docker主机可以完全保护docker主机吗?
只要您不向Docker实例公开某个卷,是否有其他方式可以实际连接到主机并且' hack'它?
例如,假设我允许客户在我运行的服务器内运行代码。我想了解允许客户在docker实例中运行任意代码的潜在安全隐患。
答案 0 :(得分:1)
Docker中的所有进程都与主机隔离。默认情况下不能查看或干扰其他进程。这是由docker使用的进程名称空间来完成的。
只要您不将重要的东西(例如:et.setColorFilter(getResources().getColor(android.R.color.transparent), PorterDuff.Mode.SRC_IN)
)挂载到容器上,就不存在与运行容器相关的安全风险,甚至允许在容器内执行代码。
有关泊坞窗中安全功能的列表,请检查Docker security。
答案 1 :(得分:0)
内核在主机和docker容器之间共享。与虚拟机相比,这种分离更少。
运行任何不受信任的容器都不安全。存在可能被滥用的内核漏洞以及打破容器的方法。
这就是为什么它最好的做法,例如,不要在容器中使用root用户,要么为容器设置单独的用户命名空间。