如果用户可以访问Docker容器中的root Ubuntu终端,他们是否可以采取任何措施销毁其上的硬盘驱动器或SSD?
链接:gitlab.com/pwnsquad/term
答案 0 :(得分:1)
默认情况下,Docker授予对容器的根访问权限。
只有绕过Docker的容器隔离机制,容器才能损坏您的主机系统,否则唯一的损坏只能对容器本身而不对主机造成。
打破隔离机制的最简单方法如下:
。在这种情况下,可以从容器内部彻底清洁此路径。避免绑定挂载(使用卷)或以ro模式挂载以避免这种情况
使用网络,特别是network=host可确保容器访问所有主机的活动网络服务,因此可能使主机容易受到对其的攻击。在这种情况下,您可以连接到本地(绑定到127.0.0.1/localhost)上的服务,这样就不会出现远程连接,因此可能会受到较少的保护。