什么是docker容器逃逸-Docker-PHP中文网

首页

运维

Docker

什么是docker容器逃逸

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 25, 2022 pm 05:13 PM

docker

docker容器逃逸指的是攻击者通过劫持容器化业务逻辑或直接控制等方式，已经获得容器内某种权限下的命令执行能力的过程和结果；因为docker使用的是隔离技术，因此容器内的进程无法看到外面的进程，但外面的进程可以看到里面，所以如果一个容器可以访问到外面的资源，甚至是获得了宿主主机的权限，这就叫做“Docker逃逸”。

什么是docker容器逃逸

本教程操作环境：linux7.3系统、docker19.03版、Dell G3电脑。

什么是docker容器逃逸

「容器逃逸」指这样的一种过程和结果：首先，攻击者通过劫持容器化业务逻辑，或直接控制（CaaS等合法获得容器控制权的场景）等方式，已经获得了容器内某种权限下的命令执行能力；

攻击者利用这种命令执行能力，借助一些手段进一步获得该容器所在直接宿主机（经常见到“物理机运行虚拟机，虚拟机再运行容器”的场景，该场景下的直接宿主机指容器外层的虚拟机）上某种权限下的命令执行能力。

因为Docker所使用的是隔离技术，就导致了容器内的进程无法看到外面的进程，但外面的进程可以看到里面，所以如果一个容器可以访问到外面的资源，甚至是获得了宿主主机的权限，这就叫做“Docker逃逸”。

目前产生Docker逃逸的原因总共有三种：

由内核漏洞引起。
由Docker软件设计引起。
由特权模式与配置不当引起。

接下来依次对这三种逃逸方法做简单说明。

1、由于内核漏洞引起的逃逸

因为Docker是直接共享的宿主主机内核，所以当宿主主机的内核存在安全漏洞时会一并影响Docker的安全，导致可能会造成Docker逃逸。具体流程如下：

使用内核漏洞进入内核上下文
获取当前进程的task struct
回溯task list 获取pid = 1的task struct，复制其相关数据
切换当前namespace
打开root shell，完成逃逸

2、由于Doker软件设计引起的逃逸

比较典型的例子是Docker的标准化容器执行引擎----runc。Runc曾在2019年2月被爆出来过一个Docker逃逸漏洞CVE-2019-5736。其漏洞原理是，Docker、Containerd或其他基于runc的容易在运行时存在安全漏洞，攻击者可以通过特定的容器镜像或者exec操作获取到宿主机runc执行文件时的文件句柄并修改掉runc的二进制文件，从而获取到宿主机的root执行权限，造成Docker逃逸。

3、由于特权模式+目录挂载引起的逃逸

这一种逃逸方法较其他两种来说用的更多。特权模式在6.0版本的时候被引入Docker，其核心作用是允许容器内的root拥有外部物理机的root权限，而此前在容器内的root用户只有外部物理机普通用户的权限。

使用特权模式启动容器后（docker run --privileged），Docker容器被允许可以访问主机上的所有设备、可以获取大量设备文件的访问权限、并可以执行mount命令进行挂载。

当控制使用特权模式的容器时，Docker管理员可通过mount命令将外部宿主机磁盘设备挂载进容器内部，获取对整个宿主机的文件读写权限，此外还可以通过写入计划任务等方式在宿主机执行命令。

除了使用特权模式启动Docker会引起Docker逃逸外，使用功能机制也会造成Docker逃逸。Linux内核自版本2.2引入了功能机制（Capabilities），打破了UNIX/LINUX操作系统中超级用户与普通用户的概念，允许普通用户执行超级用户权限方能运行的命令。例如当容器以--cap-add=SYSADMIN启动，Container进程就被允许执行mount、umount等一系列系统管理命令，如果攻击者此时再将外部设备目录挂载在容器中就会发生Docker逃逸。

推荐学习：《docker视频教程》

以上是什么是docker容器逃逸的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

Linux容器：Docker的基础Apr 14, 2025 am 12:14 AM

LXC是Docker的基础，通过Linux内核的cgroups和namespaces实现资源和环境隔离。1）资源隔离：cgroups限制CPU、内存等资源。2）环境隔离：namespaces提供独立的进程、网络、文件系统视图。

Linux上的Docker：最佳实践和技巧Apr 13, 2025 am 12:15 AM

在Linux上使用Docker的最佳实践包括：1.使用dockerrun命令创建和运行容器，2.利用DockerCompose管理多容器应用，3.定期清理未使用的镜像和容器，4.采用多阶段构建优化镜像大小，5.限制容器资源使用提升安全性，6.遵循Dockerfile最佳实践提高可读性和维护性。这些实践能帮助用户高效使用Docker，避免常见问题并优化容器化应用。

将Docker与Linux一起使用：综合指南Apr 12, 2025 am 12:07 AM

在Linux上使用Docker可以提高开发和部署效率。1.安装Docker：使用脚本在Ubuntu上安装Docker。2.验证安装：运行sudodockerrunhello-world。3.基本用法：创建Nginx容器dockerrun--namemy-nginx-p8080:80-dnginx。4.高级用法：创建自定义镜像，使用Dockerfile构建并运行。5.优化与最佳实践：使用多阶段构建和DockerCompose，遵循编写Dockerfile的最佳实践。

Docker监视：收集指标和跟踪集装箱健康Apr 10, 2025 am 09:39 AM

Docker监控的核心在于收集和分析容器的运行数据，主要包括CPU使用率、内存使用、网络流量和磁盘I/O等指标。通过使用Prometheus、Grafana和cAdvisor等工具，可以实现对容器的全面监控和性能优化。

Docker群：建筑物可扩展和弹性的容器簇Apr 09, 2025 am 12:11 AM

DockerSwarm可用于构建可扩展和高可用性的容器集群。1)初始化Swarm集群使用dockerswarminit。2)加入Swarm集群使用dockerswarmjoin--token:。3)创建服务使用dockerservicecreate--namemy-nginx--replicas3nginx。4)部署复杂服务使用dockerstackdeploy-cdocker-compose.ymlmyapp。

Kubernetes的Docker：用于企业应用程序的集装箱编排Apr 08, 2025 am 12:07 AM

如何利用Docker和Kubernetes进行企业应用的容器编排？通过以下步骤实现：创建Docker镜像并推送到DockerHub。在Kubernetes中创建Deployment和Service以部署应用。使用Ingress管理外部访问。应用性能优化和最佳实践，如多阶段构建和资源限制。

Docker故障排除：诊断和解决常见问题Apr 07, 2025 am 12:15 AM

Docker常见问题可以通过以下步骤诊断和解决：1.查看容器状态和日志，2.检查网络配置，3.确保卷挂载正确。通过这些方法，可以快速定位并修复Docker中的问题，提升系统稳定性和性能。

Docker面试问题：Ace您的DevOps工程采访Apr 06, 2025 am 12:01 AM

Docker是DevOps工程师必备的技能。1.Docker是开源的容器化平台，通过将应用程序及其依赖打包到容器中，实现隔离和可移植性。2.Docker的工作原理包括命名空间、控制组和联合文件系统。3.基本用法包括创建、运行和管理容器。4.高级用法包括使用DockerCompose管理多容器应用。5.常见错误有容器无法启动、端口映射问题和数据持久化问题，调试技巧包括查看日志、进入容器和查看详细信息。6.性能优化和最佳实践包括镜像优化、资源限制、网络优化和使用Dockerfile的最佳实践。

See all articles