特权容器以及安全隐患的规避
文章目录
- 1、什么是特权容器
- 2、特权容器相关命令
- 2.1 检查是否是特权容器
- 2.2 启用特权容器
- 3、特权容器的安全隐患
- 4、减少特权容器使用以避免docker容器权限提升
1、什么是特权容器
Docker特权模式授予Docker容器对主机系统上所有设备的根权限。在特权模式下运行一个容器,使其具有主机的能力。例如,它能够修改App Arm和SELinux配置。
通过主机的内核功能和设备访问,你甚至可以在有特权的容器内安装一个新的Docker平台实例。本质上,这种模式允许在Docker内部运行Docker。
2、特权容器相关命令
2.1 检查是否是特权容器
docker inspect --format='{{.HostConfig.Privileged}}' [container_id]
命令返回true或者false来表示当前容器是否为特权容器。
2.2 启用特权容器
当我们想将容器变为特权容器时,只需要在run命令中添加-privileged
选项让容器以特权模式运行即可。
docker run --privileged [image_name]
3、特权容器的安全隐患
就像在Linux系统中我们不建议使用root用户一样。在容器的特权模式下,会将主机的内核和硬件资源暴露给外网。因此,不建议在生产环境中使用特权容器。
通过特权容器可能出现的漏洞,它为恶意用户创造了控制系统的机会。因为在特权模式下,主机允许容器以root权限访问系统中的一切,为网络攻击打开了一个机会之窗。网络攻击者可以通过容器连接到主机,从而进一步对基础设施和配置进行入侵和篡改。最常见的情况是,合法用户滥用给定的权限进行恶意活动。
4、减少特权容器使用以避免docker容器权限提升
和电脑中病毒之后拔网线关电源的原理类似。防止docker的安全隐患,比如,权限提升的最佳方法就是不使用特权容器。
但是,当出现必须使用特权容器的场景时,我们可以将用户的命名空间进行映射,将容器中的root用户映射到主机中权限较低的非root用户上。
前往安装docke配置文件的默认路径:/etc/docker/daemon.json
在json文件中新加入一对键值对,key为userns-rmap
,value为主机上需要映射的用户名,若输入default,则将有系统自动进行用户权限的映射分配
{"userns-remap": "default"
}
特权容器以及安全隐患的规避相关推荐
- GCP发布Kaniko:在非特权容器和Kubernetes中构建容器镜像的工具
\ 看新闻很累?看技术新闻更累?试试下载InfoQ手机客户端,每天上下班路上听新闻,有趣还有料! \ \\ Google发布了"Kaniko",一种用于在未授权容器或Kuberne ...
- Docker特权容器与capability
(1条消息) Docker 容器安全(1):我的容器真的需要privileged权限吗?_富士康质检员张全蛋的博客-CSDN博客_docker privileged
- 云原生时代下,容器安全的“四个挑战”和“两个关键”
作者 | 匡大虎 来源 | 阿里巴巴云原生公众号 云原生进程中的容器安全挑战 云原生的火热带来了企业基础设施和应用架构等技术层面的革新,在云原生的大势所趋下,越来越多的企业选择拥抱云原生,在 CNCF ...
- 【内核模块auth_rpcgss】netns引用计数泄露导致容器弹性网卡残留
我们不久前定位了一个Linux内核bug,这个bug会影响所有在特权容器中启用了use-gss-proxy的Linux环境,表现为容器的网络命名空间(net namespace)无法彻底释放,导致容器 ...
- runC爆严重安全漏洞,主机可被攻击!使用容器的快打补丁
容器的安全性一直是容器技术的一个短板.关于容器最大的安全隐患是攻击者可以使用恶意程序感染容器,更严重时可以攻击主机系统. 2月11日,安全研究员Adam Iwaniuk和BorysPopławski发 ...
- runC 严重漏洞,使用容器的快打补丁;辩论界人机大战,人类获胜
(给技术最前线加星标,每天看技术热点) 转自:开源中国.solidot.cnBeta.腾讯科技.快科技等 [技术资讯] 0.runC 严重漏洞,使用容器的快打补丁 runC 是 Docker,Kube ...
- Docker容器化实战第三课 dockerfile介绍、容器安全与监控讲解
06 最佳实践:如何在生产中编写最优 Dockerfile? 在介绍 Dockerfile 最佳实践前,这里再强调一下,生产实践中一定优先使用 Dockerfile 的方式构建镜像. 因为使用 Doc ...
- Salesforce 容器化 ISV 场景下的软件供应链安全落地实践
随着企业 IT 数字化转型演变进程,越来越多的企业采用云原生化架构升级的方式,改善应用开发运维迭代的效率,加速企业业务创新迭代,改进资源弹性管理和迁移的效率,帮助企业降本增效.但是由于云原生弹性.敏捷 ...
- 初识docker容器(优势真的巨大,比虚拟机好用多了)
目录 背景: 一.名称空间 Namespaces Docker Engine在Linux.上使用以下名称空间: 二.docker与虚拟化 2.1cgroups 2.2全虚拟.半虚拟.容器技术 2.3那 ...
最新文章
- oracle 年龄计算 岁 月 天
- 快递信息css3手风琴代码_用纯CSS实现手风琴效果的示例代码
- Python教程:json中encode与decode区别
- 【面试题视频讲解】TreeSet使用示例
- 通过测试想到的一些问题
- shell脚本每日一练(三)
- 计算机网络符号显示叹号,在Win7系统中,电脑网络出现感叹号怎么解决?
- 论文Express | 英伟达最新:多模态无监督图像迁移网络框架
- 进程间通信的11种方法
- vc编程经典网址推荐
- Matlab画六边形蜂窝网络点(任意个数)
- adb shell循环命令_Android ADB命令详解
- 基于Python的动漫人物分类识别系统
- Windows相关的DOS命令
- cef异常处理_cefSharp在XP下使得程序崩溃记录
- 古代玻璃制品的化学成分分析与鉴别
- python中使用linux命令
- 图片按照原来比例进行缩放
- Suggestion: use tools:overrideLibrary
- 发布网站的时候系统找不到指定文件的解决办法!
热门文章
- 运气不好,看天狗吐月亮
- 文本分类(一) | (9) 项目组织结构
- 【matlab选题推荐四】基于图像识别的人脸考勤系统
- 多组差异分析的可视化,这样做最省心!
- Sapling: 一款 Facebook 开源跨平台、高度可扩展、兼容 Git 的源码控制系统
- 好用的免费 PDF 密码删除工具有哪些?
- rg1 蓝光危害rg0_LED灯具蓝光危害评估方法
- C#调用matlab
- 路由器修改dhcp服务器地址,修改路由器dhcp服务器地址
- matlab 电路频率响应_2020年中青杯全国大学生数学建模竞赛——A题 集成电路通道布线...