文件、操作外部设备等)?

    Ps:Docker 是否有办法对容器执行白名单防火墙(仅放行白名单中的域名 /IP )?

    3 条回复    2022-02-20 15:39:55 +08:00
    Explr
        1
    Explr  
       2022-02-20 09:09:46 +08:00 via Android
    如果不考虑 Docker 漏洞造成的容器逃逸,攻击者还可以渗透你容器中的服务,再用其作为跳板渗透你的宿主机。

    防火墙的问题我以前也问过,可以试试写 iptables 。
    LxnChan
        2
    LxnChan  
    OP
       2022-02-20 12:27:27 +08:00
    @Explr iptables 实在是有点写不明白啊
    Jacky23333
        3
    Jacky23333  
       2022-02-20 15:39:55 +08:00
    很明显有呀,你都挂载(bind mount)了一个宿主机的'/root/con1'文件夹到容器中,那容器自然可以自由的读写宿主机这个文件夹呀
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1130 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 18:37 · PVG 02:37 · LAX 10:37 · JFK 13:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.