Apakah pelarian kontena buruh pelabuhan

Larian kontena Docker merujuk kepada proses dan hasil di mana penyerang telah memperoleh keupayaan pelaksanaan perintah di bawah kebenaran tertentu dalam kontena dengan merampas logik perniagaan kontena atau kawalan langsung kerana docker menggunakan teknologi pengasingan , jadi proses di dalamnya bekas tidak dapat melihat proses luar, tetapi proses luar boleh melihat bahagian dalam, jadi jika bekas boleh mengakses sumber luar, atau mendapatkan kebenaran hos hos, ini dipanggil "Docker melarikan diri".

Persekitaran pengendalian tutorial ini: sistem linux7.3, docker versi 19.03, komputer Dell G3.

Apakah itu pelarian kontena docker

"Escape kontena" merujuk kepada proses dan hasil sedemikian:Pertama, penyerang merampas logik perniagaan kontena, Atau mengarahkan kawalan (CaaS dan senario lain di mana kawalan kontena diperoleh secara sah), dsb., telah memperoleh keupayaan pelaksanaan perintah di bawah kebenaran tertentu dalam bekas

Penyerang menggunakan keupayaan pelaksanaan perintah ini untuk Beberapa kaedah selanjutnya; dapatkan kebenaran tertentu pada hos langsung di mana bekas itu terletak (kita sering melihat senario "mesin fizikal menjalankan mesin maya, dan mesin maya kemudian menjalankan bekas". Hos langsung dalam senario ini merujuk kepada mesin maya di luar bekas).

Oleh kerana Docker menggunakan teknologi pengasingan, proses di dalam bekas tidak dapat melihat proses luar, tetapi proses luar boleh melihat bahagian dalam, jadi jika bekas boleh mengakses sumber luar, atau mendapatkan kebenaran daripada hos hos ini dipanggil "Docker escape".

Pada masa ini terdapat tiga sebab untuk melarikan diri Docker:

• Disebabkan oleh kerentanan kernel.

• Disebabkan oleh reka bentuk perisian Docker.

• Disebabkan oleh mod istimewa dan konfigurasi yang tidak betul.

Berikut ialah penjelasan ringkas mengenai ketiga-tiga kaedah melarikan diri ini.

1. Melarikan diri yang disebabkan oleh kelemahan kernel

Oleh kerana Docker ialah kernel hos yang dikongsi secara langsung, apabila terdapat kelemahan keselamatan dalam kernel hos, ia juga akan terjejas Keselamatan Docker boleh menyebabkan Docker melarikan diri. Proses khusus adalah seperti berikut:

• Gunakan kerentanan kernel untuk memasuki konteks kernel

• Dapatkan struct tugas proses semasa

• Undurkan senarai tugasan untuk mendapatkan struct tugasan dengan pid = 1, salin data berkaitannya

• Tukar ruang nama semasa

• Buka cangkang akar dan selesaikan pelarian

2. enjin pelaksanaan kontena standard----runc. Runc telah terdedah kepada kelemahan melarikan diri Docker CVE-2019-5736 pada Februari 2019. Prinsip kerentanan ialah Docker, Containerd atau program berasaskan runc yang lain terdedah kepada kelemahan keselamatan semasa runc Penyerang boleh mendapatkan pemegang fail apabila runc hos melaksanakan fail melalui imej kontena atau operasi exec tertentu dan mengubah suai runc. fail binari, dengan itu mendapatkan kebenaran pelaksanaan root mesin hos, menyebabkan Docker melarikan diri.

3. Escape disebabkan oleh pelekapan direktori mod istimewa

Kaedah melarikan diri ini digunakan lebih banyak daripada dua yang lain. Mod istimewa telah diperkenalkan kepada Docker dalam versi 6.0 Fungsi terasnya adalah untuk membenarkan root dalam bekas mempunyai kebenaran root pada mesin fizikal luaran Sebelum ini, pengguna root dalam bekas hanya mempunyai kebenaran pengguna biasa pada mesin fizikal luaran .

Selepas memulakan bekas dalam mod istimewa (docker run --privileged), bekas Docker dibenarkan untuk mengakses semua peranti pada hos, mendapatkan hak akses kepada sejumlah besar fail peranti dan melaksanakan perintah mount untuk melekapkan.

Apabila mengawal bekas menggunakan mod istimewa, pentadbir Docker boleh menggunakan arahan pelekap untuk melekapkan peranti cakera hos luaran ke dalam bekas untuk mendapatkan kebenaran membaca dan menulis fail untuk keseluruhan hos Selain itu, ia juga boleh gunakan arahan tulis Laksanakan pada mesin hos dengan memasukkan tugas berjadual dan kaedah lain.

Selain menggunakan mod istimewa untuk memulakan Docker, yang akan menyebabkan Docker melarikan diri, menggunakan mekanisme berfungsi juga akan menyebabkan Docker melarikan diri. Kernel Linux telah memperkenalkan keupayaan (Keupayaan) sejak versi 2.2, memecahkan konsep pengguna super dan pengguna biasa dalam sistem pengendalian UNIX/LINUX, membolehkan pengguna biasa melaksanakan arahan yang hanya boleh dijalankan dengan keistimewaan pengguna super. Contohnya, apabila bekas dimulakan dengan --cap-add=SYSADMIN, proses Bekas dibenarkan untuk melaksanakan satu siri perintah pengurusan sistem seperti mount dan umount Jika penyerang melekapkan direktori peranti luaran dalam bekas pada masa ini , Pelarian Docker akan berlaku.

Pembelajaran yang disyorkan: "

tutorial video buruh pelabuhan

"

Atas ialah kandungan terperinci Apakah pelarian kontena buruh pelabuhan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!